POS系统是指通过自动读取设备(如收银机)在销售商品时直接读取商品销售信息(如商品名、单价、销售数量、销售时间、销售店铺、购买顾客等),并通过通讯网络和计算机系统传送至有关部门进行分析加工以提高经营效率的系统。我们日常生活中最常见的POS系统可能就是商店的收银机,这属于有线POS机,但是其实POS系统的种类有很多,比如快递小哥的使用的就是移动POS机。本文对攻击POS系统进行了研究。
针对POS系统攻击的研究其实有很多。比如2014年的时候,Lucas Zaichkowsky做了一些关于POS系统的研究,分析了一些POS设备安全相关的事件。发现magstripe卡含有未加密的敏感数据,这也就可以克隆magstripe卡,EMV芯片含有未加密的magstripe数据,同样可以从RAM中进行复制。
第一步,用户会在商户的POS设备上刷卡来购买商品,POS设备就会发送信用卡的数据来商户的POS系统。
第二步,POS系统会连接到PSP(支付服务提供商),由PSP去根据信用卡的品牌和种类去联系收单机构来授权该交易。
第三步,收单机构用该信用卡公司的网络来信用卡的发行商通信,发行商会通过信用卡公司的网络来返回给收单机构有个授权状态。
第四步,收单机构会把授权状态传递给PSP,然后转发给POS系统和设备,最终完成交易。这个通讯的过程非常快,只需要几秒钟。
从SAP官方了解到,SAP POS是一种C/S POS解决方案(如图2)。SAP POS的应用范围也包括石油、天然气等行业。这些应用是在32位和64位Windows平台上运行的,是用C++语言编写的。
SAP POS的架构是POS解决方案的一个典型方案,含有商户客户端应用、商户服务端应用和管理应用。客户端应用运行在商户POS系统上来处理POS交易的商店,商户服务端运行在商户办公区来服务连接、运行和管理需求,管理应用主要负责中央控制。
商户配置器是用来配置POS系统的带有GUI的软件,配置的内容包括用户、终端、PLU、安全设置等。系统管理员使用友好的接口可以进行各种配置。之后,配置器会将这些设置保存为一个特殊的文件newparm.trg,并保存在PARM目录中。管理员需要将这些配置文件拷贝到Xpress服务器中。
文件的作用是类似一个触发器。Xpress服务器应用每30秒搜索一次文件,如果找到了触发文件,就会检查更新并应用到所有的参数文件中。之后,服务器会删除newparm.trg文件。PARM目录存放这些配置文件,比如cnummask.cmk是负责在账单上对信用卡号打码的,cashier.clg含有POS系统管理员和出纳员的信息。
第二部分是端口2202。在检测到该端口后,会检查标准用户接口并扫描可用端口。该端口不会验证内部连接,所有人都可以与之通信。当与该端口通信时,就会返回一个welcome消息。Help命令会显示一些操作,一共有超过17个函数。一些函数非常重要,可以让用户查询出纳员的行为,在无需认证的情况华打开和关闭步骤,并关闭服务器。在逆向了负责2202端口的xps.exe库后,研究人员找到了17个函数还有57个私有函数。
命令一发送,服务器就会返回结果。对不同的服务器会有不同的响应,而且没有尝试次数的限制。攻击者可以暴力破解的次数是15次,如果返回给攻击者的code是10,就是说该用户没有登录,1表示密码错误,0表示正确。
Mode的默认值是r,可以接受的有r,w,a,r+,w+,a+。错误的模式会破坏Xpress服务器应用,导致没有mode参数的验证,并在fopen()函数中翻译。如果一切运行正常,系统就会返回文件的id来调用该文件。下一步就是调用FILE-READ方法来读取文件的内容。
POS客户端连接商户服务器并与之通过2200端口通信。交易、配置和维护数据通过该端口传输。每天商户管理员第一次打开终端时,会发送一个请求,请求的内容大致为“Hey, Server, I woke up, send me new parameters, pleeease”。当商户管理员关机时,会把日志文件发送到服务器。
