编辑

2018年10月19日，国际芯片卡与支付技术标准组织发布EMV®安全远程支付（EMV®，以下简称SRC）0.9版本，并在接下来的45天内在全球范围内征集反馈意见。根据反馈意见，SRC规范1.0版本将于2019年向公众发布。《金卡人生》特邀技术专家，用非技术语言解密SRC，旨在让更多人了解它的真面目。

2018年深秋的一天，各大支付媒体的官方账号上出现了一则新闻：安全远程支付0.9版本发布。

了解的人都知道，它在支付行业享有很高的声誉。但是这个刚刚发布的SRC到底是什么？为什么突然发布？SRC是一个全新的在线支付标准，适用于所有无实体终端的场景。用“人话”来说，就是“用于网络购物的支付工具”。

那有人可能会说，我网购二十多年了，现在这个SRC是什么？我有各种钱包，我干嘛要用它？

好，现在让我给你讲一下SRC的故事。

说到网上支付，我们都很熟悉了。没有它，我们几乎什么都做不了：网上购物、手机充值、交水电费、买机票、订酒店等，都需要它。然而，你知道我们每天使用的网上支付背后可能存在的问题吗？

第一，「碎片化」的问题。在中国大陆，经过十多年的风雨洗礼，支付方案的集中度已经达到了非常高的水平，各种支付方案已经可以覆盖绝大多数人的使用。但由于行业内部竞争，国内电商巨头支持的钱包各有不同，因此用户也必须同时使用多个钱包。在全球范围内，这种情况更加突出。一家电商公司可能要接入很多钱包，但还是有很多用户找不到自己想要使用的钱包。要覆盖全球用户的使用，电商公司需要接入的钱包数量可能大得难以想象。

这就有点尴尬了，中小电商忙于应付各种钱包用户，用户又要陆续安装新钱包，界面、体验都不一致，何必互相“伤害”呢？

第二，安全问题。其实，网上支付并非没有更便捷、更通用的解决方案。在一些电商平台上，用户可以在上面轻松“买买买”，结账时，只需要填写信用卡号，一切就都好了。

但是，我说的是但是，会不会有安全隐患？信用卡号是支付过程中最敏感的数据，很多渠道只要有卡号就可以完成支付，虽然有很多安全要求禁止电商保存卡号，但因为种种原因，这种情况依然猖獗，后果就是电商网站被攻击导致卡号泄露，诈骗事件频发。

因此网上支付还远远不够完善，还有很多地方需要改进和完善。

未来的在线支付将会是什么样子？

有没有新的支付解决方案可以解决或者改善上述问题？

答案是肯定的。这时，我在掌声中走上台发言：“我”将代表SRC。

它是国际芯片卡与支付技术标准组织，负责制定和维护国际支付技术与芯片卡标准规范（EMV标准），目前成员包括银联、美国运通、JCB、万事达和Visa等，成立至今已有近20年历史，发起并制定了银行卡由磁条卡向智能IC卡转移的技术标准。随着新技术的出现和市场需求，EMV规范范围扩大到更广泛的支付形态，如制定和发布技术框架、3DS2.0规范、QR码规范等。此次六大卡组织携手，凭借丰富的支付经验，共同打造线上支付领域的统一解决方案，成果可期。SRC的主要优势包括：一是汇聚支付行业智慧，力争全球互通，以全球统一的解决方案实现商户接入和持卡人使用。二是结合线下成功经验。基于线下终端交易的IC卡交易数据，构建线上支付体系，使线上交易具有与线下交易同等的安全级别；三是结合云端与本地卡技术，让支付随时随地、统一体验，不受设备和环境变化影响，实现无限场景、单一入口。

你是否好奇？这是怎么做到的？让我们进一步了解 SRC。

打造全球适用的在线终端

本质上，SRC是物理终端概念在数字环境中的延伸，希望通过SRC在数字环境中打造一个安全、全球适用的支付模型。

对于用户来说，SRC是一个统一的卡夹，不管有多少个钱包，只要把钱包里的卡放在这个卡夹里，就可以在任何地方使用。对于商户来说，SRC是一个统一的数字终端，他们只需要集成这个终端，就具备了受理不同品牌银行卡的技术能力。

也就是说，用户前期只需要在发卡银行或钱包开通SRC服务，便可以使用同一个SRC账号（）在任何贴有SRC标识的商户进行支付。若想更直观的了解此项技术，请参考SRC用户体验图（图1）。

图1 SRC用户体验图

从商户收银开始，只需要三步就可以完成支付，是不是看起来很简单？点击SRC按钮之后，会弹出用户账户下的所有银行卡组织和银行卡供选择，然后与卡绑定的钱包会对持卡人进行身份验证。这个SRC和之前的钱包有什么不同呢？可以看出，SRC的支付流程和市面上大部分钱包解决方案都不一样（图2）。

