DEX”)终端。该终端创建与支付处理网络150的直接连接,因此可以绕过收单方140。
[0051]由商家/收单方接收到的包裹125随后可被发送121到支付处理网络150。所接收到的包裹145再次包含令牌145(a)以及交易细节145(b)。支付处理系统可通过包裹145中所包含的终端标识符来识别正在执行交易的POS终端120。支付处理系统150可随后在密钥数据库150(a)中查找该终端标识符,以检索与POS终端120相关联的密钥。使用此密钥,支付处理网络可将令牌转换回真正的账户标识符。
[0052]支付处理网络150可包括一个或多个交易处理服务器计算机来处理交易。参考图8详细描述合适的服务器计算机。支付处理网络150可随后遵循传统的交易处理程序。交易的细节第二部分,诸如账户标识符165,以及交易数量和其他从包裹145提取的相关数据,可被发送123至账户标识符的发行方160。发行方160随后基于常规因素来确定交易是否被授权,常规因素诸如相关账户内的数额或信用额度的可用信用额。授权决定随后经由支付处理网络150和收单方140而返回到商家130。
[0053]所描述的本公开实施例从而极为有利地免除了商家和收单方执行PCI DSS合规性审计的需要。由于由商家和收单方执行审计不再必要,本公开的实施例有利地允许商家和收单方降低他们的操作成本。此外,因为不可能在商家或收单方处存在暴露真正账户标识符的数据外泄,商家和收单方有利地减轻了与这些外泄相关的责任。
[0054]此外,本公开的实施例采用新的审计形式,即单次交易审计。如上所述的,在即时公开之前,PCI DSS合规性审计是离散的事件。例如,商家可能会在某一天结束合规性审计,而在后一天的对商家系统的改动可能使得商家不再符合PCI DSS。例如,保护商家系统的防火墙可能会失效。这种失败在下一次审计之前不会被发现。
[0055]本公开的实施例提供了进行单次交易审计的能力。如上所述,由POS终端120用密钥创建令牌。令牌只能使用关联的密钥来转换回真正的账户标识符。因此,如果令牌被支付处理网络150接收到并能够使用与POS终端120关联的密钥转换成真正的账户标识符,则可确信POS终端120正在按照本公开的实施例进行操作。因此,真正的账户标识符并未被发送给商家或收单方,这意味着,对于特定的交易,真正的账户标识符从未暴露。因此,单独交易符合PCI DSS标准,因为真正的账户标识符从未在POS终端120之外暴露。
[0056]此外,如上所述,密钥114在POS终端120和支付处理网络50之间共享。由POS终端120使用密钥加密的数据仅能由支付处理网络150来解密。POS终端120已被描述为在包裹125中包括交易相关的信息,这些交易相关信息用与终端相关联的密钥进行加密。相同的数据可以由商家系统130以未加密形式包含在包裹中。在支付处理网络处,加密数据可以被解密,并与包裹中的未加密数据进行比较。如果数据匹配,这表明商家或收单方并未对由POS终端120加密的至少该部分数据进行修改。
[0057]例如,POS终端120可接收交易数量和交易日期。POS终端120可随后使用与POS终端120相关联的密钥对这些数据进行加密。商家系统也可将这些信息包括在包裹145中,包裹145被发送至支付处理网络。被包括在支付处理网络150中的单次交易审计系统150(c)可接收加密的和未加密的交易细节。通过单次交易审计系统150 (C),支付处理网络150可对加密的交易数量和日期进行解密,并将这些数据与从包裹中找到的未加密的交易数量和日期进行比较。如果数据不匹配,这意味着包裹在POS终端120和支付处理网络150之间的某处被修改了。这样的修改可能是对支付处理网络150的操作规范的违例。因此,如果比较失败,则交易处于支付处理网络的操作历程的违例状态,且单次交易审计失败。
[0058]在一个实施例中,单次交易审计系统150(c)可将单次交易审计的结果存储在交易数据库150(b)中。交易数据库150(b)可简单地存储每次交易的单次交易审计通过/失败状态。在更复杂的实施例中,交易数据库150(b)可存储与交易有关的所有数据,这样可以保存单次交易审计失败的准确原因。商家可定期接收对每次交易所执行的审计的通过/失败状态报告。如果与一商家相关联的失败单次交易审计数目超过由支付处理网络所设置的阈值,则将采取校正行为。该阈值可以低至一次单次交易审计失败、特定数量的失败、特定比例的失败、或由支付处理网络150所指定的任何其他标准。
[0059]在一些情况中,校正行为可以小至要求商家/收单方校正审计失败的源头。例如,如果商家系统130具有不正确的日期设置,则单次交易审计将失败,因为根据POS终端120的日期将永远与商家130的日期不匹配。可简单地指令商家改正其设备上的日期。
[0060]在更为严格的情况下,超过支付处理网络150所定义阈值的单次交易审计失败可能会暂停商家使用支付处理网络的能力。例如,如果包裹145中的交易数量与POS终端120所指定的未加密交易数量不匹配,则这表示极大的问题。商家或收单方的系统在修改交易数量使其不同于由POS终端所指定的交易数量,这可能表示欺诈行为。这样的指示可能将导致商家交易被暂停,直到该单次交易审计失败的源头被发现并被纠正。