研究人员截取了客户端和服务器之间的流量发现,当POS终端发送一个特殊的包给Xpress服务器时,响应的包是文件的内容。
如果用另外一台机器来执行该操作,会返回同样的结果。攻击者可以读取服务器文件系统上的任意文件了。
Tepe是消息的类型;Len是消息的长度;Where是数据存储的本地路径;What是目标文件路径;End是0,0,只有在响应消息中才会更改。
第一个是发送文件的类型和包长度,Xpress服务器上的文件路径,文件的本地路径,发送数据的大小和静态空值;第二个是文件数据类型包,含有内容长度,和要写入的内容。第三个是end of file消息。之后,Xpress服务器应用会响应一个Good消息,然后服务器上就会出现一个新的文件。如果发送的文件大小错误,Xpress应用会删除目标文件。所有的这些操作都是没有验证的情况下进行的。
攻击者想要访问本地商户网络,那么可能的攻击向量有哪些呢?首先由很多的POS客户端,二维码读码器等连接到POS客户端。一些小工具是放置在商户大厅的,而且基本上没有什么保护。这样,攻击者就可以运行脚本来替代这些设备了。
商户配置工具创建配置文件,如果Xpress服务器在特殊目录下发现了newparm文件就会应用他们。用2200端口可以在Xpress服务器上任意下文件。POS客户端开机后会更新参数。POS终端可以通过Telnet和2202端口进行开启和关闭。
1. 攻击者可以用2200端口在Xpress服务器上写配置文件,配置文件可能是不同的。攻击者可以改变打印在收据上的卡号隐藏的位数,还可以改变商品的价格,关闭数据库中对敏感信息的加密灯;2. 攻击者可以用2200端口在xpress服务器上写newparm.trg文件;3. 可以在数据库中写文件;4. 用Telnet2202端口发送close term消息给xpress服务器;5. 用telnet端口发送open term消息给Xpress服务器;6. Xpress服务器应用打开POS终端;7. POS终端发送请求到Xpress服务器,下载攻击者的配置并应用。
需要注意的是每天营业结束后,所有的终端都会关机并在第二天打开。当Xpress服务器应用开始或者更新参数时,就会搜索home目录下的XPSPARM.bat” 和“StopTN.bat文件。如果搜到了,文件就会自动执行,攻击者就可以上传这种特殊的脚本。
SAP POS使用的加密工具是TWSecurity,该工具会对每个密码创建一个特殊的安全容器。该容器与SAP POS元素的内容相同,包括client, xpress server, store manager和configurator。加密会在每个阶段进行,根据文档,下表中的内容是经过加密的。
在CryptoRegister表里有一些列和存储的步骤,这些都是受到加密等级影响的。比如,雇员的密码用hash值保存,信用卡的reference号用3DES密文保存。这样安全吗?
加密token和加密的函数是管理员在商户配置器中进行设置的。加密token会转换成一个ASCII码文件,并发送给Xpress服务器。攻击者可以将token篡改为空,这样就可以在之后的交易和过程中关闭加密机制。
那么数据库中存储和加密的信息安全吗?利用TWSecurity工具,安全容器只是系统注册表中的一些行。TWSecurity工具工具可以为加密创建新的密钥,并用新的密钥来加密敏感数据。也就是说,该工具连接到数据库,获取密文,用旧的密钥解密,并用另一个密钥加密一次,然后更具数据库。
攻击者可以用该工具来从内存中窃取明文文本数据。在Frida的研究中,用Python库来进行测试,该方法还是很有效的。