图2. SRC与普通钱包的区别

普通钱包解决方案的使用逻辑是图2中从左到右，体现在用户与钱包绑定后需要先选择钱包，再选择钱包中的卡。同时由于钱包解决方案之间相互独立，用户可以使用哪些银行卡组织、银行卡取决于钱包本身是否拓展了相应的业务，用户需要在不同的钱包中绑定和管理卡，可能面临用户信息遗忘、混淆的问题。SRC解决方案的使用逻辑是上图中从右到左，用户从统一的入口进入（登录）后，直接选择想要用来支付的卡，就摆脱了上述的困扰。SRC作为推出的解决方案，天然具备跨银行卡组织、跨银行、跨钱包的属性，用户只需要一个账户就可以在不同场景、不同钱包中管理和使用自己的所有卡。

简单的支付体验背后是一套高效运作、各方协作的体系，请参考典型流程图（图3）。商户通过SRC发起方（SRCI）连接到各类SRC系统（一般为银行卡组织），SRCI一般为支付服务提供商。SRC系统提供数据存储和交换服务，银行APP和各类钱包则作为数字卡服务提供商（DCF），负责开通SRC服务、提供用户界面。为了减少对现有收单机构的冲击，SRC只负责绑卡和选卡，以及将最终的支付授权数据（）和动态数据（Data）通过SRCI返回给商户，商户按原路完成支付授权。注：某些情况下，SRCI可以直接将消费授权请求发送给收单机构，或者收单机构本身可以充当SRCI的角色。

图3 SRC生态系统

SRC的三大特点

首先，可扩展性好。SRC在设计时采用了模块化的理念，没有提供静态的实现方案，而是提供了一套数据和接口（工具箱），供实现者灵活组织自己的场景。同时通过角色的设定，允许多个参与方协同工作，允许一个参与方承担更多的功能；最后将技术需求纳入SRC规范，将与具体业务实现相关的内容交给SRC项目（SRC）进行管理，为业务创新提供了更大的空间。场景的多样性为SRC的应用带来了许多可能性。在不久的将来，SRC也能在万物互联时代发挥更大的作用，以支付的形式实现物与物之间的交互。

第二是全球互操作性。SRC 的目标之一是增强全球在线支付的互操作性，降低各方协作的难度和成本。首先，在 SRC 体系中，各个 SRC 系统共享用户身份知识，从而在分布式系统的前提下实现统一的用户体验。其次，作为 SRC 生态系统的枢纽，SRC 系统对外提供标准化接口，避免 SRC 参与者在接入 SRC 时进行重复的开发工作。最后，SRC 与其他技术（如 3DS）具有良好的兼容性。在 SRC 的框架下，各种技术的有机结合将带来更好的安全性和用户体验。

三是安全性提高。存在安全隐患的支付产品可能会危及持卡人和商户的权益。相比单纯基于静态数据完成的支付，SRC的优势显而易见。例如，基于标准IC卡与POS机交互设计的支付授权数据；预留动态验证数据域；单一卡号存储中心，省去了商户采集和存储卡号的环节；3DS等技术的应用，各项安全功能的有序配合，使得整个支付流程层层包围。相比全基于静态数据的支付和目前基于合约的快捷支付，不仅安全等级提高，还打通了交易数据通道，让发卡银行能够获得更多的交易信息，充分发挥数据的力量，利用更多更好的风控机制保障支付安全。

安全是老生常谈的话题，SRC对于安全的考量，是在保证用户体验顺畅的同时，提升支付安全性。通过隔离卡号传输，应用技术手段，一方面可以有效降低遭受损失的可能性，另一方面也为各项风控措施提供依据。通过信息的有效传递和各方的协同，实现更加安全的支付体验。

它将给支付带来什么变化？

现在，我们对SRC的功能范围和工作机制有了大致的了解，那么这样的技术如果得以推广，会给现有的支付方式带来哪些改变？产业链各方又该如何面对SRC的到来？

随着互联网、移动支付等新型支付方式的发展，支付过程中涉及的机构和角色逐渐增多，那么SRC框架下的各个角色如何相互配合、相互支持，最终实现共赢呢？

发卡银行：对于发卡银行，我们从国内和国外两个角度来看。对于国内的互联网支付，第三方支付公司早已是直接连接商户和发卡银行，发卡银行只提供扣款的资金来源，对于交易的时间、地点、商户信息、风险等级等一无所知。现在直连已经断开，但是因为长期形成的业务模式保持了很强的惯性，虽然物理上断开了直连，但交易信息获取和角色转换方面要做实质性的改变，还需要一定的过渡时间。

