Chip Authentication Program (CAP) : 晶片驗證程式,是一種為持卡人提供認證的方法。
簡介,CAP的套用,電子商務,網上銀行,電話預定,
簡介
它是一種線上程式,充分利用了EMV(Europay + MasterCard + Visa)卡提供的的認證能力,如下:
強大的遠程持卡人身份驗證;
CAP令牌的生成證明支付卡的驗證是實時的;
另外,CAP也可以在持卡人認可的前提下為其提供交易細節。
CAP在用戶進行線上電子商務交易時,可為其提供遠程身份認證。比如說,在3-D安全協定的環境下,CAP能夠減少因由拒付理由碼4837所表示的“無持卡人身份驗證”以及4863所表示的“無法識別持卡人身份”引起的拒付問題。
當然,發行者也可根據自己的傾向選擇在其他線上套用與服務(比如說:網上銀行)等領域使用CAP。
CAP的套用
CAP是一個模型化的構築,也就是說,它能夠被不同的方式使用,並且可以套用於不同的服務,包括但不限定在以下幾條:
電子商務(3-D安全驗證)
網上銀行
電話預定
在所有的套用裡面,CAP的一個核心價值取向是基於使用EMV付款卡和個人身份識別碼(PIN)而具有的安全層次加強型的持卡人身份驗證。這種增強的安全水平確保持卡人身份的正確,並且可以產生切實的商業效益(比如:較少的欺詐行為,減少退款的發生率與成本)。
下面就一些具體方面來談談CAP的套用。
電子商務
信用卡安全碼採用3-D安全協定來提高電子商務交易的安全性,以及減少在交易中的拒付發生率,尤其是可以減少無持卡人身份驗證與無法識別持卡人身份而引起的拒付問題。
左圖是對3-D安全協定的處理流程的描述(假設卡內使用了安全碼):1. 在結賬過程中,持卡人需要向賣方提供支付卡號碼(主賬號——PAN)。
2. 賣方驗證該卡和萬事達信用卡目錄伺服器中的安全碼,並獲取可驗證持卡人身份的卡發行者的網際網路地址。
3. 通過持卡人的網路瀏覽器,賣家傳送驗證請求信息到在信用卡目錄中的發行者的網際網路地址。
4. 發行商和持卡人會交換大量信息來完成持卡人身份驗證。這些信息的數量和內容對3-D安全協定沒有任何影響。
5. 一旦持卡人身份驗證成功,發行者會有一個包含驗證令牌的回應信息,它將回應賣方的驗證請求。
6. 賣方擁有授權請求的驗證令牌。
在3-D安全交易過程中,發行者用其選擇的方法驗證持卡人身份。CAP為發行者提供了充分利用EMV支付卡的強大驗證能力的選擇來提高靜態密碼提供的安全水平。發行者驗證返回的CAP令牌,而不是驗證一個靜態密碼。靜態密碼和CAP令牌都被稱為安全碼。
針對賣方的認證請求,3-D安全協定給出相應的回應。整個CAP只是步驟4的一部分,對賣家和收單行沒有任何影響。
CAP可以包含交易過程的數額和幣制,但這是可選擇的。這樣就提供了一個方法,用以記錄持卡人同意交易的證據。它也可以讓持卡人確認已支付的數額。
網上銀行
發行商傾向於在允許持卡人進入網上銀行服務之前對其進行驗證。發行商也可以在使用網上銀行執行某些敏感的交易(例如:轉賬第三方)之前對其要求再次驗證(和確認交易細節)。
CAP提供了通過充分利用EMV支付卡的強大認證能力來執行驗證動作的設備。一個成功的CAP驗證會生成一個CAP驗證令牌,用以替代登入頁面上的靜態密碼(這兩種情況都需要持卡人提供一些賬戶上的確認,有可能是用戶ID,也有可能是卡的ID,比如PAN)。實際上,支付卡和個人讀卡器(PCR)提供的功能類似於商用動態密碼令牌。
右圖是CAP在網上銀行的使用過程:
CAP在認證過程中也提供可選性的交易詳情的記錄(如金額和銀行轉帳帳戶的帳號),這就提供了持卡人同意這些交易數據的明確的證據。它類似於交易確認頁面的密碼確認,只不過它在交易過程中包含了支付卡和卡的安全特性。
電話預定
跟電子商務一樣,電話預定交易也存在因無持卡人身份驗證與無法識別持卡人身份而導致的相當高的退款率。使用CAP可以提供額外的保障以減少這樣的退款率。
當選擇一種支付方法後,賣方會驗證持卡方是否可以生成CAP令牌。
萬事達信用卡同樣是使用3-D安全協定實現電話預定的。
電話預定的支付流程類似於電子商務的支付流程,不同的是,賣方通過自己的網路訪問設備代表持卡人進入訪問控制伺服器,而持卡人則負責CAP令牌的生成。
右圖是對電話預定中使用CAP的高度概括:
1. 在結賬過程中,持卡人需要向賣方提供支付卡號碼(主賬號——PAN)。
2. 賣方驗證該卡和萬事達信用卡目錄伺服器中的安全碼,並獲取可驗證持卡人身份的卡發行者的網際網路地址。
3. 賣方代表持卡人向記錄在信用卡目錄里的發行商的網址傳送驗證請求信息。
4. 發行商和賣方之間會交換大量的信息來完成持卡人身份認證。這些信息的數量和內容對3-D安全協定不產生影響。
發行商必須清楚在賣方螢幕上顯示的認證表格中哪些是需要填寫的,這樣可以更好地幫助持卡人的CAP令牌的生成。
該表格應該包括適當的指示,用以幫助持卡人生成CAP令牌:
如果數額(可選)、幣制(可選)以及驗證碼是認證表格的一部分,賣方提供所有用於生成CAP令牌的數據;
如果上條的三種數據表格里都沒有,賣方將要求持卡方生成CAP令牌;
如果表格只要求輸入驗證碼,那么賣方會給持卡方一個驗證碼用來生成CAP令牌。
持卡方與賣方基於成功生成的CAP令牌進行交流,賣方會替持卡方完成認證表格的填寫。
5. 一旦持卡人身份驗證成功,發行者會有一個包含驗證令牌的回應信息,它將回應賣方的驗證請求。
6. 賣方擁有授權請求的驗證令牌。
7. 當訂單完成後,賣方會向持卡方進行訂單的確認。