2017年7月,SAP发布了Missing Authentication checks in SAP Point of Sale (POS) Retail Xpress Server 补丁。补丁中含有14个文件,会替换POS系统中原来的文件。主要的可执行文件有xps.exe和xpsctrl.exe。该补丁的主要思想是攻击者是否可以在2202端口发送消息,并控制POS终端,所以需要对该端口进行访问控制。该描述说明该补丁修复会产生一个新的参数,该补丁会决定IP地址,并接受与Xpress服务器的连接。默认值是localhost,但是该补丁忽视了一个问题,那就是该问题不只存在于2202端口,也不存在2200端口。而且2200端口给攻击者的机会更多。通过这些接口,攻击者可以绕过防护机制。
当商户管理器应用连接到Xpress服务器,服务器会检查IP地址是不是localhost,如果不是就拒绝连接。假设只有本地应用和用户能够与该端口进行通信,攻击者可以使用2200端口发送命令到Xpress服务器在2202端口上连接服务器,并绕过验证机制。
第二种方法是在另一台机器上安装本地商户管理器。当商户管理器连接到2202端口时,Xpress应用就会打开配置文件“”,并从中提取BACKOFFICEIPADDRESS参数,与入口IP地址就行比对。为了绕过该验证机制,攻击者可以读取local.ini文件的当前配置,用恶意IP地址替换正确的IP地址,并重写该文件。这样,Xpress服务器应用就会认为攻击者的IP是合法的。
总的来说,如果2200端口没有bug的话,安全补丁是可以保护系统抵御外部攻击者的。POS系统存在漏洞的也不止SAP这一家,本月Oracle就爆出漏洞,影响万台POS设备。
POS即权益证明,英文全称Proof of Stake。它是由匿名极客Sunny King发明的。Sunny King很神秘,类似中本聪,他的具体信息很少有人知道。同时他也是点点币(PPCoin)和质数币(PrimeCoin)的创始人。2012年点点币问世,成为全球首次使用POS共识机制的数字货币。
基于POW的公链挖矿纯靠算力,挖矿难度越高,算力也会越来越中心化。目前比特币挖矿的算力超过70%在中国,据018年的统计数据显示,目前世界前十大矿池中,中国独占8家,而中国70%的算力在四川。这样完全背离了去中心化的思想,只有算力高的机构或矿场才能挖到区块,而算力低的个人几乎没有可能挖到区块。算力低的矿工要是参与挖矿,那得赔死,投入电费、场地、矿机等等,结果几乎甚至没有收益。然后他们大部分会放弃挖矿或加入其他大型矿池。而且挖矿代币价格的较大波动也会影响挖矿收益。所以POW类型的挖矿具有很大的投资风险。POW挖矿比拼的就是算力,随着挖矿难度的提高,算力会要求越来越高,导致参与挖矿的矿机数量越来越多,配置也越来越高,如此会造成多大的资源浪费啊。
针对POW的问题,POS指出了一个全新的概念-币龄,币龄 = 持有的币数 * 持有币的天数,例如钱包里有90个点点币,持有了10天,则币龄=900。决定下一个区块是由谁出,是看当前时刻谁的币龄大。出块后币龄归零,重新计时持币时间。币龄是对应账户恒定数量持币数的值,如果账户的持币数量发生变化,那么币龄也会归零,重新计时。通过币龄来决定出块,不再需要比拼算力,多么环保啊,节省了多少资源啊。
而且为了让持币人把币握住,不乱抛售,POS还使用了“利息”机制。用户的持币钱包或客户端24小时处于工作状态或后台运行状态,其实就是pos的挖矿状态,系统会在固定时间参照币龄给予持币人一定量的利息(一定量的币)。如此币的抛售将不会像传统的币那么频繁,币价相应的也会稳定。
为了让POS出块人带有随机性,需要借助一些随机函数,币龄只是增加成为出块者可能性的筹码。如,A的币龄100,B的币龄10,那么A能够出块的概率要比B大10倍。
使用POS较POW更不容易遭受51%攻击,相比起掌握系统一半以上的算力,拥有整个系统51%的财力会更加困难。
1.更容易被垄断:因为持币越多,持有的越久,币龄就越高,越容易挖到区块并得到激励,持币少的人基本上没有机会,这样整个系统的安全性实际上会被持币数量较大的一部分人(大股东们)掌握;而POW理论上则不存在这个问题,因为理论上任何人都可以购买矿机获得提高自己的算力(甚至可以联合起来),提升自己挖矿成功的概率;
