本申请要求2015年10月15日提交的美国申请序列号14/883,835的优先权和权益,其全部内容通过引用合并于此。
本文描述的实施例一般涉及将增强的持卡人认证令牌或指示符用于无卡(cnp)或在线交易。在一些实施例中,在包括指定用于认证持卡人的方法的增强的持卡人认证指示符的在线交易期间使用安全协议算法(spa)生成增强的持卡人认证令牌。例如,该持卡人认证方法信息可以由商家和/或发行方金融机构使用,以促进随后或将来的顾客认证决定和/或购买交易认证决定。
背景技术:
支付卡(例如信用卡或借记卡)无处不在,并且几十年来,这种卡包括存储相关账号的磁条。传统上,为了完成用这种支付卡的购买交易,通过作为销售点(pos)终端的一部分的零售商店中的磁条读取器来刷卡。读取器从磁条读取帐号,并且然后该帐号用于以电子方式路由由pos终端通过支付网络发起的交易认证请求。
现在基于支付卡的交易通常在多个商务渠道上执行。例如,基于支付卡的交易可以经由连接到互联网(在线交易)或其他网络的计算机,经由移动电话和/或经由基于公司的呼叫中心(例如,目录公司的1-800号码)在零售店(如上所述)当面进行。这些不同类型的交易以不同的方式进行,并且因此每种类型的交易都与不同程度的欺诈风险相关联。此外,支付卡交易通常要求消费者使他或她的支付卡可用于在零售环境中出示给收银员,或者经由网络浏览器为在线或互联网交易输入所请求的信息(例如十六位数的支付卡帐号、到期日期和信用卡验证值(cvv)号码),和/或通过电话提供所请求的信息。
本领域的技术人员认识到,对于远程交易(例如在线或互联网购买或支付交易)欺诈风险较大,因为商家或收款人具有更少的能力来验证付款人或持卡人的身份和真实性。远程或因特网或在线交易的性质(也称为“无卡”(cnp)交易)因而增加了商家和支付卡网络提供商的风险。该增加的风险通常导致持卡人纠纷和相关联的退款比在当面购买或支付交易之后发生的更多,并且还可能导致较低的批准率,因为对没有认证就发生的交易的信任较低。
随着e商务(电子商务)和m商务(移动商务)的出现,消费者正越来越多地使用个人计算机和/或支持支付的便携或移动设备(例如智能电话、平板计算机、个人数字助理(pda)、膝上型计算机和/或数字音乐播放器)通过互联网上的商家网站进行cnp购买。因此,已经发展出各种技术,其允许消费者或持卡人使用他们的支付卡账户对在线订购的产品和/或服务进行安全支付。
已经提出尝试为在线信用卡和/或借记卡交易提供附加安全层,并且支付卡网络已经采用了几种不同的协议。例如,三域安全(3-d安全)协议被设计为用于在线信用卡和借记卡交易的附加安全层,并且其将财务授权过程与基于三域模型的在线认证联系起来。三个域是收单方域(其包括向其支付资金的商家和商家的银行)、发行方域(其通常包括发行持卡人或消费者的支付卡账户的银行)和互操作域(其包括由支付卡解决方案或支付服务提供商提供的网络基础设施,例如支持3-d安全协议的目录服务服务器计算机和/或支付网络服务器计算机)。
例如,mastercard国际公司提供mastercard安全代码服务,这是一种3-d安全实施方式,并且其包括持卡人认证解决方案,该解决方案采用被称为通用持卡人认证字段(ucaf)的通用标准。安全代码服务由会员(发行方)金融机构(fi)(例如发行方银行)以及也由商家、商家fi和mastercard使用,以收集和传送由发行方和账户持有人安全解决方案生成的账户持有人认证数据。因此,ucaf被设计为独立的安全解决方案,并因此提供供商家和mastercard会员金融机构使用的标准化字段和消息。一旦由商家和商家的收单方fi收集,则持卡人认证信息在支付授权请求中被传达给发行方fi,并提供交易(例如购买交易)是由账户持有人或持卡人发起的明确证据。ucaf支持多种发行方安全和认证方法,包括使用安全协议算法(spa)、发行方服务器、智能卡等。在一些实施方式中,由spa生成的令牌包括发生持卡人认证的基本指示(或至少一些证据)。
支付网络通常使用一般基于3-d安全协议的类似服务,并且这些服务中的每一个都将附加的持卡人认证过程添加到标准金融授权过程。然而,用于在线或互联网交易的常规认证解决方案通常仅向发行方金融机构和/或商家提供关于如何认证特定持卡人的非常有限的信息。因此,为了改善持卡人的体验,同时也增加检测和/或防止欺诈的能力,需要向发行方fi和商家提供增强的持卡人认证信息。
附图说明
在考虑以下结合附图进行的详细描述时,本公开的一些实施例的特征和优点以及实现它们的方式将变得更加明显,该附图示出了示例性实施例并且不必按比例绘制,其中:
图1是示出常规3-d安全认证过程的交易系统的框图;
