银联互联网安全支付规范修改说明（SAA模式）.doc

机构接入Cupsecure网银模式(SAA模式)改造说明
(一)、交易处理部分
1、基本信息解释
发卡机构直接验证授权模式 SAA模式
Issuer Secure Authentication and Authorizaiton Mode
在发卡机构直接认证模式中,由持卡人安全认证授权系统(以下简称SAA)提供界面供持卡人输入身份认证安全信息并完成相应支付交易的安全认证模式。
由发卡机构自行收集用户安全认证信息,完成安全认证和授权处理。
持卡人的认证方式和认证要素由发卡银行决定。
持卡人安全认证授权系统
Secure Authentication and Authorizaiton Server;SAA
适用于发卡机构直接验证授权模式,可以由发卡机构自建或者是委托第三方建设。主要功能为提供和持卡人之间的交互服务、身份验证服务和交易授权服务。
2、交易处理说明--交易种类
(1)金融类的交易
余额查询(跨行余额查询或某些业务类型的辅助交易)
消费、消费撤销、退货
预授权、预授权撤销、预授权完成、预授权完成撤销
账户验证、汇款(跨行汇款)
代扣(保险业务、电话邮购等)
(2)通知类的交易
交易异常通知(为SR发往SAA的消息,通知发卡机构SR在对互联网交易进行后续处理时发生异常状况,发卡机构需要针对异常的种类对原始交易进行相应的修正)
(3)管理类的交易
交易结果查询(为API发往SR的银联卡交易结果查询请求消息,用于API未接收到SR响应的ITRes时,收单机构主动发起查询请求确定交易结果)
卡段下载(从API发往SR的消息,用于请求以全量/增量方式下载CUPSecure支持的卡段的更新)
3、交易处理说明—消息种类
(1)消息的作用
消息是用来传递详细交易以及交易控制信息的。
(2)消息的种类
SCReq、SCRes:卡段下载类消息
CEReq、CERes:卡参与查询类消息
ITReq、ITRes:互联网交易类消息
IRReq、IRRes:交易结果查询类消息
ITExc:互联网交易异常消息
Error:错误消息
4、SAA安全认证授权方包括的参与对象/组件及其功能
安全认证方参与对象/组件
参与对象/组件
功能
持卡人
购物时输入持卡人姓名、卡号、有效期等信息;
在持卡人验证页面输入持卡人密码等认证信息。
持卡人端浏览器
API和SAA间传递消息的渠道之一。
持卡人端可选组件
交易时的其他可选组件,如IC卡读卡器等。
发卡机构
和持卡人签订参与CUPSecure的合同;
判定持卡人是否具有参与CUPSecure的资格;
定义参与CUPSecure的卡号范围;
向SR提供参与CUPSecure的卡号范围;
为持卡人提供参与CUPSecure的注册服务。
SAA安全认证授权系统(以下简称SAA)
验证某一特定卡号是否参与CUPSecure;
在交易过程中验证持卡人身份;
验证通过后通知发卡系统进行帐务处理。
5、SAA发卡机构直接验证授权模式交易流程
(1)注册系统建立
对于发卡机构直接验证授权模式,为确保SAA能够获得支付验证过程中所需要的充足信息,发卡机构可以建立注册系统。发卡机构自行定义持卡人注册流程,还可以采用柜面注册等方式。本节不对注册系统建立流程进行描述。发卡机构还可以采用柜面注册等方式。
对于发卡机构的SAA系统,由于其能与持卡人进行完全交互,账户的处理由SAA自行完成,。对于认证持卡人时需要输入的信息和账户系统的接口亦不在本规范定义范围之内。
(2)交易处理流程预说明
发卡机构直接验证授权模式也是针对发卡机构而言。。同SC模式,消费、预授权和余额查询交易也需要需要持卡人的实时参与,而其他交易则不需要。
同时SAA模式下会有一类特殊的交易,需要从SAA直接发起。并且区分通知类和管理类。
所以下面会区分这四种情况分别描述交易处理流程。
(3)消费/预授权/余额查询交易处理流程
下述交易流程适用于消费、预授权和余额查询交易。由于余额查询交易不包含交易金额等信息,因此SAA显示给持卡人的页面不包含交易金额和交易币种信息。
流程说明
发卡机构直接验证模式交易流程图
上图所示为发卡机构直接验证授权模式交易流程图,流程说明如下表:
发卡机构直接验证授权模式交易流程说明
步骤号
步骤概述
0
API发送SCReq给SR以获取CUPSecure支持的最新卡段,同时保存到其cache中(可选功能。;
1
持卡人浏览商户网站、购买商品、选择使用银联卡进行网上支付,商户网站提交支付请求到收单机构支付网关,同时将持卡人浏