[0061]虽然上述的单次交易审计是关于周期性执行的审计,诸如每月一次,但本公开的实施例不限于此。在一些实施例中,单次交易审计系统150(c)结合从发行方获得对交易的授权,实时地操作。例如,在向发行方请求对交易的授权之前,可执行单次交易审计。如果单次交易审计失败,则支付处理网络可确定该交易是欺诈的,并由此自动拒绝该交易而不询问发行方。
[0062]在其他实施例中,单次交易审计失败可不导致交易被自动拒绝。支付处理网络通常向商家就处理交易收取费用。在一些实施例中,支付处理网络150可向商家就通过单次交易审计的交易提供折扣。因此,确保所有交易都通过单次交易审计就成为了商家的自身意愿。
[0063]打折后的单次交易定价也可被用于激励商家从传统卡处理向即时公开的卡处理方式转移。商家有利地减少了商业活动的成本,不单单是通过免予执行PCI DSS合规性审计,还经由成功单次交易审计相关的打折交易费用。虽然描述了打折费用,也应该理解,对支付处理网络留有特定的支付结构。例如,不是对通过单次交易审计的交易给予折扣,而是对单次交易审计失败的交易收取增加的费用。
[0064]如上所述,PCI DSS合规性审计的免除以及单次交易审计均依赖于由POS终端120所生成的令牌仅能由支付处理网络150转换为账户标识符。类似地,由POS终端120加密的数据仅能由支付处理网络150解密。为了确保如此,支付处理网络可周期性地对POS终端的制造商进行审计,以确保终端如上所述地操作。例如,可对POS终端制造商进行审计以确保生成令牌所使用的软件是安全的,并且不将真正的账户标识符泄露于POS终端自身之夕卜。此外,可对POS终端制造商进行审计以确保在交易细节上执行的加密使得数据在POS终端之外是不可获得的。
[0065]只要对POS终端制造商进行审计以确保POS终端如上所述地进行操作,就不需要对商家和收单方的PCI DSS审计。此外,对POS终端的制造商的审计有利地使支付处理网络免于对每个单独的POS终端进行审计。如果制造商审计为生产合规的终端,则无需对所部署的每个POS终端进行单独的审计,因为终端的合规性已经被验证了。此外,因为终端的制造商无法访问账户标识符,就不存在制造商系统处的数据外泄导致账户标识符信息暴露的可能性。
[0066]周期性地,通常在每天结束时,进行结算和清算过程。在结算和清算过程中,商家130将所有的授权交易递交给支付处理网络150用于支付。支付处理网络150便于将资金从消费者账户经由发行方转移到商家账户。结算和清算过程通常在实施本公开的实施例时不发生改变。主要的区别是不使用账户标识符来识别交易,而是使用令牌。支付处理网络能够如上所述地在开始与发行方的结算和清算过程之前将令牌转换为真正的账户标志符。
[0067]图2示出了包裹中所包括的示例性数据。图2的包裹200中包括的数据仅仅是示例性的,并且不旨在进行任何的限制。商家或POS终端可获得的其他额外数据也可被包括在包裹200中。包裹200可包括由POS终端生成或接收的令牌210。如上所述,令牌与真正的账户标识符相关联。令牌可从与终端相关联的密钥以及从账户标识符中导出。令牌可采用与真正的账户标识符相类似的格式。因此,任何系统(诸如商家和收单方系统)可处理令牌,就如同它是账户标识符那样,这有利地允许商家和收单方系统在实施本公开的实施例时保持不变。此外,包裹可包括终端标识符220。终端标识符可被支付处理网络用于确定生成包裹200的特定POS终端。基于该确定,可从密钥数据库中检索与终端相关联的密钥,以对包裹中所包含的任何加密信息进行解密。
[0068]包裹也可包括未加密的交易细节,诸如交易日期230和交易数量240。如上所述,该数据可以采用未加密形式发送,并可被终端或商户插入包裹200中。未加密数据可包括在没有本公开的实施例的情况下被处理的交易授权请求中所包括的信息。下文中进一步描述未加密数据的使用。
[0069]包裹也包括终端加密PIN 250。如上所述,标准化交易处理要求对PIN的多次迭代的加密和解密。在现有技术中,因为PIN是明文格式的(至少在HSM中是这样),这就要求对商家和收单方进行针对PCI合规性的审计。本发明的实施例可包括采用由终端使用与支付处理网络共享的密钥进行加密的格式的PIN。如上所述,PIN可随后在发送到收单方之前,被商家系统使用AWK再次加密。收单方可对AWK加密的PIN进行解密,并使用支付处理器密钥对PIN再次加密。
[0070]支付处理网络可随后执行两层解密。第一,使用支付处理器密钥对PIN进行解密。这结果是仍然被终端密钥加密的PIN。因为支付处理网络知道生成该交易的终端以及与该终端相关联的密钥,所以支付处理网络可随后再次对密钥进行解密,产生明文格式的PIN。应该理解,因为PIN是由终端使用商家或收单方所不知道的密钥进行加密的,商家或收单方无法对PIN进行解密。因此,商家或收单方无法获取明文格式的PIN。