图2是示出根据本公开的新颖过程的持卡人认证数据流的购买交易系统的框图;
图3是示出根据本公开的过程的用于安全协议算法(spa)增强的账户持有人认证变量(aav)控制字节以及用于认证方法和描述字段的格式的示例的表格;
图4是示出根据本公开的实施例的商家购买交易方法的流程图;和
图5是示出根据本公开的实施例的发行方金融机构购买交易授权方法的流程图。
具体实施方式
一般而言,并且为了介绍本文描述的新颖实施例的概念,描述了用于在处理在线购买交易期间向发行方金融机构(fi)和/或商家提供增强的消费者认证数据或信息的系统和过程。在一些实施例中,由安全协议算法(spa)在这种在线交易或因特网交易(也称为无卡(cnp)交易)期间生成的认证令牌被修改,以提供增强的持卡人认证指示符。然而,可以预期,根据本文描述的方法、设备和系统,可以通过另一种类型的算法(不同于spa)生成增强的持卡人认证指示符或令牌以供使用。增强的持卡人认证指示符提供增强的或改进的或附加的信息,其指示如何针对特定交易对持卡人进行认证,并且然后该信息可由商家和/或发行方fi存储和使用以进行后续或未来的客户认证和/或购买授权决定。
本文将使用许多术语。这些术语的使用并非旨在限制,而是为了方便和易于说明而使用。例如,如本文所使用的,术语“持卡人”可以与术语“消费者”互换使用,并且在本文中用于指代拥有(或被授权使用)金融账户(例如支付卡账户(例如信用卡账户或借记卡账户))的消费者、法人、个人、企业或其他实体。此外,术语“支付卡账户”可以包括信用卡账户、借记卡账户、忠诚卡账户和/或存款账户或账户持有人或持卡人可以对交易访问或使用的其他类型的金融账户。术语“支付卡账号”包括识别支付卡系统账户的号码或支付卡携带的号码,和/或用于在处理借记卡和/或信用卡交易等的支付系统中路由交易的号码。此外,如本文所使用的,术语“支付卡系统”和/或“支付系统”和/或“支付网络”是指用于处理和/或操作购买交易和/或相关交易的系统和/由网络,其可以由支付卡系统运营商(例如mastercard国际公司)或类似系统运营。在一些实施例中,术语“支付卡系统”可以限于成员金融机构(例如银行)向个人、企业和/或其他实体或组织发行支付卡账户的系统。另外,术语“支付系统交易数据”和/或“支付网络交易数据”或“支付卡交易数据”或“支付卡网络交易数据”是指与支付交易和/或购买交易相关联的交易数据,其已经通过支付网络或支付系统进行处理。例如,支付系统交易数据可以包括与已经通过支付卡系统或支付卡网络处理的消费者的个人支付交易(或购买交易)相关联的多个数据记录。在一些实施例中,支付系统交易数据可以包括识别持卡人、持卡人的支付设备或支付账户、交易日期和时间、交易金额、已经购买的商品或服务的信息以及识别商家和/或商家类别的信息。在一些实施例中,附加的交易细节也可以是可用的。
现在将详细参考各种新颖的实施例和/或实施方式,其示例在附图中示出。应该理解,附图及其描述并不旨在将发明限制于任何特定实施例。相反,本文提供的描述旨在覆盖其替换、修改和等同物。在以下描述中,阐述了许多具体细节以便提供对各种实施例的透彻理解,但是可以在没有一些或全部具体细节的情况下实践这些实施例中的一些或全部。在其他情况下,众所周知的过程操作未被详细描述以免不必要地混淆新颖的方面。
图1是用于说明3-d安全协议或认证服务的示例的传统交易系统100的框图。认证服务提供认证过程,其通常涉及多个参与者和消息,以便认证交易的持卡人。为了使用认证服务,消费者或持卡人必须首先登记或注册,通常通过访问发行方金融机构(fi)登记网站(例如发行方银行的网站)并提供发行方登记数据以证明他或她的身份。如果提供了适当的答案,则持卡人被认为经认证并且被允许建立与他或她的支付卡账号和/或主账号(pan)(其与例如信用卡账户或借记卡账户相关联)相关联的专用码。专用码与持卡人的支付卡账户相关联,并由发行方fi存储,以便之后或随后在参与商家网站的在线购买期间使用。
参考图1,希望通过互联网(在线)购买商品和/或服务的持卡人操作消费者设备102,其可以是个人计算机或移动设备(例如智能电话、平板计算机、膝上型计算机、数字音乐播放器等),并且使用因特网浏览器(未示出)联系商家服务器计算机106以在商家的网站上购物。在一些实施方式中,商家服务器106包括将在下面解释的商家插件(“mpi”)应用程序108。在选择商品和/或服务并将这些项目添加到商家的电子“结账车”网页之后,为了发起购买交易,持卡人提供支付卡账户信息(其可以包括主账号(“pan”)、到期日期、持卡人验证值(或“cvv”值)、帐单地址信息等)。然后支付卡账户数据通常通过安全套接字层(“ssl”)连接101从持卡人的计算机102传送到商家的服务器计算机106。
