PCI 認證

最近在忙著幫公司通過PCI 認證,特通過一些文筆來記錄一下PCI 認證的心得體會

PCI 認證的背景

首先,國內做支付的,都已經被支付寶和微信支付的那套模式根深蒂固了,都是基于第三方賬號的支付,如果跳銀行,也是基于銀行的賬戶 來進行支付,也就是所謂的線上收單的邏輯,因為線下收單 以往都是銀聯在搞,所以這塊很深入理解的人也不是很多。

那么PCI 首先是國外基于信用卡文化而發展出來的,所以PCI 在整體設計時,都是基于刷卡文化來產生的。在信用卡刷卡時,涉及到的機構和人員就有,商戶,POS機具廠商,收單機構,卡組織,發卡行,持卡人等等。那么卡的相關數據在這些相關的人員和機構中傳遞,就產生了一個問題:如何確保卡信息的安全,防止盜刷?那么這個時候PCI 就來了,只有通過了相關PCI認證的 機構:收單機構,商戶,機具廠商,系統提供商等等。我們都可以認為是安全的(其實真正的安全,全看人品),那么我們做為持卡人,就是放心大膽的去用信用卡去消費了。

隨著移動支付技術的發展,這種線下收單的模式,開始慢慢的轉到了線上,比如你去亞馬遜 購物,最后結賬的時候,也是可以通過信用卡進行支付的,那么現在行業的方向也是逐步向線上發展(畢竟線下,你要有當地的團隊,這個天高皇帝遠,實在是不合適chinese去搞)。

線上的對接,那么也需要這個鏈路上的所有環節通過PCI的認證。但這個數據鏈路細節則和前面的線下是不一樣的。

首先,我們先談談線下的收單數據鏈路細節:

線下都有一個POS機,這個POS機需要通過加密算法,對讀取到的卡信息進行加密,再將信息上送到了收單商的系統后臺,系統再將信息轉給相應的PCI卡組織(CDV),卡組織通過卡信息可以調取發卡行,從而取得相應的登記和授權,最后返回支付的結果。在這個過程中,從POS機到收單結構是無法獲取相應的卡信息的,傳遞的都是密文。

線上則因為沒有POS機,從而導致到一系列的問題,就是卡信息 是通過 應用程序進行傳遞的(web前端程序無法完成線下POS機的功能,因為加密這塊都是有專業的認證通過芯片技術來處理,所以導致了卡相關信息必須明文的傳遞到收單機構),而且都是通過web程序進行調用,雖然在傳輸上用到了HTTPS證書對傳輸的內容進行網絡層面的加密,但在服務端,收單系統的內部人員,是有可能獲取到卡信息的。所以這個時候,線上的系統需要通過PCI認證來自證安全。比如那些數據是可存的,那些數據是不可存的,這一系列的東西都需要向PCI 認證機構 說的清清楚楚。

當然這里所說的都是基于卡信息的,那么最近的趨勢,為了安全,還增加了3D的方式認證,這樣也是為了安全,但這種模式還是有一個關鍵的問題沒有解決:

卡信息還是有可能會被留存,最終保證的還是靠人品。

后面再繼續闡述 令牌化的支付技術。

最后編輯于
?著作權歸作者所有,轉載或內容合作請聯系作者
平臺聲明:文章內容(如有圖片或視頻亦包括在內)由作者上傳并發布,文章內容僅代表作者本人觀點,簡書系信息發布平臺,僅提供信息存儲服務。

推薦閱讀更多精彩內容