2.很难应对分叉的情况:当出现分叉时,PoS可以在两条链上同时挖矿并获得收益。而PoW则不存在这个问题,因为当出现分叉以后,PoW总是选择工作量大的链做为主链。
但是在实际应用中,纯POS的共识机制是不可行的,通常会和POW混合一起用或者通过POS升级改进POW。这样会更好的发挥各自的优点,减小双方缺点带来的影响。
1.在某个算法的基础上,运用其他算法的技术进行改进。如点点币,它的共识机制是用pos算法对pow算法进行改进后的机制,不过大家往往认为点点币的共识机制是pos,其实严格来说是pow+pos的。
2.两个算法运算相互独立,但共同组成了一个共识机制。如初链,它的共识是pow和pbft两个算法组成的,然后自己给自己起了个新名字叫混合共识机制fpow。这种混合很明显,所以大家都会叫混合机制
作为一个金融支付行业人员,pos行业背景和应用必须要知道,这篇文章就介绍下pos的相关知识。
最近在接触MPOS业务中的一个小功能,出于兴趣而且从事金融行业的开发,作为一个开发者,如果对业务更熟悉,那么开发出的产品会更贴近用户,用户体验、功能和收益也会大有好处,因而想把POS这方便的知识进行系统的扫盲,增加自己的知识广度。搜索阅读了一些资料,大体上来说有了一个认识,分享给大家,毕竟不是专业内的,不足之处欢迎交流指正。
随着国内消费水平的不断提升和消费意识的增强,电子支付正日益成为人们日常生活中不可或缺的组成部分。目前,POS行业已进入稳定增长期。但我国人均拥有POS机数量远低于国外,所以可开发市场空间广阔。随着电子商务的发展和人们日常的消费习惯,刷卡已成为不可抵挡的趋势。
在这网络无处不在的时代,金融业务已呈现出高度电子化和网络化的趋势,在金融电子化的构成当中,支付工具电子化今年来在我国得到迅速的发展。随着电话POS支付在终端机具、平台系统应用模式市场培育客户接受程度等方面的成熟,目前POS已经被广泛应用于商场、超市、批发场中小商贸流通企业,智能MPOS、传统POS、电话POS、ATM并驾齐驱的主流电子支付渠道也在壮大发展。
截止到2013年年底,全国已累积发行43亿张银行卡,消费者用卡习惯已经成熟;同时,全国小微企业数量达到7000万,但拥有POS机的商户却不足300万,这意味着有95%的市场处于空白状态,而受理商户数量和交易金额也在迅速增加。业界人士预计,未来三年POS机收单业务将持续呈井喷式发展,市场规模将增长5-6倍,可谓“钱”景广阔。
上个世纪九十年代,由于POS机价格偏高,软件不成熟,除了一些特大型商场使用外,其它企业很难负担起使用POS机的费用,同时,在管理上也处于初级阶段,客观上不需要强大的计算机信息管理。于是使用一、二代收款机,采用总线方式联网,曾经风行一时,当时的代表是北京四通公司的202A收款机与NCR2113,同时对于一些小型用户他们选择使用具有基本功能的一代收款机。
九十年代未,由于世界IT技术的迅速发展,PC配件的质量有了迅速提高,DIY在IT业是一种世界流行的组装做法,模块化的技术,为组装POS提供了更加广阔的选择余地。由于组装POS机定位为低端市场,商家更多考虑的是成本本身,对机器质量的考虑较少,产品性能良莠不齐。
随着信息技术在零售企业的广泛应用,客户对管理功能需求的增加使要求向上不断攀升,而高昂的价格却令到商家止步。对于信息技术的普及,商业零售需要高性能、高品质、稳定的机器来进行收单服务,POS机新产品也开始高度集成新功能,以应对市场需求,为了省去连线带来的不便性,MPOS就应用而生。
有两种机器都叫POS,用途不同。一种是刷卡结账用的,就是不用付现金,从顾客的信用卡上刷钱用的,由银行赔给商家。还有一种是商场的收费终端的总称,商场超市的收银台安装的就是这种POS机,用来做结账处理,是商场ERP管理系统的重要组成部分。
POS(Pointofsales)的中文意思是“销售点”,全称为销售点情报管理系统,是一种配有条码或OCR码技终端阅读器,有现金或易货额度出纳功能。其主要任务是对商品与媒体交易提供数据服务和管理功能,并进行非现金结算。