商家网站服务器计算机106经由ssl连接101接收由消费者提供的数据,并且然后商家插件(mpi)应用程序108生成并经由ssl连接103发送验证请求消息和验证响应消息到目录服务服务器计算机110(例如,目录服务服务器计算机110可以是由mastercard国际公司运营的mastercardtm目录服务)。在一些实施方式中,目录服务服务器计算机110使用作为持卡人的pan的一部分的银行识别号码(bin)来检查用于认证服务的支付卡范围资格并且识别相关的发行方金融机构(fi)。如果特定的pan处于用于认证服务的合格支付卡范围内,则经由另一ssl连接105将数据传送到发行方访问控制服务器(acs)112,其确定特定账号是否被注册并且积极参与认证服务。如果持卡人被注册为参与者,则发行方acs112经由连接107建立与商家服务器计算机106的安全会话,并且mpi108创建付款人认证请求消息,其经由安全会话通过连接107传送回acs112。当acs112接收到付款人认证请求消息时,它经由连接109使与消费者设备102的认证对话开始。在一些实施例中,认证对话包括使独立的认证窗口出现于在持卡人的设备(其可以是例如消费者移动设备(例如智能电话))上运行的持卡人的浏览器中。通常在消费者结账过程期间在消费者设备102上的显示屏幕上呈现的认证窗口提示持卡人输入他或她的专用码。在该过程的这个时刻,消费者输入专用码并且持卡人的浏览器然后经由连接109将专用码信息重定向或传送到acs112以进行认证。如果专用码是正确的或与存储的与持卡人相关联的专用码相匹配,则acs112认证持卡人并生成账户持有人认证变量(“aav”)。然后,acs112经由连接107将aav传送到商家服务器106的mpi108,并且消费者设备102的显示屏幕上的持卡人认证窗口消失。
aav是使用mastercardtm安全协议算法(spa)生成的令牌。该令牌在通用持卡人认证字段(ucaf)中传递,以在授权消息内传输。ucaf用于在交易中的各利益相关者(即,发行方fi和/或商家)之间传达认证信息。因此,在该过程中的这个时刻,持卡人已经使用3-d安全协议进行认证,并且商家服务器106经由连接111将aav作为购买授权请求的一部分传送到网关/收单方系统114。接下来,网关/收单方系统114经由安全连接113向支付网络116提交购买授权请求,支付网络116将授权请求消息转发115给适当的发行方服务器计算机118以进行购买交易授权处理。具体而言,发行方fi118利用接收到的授权请求中的信息来确定是否授权该持卡人的购买交易。例如,发行方fi可以利用一个或多个授权标准和/或业务规则来确定何时应该授权或应该拒绝特定购买交易。例如,如果满足以下条件则发行方fi可以授权交易并生成授权响应消息:交易金额低于预定限额,持卡人已经经由认证服务过程进行认证,并且持卡人的信用卡账户具有足够的信用额度来支付购买交易的花费(当然,发行方fi也可以使用其他业务规则和/或标准)。
当在线购买交易被授权时,发行方fi经由连接115向支付网络114传送购买交易授权响应消息,支付网络114将其转发给商家的收单方金融机构(未示出)以进行支付。支付网络114还经由连接113将交易授权响应消息传送到网关系统114,以经由连接111转发到商家服务器104以完成购买交易。因此,在接收到购买交易授权时,商家常规地向消费者设备传送购买完成消息和/或在商家的结账网页上显示购买确认消息以通知持卡人购买已完成。这种3-d安全认证过程被设计成在远程或在线交易期间提供更高级别的持卡人认证,并减少商家的“未授权交易”退款。
图2是购买交易系统200的框图,以说明根据本文描述的新颖过程的持卡人认证数据流。具体地,将描述从可由第三方支付服务提供商(psp)托管的访问控制服务器(acs)112到发行方的后台系统202的持卡人认证数据流。应该理解,第三方psp负责代表发行方fi对持卡人进行认证,并且典型地实施持卡人的发行方fi指示的持卡人认证解决方案或过程(根据发行方fi要求的认证规则和/或授权标准)。还应该理解,图2中所示的各种组件可以是更大的系统或多个系统的子集,和/或可以使用更多或更少的组件和/或设备。例如,虽然仅示出了一个商家服务器106、一个支付网关服务器计算机206、一个商家收单方服务器计算机208和一个发行方fi服务器计算机118,但是在实际的实施例中可以使用多个这样的组件。另外,图2中所示的一个或多个组件可以是配置为根据本文描述的一个或多个过程起作用的专用计算机。
