[发明专利]加密切换处理

说明书

相关申请的交叉引用

本申请是要求2010年11月4日提交的题为“Encryption Switch Processing（加密切换处理）”的美国专利申请No.12/939，675的PCT申请，并且要求其优先权。该美国专利申请No.12/939，675要求2009年11月5日提交的题为“Encryption Switching for Increased Merchant Value（用于改善的商家价值的加密切换）”的美国临时申请No.61/258，500，的优先权，其中这些申请的全部内容作为参考结合在此用于各种目的。

背景技术

对诸如信用卡和借记卡之类的交易卡的使用已经无处不在。消费者已经逐渐依赖于使用交易卡来购买商品和服务。在许多情况下，消费者更愿意使用交易卡，而不是替代的支付方式，如现金和支票。交易卡向消费者提供更多便利，因为消费者不再需要携带现金或支票。现金或支票会丢失或被盗，而且会被不恰当地用于从事不被消费者认可的交易。

交易卡（也可称为支付卡或支付工具）的普及导致了其他问题。通常，交易卡关联于账户标识符（如账号），其进一步关联于附属现金账户或信用额度，这可称为交易账户或账户。如果欺诈用户能够获得该账户标识符，则欺诈用户可能从事不被交易卡的合法持有人所授权的交易。消费者可以采取一些步骤以确保不会发生这种情况。例如，消费者可以始终小心地把交易卡放在安全的地方，例如钱包或皮夹中。消费者也可以在交易卡丢失或被盗时通知交易卡的发行方，这样卡会被禁用，不能再被用来进行交易。

无论消费者在处理交易卡时多么小心，账户标识符都可能会完全处于消费者控制之外而面临危险。消费者可能从事与商家的合法交易，作为交易的一个环节，向商家提供与交易卡相关联的账户标识符。商家可能按照传统方式来处理交易。然而，因为商家以及任何下游处理人员（诸如商家的收单方（acquirer））可以访问账户标识符，则消费者只能受制于商家或下游处理人员所进行的安全程序。例如，商家的不良雇员可能访问商家的交易处理系统以窃取账户标识符。被盗的账户标识符可被不良雇员或他人用于从事欺诈交易。由疏忽的处理或宽松的安全程序造成的账户标识符暴露可被称为数据或安全外泄。

为了减少数据外泄的可能性，商家、收单方和作为正常交易处理的一部分需要合法拥有账户标识符的任何其他实体须执行支付卡行业（“PCI”）安全审计程序，以确保遵守支付卡交易的PCI数据安全标准（“DSS”）要求。PCI审计程序的目的是要确保商家，收单方和其他拥有账户标识符的实体在他们的系统内有足够的安全措施来保护消费者的账户标识符。例如，PCI DSS标准会要求存储在商家系统内的任何账户标识符必须以加密格式存储，这些系统必须通过使用防火墙而与任何通用计算机网络相隔离。

虽然PCI DSS的审计对消费者提供了某种程度的保护，但在流程上还有许多不足之处。例如，审计通常是在离散时间点进行的。商家可能在进行审计时完全符合PCI DSS，但商家的系统可能在审计后的某点上会发生改变。为了缓解这种忧虑，商家可能会被定期审计，如每季度一次。但是应该清楚，仍有可能商家在审计间隙不符合PCI DSS。此外，维持商家、收单方、以及任何其他受PCI DSS审计的实体遵守PCI DSS具有较高成本。除了审计本身的成本，还有用以确保支付处理过程中所做的任何改变仍然遵从PCI DSS的持续成本。

本文揭示的技术的多个实施例单独地或共同地解决了这些和其他问题。

发明内容

提供了用于免除商家和收单方执行支付卡行业（“PCI”）安全审计程序的技术。商家和收单方能免除与进行审计来确保遵守PCI数据安全标准（“DSS”）相关的操作费用，同时确保持卡方的数据依然安全，由此保护持卡方免受欺诈交易。通过每次交易审计的使用，进一步增强了系统安全，其中审计的范围直接在销售点（POS）终端和支付处理网络之间。由此，相比于仅仅定期确保商家或者收单方的合规性，能在单次交易的基础上确保支付卡行业数据安全标准（PCI DSS）的合规性。确保了单次交易遵从支付卡行业数据安全标准（PCI DSS），同时消除了商家或收单方执行合规性审计的必要性。