第一篇:基于一次性支付系统的安全信用卡交易
基于一次性支付系统的安全信用卡交易
摘要:
对于行用卡欺诈来说传统的信用卡付款是不安全的,因为攻击者可以很容易的知道用户半封闭的、重复利用的信用卡号。最近很多研究人员和信用卡公司已经提出用一次性交易数来提高信用卡付款的安全性。基于这种思想,我们提出了一个比较实用且安全性高的一次性信用卡付款方案。在我们的设计方案中,用哈希函数产生一次性信用卡账号,这些账号只有持卡人和行用卡发行人知道。与其他研究成果相比,我们的计划不但减轻了信用卡发行者的负担,并且对于展开脱机或在线的情况下的支付都很容易。分析和模拟仿真表明,考虑到必须的安全性,信用卡发行者对于我们方案的时间和空间复杂度是可以接受的。
背景介绍:
信用卡欺诈每年造成了数百亿元的经济损失,并且使传统的信用卡支付系统的安全缺陷暴露了出来。在这种信用卡支付体系中,消费者在所有的交易中都重复的使用固定的信用卡账号和个人识别信息。信用卡账号的固定不变性,使得攻击者很容易地盗取消费者账号并进行非法行为。常见的信用卡欺诈行为有一些几种: 侧面窥视
一个攻击者偷看客户的信息(如从客户使用的读卡机附近的位置备置摄像头或在电话 上、旅馆里或汽车租赁公司偷听) 潜伏跟踪
一个攻击者通过客户丢弃的废物或垃圾获得信用卡客户识别信息的记录。 截获数据包 盗取数据资料
1.1评估标准
评价信用卡支付体制好坏的标准主要有一些几种:
容易实施
新的信用卡支付体系应该能够很好的应用现有的基础设施。不能给信用卡发行者、厂商和用户带来太多额外的负担。新系统增加的负担应于其对新增的安全性受益相一致。 使用方便
使用的方便性有助于新系统的推广,它必须让消费者使用起来方便满意。 安全性高
新的支付系统必须保证带来实质性的针对信用卡欺诈的安全性方面的提高。
1.2相关研究
安全电子交易协议(SET)是针对在线情况下保护信用卡信息不被攻击但是SET有其严重的缺陷,它昂贵的开销和对公钥基础设施(PKI)的额外需要使得它很难在商场内成功应用。为解决信用卡支付安全问题而提出的数百种方案中,安全套接层(SSL)是唯一被广泛应用在现代电子支付中的协议。SSL不但提供用于传送信用卡账号的加密通道,还提供厂商的身份信息认证。对于一些直接截获用户信用卡信息的诈骗行为,像侧面窥视、潜伏跟踪和窃取数据库资料等,SSL是无能为力的。
考虑到信用卡系统的评价指标,SET解决了安全问题但无法满足缓解部署和易于使用方面的要求。另一方面,SSL满足例如方便部署和使用方便的要求,但是,它没能解决所有状况下的信用卡使用安全的问题。
最近,一次性信用卡交易账号的观念被提出。这种一次性信用卡交易账号简称CCT,只被使用一次。一个CCT被用之后就算是被攻击者知道也无所谓,因为它只能用一次。
现存的CCT使用方式都要求在线产生CCTs;即当消费者在进行信用卡交易时或在交易之前,必须通知信用卡发行者以获得CCT。信用卡发行者为每一个用户建立一个小的数据库,以便当支付清算时,能够验证从商家发来的CCT。
正如Rubin和Wright说的那样,这些解决方案集中解决的问题就是在传统的信用卡交易的基础上在附件消费者与发卡人直接的互动联系。必须确保消费者和发卡人之间信息通信的安全,像SSL确保的那样安全,要不然CCT就会在发送时半路被截获。由于大量的用户同时访问SSL服务器,因此SSL服务器的性能就成为该体系的核心技术。并且客户在交易时就必须耐心地等待CCTs。而且,这样集中的解决方法也限制了SSL的规模。用单纯的函数管理账号当遇到如网站单点故障、网站诈骗和DNS重定向之类的技术漏洞时是非常危险的。
而且我们必须清楚上述的这些解决办法主要针对与网上支付。为了便于支付,一些现存的一次性的解决办法都允许客户以传统的信用卡支付方式使用固定的信用卡账号。然而这种“混合”式的体系依然容易受到诸如侧面窥视、潜伏跟踪和盗取数据资料等之类的攻击。为了补救上述的漏洞,针对这些问题Rubin和Wright提出了一种离线的体系来产生CCTs,不需要建立用户和发卡人之间的联系。在这个系统中发卡人和用户长期共享密钥。在每次交易之前,客户可以通过加密一套可行的约束来产生CCT,这些约束描述了交易商品的金额、交易时间和商家等方面的信息。然后消费者再把产生的CCT和确认信息发送给发卡人来确认。但接收到这些时,发卡人根据确认信息来匹配密钥,解密CCT和确认交易。
这种解决办法,在每次交易前不需要建立消费者和发卡人之间的联系。但是大需要设计良好的用户界面来帮助选择用于加密的约束。并且它使得服务器额外承受解密和约束管理的负担。除此之外这种方法也没有解释清楚在CCTs被限制最长为16位的情况下,如何使用标准的加密函数。