虽然本文描述了特定的实施例,但应该理解,图2仅出于说明的目的而呈现,并且在不脱离本公开的精神和范围的情况下可以使用不同的组件和/或配置。因此,根据3-d安全协议(并且在一些情况下,响应于持卡人提供请求的持卡人识别数据),购买交易系统200的acs112配置为使用spa生成增强的账户持有人认证变量(增强的“aav”),其中spa包括增强的或改进的认证指示符作为认证证据。具体而言,作为aav的一部分,ucaf的位置一(字节1)处的控制字节字段(下面详细解释)用于结合用于交易的认证方法指示认证的布置。
图3描述了示出根据本文公开的过程的用于增强的spaaav控制字节和认证方法字段的格式的表格300。表格300包括ucaf控制字节(位置1)列302、认证方法(位置11)列304、认证描述列306以及aav描述列308的示例(其中,在一些实施例中,aav将是以十六进制或“hex”格式和/或“base64”格式)。如前所述,目前正在使用不同类型的3-d安全技术。在示例实施例中,在ucaf的字节1中的十六进制值“86”或者“h”的base64值(参见行310的列302)以及ucaf的位置11(或者字节11)中的零(“0”)(参见行310的列304)提供认证方法指示:没有使用尝试处理(行310的列306)向发行方的acs认证持卡人。特别地,由于在行310中在字节11处出现零值(“0”)(见列304;仅对控制字节值“86”有效),然后未获得持卡人认证。在这种情况下,如图所示,以十六进制格式或base64格式生成aav(参见行310的列308)。
然而,如图3所示,如果在ucaf的字节1中提供十六进制值“8c”或者base64值“j”(参见列302和行312),并且在字节11处出现值一(“1”)(参见行312和列304),那么持卡人成功提供密码(其由发行方acs进行验证)。这意味着发生了成功的持卡人认证(参见行312的列306),并且因此aav被生成以便如所示那样以十六进制格式或base64格式指示成功的持卡人认证(参见行312的列308)。例如,当确定是否授权持卡人的特定购买交易时,可以由发行方fi利用这种aav数据,但是除此之外这种aav数据向发行方fi或向商家提供关于如何为特定的交易认证持卡人的非常少的信息。
根据本公开的新颖方面,将新的值的组合添加到aav控制字节字段302(ucaf位置1)和认证方法字段304(ucaf位置11)以提供改进的和/或增强的aav信息,发行方fi和/或商家可以利用改进的和/或增强的aav信息来改进认证和/或授权决定,这可以有利地改善顾客或消费者购物体验并改善发行方fi和/或商家欺诈预防实践。例如,增强的aav值可以允许商家和/或发行方fi在在线购买交易期间识别基于风险的认证情况或事件等,并且然后采取适当的行动。例如,这种增强的认证信息或数据可以被商家利用来构建数据库,例如图2的mpi数据库204,其包括特定类型或多种类型的认证方法与特定发行方fi之间的关联。然后,在未来或后续的购买交易期间,商家可以选择绕过针对特定或具体或识别的发行方fi的持卡人的持卡人认证过程(例如,因为数据库包括指示特定发行方fi利用安全认证方法的条目)以提供良好的消费者体验。商家还可以包括不需要的可以与商家数据库中的一个或多个发行方fi相关联的持卡人认证过程信息,并且因为涉及增加的风险而使用该信息或数据来为交易要求持卡人认证发生。因此,商家可以通过将认证的好处仅用到与提供最佳消费者体验的发行方fi相关联的那些持卡人(并且相反地避免与具有不需要的认证解决方案的发行方fi相关联的持卡人的认证),利用增强的和/或附加的认证信息或数据来控制消费者购买交易体验。
再参考图3,在一些实施例中,发行方acs配置为使用具有增强值的spa生成aav作为认证的证据,使得作为aav的一部分,ucaf控制字节字段302现在可以包括十六进制“90”指示符(参见行314)或base64的值“k”,并且认证方法字段304(字节11)包括值“4”(行314,列304)以指示发生了“基于风险的认证”。具体地,如用于行314的认证描述栏306所示,这意味着经由基于风险的“无声”认证的成功认证发生,其意味着持卡人不知道他或她已经根据风险标准进行了认证(例如,由于他或她被确认为忠诚客户的事实并且可能因为购买交易值或货币金额也低于预定的阈值金额,持卡人未被要求任何其他信息(例如密码))。
再参考图3,ucaf控制字节字段302中的增强值的另一示例被示出为十六进制指示符“98”条目(参见行316,列302)或base64值“m”,并且认证方法字段304(字节11)包括值“5”(行316,列304)以指示发生了“升级认证”。在这种情况下,如用于行316的认证描述列306所示,这意味着发生了经由升级认证的成功认证,例如由于购买交易被认为是需要持卡人提供一些附加类型的认证信息的“高风险”交易,其已成功提供。
