作为成长性良好的组织,国际卡组织已将其愿景和使命定义为加速商业电子化进程,其发展战略集中体现为增加核心产品投资力度以提升市场价值。在移动互联网时代,网上支付势必成为国际卡组织最重要的发展渠道和新的业务增长点之一。而无卡支付(Card-Not-Present,CNP)业务的运作模式对国内卡组织正处于起飞阶段的互联网业务无疑具有重要的借鉴意义。鉴于此,我们对国际卡组织的 CNP 业务进行了初步研究和分析,以便为国内卡组织提供一些参考。
一、CNP 业务简述。
所谓 CNP 业务,是指持卡人无须出示银行卡即可完成交易流程的业务,在国内我们习惯称其为无卡支付业务。无须出示卡片的交易一般通过网络、邮件或电话等支付渠道来完成,并通过互联网、电视、电话、智能终端等多种应用场景进行营销,为持卡人提供商业服务。网上消费、订购和代收付等业务是无卡支付业务的具体应用形式,相比传统线下有卡业务,无卡支付的应用更为灵活,极大地提高了持卡人支付的便利性,也拓展了支付公司的服务领域。
二、CNP 业务模式。
CNP 业务具有更高的便利性和灵活性,随之而来的是业务风险也相应增加并带有独特的风险特征。发卡机构、收单机构和商户等业务参与方在处理无卡交易时,必须更加规范并提高警惕,以免因欺诈风险而蒙受相应损失。随着 CNP 业务的不断发展和演变,国际卡组织积极应对各方面挑战,通过调整业务规则及风险策略,协同各业务参与方共同确保整体业务的安全。
1. 合作模式。
国际卡组织从成立之初基本都是采用会员组织形式,其特点是会员组织的所有权、控制权与其产品或服务的使用权相联系,不以盈利为目的,采取集体决策机制。这一特点使会员组织形式具有了天然优势,所有成员机构包括大型银行须共同参与业务规则的制定,共同建立基础平台,在业务推出前与国际卡组织达成共识,以便新业务实现规模上的快速扩张。境外 CNP 业务是一种长期存在并且演变成熟的业务,其技术标准、推行规则与业务模式都沿用原有方式,并借助传统无磁通道。因此,国际卡组织在开展 CNP 业务时,与其他传统业务模式一致,参与业务的成员机构受其共同参与制定的业务规则的约束。
2. 产品模式。
在业务模式和具体产品方面,国际卡组织将继续推进其VbV 产品交易的快速增长,并同步推出网上支付产品,用于改善端到端的网上购物体验。互联网支付与传统支付在产品模式方面的差异主要体现在场景流程和授权验证上,授权验证方式的不同决定了互联网支付产品的便捷性和安全性,也是产品能否被市场和持卡人接受的关键因素。
目前,国际卡组织主要采用了以下三种验证服务 :
(1)VbV 产品。
VbV 产品是国际卡组织在风险挑战不断增强的形势下推出的一款针对性服务。VbV 产品采用一种名为 Verified by国际卡组织即国际卡组织验证的服务手段。国际卡组织验证服务基于 3D Secure 的技术平台,规格和通信协议采用加密安全连接层协议(SSL),加密技术相对成熟,易为大多数网上商户所接纳。通过 3D Secure平台,国际卡组织利用安全密码为进行网上交易的持卡人提供身份识别服务,以进一步提高无卡支付业务的安全性。
(2)CVV2 服务。
CVV2(Card VerificationValue 2)是指印制在信用卡背面的三位数安全编码,帮助校验无卡支付业务中持卡人卡片的真实性和有效性。较之 CVV2服务,交易中使用国际卡组织验证安全密码能真正保障无卡支付交易的真实性,但是国际卡组织的研究指出,在无卡支付环境下,CVV2 也是非常有效的反欺诈手段,在某些支付渠道中甚至可使欺诈率降低近60%。使用卡号和 CVV2 的组合信息可以使无卡交易更便捷,也更符合境外持卡人的消费观念和习惯,而使用国际卡组织验证安全密码会使境外持卡人感觉个人信用没有得到认可,这也是 VbV 产品在持卡人中接受程度不高的原因之一。
(3)地址校验服务。
地址校验服务(AddressVerification Service ,AVS)帮助商户检验持卡人银行卡账单地址中的部分要素,是一项重要的判断交易有效性的服务。目 前 仅 有 极 少 国 家 使 用AVS 服务,但都被证明是无卡支付环境下非常有效的反欺诈手段,而使用 CVV2 和 AVS 组合验证的方式能在系统处理交易前防范欺诈风险。除了以上三种服务外,国际卡组织还与主要金融机构客户一起成立了工作组,研究在无卡支付交易环境中,利用双因子验证方式(2FA)对持卡人进行身份验证。双因子认证是指利用从卡片上获取的数据(如账号、卡片有效期和CVV2),外加只有真正的持卡人才知道的具有一定时效性的身份验证信息(如即时生成的密码、短信或动态验证码)。这可以确保即使物理卡片或卡片上的信息落入犯罪分子之手,无卡支付交易也无法进行。
3. 风险防控。
国际卡组织现已形成了一整套完整的安全支付战略和风险管理策略,不仅加大了对安全技术的投资以保持系统安全运作的全球领先优势,更重要的是联合收单方、发卡方和第三方等各业务参与方共同防御风险,并对各方应尽责任进行了明确划分。
在整个支付安全战略上,国际卡组织从事前、事中和事后三个层面采取措施 :一是事前预防,通过加强支付系统的基础设施建设对交易数据采取安全防控措施,以维护各参与方利益并保持支付产业的长效稳定 ;二是事中保护,在交易过程中采用更强大、更有针对性的验证手段,如运用 VbV、AVS 等确保真实交易的有效授权 ;三是事后响应,通过建立欺诈交易检测、后续处理机制以及针对各参与方的业务规范,确保一旦发生欺诈交易,国际卡组织能够迅速提出标准的响应对策。
在风险管理层面上,国际卡组织主要确立了四个基础系统从业务各个方面保障支付安全 :一是欺诈报送系统(FraudReporting System,FRS) ;二是黑名单商户系统(NegativeMerchant File,NMF);三是欺诈监控系统 ;四是风险识别系统(Risk IdentificationService,RIS) 。
三、对国内卡组织 CNP 业务的参考借鉴。
相对于国际卡组织的 VbV服务,国内卡组织的无卡支付业务也有其相对应的安全支付产品体系。这套体系更适用于国内市场,尤其在国内消费群体已经养成了一定的支付习惯以及国内发卡银行留存持卡人信息准确度相对不高的情况下,国内卡组织推出的无卡支付业务产品体系更具竞争优势。但是我们更应看到也必须时刻意识到,如果要借助互联网业务的高速发展势头抢占国际无卡支付市场份额,国内卡组织必须推出适用范围更加广阔的无卡支付产品。
在风险防控方面,国内卡组织在开展无卡支付业务时在规范业务规则、严格把控商户拓展和加强风险防控系统建设的同时,也应该借鉴国际卡组织的风险防控手段,并结合自身业务特点建立适用于国内卡组织无卡支付业务的风险防控体系。