为了使用这种支付体系,消费者必须使用电脑或者可以加密约束的设备。在密文中必须包括时间戳,来保证CCT的针对性。当然这需要应用程序的支持。这也许适用于网上支付,但是很可能不适用于其他的支付体系。
1.3我们的解决方案
在我们的解决方案中我们运用哈希函数而不是加密技术来在离线的情况下产生CCT。通过对上一次的CCT和共享的密钥做哈希函数来产生本次的CCT。其中密钥是01的字符串,发卡人知道,并且被嵌入到消费者的实体卡中。
每一个信用卡中都嵌入了一个小型的芯片来计算哈希函数值和保存上次的CCT。为了方便信用卡交易的方便使用,在一些情况下需要一个小巧的读卡器来控制驱动CCT的产生。必须强调的是哈希函数计算必须简单;生产芯片卡和小型读卡器的技术要成熟且廉价。小型读卡器必须能够广泛的使用。
在消费者方面,消费者只需把他得实体卡插入读卡器中并且向商家提交已产生的CCT。此过程涉及到得哈希计算很简单,并且不需要建立消费者和发卡人之间的联系。倘若有芯片卡和小型读卡器整个交易过程就会像传统的信用卡支付一样方便。
当接受到用户发送的CCT结算时,发卡人就会用该用户的上一次CCT和用户密码进行哈希运算产生CCT,并判断这次用户发来的CCT和经过运算产生的CCT是否一致。由于确认时延的存在,用户接收到得CCTs的顺序也许和CCTs的产生顺序不一致;因此发卡方必须保存CCTs队列来确保认证的正确性。我们的研究证明所需要保存的CCTs队列的平均并不长。与传统的信用卡支付方式相比,CCT的认证只增加了一点时间和空间复杂度。
与Rubin和Wright的离线方案相比,我们的方案减轻了发卡人的负担。因为哈希函数计算容易自动产生固定长度的CCTs。并且用户不需要用于加密交易时间戳和约束的应用程序。
关于安全方面,我们的解决方案始终坚持贯彻一次性支付的思想,不像所谓的“混合系统”,我们的方案能够预防大多数像侧面窥视、潜伏跟踪和盗取数据资料等之类的常见的信用卡欺诈。
1.4总结
以下对我们的系统进行具体的说明,首先对在任意支付情况下地消费者支付方式进行说明;接着对认证系统从认证算法、系统模拟和复杂度分析等方面进行说明;之后对我们系统的安全方面进行分析;最后讨论具体实施时候的问题并把我们的系统同基于PKI的方案进行比较。
符号说明
C 实际信用卡账号
T 一次性信用卡交易密码(CCT)Tcur 上次用过的CCT Tnew 产生的新的CCT S 固定的密码 Q 发卡人的确认队列 n 时延限制
m 重复次数限制
2.用户支付体制
在这个部分,集中讨论在不同的支付环境下消费者的支付方式。
(1)信用卡:
一个传统的信用卡有一个半秘密的信用卡号码和其他的信息(如一个名字和一个有效期限)。在我们的系统中,一个信用卡有另外的二个元件:①一个固定在卡上也从不变化的秘密的1024位二进制字符串;②在物理卡中被埋人的秘密小芯片。当卡发行者把信用卡发行给一个客户的时候,原始CCT交易信息被储存在卡中。当客户每次交易时,由上次的CCT交易信息和一秘密的散列函数H()(举例来说,SHA或MD5)通过计算会产生新的CCT交易信息。Tnew=H(TcurII S)Tnew是将会被用于新的交易,Tcur是上次交易的结果,S是秘密的,“II”表示串接的方法。在新的交易之后,Tnew被储存在卡中在Tcur的位置。(在命令执行下交易)在客户来说,就是一系列的CCT交易。对卡发行者而言,就是进行系列相同的计算并且进行校验。
(2)读卡机:
我们需要一个能够执行散列方程的计算和对于每一次新的交易随时可以更新CCT的智能读卡机。智能读卡机提供动力执行计算和更新CCT。读卡机是一个公共设施,它应该生效于客户可能进行交易的任何一个地方,甚至在客户的手中(如膝上型电脑、键盘和移动电话等)。(3)支付情景
在此主要讨论在不太的支付情景的条件下我们的消费者支付系统的运作情况。我们首先假设不管是在商店还是在消费者的手边小型的读卡器都是可以用的。小型的读卡器不可用的情况将在下面讨论。
首先考虑现场支付的情况,此种情况下消费者在商家的店铺里进行交易。在这种情况下,商家必须有小型的读卡器。消费者只需将信用卡插入下雪的读卡器中来完成交易。将会产生新的CCT,并将它送到对应的发卡人那里进行认证。当交易被认证后,发卡人将通知商家并且店铺里的小型读卡器将用新的CCT代替实体卡中原来的CCT。
接下来考虑网上支付的情况。此种情况下用户在电子商务。用户首先通过小型读卡器获得更新后的CCT,然后新的CCT和一些其他的信息直接传送到电子商务网站上(大多数情况下是通过SSL传送的)。这种情况下小型读卡器没有直接和电脑相连,消费者需要从小型读卡器中获取新的CCT让侯输入到电子商务网页中。