适用于大、中型超市、连锁店、大卖场、大、中型饭店及一切高水平管理的零售企业。具有IC卡功能,可使用会员卡和内部发行IC卡及有价证券。可说话客显、可外接扫描枪、打印机等多种外设。具有前、后台进、销、存配送等大型连锁超市管理功能。餐饮型具有餐饮服务功能,可外接多台厨房打印机、手持点菜机等各种外设。可实现无人看管与PC机远程通讯,下载资料。具有以太网通讯功能,通过ADSL宽带构成总、分店网络即时管理系统。
1.作为超市、餐饮、专卖连锁的管理者,需要对整个企业的采购、库存、销售(零售、批发)客户资料、进行全方位的精细化管理;而精细化管理必须以数据报表作为支撑;
2.作为超市、餐饮、专卖连锁的管理者,需要对整个企业的采购、库存、销售(零售、批发)客户资料、进行全方位的精细化管理;而精细化管理必须以数据报表作为支撑;
安装了POS机,营业额一般会增加20%!电子支付,正日益成为人们日常生活中不可或缺的组成部分。在这一巨大需求面前,国内主流金融POS厂商加速驶入发展的“快车道”。
目前,POS行业已进入***稳定增长期***。从POS终端的覆盖率来看,我国人均拥有POS机数量远低于国外,市场空间广阔。数据显示,中国每万人所拥有的POS机是13.7台,在美国这一数字跃升至179台,而在韩国则高达625台。
中国人民银行日益加快了银行卡产业的升级,2015年前银行磁条卡将全部更换IC卡,金融IC卡步入了快速、规模化的发展阶段。随着银行卡换“芯”,POS厂商面临新的考量:在安全方面,要求具备符合PBOC2.0和EMV2000规范的IC卡读卡器,整机安全(包括终端主机和密码键盘)得到高度重视———除了公众熟知的密码键盘外,凡是涉及到敏感信息的存储、处理与传输的各个环节,都应是安全模块。
随着银行卡受理市场的逐渐成熟 ,收单业务收益也逐步增长,银行出于提高自身竞争力考虑或为了将收单业务作为新的利润增长点,都不同程度地加大了对收单市场的投入。
银行卡业务是一个有机的整体,收单业务作为其中一个分支对卡业务的全面发展有相当作用,而其他的卡业务的发展反过来也能推动收单业务的进程。以收单业务与发卡业务为例,银行抢占收单市场,除了为获取这部分收单收益外,更主要是为了进一步完善银行卡功能、改善银行卡用卡环境,进而促进银行卡发卡量的增长。简单来讲,收单业务算是银行卡的一项“售后服务”,能比较直接地给予持有卡人顺畅、便捷的用卡体验,达到增加发卡、促其用卡的最终效果。
为了实现零售业务的跨越式发展,要求在初级阶段尽可能多的累积基础客户,做大零售业务规模。虽然从目前来看POS收单是一项微利业务,带给银行的直接利益并不明显,但是由它带给来的不断改善的用卡环境,以及不断壮大的零售客户基础,依然是发展零售业务的宝贵财富。
指风险控制,一般的金融机构和支付公司都设有此种职位,主要采取各种措施和方法,消灭和减少风险事件发生的各种个能行,或者减少风险事件发生时造成的损失。基本方式是:风险回避、止损控制、风险转移和风险保留。
指收单方或银联或银行对于有争议或有风险的交易有疑问,需要调取原始交易凭证证明持卡人当时的真实交易场景,确认消费或进行责任划分凭证。常见情况是收单方要求POS机商户提交某时间段的某些交易小票,在一定的工作日之内,此交易金暂时冻结,确认后予以重新打款。
代理商,收单机构,发卡行,银联均可以发起调单,通常是按照其“风控标准’发起的“疑似风险交易”,比如:在非营业时间进行的交易,单卡交易过于频繁,单卡交易金额过大,存在移机交易行为等其他交易异常情况。
根据中国银联的相关要求,为了保证持卡人的用卡安全,持有信用卡的用户必须在自己卡片的后面签上自己的名字。根据相关规定,持卡人在刷卡后,商户一定要仔细核对银行卡上的姓名与刷卡人签名是否保持一致,如果不一致,可以取消此笔交易或发起调单不承认。若是商户不按照要求进行操作,可能会影响到刷卡人的交易资金结算。
在刷卡消费后,消费者需要妥善保管交易小票,作为交易的凭证,以便日后银联等监管机构进行抽查时,证明交易的真实性。如刷卡人在消费后未作保留pos机打印小票,或丢失小票,又或是因其他原因而损毁,则需要填写消费者真实交易确认单。
