最近在忙着帮公司通过PCI 认证,特通过一些文笔来记录一下PCI 认证的心得体会
PCI 认证的背景
首先,国内做支付的,都已经被支付宝和微信支付的那套模式根深蒂固了,都是基于第三方账号的支付,如果跳银行,也是基于银行的账户 来进行支付,也就是所谓的线上收单的逻辑,因为线下收单 以往都是银联在搞,所以这块很深入理解的人也不是很多。
那么PCI 首先是国外基于信用卡文化而发展出来的,所以PCI 在整体设计时,都是基于刷卡文化来产生的。在信用卡刷卡时,涉及到的机构和人员就有,商户,POS机具厂商,收单机构,卡组织,发卡行,持卡人等等。那么卡的相关数据在这些相关的人员和机构中传递,就产生了一个问题:如何确保卡信息的安全,防止盗刷?那么这个时候PCI 就来了,只有通过了相关PCI认证的 机构:收单机构,商户,机具厂商,系统提供商等等。我们都可以认为是安全的(其实真正的安全,全看人品),那么我们做为持卡人,就是放心大胆的去用信用卡去消费了。
随着移动支付技术的发展,这种线下收单的模式,开始慢慢的转到了线上,比如你去亚马逊 购物,最后结账的时候,也是可以通过信用卡进行支付的,那么现在行业的方向也是逐步向线上发展(毕竟线下,你要有当地的团队,这个天高皇帝远,实在是不合适chinese去搞)。
线上的对接,那么也需要这个链路上的所有环节通过PCI的认证。但这个数据链路细节则和前面的线下是不一样的。
首先,我们先谈谈线下的收单数据链路细节:
线下都有一个POS机,这个POS机需要通过加密算法,对读取到的卡信息进行加密,再将信息上送到了收单商的系统后台,系统再将信息转给相应的PCI卡组织(CDV),卡组织通过卡信息可以调取发卡行,从而取得相应的登记和授权,最后返回支付的结果。在这个过程中,从POS机到收单结构是无法获取相应的卡信息的,传递的都是密文。
线上则因为没有POS机,从而导致到一系列的问题,就是卡信息 是通过 应用程序进行传递的(web前端程序无法完成线下POS机的功能,因为加密这块都是有专业的认证通过芯片技术来处理,所以导致了卡相关信息必须明文的传递到收单机构),而且都是通过web程序进行调用,虽然在传输上用到了HTTPS证书对传输的内容进行网络层面的加密,但在服务端,收单系统的内部人员,是有可能获取到卡信息的。所以这个时候,线上的系统需要通过PCI认证来自证安全。比如那些数据是可存的,那些数据是不可存的,这一系列的东西都需要向PCI 认证机构 说的清清楚楚。
当然这里所说的都是基于卡信息的,那么最近的趋势,为了安全,还增加了3D的方式认证,这样也是为了安全,但这种模式还是有一个关键的问题没有解决:
卡信息还是有可能会被留存,最终保证的还是靠人品。
后面再继续阐述 令牌化的支付技术。
