聚合支付系统的建设目的是为了支撑互联网在线支付需求,提升用户使用在线支付的体验;逐步对接更多的合作商户和支付机构,进一步扩展收单外包服务商的业务和服务范围。下面对聚合支付系统的功能需求和非功能需求进行分析。
1、功能需求分析
聚合支付平台的功能需求汇总如下:
1. 支付帐号管理
聚合支付平台为客户在系统中创建唯一的虚拟账号,用于关联客户在通过聚合支付平台交易付款时所用到的各种资产账户。
(1)支付帐号创建
支付帐号创建是指客户在需要使用聚合支付平台提供的支付服务时,在聚合支付平台创建自己的唯一支付虚拟帐号,用于关联自己的资产。客户在首次使用支付服务时,系统自动为客户创建唯一支付账号,并记录账号创建日志。
(2)支付帐号帐户关系关联
支付帐号帐户关系关联是指客户将自己的各种资产账户关联到聚合支付平台的支付帐号下,以便客户在通过聚合支付系统进行交易付款时可以选择使用。
(3)支付帐号帐户关系解绑
支付帐号帐户关系解绑是指客户将自己的已关联到聚合支付系统的各种资产帐户从系统中解除关联,已解除关联的资产账户不能再用于聚合支付系统支付。
(4)支付帐号注销
即关闭客户在聚合支付系统的账号和所有功能的使用权限,此项功能需提供审批流程,以及与客户确认的流程。
(5)支付帐号设置
支付帐号设置是为客户提供的,管理其支付帐号下的各种支付帐户属性的界面,可以设置该支付账号的默认支付账户,以及每个支付账户的支付限额,可以按笔、日和月进行支付限额的设置。
2. 商户管理
商户管理是提供给聚合支付系统运营和管理人员使用的,可以对接入的商户信息进行管理。功能主要有:
(1)商户接入
商户接入是商户在需要使用聚合支付平台提供的支付服务时,在聚合支付平台创建自己的平台标识,用于关联可以使用的支付方式。
支持商户在需要使用支付服务时,可以通过页面或者后台配置在聚合支付平台创建商户标识。
商户的接入需要有审核流程,正式接入前商户需完成与聚合支付平台服务接口的协议开发,并通过接入相关的测试认证。
(2)商户支付方式管理
支付方式管理是指将商户与聚合支付平台的支付方式关联,用于商户给客户展示可以支付的支付方式,以及商户对应的第三方帐号。
支持商户在需要使用聚合支付平台的支付方式时,可以通过页面或者后台配置在聚合支付平台创建商户标识与支付方式的关联关系。
3. 支付机构管理
(1)支付机构信息管理
聚合支付平台需记录和维护系统对接的支付机构的信息,运营和管理人员可用于后续支付渠道的管理和维护。
(2)支付机构注册信息管理
支付机构注册信息管理指聚合支付平台在支付机构注册成为商户所用的信息的归档保存的功能,此信息有可能用于聚合支付平台与支付机构交互的过程。
(3)支付机构状态管理
支付机构状态管理指聚合支付平台运营和管理人员根据业务的变更需求,修改已接入聚合支付平台的支付机构的支付业务可用状态,可选择暂停和恢复业务。聚合支付平台的运营人员可以根据市场发展和业务需要,灵活的控制对应支付机构对应业务的状态。
4. 支付模式管理
聚合支付平台需要为客户提供以下形式的支付模式:
(1)网关支付模式
网关支付是指通过 PC 访问聚合支付平台生成的 WEB 支付页面完成付款的支付交易方式,客户全程操作均在可视化的页面上完成。
(2)快捷支付模式
快捷支付模式下支付请求是在后台进行的,订单相关的信息在商户和聚合支付平台服务器之间传递,客户只需要确认金额完成支付即可。
快捷支付时不需要客户输入支付密码,所以首次使用快捷支付前,客户应签约快捷支付,保证这种支付方式经过客户授权。
为了支付安全考虑,支付交易过程应增加验证码验证等人机验证机制。
(3)WAP 支付模式
WAP 支付也称为触屏支付,是指使用手机、平板电脑等移动设备打开聚合支付平台生成的适配触屏设备的支付页面来完成支付的方式。
(4)APP 支付模式
APP 支付模式是指使用手机、平板电脑等移动设备打开商户所开发的 APP 应用后,在其中调用聚合支付平台的 API 进行支付的方式。此模式需要商户完成其 APP应用与聚合支付平台 SDK 的对接之后才能提供。
(5)扫码支付模式
扫码支付模式指使用手机、平板电脑等移动设备扫描聚合支付平台生成的二维码进行支付的方式。
(6)条码支付模式
条码支付模式是客户在下单后出示订单生成的条码,给商户使用手持设备扫描后进行支付的形式。
支持聚合支付平台SDK(用于商户网站或者APP应用)生成并展示客户支付条码;
(7)短信支付模式
短信支付模式实际上是将普通的支付工单转化为网页链接,通过短信方式发给客户,客户收到短信后可以通过该链接打开支付页面完成支付,通常用于商户主动发起扣款请求的业务场景,比如预售商品的尾款支付请求等。
5. 交易处理
聚合支付系统为商户提供支付扣款、退款、冲正等交易功能,以及支付交易过程中的工单状态查询功能,支持各类交易结果的通知提醒。
(1)支付扣款交易