在本公开的这点上,描述可用于认证参与购买交易的持卡人的不同类型的持卡人认证方法可能是有益的。一些持卡人认证方法依赖于静态密码,其中在启动购买交易之后立即提示持卡人来提供静态密码以对他自己或她自己进行认证,这可以针对每个合格交易发生,并且密码持卡人可以由持卡人定义或者由支付卡发行方随机分配密码。另一种形式的持卡人认证方法被称为“基于知识的”认证,其中持卡人被提示基于静态数据通过对随机选择的安全问题提供答案来对于每个合格的购买交易进行认证,或者被提示基于历史银行数据(或与消费者或持卡人账户相关联的其他个人数据)选择正确答案。而另一种类型的持卡人认证方法包括使用一次性密码,其中持卡人被提示使用之前提供的并且仅对一个交易有效且具有截止日期的一次性密码来针对每个合格交易进行认证。这种一次性密码可以由发行方fi生成,并且然后例如经由sms消息传送给消费者的移动设备。具体地,在持卡人进入任何购买交易之前,可以经由移动设备应用程序通过显示卡、通过芯片和引脚卡读取器或者经由钥匙、安全令牌和/或软件令牌提供一次性密码。在一些实施例中,持卡人认证可以包括使用生物测定数据,其中持卡人被提示通过使用消费者设备的一个或多个组件来提供生物测定数据(例如但不限于行为数据(例如,步幅或步行数据)、签名、指纹、虹膜扫描、打字模式、手指敲击模式、语音模式和/或照片数据或图片数据(用于面部识别处理等))来针对特定购买交易进行认证。
另一种类型的持卡人认证过程被称为“基于风险”的认证,其中发行方金融机构(fi)选择何时被制止提示特定持卡人认证数据。例如,由于识别出持卡人网际协议(ip)地址、机器指纹、设备地址、浏览器信息、购买金额、商家信息、地理位置数据、交易历史数据等中的一个或多个,发行方fi可以不要求持卡人提供任何认证数据。在基于风险的认证情况中,根据例如风险分配应用程序,可以单独使用特定数据点或与另一数据点结合使用特定数据点。在另一个示例中,发行方fi可以选择“透明地”或“无声地”对持卡人进行交易被认为是“低风险”的认证。这意味着商家接收完全的认证令牌,并且持卡人不被提示输入其他任何内容进行认证。
在某些情况下,当交易被认为是“高风险”或“更高风险”时,发行方fi也可以选择“升级”认证。升级过程可以包括利用任何一个或多个以上认证方法。例如,关于特定的“高风险”交易,可以提示持卡人提供两种或更多种形式的持卡人认证信息(例如静态密码和/或基于知识的标识符,和/时一次性密码,和/或生物测定数据)以便进行认证。应该理解,每个发行方fi可以根据他们自己的内部过程和/或程序制定定义什么构成“低风险”和/或“高风险”和/或“更高风险”交易的规则或协议或标准。例如,特定发行方fi可以认为涉及低于三十美元($30.00)的货品购买的特定类型的信用卡产品的持卡人的所有交易为“低风险”,这类持卡人超过二百美元($200.00)的货品的所有交易为“高风险”,并且这类持卡人超过五百美元($500.00)的货品交易为“更高风险”。应该理解,除了交易金额之外的数据因素(例如设备地址、交易速度、交付地址等)也可以用于在确定是否使用升级认证时建立风险因素以供考虑。
再参考图2,如上所述,购买交易系统200示出了从发行方的访问控制服务器(acs)112到商家的服务器计算机106和商家插件108以及发行方的后台系统202上的认证数据流。特别地,在实施例中,发行方的acs112使用具有增强值的spa来生成aav(作为认证证据)。然而,应该理解,增强的aav或增强的持卡人认证令牌可以由另一类型的算法(不同于spa)生成以供根据本文描述的方法、设备和系统使用。如前所解释,ucaf的控制字节字段指示aav结构的格式和内容,包括用于交易的认证方法。在购买交易处理期间,aav被传送201给商家服务器计算机106的商家插件108作为持卡人认证的证据,并且在一些实施例中,商家服务器存储203用于持卡人认证类型的指示,其用于mpi数据库204中的该交易。
在一些实施方式中,商家可以存储由多个持卡人用于多个购买交易的持卡人认证的类型。持卡人认证类型可以通过支付卡账户范围存储在交易数据库中,并且然后该数据或信息可以被商家用于将来或随后的持卡人购买交易事件,并且可以用于绕过消费者认证(经由基于风险的持卡人认证)来改善消费者体验。例如,商家可以基于aav值将信息存储在mpi数据库204(或另一个数据库,例如购买交易数据库)中,以便在涉及相同持卡人(或类似持卡人、或特定发行方fi的持卡人)的一个或多个后续购买交易期间,确定何时绕过持卡人认证过程,并仅将购买交易提交给支付网关进行交易授权处理。因此,商家可以建立持卡人交易数据库,其可以用于为特定持卡人确定何时将交易认证请求发送至适当地具有无声认证过程的发行方fi(例如,针对少于五十美元的交易($50.00)和/或针对使用来自特定互联网协议(ip)地址的设备的持卡人)。商家服务器计算机还可以使用交易数据库来确定何时绕过用于特定持卡人或持卡人组的持卡人认证过程,该确定可以基于过去的交易历史数据和/或基于由一个或多个发行方fi使用的持卡人认证的类型。