除此之外的支付情况还包括手机支付、传真支付和邮件支付,在此种情况下信用卡信息分别通过手机、传真和邮件传给消费者。因为手边有读卡器,消费者很容易就能更新CCT并像使用传统的信用卡交易方式一样使用。
2.确认系统一个卡发行者如何确认一系列被用于处理的CCT。如一个客户送CCT给一个贸易商或一个贸易商送CCT给一个客户;贸易商送CCT给一个相关的卡发行者或卡发行者送CCT给一个贸易商。不同的方案可以分为二种类型:
立即证明:一个贸易商立即地确认CCT(举例:刷卡购物)。
延迟证明:一个贸易商在特定的时段来延迟确认CCT(举例:在旅馆中预定)。因为确认延迟的存在,所以验证CCT的方法有时候是不一样的。下列的例子举例说明我们的证明系统。
例子:考虑同一CCT的四次交易:T0,T1,T2,T3,它们的关系T1=H(T0S),T2=H(T1||S)和T3=H(T2||S)。假设其中T0已经是被卡发行者复核且有效的交易。如果后面所有的三个交易T1,T2和T3在立即证明的确认方案中,然后用上面的关系来证明到达的CCT是否有效,卡发行者只是一个一个地简单计算而且确认。现在假设T1和T2是在延迟证明中而且CCT抵达的次序是(T3,T2,T1)。我们用下列各项程序确认他们:
(1)当T3到达的时候,卡发行者把它与T1作比较,T1用日(T0||S)计算。因为他们不相配,校验队列Q用来储存n用于将来的校验。卡发行者然后用T1来计算T2=H(T1||S)而且把它与到达CCT作比较。因为他们也不相配,佗也为将来的校验插人Q之内。最后卡发行者用砣计算T3=H(T2||S),与到达的CCT相配。
(2)当T2到达的时候,卡发行者把它与队列Q作比较,到达的CCT与队列Q中的数据相匹配。T2就从Q划除。
(3)当T1到达的时候,如同T2校验同样的方法。
3.认证算法
认证算法
//
1、发卡人接收到来着客户方面的信用卡信息包括当前的信用卡号C和CCT T1。//
2、C用做索引来查找用户。
//
3、下面的认证只针对特定的用户。//
4、发卡人已知客户密码S和初始的CCT T0 1)当前 CCT Tcur=T0 2)认证队列 Q=ϕ 3)对于每一个认证的 CCT T do 4)If T 和Q队列中的某一个匹配 5)Then 把T从Q中删除并且返回确认的CCT 6)Else 7)
产生n个新的CCTs T1,„,Tn(T1=H(Tcur||S),„, Tn=H(Tn-1||S))//n是时延限制 8)If T与Tk(1≤k≤n)
9)Tcur←Tk 10)
把T1,„,Tk-1插入到Q中 11)
返回确认的CCT 12)Else 返回没有确认的CCT 13)
在一定的时间段内如果经过了m次错误的确认,则认证程序将被锁 //m是重复次数上限
4.结束语
我们呈现的是一个在实际使用过程中保证以前的信用卡交易安全的系统。在这一个方案中,我们把以前发行者和消费者共享的秘密变为用一个散列函数产生随机秘密,每消费一次就可以改变一次,而且只有发行者知道。消费者是不需要知道任何信息的。硬件需要在实际的信用卡中微埋人一个微型的芯片。系统是可适用于在线和脱机两种模式。我们的系统不能解决信用卡丢失的特殊情况。
总结:
传统的信用卡CCT(Credit Card Transactions)有一个密码,消费者和卡发行者都知道,在反复使用时不是很安全的。为了提高信用卡的安全交易,本文设计一种只有发行者知道密码,而消费者是不需要知道密码的CCT。本文的方法是把较少的信息放在一个微型芯片上,并把它嵌入在信用卡里面。而且能容易地在线和脱机展开远程交易。攻击者如果没有CCT是根本无法攻击,从而避免了传统信用卡交易所面临的侧面窥视、潜伏跟踪、盗取数据资料和截获数据包等欺诈问题。
第二篇:信用卡交易流程
信用卡交易流程
信用卡是独立的金融产业,交易过程以及交易流程中电子信息的传递方式,都很有特色
在美国,当你在商店里选中了几件商品到收款处付账时,收款人一般会问:付现金,支票,还是塑料卡?如果你使用信用卡,收款员或者你自己把你的信用卡在与收款机连接的刷卡机上一刷,然后选择“信用卡”键。几秒钟后,收款机得到确认:付账已被授权批准。紧接着,收款机打印出一式两份收据给你。整个付账过程就完成了,一般不超过半分钟。
在这一貌似简单的手续背后,诸如有哪些参与者卷入?资金信息是如何流动的?交易过程是怎样进行的?等等,这一系列问题就连在信用卡使用最普遍的国家,了解的人恐怕也并不多。
信用卡是独立的金融产业,相比较其它的金融产业,信用卡的交易过程以及交易流程中电子信息的传递方式,都很有特色。