伪卡是指不是银行卡本人所使用的银行卡而是不法份子通过其技术手段复制出原卡信息进行违法刷卡套现的卡。这些假卡多见于磁条卡,芯片卡是很难被复制的,基本可以说不能。
芯片卡内有一部分存储区域是不能被随便读取的,是每张卡片特有的,就算复制卡片,这片区域内的数据是不能被读取出来;做交易的时候有一个动态验证,需要终端向卡片发送随机数指令,卡片用卡内的私钥对收到的数据加上卡片内其他数据做加密运算,产生一个动态的证书,返回给终端,终端用卡片公钥解密,解密出来的数据如果格式符合银联标准的规定,才能交易成功。
一笔刷卡交易,在POS机上操作成功,在随后的联机过程中,由于POS机与银联结算中心在数据传输过程中发生故障,系统主机端没有返回交易成功提示,终端不能确定此笔交易是否成功,则重新向主机发送请求取消该笔交易的流水,主机收到请求则回滚交易,此交易金额成功冲正退回,需要重新刷卡交易,如冲正不成功,此交易会被视为失败交易,但交易发起方的账户已被划拨扣款,退款需要联系POS机提供方或收单方客服进行人工冲正将交易金退回持卡人消费的账户。
中国银联股份有限公司,总部设在上海。中国银联是中国银行卡联合组织,通过银联跨行交易清算系统,实现商业银行系统间的互联互通和资源共享,保证银行卡跨行、跨地区和跨境的使用。有152个股东,十余个子公司,是支付机构,更是唯一的清算组织。分别是银联国际、银联商务、银联数据服务、银联电子支付、银行卡检测中心和中金金融认证中心。
除了前述部门、各地区公司外,银联还有一个重要构成:包括广州银联网络支付、上海银联电子支付、深圳市银联金融网络、北京银联商务、上海银联商务、宁波银联商务、广东银联商务、北京数字王府井科技等8家子公司。除此之外,银联下属5家均没有下设子公司。
银联商务有限公司是中国银联有限公司的子公司,银联商务主要做银行卡收单和专业化服务。“在这里银联既是清算机构,又是支付机构。”曾担任银联要职,现在一家三方支付公司任职的知情人士表示。银联商务主要负责线下业务,线上支付银联也有涉及,子公司银联电子支付主要就负责这一块。
另外,银联商务下属子公司还有涉及网络支付、电子支付,实际上涵盖了整个支付链条。目前银联商务是国内线下银行卡收单市场占有率最大的一家第三方支付机构。
就我们POS行业来说,所有通过POS交易的金额款项,没有到账之前都叫备付金,字面意思就是准备支付的现金。第三方支付机构的客户备付金,是指支付机构为办理客户委托的支付业务而实际收到的预收待付货币资金。
任何单位和个人不得擅自挪用,占用,借用客户备付金,不得擅自以客户备付金为他人提供担保。支付机构需要在拥有资质的专业银行开设备付金账户,账户体系有存管账户,收付账户,汇缴账户。
支付产业链构成中,为了连接银行、商户、和消费者,出现了收单—转接—清算这种模式。而银联拥有支付跨行清算系统,收单机构如果要跟每家银行都连接的话,技术和物力成本相当高,而鉴于银联在银行间的优势,市场就基本接受了银联一家转接机构。
作为霸主,银联不允许第三方支付公司的线下收单业务绕开银联直连银行,有部分绕开的,或者违规套码跳码赚取差价利润的就予以追偿。对于无法核实商户真实性的所有交易,按照一般类手续费补足差价。
但中国银联股份有限公司作为一家商业化公司是否有资格对其他商业化公司进行处罚,在法律上这种追偿做法是毫无法律依据的,只是作为市场垄断机构的霸王条款而已。
银行卡清算是指银行卡持卡人用卡消费或是缴费等交易后,银行与银行、银行与受理卡片的商家之间的资金结算、转账的过程。清算包括本行对本行,也包括本行对他行,还包括银行对商户,商户对银行等。
银行卡清算是指银行卡持卡人用卡消费或是缴费等交易后,银行与银行、银行与受理卡片的商家之间的资金结算、转账的过程。清算包括本行对本行,也包括本行对他行,还包括银行对商户,商户对银行等。
在第三方支付平台完成对上游机构(银行、银联等金融机构或渠道)、商户/用户账务历史的清分、对账。