在另一个示例中,商家可以通过绕过持卡人认证过程利用商家数据库中的信息来避免适当地具有不需要的认证过程(例如静态密码认证过程或高速的升级提示)的所有发行方fi,例如静态密码认证过程或高速升级提示。在一些实施例中,如果认证解决方案被认为提供可能导致持卡人放弃的不良消费者体验,则商家可以选择退出认证过程。因此,交易数据库可以被商家用于各种和/或不同的目的。例如,商家可以利用交易数据库中的信息来提供良好的消费者体验,和/或确定何时发送持卡人认证(例如,可以定义为具有大于预定阈值的货币值的购买交易的高风险交易,例如大于二百五十美元($250.00)的交易)。进行这种持卡人认证确定所涉及的标准还可以包括关于特定持卡人的信息或关于持卡人类别和/或其他类型数据的信息。此外,商家还可以使用交易数据库条目来确定何时绕过持卡人认证(例如,当发行方fi利用无声认证时)并且将交易授权请求传送到支付网关,和/或基于预定标准要求另一种类型的消费者认证。更进一步地,商家可以使用交易数据库来确定何时或者是否更新和/或改变用于认证规则引擎的任何标准,认证规则引擎用于提供支配何时和/或是否特定类型的认证(或特定的认证组合)应该用于特定类型的交易和/或持卡人。因此,商家可以利用增强的数据作为对认证规则引擎的输入以确定持卡人的体验(即,升级对无声认证等)。
再参考图2,商家服务器计算机106还将aav值205传送到支付网关206(其可以包括一个或多个支付网络和/或附加组件),其随后将aav值传送207到商家收单方金融机构(fi)计算机208。商家收单方fi计算机208向发行方fi计算机118提交209包含原始aav值的授权请求。因此,在认证过程期间,发行方fi118计算机接收包含由其自己的acs(发行方acs112)生成的aav值的授权请求。然后,发行方fi118计算机可以将aav值存储211在发行方欺诈和报告数据库212中。当发行方fi计算机118随后被通知关于特定交易或多个交易发生的欺诈活动时,发行方fi计算机118然后可以将这些报告的欺诈案例与使用过的持卡人认证解决方案进行匹配。发行方fi计算机118然后可以配置为更新认证规则引擎,以努力防止将来发生关于相同持卡人或持卡人类别的相同类型的欺诈。因此,发行方fi计算机118可以将新的或更新的规则传送到发行方acs112以用于随后或将来的持卡人授权决定。
在一些实施例中,在关于特定持卡人账户识别欺诈活动之后,涉及该持卡人账户的后续购买交易可能需要升级认证,而不是纯粹的基于风险的认证,因此需要来自持卡人的更多信息以供发行方对持卡人进行认证。因此,对于这样的“高风险”交易,发行方fi可能更可能信任已被升级的持卡人认证过程。进一步,发行方fi可以利用发行方欺诈数据库212中的数据来针对他们的认证解决方案性能验证实际的欺诈率。因此,如果在通过风险容忍阈值的购买交易中发现欺诈率高(例如,对于透明或无声认证),则发行方fi可以使用该信息来改进风险容忍等级(例如,增加某一类持卡人的风险容忍阈值)。在另一个示例中,如果在升级认证事件(或对任何类型的增强数据解决方案)上欺诈率很高,那么发行方fi可能需要重新检查升级方法和/或漏洞的标准并对其进行更正。
图4是示出根据本公开的实施例的商家购买交易方法的流程图400。商家服务器计算机的商家插件(mpi)应用程序从商家网站结账页面接收402关于购买交易的持卡人信息,并且然后比较404持卡人信息和mpi数据库中的持卡人数据。在一些实施方式中,mpi数据库包含各种类型的持卡人购买交易历史数据,包括但不限于持卡人认证方法的历史、多个持卡人的持卡人识别数据、持卡人认证结果和购买交易金额。存储在mpi数据库中的数据可以由发行方金融机构账户范围等来组织,并且商家服务器计算机可以利用该数据来预测特定持卡人关于当前购买交易的持卡人认证体验。再次参考步骤404,如果发生持卡人数据匹配,则mpi确定406是否绕过持卡人认证。