我们再来看海外。海外的银行卡支付，无论是线上还是线下，都非常善于遵循“四方模式”。第三方支付公司只充当钱包的角色，只负责保存、选择、出示卡号或等工作，在需要“出示卡”时验证持卡人身份。在后续的交易流程中，仍然和线下交易一样，包括发卡银行的收单、转账、授权等流程。在这个模式下，虽然发卡银行的参与程度和信息量与线下四方交易差不多，但线上交易仅凭卡号或等静态数据完成，对发卡银行的风险识别和交易保障可能不利。

SRC的出现将为发卡银行带来转折点。在消费前，发卡银行可以在自身APP中主动启动SRC服务，将支付能力（或PAN）投射到卡组织的SRC系统中，后者只负责维护用户的卡绑定关系，不面向C端；在消费环节，发卡银行可以作为DCF直接参与用户交互，也可以在交易授权前通过3DS获取交易数据，根据自身风控要求决定是否授权。而且，在SRC交易过程中，利用动态数据进行交易验证的过程和结果可以为发卡银行提供更多的风控依据，帮助发卡银行进行更有效的风控。无论是从获取的信息量，还是与用户交互的方式来看，发卡银行的参与度都将大大提高。

收单机构：SRC 的设计理念之一是尽量减少对现有商户和收单机构现有授权流程的影响。遵循这一理念，收单机构在选择业务模式时拥有一定的灵活性和自主性：可以不参与 SRC，保持原有业务不变，继续接收来自商户和 SRCI 的传统消费者授权请求；也可以积极参与 SRC 体系，扮演 SRCI 的角色，帮助商户从 SRC 体系中调取支付数据并完成交易授权。

商户：无论在国内还是国外，商户都面临着频繁接入、调试、升级各类银行卡组织、钱包、银行网关等的压力，尤其是小商户，因此市场上出现了专门的“聚合支付”服务商，为商户适配各类支付接口。

在SRC的架构下，现有的服务商可以继续为商户提供聚合服务，商户只需要集成一次，就可以使用六大银行卡组织以及其背后众多钱包的支付服务。这对于想要快速拓展市场尤其是海外市场的商户来说无疑是个好消息。对于有技术能力的大型商户，可以选择只使用SRC提供的接口，不集成SDK，将SRC完美融入自身的用户体验中。用户无需离开商户，也不需要在商户处绑定卡，即可完成支付，大大简化了支付流程；众多中小商户可以利用SRC提供的支付能力，避免在自有系统中保存卡号带来的合规费用和风险点。

持卡人：一个产品或者一项技术的成功，很大程度上取决于用户的认可。以中国市场为例，众多钱包对于在线支付体验的打磨和专注有目共睹，也无需掩饰后续改进空间有限的事实。作为在线支付的框架性规范，SRC 对用户界面只做了一些原则性的要求，具体的界面展示则交由 DCF 来完成。因此，在保证 SRC 所需的数据元素、必要的相关提示、统一标识的基础上，在交互流程、界面风格、细节处理等方面，各 DCF 的优势得以继续保持，让持卡人能够继续享受优质、快捷、符合自身习惯的卓越体验。

对于持卡人（用户，下同）来说，有必要详细阐述一下即将面临的三个变化。第一是安全性，上面已经详细描述过了。第二是通用性，持卡人在国外购物时，经常会遇到网商不接受某家银行卡组织的银行卡，或者自己习惯使用的钱包不被商户接受的困境。虽然国内支付产品的市场集中度相当高，但经常面临多种支付工具必须具备的复杂局面，各类APP的入驻也让持卡人对各种眼花缭乱的促销活动相当抵触。在这种情况下，SRC的优势就凸显出来了，兼容多家银行卡组织、各类发卡银行、各类DCF钱包，无论你习惯使用什么支付方式，在SRC上都能兼容，不用担心中意的产品却无法直接支付。进入SRC，你会看到熟悉的界面和方式，这就是开放相较于闭环的最大优势。第三是灵活性。在手机上使用？可以！在PC上支付？可以！在平板或自助设备上使用？可以！在私人设备上直接免登​​录？可以！在公共设备上加强验证？可以！不同钱包、不同卡、不同商户、不同场景设置认证方式和交易限额？全都可以！发卡银行绑定？可以！发卡第三方钱包绑定？可以！网站支付时临时绑定卡？可以！无需注册，直接用卡号支付？绝对可以！各种支付方式、各种服务形态都可以纳入SRC的整体框架中，发卡银行、网关公司、商户、钱包等参与方可以根据SRC项目的设置，提供多样化的服务。

毕竟，SRC还是一个新生事物，还有很长的路要走，它的精心设计还有待实践检验。我们希望支付行业的企业、组织、机构能够多多了解SRC，积极参与标准制定，在世界舞台上为中国市场发声。同时也期待SRC能为支付行业带来新的发展机遇，共同构建开放、包容、共赢的生态。