为了保护用户的信息安全,确保银行卡等隐私信息不外泄,央行对所有的支付机构下发了通知, 要求支付机构在用户使用虚拟账户和快捷支付进行交易支付时,不能使用用户真实的实名信息或银行卡在网络传输,必须将每个虚拟账户以及快捷绑卡进行标记化,再通过该标记解析用户的实际身份信息,防止用户信息被窃取。
通俗的说,支付标记化,就是将用户的真实信息用另一串字符代替,网络传输时使用这串字符,最终再由银行或支付机构对该标记进行解析,防止信息泄露。
支付标记化涉及的参与方
1. TSP——标记服务提供商:提供支付标记化服务的机构。如快捷支付,标记需由银行生成后返给支付公司,所以标记服务提供商为银行方;支付机构的虚拟账户,标记由支付机构生成,所以标记服务商为支付机构本身
2. TR——标记申请方:支付机构提供快捷支付业务时,作为标记申请方,需要向银行申请标记;商户使用第3方支付机构的通道时,也会作为标记申请方,由支付机构返回支付标记。
TSP和TR可以为同一个。下面以举例说明虚拟账户的标记化实现。
虚拟账户标记化实现
在APP端登录时,服务器会给APP返回Token,这个token可以用来识别这个用户的身份,如果再将虚拟账号进行标记化,会有2个Token,这里显得有点重复,所以可以将这2个Token整合为一个,与原Token不同的是,新Token有特定的格式和状态标识,而且虚拟账户不会放给第3方平台使用,所以TSP和TR都是第3方支付机构自身,只需定义好TSP和TR的注册,TR申请token的步骤就可以放在用户登录时的接口中,另外需要有一张列表统一管理Token即可,同时定义好 虚拟账户Token生成的逻辑和使用虚拟账户支付时的去标记化逻辑。
关注微信公众号“Tina说",获取更多原创干货