五方参与者
信用卡的交易过程涉及到5个方面的参与者: 持卡人,发卡行,商家,收单行,银行卡联盟。
● 持卡人 持卡人是像你我这样的,由银行或发卡机构经过筛选,批准给予一定信贷额度的持卡消费者。持卡人可使用信用卡从商家那儿购买物品或服务,或支取现金。持卡人每月需交付由发卡行发来的账单。持卡人享有用卡的便利性以及即时信贷的优越性。
● 发卡行 持卡人的金融机构(或称为发行人或发卡方,因为不一定是银行)。发卡行的责任是(1)审核和批准持卡人并发卡;(2)接收与支付来自维萨或万事达的交易;(3)对持卡人发放账单及收款。发卡行也可以将信息处理与付款服务承包给第三方来操作。
● 商家 也称受卡商,即接受信用卡的商店。它们可以是任何经销商品或服务的公司(如零售商,饭店,航空公司,宾馆,邮销商,医院,超级市场,快餐店,电影院等),只要它们满足维萨或万事达以及收单行的资格标准(要求商家具有良好的信誉并在财务上负责)。商家与收单行签有关于接收信用卡作为付款方式的文字合同,商家要服从合同的条款。
● 收单行 也称为收单行。它们招揽、审核、接收商家进入银行卡计划。收单行与商家在以下方面签有文字合同;(1)接收商家的销售票据;(2)提供商家信用卡的授权终端以及合同包括的支持服务;(3)处理信用卡的交易。通常,收单行在处理信用卡的交易时,要向商家收取一笔“商家折扣”。目前,许多金融机构既是发卡行,也是收单行。作为发卡行,它们维护持卡人的关系;作为收单行,它们维护商家的关系。
● 银行卡联盟 一种国际性的付款服务组织。维萨和万事达是世界上最大的两个银行卡联盟。它们由机构会员共同组成并管理。(由于篇幅的关系,此文不讨论既是发卡行又同时扮演清算与结算功能的金融机构——美国运通和发现卡)。
维萨和万事达的责任是:
(1)对自己的品牌做广告宣传,提升品牌的形象;
(2)开发新产品;
(3)处理全球数以千万计的持卡人与商户交易的清算与结算;
(4)指导银行会员对信用卡的操作处理;
(5)建立和强化管理信用卡的条规与章法,比如:操作规程、交易过程、信用卡的外形设计等。
发卡行和收单行都是维萨或万事达的执照机构会员。维萨或万事达对机构会员提供各种各样的服务,包括授权、结算、交易、解决会员纠纷。机构会员必须遵守联盟的操作规程。另外,还有第三方服务提供者。一些会员接收第三方组织提供的对维萨和万事达的服务支持。
交易流程
正如前面所说,在你刷卡之后,到收到付账授权的回复之前,这短短的几秒钟内,你的信用卡购物信息已经在庞大复杂的信息系统里面走了一个来回。那么,信用卡的交易过程到底是怎样进行的呢?以上五方参与者在交易过程中又是如何体现他们各自的角色?
整个信用卡的交易过程分成两个步骤: 第一步为付账授权过程,即商家要求得到发卡行认可或否定支付相应款额的回答;第二步为清算结算过程,它涉及到付款金融信息的交换与实际资金的交换。下面我们分别叙述这两个过程。
● 付账授权过程
这一过程由商家售点的刷卡机启动。当你购买物品时,刷卡机读出信用卡背后磁条上所记录的信息,包括信用卡号码以及有关销售款额等信息,将它们一并发送到商家所属的收单行,要求付账授权。收单行将信息连接到银行卡联盟(维萨或万事达),卡联盟的系统收到信息后,马上转送到信用卡的的发卡行。
发卡行的电脑系统根据信用卡号码,调出其所属的账户信息,然后决定是否给予授权。发卡行的授权决定,主要基于持卡人账户的以下几方面信息:
(1)付账状态(有无拖欠,拖欠多久等等);
(2)信用状态(良好,或曾有破产记录等等);
(3)可用款额(信用额度——已用款累计总额);
(4)信用卡的有效期。
如果发卡行没有发现什么问题,而且你这次购物的总额不超过现有的可用款额,发卡行就会发出付账授权批准。这个信号沿原路返回到售点的刷卡机。在刷卡机得到授权信号之后,收款机的电脑会立刻打印出收据,商家就完成了这一笔销售。
如果付款授权被否决,有可能是你的购买额度超出了账户的可用款额,此笔交易就不能被批准;或是有可能因为此卡已登记报失。这样的话,发卡行也许会要求商家“没收”你的这张信用卡。
维萨与万事达卡联盟用于付账授权的系统分别称为:BASE I和INAS。通常,使用这个付账授权系统的过程只需要2~3秒钟。
● 清算结算过程
这是交易系统内部交换信息和账款的过程。维萨与万事达卡联盟用于清算结算的系统,也各有自己特定的名称,分别叫做:BASE II 和INET。清算和结算过程是在交易系统内部交换信息和账款的过程。
清算:
清算过程只涉及到交易信息的交换。商家在每天营业截止后,它的售点系统会自动把当天收款的总额结算出来,通报商家银行,并在商家的账户上入账。