在步骤406中,关于是否绕过持卡人认证的决定可以基于商家与该持卡人或该类型持卡人(即,过去的购买交易)的先前体验,并且因此可以基于适用于当前购买交易数据的业务规则和/或商家标准。例如,基于当前购买交易数据(例如,正在购买的项目的列表以及总交易花费)和持卡人的购买交易历史数据(与可能包括类似项目的过去购买有关),商家服务器计算机可以高度自信地预测持卡人是有效的和/或真实的。在这种情况下,商家可以选择绕过持卡人认证过程,以加快交易处理,这导致良好的客户体验。例如,mpi可以确定用于与持卡人相关联的类似购买交易的增强的aav认证指示符指示当前购买交易是低风险的(例如,aav认证指示符显示持卡人已经在过去经由基于风险的认证过程进行了认证,且未发生欺诈)。由于当前购买交易代表低风险情况,所以mpi可以选择绕过当前购买交易的持卡人认证或选择发送认证,因为无声认证的可能性很高,并且因此持卡人将不被中断和/或不便。
再参考图4,如果做出绕过持卡人认证的决定,则商家服务器计算机将包括购买交易细节(即,商家标识符、持卡人数据、购买交易数据等)的交易授权请求传送408到支付网关。接下来,商家服务器计算机从支付网关接收410授权响应,其指示购买交易已被发行方fi授权或拒绝。然后,商家服务器计算机完成当前购买交易(例如,对于在线交易,商家服务器计算机可以在商家结账网页上显示购买交易确认消息,和/或可以将购买交易确认消息传送给指示购买交易的授权的消费者的消费者设备。在其他情况下,商家服务器计算机可以在商家网页上显示交易拒绝消息和/或可以在发行方fi拒绝交易时将这样的交易拒绝消息传送给消费者的设备。在一些实施例中,mpi还可以将当前购买交易数据(包括当前购买交易是被授权还是拒绝)存储在与持卡人数据相关联的mpi数据库中。例如,商家可以使用该信息来开发在线持卡人认证的风险方法,以用于做出关于何时绕过某些持卡人可能会放弃的特定交易的决定。
再次参考步骤404,如果来自商家网站结账页面的关于购买交易的持卡人信息与存储在mpi数据库中的持卡人数据不匹配(从而指示与商家没有购买交易历史的新顾客或新持卡人账户),或者如果在步骤406中mpi决定不绕过持卡人认证以进行关于mpi数据库中的持卡人的购买交易,那么mpi将持卡人数据和购买交易数据传送412到访问控制服务器(acs)以进行认证处理。关于步骤406,出于多种原因,mpi可以决定继续对已知的持卡人账户进行持卡人认证处理。例如,当前购买交易的数据可能不满足一个或多个商业规则和/或商家标准。因此,mpi可以确定已知持卡人的持卡人认证应当继续进行,因为当前交易数据不正常或者与先前持卡人购买数据不一致(即,当前购买交易包括一个或多个高花费项目和/或从未识别ip地址作出),和/或由于之前报告的与持卡人账户相关联的欺诈事件,和/或因为商家知道认证体验将是可接受的。
再参考图4,在步骤412中将持卡人数据和购买交易数据传送到访问控制服务器(acs)进行认证处理之后,mpi从acs接收414持卡人认证消息或认证失败的消息。当持卡人认证失败时,终止420购买交易420,其在一些情况下包括mpi在结账网页上向持卡人生成并显示“交易拒绝”消息(或以其他方式向持卡人传达购买交易拒绝消息)。再次参考步骤414,当持卡人认证过程成功时,mpi从acs接收416持卡人认证细节,其包括指示所使用的持卡人认证过程的类型的增强的持卡人认证变量(aav)。应该理解,在一些情况下,第三方支付服务提供商(psp)为一个或多个发行方金融机构(fi)托管acs,并且acs因此操作成代表一个或多个发行方fi对持卡人进行验证。在一些实施方式中,acs可以与持卡人通信以获得一个或多个所需形式的识别数据(例如生物测定数据、个人识别号码(pin)和/或密码数据),该要求可以基于一个或多个根据例如特定发行方fi的业务规则的因素。例如,例如当当前购买交易包括某些预定义数据(例如超过预定阈值金额的总交易金额,例如$250.00)时,可能需要升级认证过程,其需要持卡人根据业务规则和/或认证标准提供两种或更多种形式的持卡人识别数据。在这样一个情况下,可以提示持卡人利用与他或她的电子设备相关联的一个或多个生物测定传感器和/或触摸屏和/或其他输入组件来输入所需的认证数据(即,声纹、虹膜扫描、指纹等)和/或发行方利用的方法的任何其他认证数据(例如经由sms消息、移动令牌等使用一次性密码),然后将其传送到acs进行处理。然后mpi存储418持卡人认证数据,其可以包括mpi数据库中的数据(例如持卡人标识数据、发行方fi标识数据、与包括交易日期的当前购买交易相关联的购买交易数据以及指示符(增强的aav))。然后,商家服务器计算机向支付网关服务器计算机传送408包括增强的aav的购买交易授权请求消息,以进行购买交易授权处理。接下来,如上所述,商家服务器计算机从支付网关接收410授权响应,其指示购买交易已被发行方fi授权或拒绝。然后商家服务器计算机完成交易(例如,商家服务器计算机可以向消费者发送指示购买交易的授权的交易确认消息,或者当发行方fi拒绝交易时可以传送交易拒绝消息)并且过程结束。