由于结算对象的收款银行形形色色,涉及不同的银行;同时结算的资金额度也不同,有低于五万的,有上百万的。不可能通过单一的渠道完成。一般第三方支付的代付渠道有如下一些类别:
需要强调的是,央行的大小额系统、超级网银并不直接开放给第三方支付,第三方支付只能通过与银行等金融机构的合作来获得。
从能够获得的渠道资源(例如免费使用超级网银)、渠道成本、存款利息等因素综合考虑,选择一家能够银行作为存管行。
在不同的银行设立收付户,将跨行转账尽量变为同行转账。例如用户甲通过第三方支付从招行转账给用户乙在工行的账户300元,则:
第三方支付平台通过调用工行接口(例如银企直连),从工行的自有资金账户/备付金账户转账300元给用户乙。
第三方支付在结算出款时候,一般会组合以上渠道进行代付,按照金额、成本、到账时间、成功率、收款银行等要素进行路由,因此银行渠道路由系统是所有第三方支付核心的系统之一。
中国银联一直是中国清算市场的霸主,2015年6月国务院发布(国务院关于实施银行卡清算机构准入管理的决定),此决定意味着银联被打破了其垄断地位。
MPOS是新型支付产品,与手机、平板电脑等通用智能移动设备进行连接,通过互联网进行信息传输,外接设备完成卡片读取、PIN输入、数据加解密、提示信息显示等操作,从而实现支付功能的应用。由通过移动通讯设备(含所搭载的支付应用软件)进行商户收银操作,由外接专用受理终端完成银联卡相关信息的采集和加密,通过移动通讯设备与后台处理系统交互完成交易。
mPOS其实并不单指某个终端,而是一个整体概念,包括终端设备和支付应用软件。是指通过移动通讯设备进行商户收银操作,由外接专用受理终端完成银联卡相关信息的采集和加密,通过移动通讯设备与后台处理系统交互完成交易,这一过程涉及的前端专用软硬件设备总称为mPOS。
传统POS较mPOS相比价格要高出许多。安全性虽然没话说,但是这略高的价格也多少会令一些小本经营的商户望而却步。mPOS的价格只有传统POS的1/3,对于小本经营商户而言无疑是一个性价比较高的选择。
传统POS操作界面相对比较简单,功能较为单一。mPOS由于与APP应用进行结合,提供了图形化的操作界面,交易查询、分析一目了然。
做mpos的大多数公司开始转行做聚合支付了,因为聚合支付开发成本低,不需要支付牌照。支付的通道 也多,用户可以方便灵活使用。一个手机下载一个app就可以了。
自从“自选商户”关闭之后,很多品牌的POS机都出现各种跳码现象,市面上相继出现了一些“普通类商户”和“优质类商户”,所谓普通类商户我相信大家都知道,商户都是随机的定位的,这种商户我觉得养卡的就不要选择用这类商户了,“优质类商户”虽说不会随便跳,但是依然会出现一些条异地的现象。
有些支付公司在遇到客户提出跳码现象一会,也会作出相应的解决办法,那就是提供是哪个户编号进行优化处理,那有的人就想问了,为什么能够把某一台机具做优化而不直接把所有的机具直接优化了呢?优化的机子是不是就不会出现跳码的现象了呢?
所谓跳码,就是刷卡的时候,人在四川,刷卡刷出来的商户地址是在广东,这就是跳码,话说回来,刷卡跳异地有没有什么影响呢?
银行的在信用卡刷卡方面赚取的利益是通过手续费来实现的,手续费是逐利的。当银行觉得你的刷卡行为经常性使他无利可图,银行就会做出行动,先对持卡人的记录做出排查。被发现后,银行会降低持卡人的信用卡额度,既然你让我无法获得利益,我就将你的额度收回,放给其他客户。严重时,直接封卡都是有可能的。
跳码行为是容易触碰银行的风控系统,这种行为在风控系统下可能被误认为是套现行为,轻则降额封卡,重则影响个人征信。
如果前两种情况都没有出现,那么就是商户套取的手续费也不是很多,毕竟这种行为是遏制不了的,银行睁一只眼,闭一只眼,只要商户不是很过分,或者还未监测到。但是这并不代表对持卡人没有影响,它会给持卡人以后去银行申请提额时增加难度。
刷卡跳异地现象主要是由支付公司引起的,出现跳码的POS机在经过优化之后也不是百分之百可以信任的,优化之后的POS机自己可以刷小额试一下,如果还是那种情况,我劝大家还是换其他选择吧!