然而,入账的实际款额会小于销售款额,这个差额称为“商家折扣”。接着,商家银行将当天的结算总额报给银行卡联盟,卡联盟再把这些信息发给发卡行。当持卡人账户的支付积累一个月之后,发卡行便向持卡人发账单。图1的单线表示内循环圈(1, 2, 4, 5, 8),表明了清算过程。它对应于传统银行业务中的票据清算流程,只涉及信息交换。
结算: 结算则涉及到实际交易付款金额的交换,是钱款易手的过程。图1中双线表示外循环圈(3, 6, 7, 9),表明了结算的付款流程。除了涉及持卡人和发卡行的结算是按月份循环周期进行的外(见图1“9”)),清算与结算一般是同时进行的(见图1双线外循环圈 3,6,7)。
在结算付款的过程中,商家、收单行以及发卡行,都要被收取一定的固定费用。当收单行在商家的账户上入账时,收单行要向商家收取固定的费用(即商家折扣)。比如,商店卖你$100的物品,但该商店在商家银行的账户上所对应的实际收入却只有$97。这其中$3的差额即为商家折扣(在此假设为3%)。这笔款项是商家付给商家银行的,如图1中的“3”所示。
在这$3中,一部分是用来偿付收单行所提供的信用卡服务,另一部分则由收单行通过卡联盟转付给了发卡行。进而,维萨或万事达卡联盟会把商家银行报给它们的当天的销售总额再转报给发卡行,但从发卡行那里收到的支付款额也是小于结算款额。
比如,对应于$100的结算额,收单行只从发卡行收到$98.5。这其中的$1.5差额称为“交换费”。这笔总购买额度1.5%的交换费是付给发卡行的。为什么收单行得付给发卡行这笔费用呢?这是因为,发卡行是整个信用卡系统中金融风险的主要承受者。
● 发卡银行所承受的金融风险:
(1)信用风险 发卡银行每月才向持卡人发送一次账单,账单发出后一般还有20多天的宽限期,所以,发卡银行实际上是向持卡人提供了平均一个半月的短期贷款。如果持卡人无法如期付账,发卡银行得要承受信用风险。
(2)市场风险 为了提供上述短期贷款,发卡银行需要到金融市场上去借款,这笔借贷的利息会由于市场利率的波动而给发卡行带来市场风险。
(3)信用卡伪冒风险。
因而,在交易过程中:
交换费是发卡行作为风险补偿以及交易费用支出的收益。交换费的比例是由卡联盟统一设定的。商家折扣则是收单行得到的补偿,是由收单行和商家分别协定的。
银行卡联盟的收益则来自于银行卡会员(发卡行和收单行)的手续费以及核定的固定费用。银行卡联盟在信用卡的支付方式与交易流程中,提供了一个类似交换中心的角色,去除了每一家商家银行与千万家发卡银行的直接联系。利用经济规模,规范化与标准化了授权清算结算系统,极大降低了交易成本。
上面所述的信用卡交易环,是信用卡系统的基本交易模型,不包括付款卡、借记卡等其它的种类。付款卡和借记卡等所使用的网络系统,与信用卡所用的是同一系统,但运行方式有所不同。
第三篇:信用卡交易流程
信用卡交易流程
信用卡是独立的金融产业,相比较其它的金融产业,信用卡的交易过程以及交易流程中电子信息的传递方式,都很有特色。
在这一貌似简单的手续背后,诸如有哪些参与者卷入?资金信息是如何流动的?交易过程是怎样进行的?等等,这一系列问题就连在信用卡使用最普遍的国家,了解的人恐怕也并不多。
五方参与者
信用卡的交易过程涉及到5个方面的参与者: 持卡人,发卡行,商家,收单行,银行卡联盟。
● 持卡人 持卡人是由银行或发卡机构经过筛选,批准给予一定信贷额度的持卡消费者。持卡人可使用信用卡从商家那儿购买物品或服务,或支取现金。持卡人每月需交付由发卡行发来的账单。持卡人享有用卡的便利性以及即时信贷的优越性。
● 发卡行
持卡人的金融机构(或称为发行人或发卡方,因为不一定是银行)。发卡行的责任是(1)审核和批准持卡人并发卡;(2)接收与支付来自维萨或万事达的交易;(3)对持卡人发放账单及收款。发卡行也可以将信息处理与付款服务承包给第三方来操作。
● 商家
也称受卡商,即接受信用卡的商店。它们可以是任何经销商品或服务的公司(如零售商,饭店,航空公司,宾馆,邮销商,医院,超级市场,快餐店,电影院等),只要它们满足维萨或万事达以及收单行的资格标准(要求商家具有良好的信誉并在财务上负责)。商家与收单行签有关于接收信用卡作为付款方式的文字合同,商家要服从合同的条款。
● 收单行 也称为收单行。它们招揽、审核、接收商家进入银行卡计划。收单行与商家在以下方面签有文字合同;(1)接收商家的销售票据;(2)提供商家信用卡的授权终端以及合同包括的支持服务;(3)处理信用卡的交易。通常,收单行在处理信用卡的交易时,要向商家收取一笔“商家折扣”。目前,许多金融机构既是发卡行,也是收单行。作为发卡行,它们维护持卡人的关系;作为收单行,它们维护商家的关系。