支付扣款交易是指商户通过聚合支付系统向客户申请从其指定的资金帐户中扣除指定款项的交易,交易需要经过客户的授权确认,付款的账户可以是移动客户的现金账户和银行、第三方金融机构上的货币帐户。
(2)支付冲正交易
支持对客户支付机构帐户扣款交易进行冲正、对客户流量帐户、积分帐户和现金帐户混合扣款交易进行冲正,并保证数据一致性。
(3)支付退款交易
退款交易是指商户(或一级聚合支付平台)可以向聚合支付平台发起退款请求,支持部分退款、多次退款。支持对支付机构的帐户做回滚、对混合扣款中的现金帐户、积分帐户、流量帐户均做回滚,并保证数据一致性。
(4)支付交易状态查询
聚合支付平台需提供交易订单查询服务,商户可以通过服务接口查询正在进行中的交易单的状态。
(5)支付交易日志管理
聚合支付平台在支付交易过程中记录下客户交互和系统接口通信日志,并定时对日志进行归档、统计,为运营和管理人员提供查询功能。
(6)支付交易提醒
支付交易提醒是指当商户(或一级聚合支付平台)发起扣款、冲正、退款等交易时,交易完成后给客户发送短信进行提醒。只使用货币化资产(流量、积分、现金)支付的时才提醒,采用第三方支付的,聚合支付平台不做提醒,统一由支付机构发送提醒短信。
(7)历史支付交易查询
历史支付交易查询功能是提供交易记录的多维度查询,查询条件包括客户标识、交易时间范围等,可提供给客户、商户/商户、支付机构和业务管理人员使用。
(8)支付交易统计分析
支付交易统计分析是指对支付交易的情况根据支付方式、支付模式、支付机构、商户等维度进行周期性的统计分析,为支付的业务运营提供支撑依据。
6. 对账处理
对帐是指交易双方对一个周期(一般是一天)内已完成的交易信息进行核对,保证双方的数据一致。
(1)对帐数据准备
对账数据准备需要对账参与的三方按约定好的时间、文件传输方式、对账文件格式和对账协议来进行。一般是按天提供三方所记录的支付交易数据,各方提供的核对数据必须包括但不限于:交易总金额、交易明细金额。必要时需要提供支付单号以及订单号。
(2)对帐处理
对账处理是指核对参与交易的三方入账的交易记录是否一致,包括交易总金额和明细金额的比对。同时也存在交易总数量以及交易总金额一致,但具体交易明细有差异的情况,所以不能仅凭总数判断对账结果,明细对账的过程不可略过。
(3)对帐结果处理
聚合支付平台对帐结果的差异数据,可以根据实际情况安排维护人员进行手工调账或退款处理,如系统支持也可设置自动调帐处理,但必须有最后的人工稽核机制来保障准确率,还应提供投诉处理的窗口和系统工具。
(4)生成对帐文件
聚合支付平台在完成步骤 3 的对账处理后,需要根据最终稽核和调账的结果,生成新的对账文件,发送给商户进行对账。
7. 配置管理
对交易过程中涉及到的相关参数配置进行管理,主要包括:
(1)现金帐户余额下限配置
现金帐户余额下限配置是指配置客户现金帐户余额下限值,可用于支付的现金额度为现金帐户总余额扣除现金帐户余额下限值后的金额,以避免客户因现金帐户余额不足而停机。
(2)交易手续费配置
交易手续费的配置可设置全局生效,或针对某个支付机构,某业务生效,以便聚合支付平台的运营和管理人员可以根据市场和业务部门的需求灵活配置交易手续费。
(3)支付优惠规则配置
支付优惠规则配置是指支持支付的优惠规则配置,其中包括根据支付方式、支付模式、支付机构等根据不同维度进行可视化规则配置。
支付优惠规则的配置可设置全局生效,或针对某支付机构,某支付方式、模式生效。
2、非功能需求
1. 性能需求
网络链路性能要求:
链接成功率>99.999%
网络时延<10 毫秒
响应时延<100 毫秒
WEB 页面访问响应时间要求小于 8 秒。
接口性能要求:
支付服务接口响应时间不超过 500 毫秒。
2. 容量需求
公司平台每月下单量总量:5177007,成交量:2242310,其中日下单量 474147笔。目前每日主要订单量集中在 15:00~15:10 ,下单量大约在 1.5 万笔。
按每日支付交易量 200 万笔,月计 6000 万笔来计算,并发容量需求为 6000笔/分。
3. 兼容性需求
支付收银台和客户门户、运营商门户等页面要具备浏览器兼容性,支持主流浏览器的适应能力,包括 IE(IE8 及以上版本)。
4. 安全需求
聚合支付系统涉及的金融交易,安全级别要求较高,对网络安全、数据安全、应用安全三个方面均有要求。
网络安全:要求所有服务器主机不得直接暴露在公网之外,内网与外网直接须部署防火墙设备,需要对公网暴露的接口必须备案。
数据安全:数据库和高速缓存的数据中包含敏感信息的,必须进行脱敏或者加密存储;不允许手工修改和解密数据库和缓存中的数据,所有后台操作必须进行监控和备案。
应用安全:
(1)服务接口须对接入方进行 IP 认证;
(2)服务接口传输报文须进行加密和签名,防篡改;
(3)服务接口对访问流量须有控制;
(4)应用系统和管理系统的用户使用权限要进行分级控制,应用功能在被访问时必须判断用户权限级别,避免越权操作。