最近在忙著幫公司通過PCI 認證，特通過一些文筆來記錄一下PCI 認證的心得體會

PCI 認證的背景

首先，國內做支付的，都已經被支付寶和微信支付的那套模式根深蒂固了，都是基于第三方賬號的支付，如果跳銀行，也是基于銀行的賬戶 來進行支付，也就是所謂的線上收單的邏輯，因為線下收單 以往都是銀聯在搞，所以這塊很深入理解的人也不是很多。

那么PCI 首先是國外基于信用卡文化而發展出來的，所以PCI 在整體設計時，都是基于刷卡文化來產生的。在信用卡刷卡時，涉及到的機構和人員就有，商戶，POS機具廠商，收單機構，卡組織，發卡行，持卡人等等。那么卡的相關數據在這些相關的人員和機構中傳遞，就產生了一個問題：如何確保卡信息的安全，防止盜刷？那么這個時候PCI 就來了，只有通過了相關PCI認證的 機構：收單機構，商戶，機具廠商，系統提供商等等。我們都可以認為是安全的（其實真正的安全，全看人品），那么我們做為持卡人，就是放心大膽的去用信用卡去消費了。

隨著移動支付技術的發展，這種線下收單的模式，開始慢慢的轉到了線上，比如你去亞馬遜 購物，最后結賬的時候，也是可以通過信用卡進行支付的，那么現在行業的方向也是逐步向線上發展（畢竟線下，你要有當地的團隊，這個天高皇帝遠，實在是不合適chinese去搞）。

線上的對接，那么也需要這個鏈路上的所有環節通過PCI的認證。但這個數據鏈路細節則和前面的線下是不一樣的。

首先，我們先談談線下的收單數據鏈路細節：

線下都有一個POS機，這個POS機需要通過加密算法，對讀取到的卡信息進行加密，再將信息上送到了收單商的系統后臺，系統再將信息轉給相應的PCI卡組織（CDV），卡組織通過卡信息可以調取發卡行，從而取得相應的登記和授權，最后返回支付的結果。在這個過程中，從POS機到收單結構是無法獲取相應的卡信息的，傳遞的都是密文。

線上則因為沒有POS機，從而導致到一系列的問題，就是卡信息 是通過 應用程序進行傳遞的（web前端程序無法完成線下POS機的功能，因為加密這塊都是有專業的認證通過芯片技術來處理，所以導致了卡相關信息必須明文的傳遞到收單機構），而且都是通過web程序進行調用，雖然在傳輸上用到了HTTPS證書對傳輸的內容進行網絡層面的加密，但在服務端，收單系統的內部人員，是有可能獲取到卡信息的。所以這個時候，線上的系統需要通過PCI認證來自證安全。比如那些數據是可存的，那些數據是不可存的，這一系列的東西都需要向PCI 認證機構 說的清清楚楚。

當然這里所說的都是基于卡信息的，那么最近的趨勢，為了安全，還增加了3D的方式認證，這樣也是為了安全，但這種模式還是有一個關鍵的問題沒有解決：

卡信息還是有可能會被留存，最終保證的還是靠人品。

后面再繼續闡述 令牌化的支付技術。