● 银行卡联盟 一种国际性的付款服务组织。维萨和万事达是世界上最大的两个银行卡联盟。它们由机构会员共同组成并管理。维萨和万事达的责任是:
(1)对自己的品牌做广告宣传,提升品牌的形象;(2)开发新产品;
(3)处理全球数以千万计的持卡人与商户交易的清算与结算;(4)指导银行会员对信用卡的操作处理;
(5)建立和强化管理信用卡的条规与章法,比如:操作规程、交易过程、信用卡的外形设计等。
发卡行和收单行都是维萨或万事达的执照机构会员。维萨或万事达对机构会员提供各种各样的服务,包括授权、结算、交易、解决会员纠纷。机构会员必须遵守联盟的操作规程。
另外,还有第三方服务提供者。一些会员接收第三方组织提供的对维萨和万事达的服务支持。
交易流程
整个信用卡的交易过程分成两个步骤: 第一步为付账授权过程,即商家要求得到发卡行认可或否定支付相应款额的回答;第二步为清算结算过程,它涉及到付款金融信息的交换与实际资金的交换。下面我们分别叙述这两个过程。
● 付账授权过程
这一过程由商家售点的刷卡机启动。当你购买物品时,刷卡机读出信用卡背后磁条上所记录的信息,包括信用卡号码以及有关销售款额等信息,将它们一并发送到商家所属的收单行,要求付账授权。收单行将信息连接到银行卡联盟(维萨或万事达),卡联盟的系统收到信息后,马上转送到信用卡的的发卡行。
发卡行的电脑系统根据信用卡号码,调出其所属的账户信息,然后决定是否给予授权。发卡行的授权决定,主要基于持卡人账户的以下几方面信息:
(1)付账状态(有无拖欠,拖欠多久等等);
(2)信用状态(良好,或曾有破产记录等等);
(3)可用款额(信用额度——已用款累计总额);
(4)信用卡的有效期。
如果发卡行没有发现什么问题,而且你这次购物的总额不超过现有的可用款额,发卡行就会发出付账授权批准。这个信号沿原路返回到售点的刷卡机。在刷卡机得到授权信号之后,收款机的电脑会立刻打印出收据,商家就完成了这一笔销售。
如果付款授权被否决,有可能是你的购买额度超出了账户的可用款额,此笔交易就不能被批准;或是有可能因为此卡已登记报失。这样的话,发卡行也许会要求商家“没收”你的这张信用卡。
维萨与万事达卡联盟用于付账授权的系统分别称为:BASE I和INAS。通常,使用这个付账授权系统的过程只需要2~3秒钟。
● 清算结算过程
这是交易系统内部交换信息和账款的过程。维萨与万事达卡联盟用于清算结算的系统,也各有自己特定的名称,分别叫做:BASE II 和INET。清算和结算过程是在交易系统内部交换信息和账款的过程。
清算:清算过程只涉及到交易信息的交换。商家在每天营业截止后,它的售点系统会自动把当天收款的总额结算出来,通报商家银行,并在商家的账户上入账。
然而,入账的实际款额会小于销售款额,这个差额称为“商家折扣”。接着,商家银行将当天的结算总额报给银行卡联盟,卡联盟再把这些信息发给发卡行。当持卡人账户的支付积累一个月之后,发卡行便向持卡人发账单。图1的单线表示内循环圈(1, 2, 4, 5, 8),表明了清算过程。它对应于传统银行业务中的票据清算流程,只涉及信息交换。
结算:结算则涉及到实际交易付款金额的交换,是钱款易手的过程。图1中双线表示外循环圈(3, 6, 7, 9),表明了结算的付款流程。除了涉及持卡人和发卡行的结算是按月份循环周期进行的外(见图1“9”)),清算与结算一般是同时进行的(见图1双线外循环圈 3,6,7)。在结算付款的过程中,商家、收单行以及发卡行,都要被收取一定的固定费用。当收单行在商家的账户上入账时,收单行要向商家收取固定的费用(即商家折扣)。比如,商店卖你$100的物品,但该商店在商家银行的账户上所对应的实际收入却只有$97。这其中$3的差额即为商家折扣(在此假设为3%)。这笔款项是商家付给商家银行的,如图1中的“3”所示。
在这$3中,一部分是用来偿付收单行所提供的信用卡服务,另一部分则由收单行通过卡联盟转付给了发卡行。进而,维萨或万事达卡联盟会把商家银行报给它们的当天的销售总额再转报给发卡行,但从发卡行那里收到的支付款额也是小于结算款额。
比如,对应于$100的结算额,收单行只从发卡行收到$98.5。这其中的$1.5差额称为“交换费”。这笔总购买额度1.5%的交换费是付给发卡行的。为什么收单行得付给发卡行这笔费用呢?这是因为,发卡行是整个信用卡系统中金融风险的主要承受者。
● 发卡银行所承受的金融风险:
(1)信用风险 发卡银行每月才向持卡人发送一次账单,账单发出后一般还有20多天的宽限期,所以,发卡银行实际上是向持卡人提供了平均一个半月的短期贷款。如果持卡人无法如期付账,发卡银行得要承受信用风险。