图5是示出根据本公开的实施例的购买交易授权方法的流程图500。发行方金融机构(fi)计算机从支付系统网关接收502购买交易授权请求消息,其包括增强的账户持有人认证变量(aav)或持卡人认证令牌,该令牌包含根据例如图3中所示的表的信息。在一些实施方式中,发行方fi计算机确定504持卡人认证令牌由acs(其是增强的aav)生成时是有效的,并且确定506持卡人的支付卡账户支持当前购买交易(即,具有足够的信用来支付购买交易价格)。发行方fi接下来生成508购买交易授权响应消息,并将购买交易授权响应消息传送510到支付网关,以便路由到商家服务器计算机以完成购买交易。另外,发行方fi在购买交易数据库中存储512购买交易细节(包括指示所使用的持卡人认证类型的增强的aav或持卡人认证令牌)。发行方fi可以在稍后或随后利用这些信息来确定持卡人账户是否看起来被欺诈使用。发行方fi还可以利用这些数据来更新和/或改变与该持卡人账户和/或与未来购买交易有关的类似持卡人账户使用的持卡人认证方法的类型。由于持卡人认证与发行方fi授权系统分开发生,因此发行方可以利用增强的aav数据来确定交易是纯粹的基于风险的认证结果(即,无声认证),还是实际提示持卡人并通过验证。这些信息可以帮助发行方fi批准更多交易。
再参考图5,在步骤504中,由增强的aav指示的持卡人认证的类型可以帮助发行方fi决定是否批准或拒绝“在观望中”的授权请求,因为发行方fi知道如何认证持卡人,例如,经由纯粹的基于风险或升级的过程。在一些情况下,发行方fi向支付网关传送514购买交易拒绝消息以路由到商家服务器计算机。例如,这可能在持卡人通知发行方fi丢失或被盗的信用卡或借记卡(并且因此所使用的持卡人认证类型不相关)和/或如果发行方fi已经确定该持卡人帐户可能正在发生欺诈时发生。在这种情况下,发行方fi可以存储关于持卡人账户的数据和包括aav的认证详情。此外,即使持卡人认证令牌有效,关于步骤506,如果持卡人的账户透支或否则不支持购买交易金额(即,持卡人的可用信用不足以支付总购买交易金额),则发行方fi向支付网关传送514购买交易拒绝消息以路由到商家服务器计算机,并且过程结束。在这种情况下,发行方fi可以存储关于持卡人账户的数据和包括aav的授权细节。
应该理解,传统的持卡人认证解决方案没有很好地与交易授权消息传递集成,并且因此本文描述的实施例提供了该缺点的解决方案。具体地说,与传统的交易授权请求相比,针对在购买交易的时候使用的消费者或持卡人认证方法的类型,与购买交易授权请求一起包括的增强的aav给支付卡账户发行方金融机构提供增强的信息。另外,增强的aav数据有利地允许商家和/或发行方金融机构(fi)以对它们的持卡人认证解决方案的性能和/或欺诈预防实践执行审查,因为它适用于欺诈交易数据。
本文描述的过程还有利地允许商家收单方fi和/或商家以将增强的账户持有人认证变量(增强的aav)或认证令牌整合到他们自己的基于风险的决策服务过程中。例如,基于过去的持卡人认证历史和/或先前的交易经历和/或情况,商家可以进行关于持卡人的当前购买交易的类似体验的可能性的预测,并且因此选择绕过持卡人认证处理以加速和/或促进当前购买交易。商家还可以决定以这种方式继续进行涉及在支付卡账户(即,与已知持卡人一样具有来自相同发行方fi的相同或相似类型的支付卡账户的新消费者和/或消费者)的预定范围内具有支付卡账户的类似持卡人的购买交易。因此,商家可以基于在持卡人和/或持卡人组的过去的购买交易或过去的多笔购买交易中使用的增强的aav中提供的认证方法,来确定绕过针对特定持卡人(或持卡人组)的持卡人认证过程。
如本文和所附权利要求中所使用的,术语“计算机”应理解为包括单个计算机或彼此通信的两个或更多计算机或计算机网络或计算机系统。此外,如本文和所附权利要求中所使用的,术语“处理器”应理解为包含彼此通信的单个处理器或两个或更多处理器。此外,如本文和所附权利要求中所使用的,术语“存储器”应理解为包括单个存储器或存储设备或者两个或更多存储器或存储设备。这样的存储器和/或存储设备可以包括任何和所有类型的非暂时性计算机可读介质,唯一的例外是暂时的传播信号。
本文的流程图及其描述不应理解为规定执行本文描述的方法步骤的固定顺序。相反,方法步骤可以以可行的任何顺序执行。另外,本文描述的流程图不应理解为要求在每个实施例中实施所有的步骤或元素。例如,在一些实施例中可以省略一个或多个元素或步骤。
虽然本公开描述了具体的示例性实施例,但应该理解,可以对所公开的实施例做出对本领域技术人员来说显而易见的各种改变、替换和变更,而不脱离如所附权利要求中阐述的本公开的精神和范围。