(2)市场风险 为了提供上述短期贷款,发卡银行需要到金融市场上去借款,这笔借贷的利息会由于市场利率的波动而给发卡行带来市场风险。
(3)信用卡伪冒风险。
因而,在交易过程中:
交换费是发卡行作为风险补偿以及交易费用支出的收益。交换费的比例是由卡联盟统一设定的。商家折扣则是收单行得到的补偿,是由收单行和商家分别协定的。
银行卡联盟的收益则来自于银行卡会员(发卡行和收单行)的手续费以及核定的固定费用。银行卡联盟在信用卡的支付方式与交易流程中,提供了一个类似交换中心的角色,去除了每一家商家银行与千万家发卡银行的直接联系。利用经济规模,规范化与标准化了授权清算结算系统,极大降低了交易成本。
上面所述的信用卡交易环,是信用卡系统的基本交易模型,不包括付款卡、借记卡等其它的种类。付款卡和借记卡等所使用的网络系统,与信用卡所用的是同一系统,但运行方式有所不同。
SWOT分析:
优势:1.方便快捷:传统的支付方式首先持卡人需要到相应的机构去办理,这样既浪费时间,又浪费精力,可能还会有额外的手续费。而信用卡网上支付,短时间就可以看到支付结果,省去了到柜台办理汇款的各种手续流程。
2.方便查询消费明细:网上支付一切操作都在线完成,所以能够在最短的时间内知道支付是否成功,并且可以在任何时点了解自己的消费时间、购买物品、消费金额等信息。
3.交易安全有保障:在线支付虽然是由第三方支付公司提供服务,但是信用卡网上支付充分考虑了网上交易的特点,除了有第三方自身的风险控制系统,还有银行风控体系和信用卡数据库作保障,银行也会对信用卡账户操作进行监控,各种措施都会帮助用户规避风险。
4.无需开通网银:现在的普通储蓄卡要进行网购需要去柜台开通网银功能,但是大多数银行的信用卡网上支付则无需开通网银,可以通过快捷支付直接办理。以光大银行为例,该行的信用卡已实现免签约网上消费,即无需开通网上银行即可进行网上信用卡购物,但金额限制在300元以内。5.网购折扣大:为了推动信用卡网购业务,很过银行都推出了针对信用卡快捷支付的活动,在网上交易时能够享受到比普通卡消费更多的折扣。另外以各种节假日为节点,银行也会推出形式多样的信用卡网购送积分、消费抽奖等活动。
6.免息分期很划算:信用卡网上支付能够享受到分期付款免息、免手续费、免运费的优惠,且类似于电脑、相机、手表这些价格稍高的产品,采取分期付款还可以减轻日常生活负担,而银行信用卡网购商城的东西也能让人觉得质量更有保障,买起来更放心。劣势:
盲目消费、过度消费、利息高、需交年费、盗刷、影响个人信用记录。
1.刺激购物欲望,购买很多自己本来不想买的商品
刷信用卡的时候由于没有RMB从手中流出,扣的只是卡里的一个虚拟的数字,而且这个数字还是从银行扣的,不是自己的。那感觉就跟买了东西没花钱差不多,所以很多人,包括我,刚有了信用卡时去超市买起东西来都是什么好买什么,看到什么喜欢了就买,结果每次都消费好几百,其中很多东西其实自己并不需要,或者不应该买那么高档的东西。
2.信用卡不安全
很多商场收银员根本不看信用卡背面的签名,这样如果你的信用卡被别人捡去了,损失可就大了。虽说有时及时挂失银行会承担损失,但并不是每次都这样,很多时候自己还是要承担部分甚至全部损失的。
3.信用卡可被复制
有人就曾经在客人刷卡时复制下卡片信息,然后再造一张卡出来,提现。
4.信用卡利滚利很吓人
如果你没有一次还清所有欠款,或者是欠了几千块忘了还了,那么一两年之后利滚利,将变成几万块,跟高利贷没两样。详见:《“利滚利” 信用卡透支7884元两年后欠款成3.5万》
5.信用卡还款比较麻烦
刷卡时方便了,还款时却麻烦了,虽然有的银行的信用卡支持从借记卡自动还款,但是很多时候还款时还得去银行,或者去ATM机,转账。
第四篇:信用卡支付流程操作流程
信用卡支付流程操作流程1、2、编码出完之后,点出现支付菜单
3、点信用卡
4、选择银行
5、输入好信息6、7、点
告知钟姐或者小郑查看账户是否到账,到账之后直接给客人出票即可(按照之前的出票规范即可,黑屏或者平台票)
8、出完之后点完操作
支付科目
9、点完
选择环讯无卡支付
第五篇:各大银行信用卡支付额度
支付宝现在作为全国最大的第三方支付平台,强大的银行系统的支持是离不开的,很多朋友对于淘宝网支付宝的支持银行的信用卡的额度或者网上银行的支持支付的额度都有一定的疑问,这里给大家一个全面的介绍 支付宝支持的支付限额总表 银行支付产品种类如何办理限额支持卡种
更多银行最新信用卡使用知识,请看作者名字就可以找到我了„„
支付宝最大的支持工商银行,并支付宝所有的现金和淘宝网的保证金都存在工商银行,强大的工商银行也是支付宝最大的支持者!
办理支付宝工商银行卡通或者开通支付宝网上银行方式: 办理条件:柜面注册存量静态密码/电子银行口令卡/U盾/E卡
电子银行口令卡可以携带有效证件和注册过网上银行的银行卡到工行营业网点免费领取但是我在办理工商银行的电子口令卡的时候是需要收费的,后来直接弄了一个U盾,请在领取时向工作人员说明开通“电子商务”功能;U盾也需要到柜台去开通柜面注册存量静态密码客户单笔限额300,日限额300元,总累计限额300;电子口令卡单笔1000,日限额5000,使用次数为1000次;U盾无限额限制;
信用卡限额在以上基础上,以与信用卡本身透支额度孰低为准;E卡限额同实体卡
招商银行作为网上银行功能最为完善的银行组织,在支付宝合作的基础上也是不含糊的!支持的招商银行的类型:招商银行专业版/大众版
大众版可通过柜台,电话银行和网上注册任何一种方式开通;专业版,需持身份证件及银行卡去招行柜台开通
信用卡单笔限额499.99元,单日额度由信用卡额度决定;大众版单笔和单日限额5000,通过网上注册开通的保护期内每日累计不超过500元,客户累计网上支付交易达到200元那天起的15天后,保护期自动结束,通过电话开通或者在柜台开通网上支付功能的,则没有保护期,;专业版无限额
支付宝支持的另一家国有银行那就是建设银行 支付宝卡通 持支付宝龙卡和身份证到建行柜台开通
手机绑定用户日限额为银行柜台设置的金额与200元(含200元)孰低;数字证书用户日限额为与会员在银行柜台设置的金额相同,最高为5000元/天 支付宝龙卡(借记卡)高级客户(签约客户)需要拿身份证和龙卡去建行柜台签约开通(信用卡不分签约与非签约,只需开通网上银行即可在支付宝使用)
信用卡单笔和单日累计限额均为500元;签约用户准贷记卡与借记卡单笔限额5000元,日累计10000元(数字证书用户单笔和日累积均为1000.00元)准贷记卡/借记卡/信用卡
中国农业银行
电子支付卡用户/注册客户
电子支付卡农行网站上直接申请/注册客户需持证件和银行卡去柜台办理
电子支付卡日累积200元,2005年11月25日之前申请的为1000元;IE浏览器证书用户单笔支付金额不超过1000元,日累计不超过2000元;移动证书用户或者是已办理动态口令卡的IE浏览器证书用户暂无限额 借记卡 /准贷记卡
深圳发展银行
动态口令刮刮卡用户/动态口令编码器用户/数字证书用户
发展卡用户通过深发网站直接申请/口令卡和编码器和数字证书都需要拿身份证和银行卡到银行柜台申请开通
动态口令刮刮卡日累计限额5000元,动态口令刮刮卡使用次数为28次,使用完后需到银行柜台续卡;编码器和数字证书无限额方面的限制 借记卡
浦东发展银行 数字证书版/动态密码版
持身份证件及银行卡或存折去银行柜台开通
数字证书用户单笔单日限额客户自行设定,动态密码版50000.00 借记卡/存折/准贷记卡
广东发展银行 不分版本
信用卡可以网上自助开通网上支付功能;借记卡、存折必须去柜台签署转帐协议才能开通网上支付
信用卡金卡最高零售透支额6万跨存款10万,普卡最高零售透支4万跨存款7万,视个人信用额度不同而定,单笔最低限额为0.99元,单笔最高限额为500元;借记卡和存折单笔限额500元,次数不限 信用卡/借记卡 /存折
兴业银行
证书客户/非证书客户/兴业e卡
非证书客户可直接网上注册开通;兴业e卡可直接网上申请,如本身无兴业银行卡申请的,还需要到柜台去进行确认;证书客户需持身份证和银行卡到柜台开通,开通后需下载证书和进行激活
证书客户无限额;非证书客户有1000和5000两种限额,由客户在开通网上购物功能时自行选择;e卡限额日累计5000元 借记卡
中国民生银行
贵宾版(签约客户)/大众版(非签约客户)大众版可以直接网站开通;贵宾版需持身份证和和银行卡去银行柜台办理 借记卡:大众版单笔限额300元,日限额300元;贵宾版单笔限额1000元,日限额5000元;VIP+(含单KEY版)支付限额与柜台签约对外支付限额相同,最高单笔限额50万,日限额200万。信用卡:大众版单笔限额 300元,每日300元;贵宾版单笔限额1000元(信用卡本身透支限额孰低),日限额5000元(信用卡本身透支限额孰低);VIP+(含单KEY版)支付限额与柜台签约对外支付限额相同。借记卡/信用卡
交通银行
手机注册版(大众版)/证书认证版(专业版)
需要持身份证件及银行卡去交行柜台开通网上支付功能,成为交行手机注册版用户或者证书认证版用户,开通后需要进行激活,信用卡不能单独开通,需要挂靠在借记卡或者准贷记卡下面才可以开通网上支付功能
准贷记卡,借记卡手机注册版限额日累计5000,证书版50000;信用卡手机注册版限额为5000元与信用卡本身透支额度孰低 借记卡/准贷记卡/信用卡
中国邮政银行
支付宝普通账户/已开通短信提醒的支付宝账户/已安装数字证书的支付宝账户 到邮政汇兑联网网点办理网上支付汇款,并自行设定汇款密码
单张汇票收据的限额最高是5000元,邮政网汇e充值有次数上的限制,普通账户1次/日;已开通短信提醒的账户3次/日;已安装数字证书的账户不限次数 不需要邮政账户也可以
邮政淘宝卡通 普通版
邮政网站直接注册便可 日累计限额300元 邮政绿卡
中国中信银行 加强版(证书版)
需要持身份证件及银行卡去中信柜台开通网上支付功能,信用卡不能直接开通,需要挂靠在已经开通的借记卡下面才可以开通网上支付功能
借记卡文件证书用户单笔限额1000.00元,日限额5000.00元;移动证书用户单笔与累计限额均为卡内的余额或客户自行设定。信用卡用户单笔支付限额500.00元,日累计为本身透支限额或客户自行设定限额 信用卡/准贷记卡/借记卡
国际信用卡组织的visa维萨卡 不分版本
请确保您是在香港地区开户的用户,以及确保您的visa国际卡已经通过visa验证,支付宝只支持通过验证的visa卡进行有密支付。如何开通visa验证,一般有发卡行网站自助注册开通和柜台开通两种方式,具体情况请咨询您的发卡银行
国际信用卡组织的mastercard万事达卡
更多银行最新信用卡使用知识,请看作者名字就可以找到我了„„
万事达卡的支付类型和额度基本上都和维萨卡都是差不多的一般都需要联系发卡行咨询相关情况!
点击咨询 