发卡业务为个人和企业提供支付卡(虚拟卡/实体卡),持卡人可在全球消费。本文详解卡产品、BIN管理、3DS认证、风控和技术实现。
发卡(Card Issuing):指银行或持牌机构向客户发行支付卡,并提供相关支付服务。
发卡机构角色:
- 发行卡片(物理卡/虚拟卡)
- 管理账户余额/信用额度
- 处理交易授权
- 提供客户服务(挂失、换卡、争议)
- 承担信用风险(信用卡)
卡组织四方模式中的位置:
消费者(持卡人)←──────→ 发卡行(Issuer)
↓ ↓
└──────────┬───────────┘
│
卡组织(Scheme)
│
┌──────────┴───────────┐
↓ ↓
商户(Merchant)←──────→ 收单行(Acquirer)
| 类型 |
特点 |
应用场景 |
发行成本 |
| 虚拟卡 |
无实体、即时生成、可设限额 |
在线订阅、广告支付、企业采购 |
极低 |
| 实体卡 |
有物理卡片、支持线下消费 |
差旅、日常消费、员工福利 |
中($2-$5/张) |
| 一次性卡 |
单次使用、用完即废 |
高风险交易、试用订阅 |
低 |
| 多币种卡 |
支持多币种账户 |
跨境消费、差旅 |
中 |
| 类型 |
资金来源 |
风险承担 |
适用 |
| 借记卡 |
关联银行账户,实时扣款 |
持卡人 |
日常消费 |
| 预付卡 |
先充值后消费 |
持卡人 |
预算控制、礼品 |
| 信用卡 |
银行授信额度 |
发卡行 |
消费分期、大额 |
| 担保卡 |
抵押存款作为额度 |
持卡人 |
信用建立 |
| 客群 |
产品特点 |
核心需求 |
| 个人消费者 |
消费返现、积分、旅行权益 |
便利、优惠、安全 |
| 企业员工 |
费用管控、报销简化、预算 |
合规、效率、透明 |
| 自由职业者 |
收入管理、税务简化 |
简单、低成本 |
| 跨境电商 |
多币种、广告支付、供应商付款 |
全球支付、汇率优化 |
| 开发者/平台 |
API发卡、白标方案 |
快速集成、定制 |
定义:卡号前6位(部分卡组织扩展到8位),标识发卡机构和卡类型。
卡号结构:
┌──────────────┬────────────────────┬──────────┐
│ BIN (6位) │ 账户标识(6-9位) │ 校验位(1位)│
│ 411111 │ 1111111111 │ 1 │
└──────────────┴────────────────────┴──────────┘
示例:
- 4xxxxx → Visa
- 51xxxx-55xxxx → Mastercard
- 34xxxx, 37xxxx → Amex
- 62xxxx → 银联
- 35xxxx → JCB
| 管理项 |
说明 |
重要性 |
| BIN申请 |
向卡组织申请新BIN |
稀缺资源,需资质 |
| BIN分配 |
按产品/地区/渠道分配 |
便于管理和报表 |
| BIN监控 |
交易成功率、欺诈率 |
异常BIN需排查 |
| BIN回收 |
停用、注销旧BIN |
避免资源浪费 |
Luhn算法(模10校验):
def luhn_check(card_number: str) -> bool:
"""验证卡号有效性"""
digits = [int(d) for d in card_number if d.isdigit()]
# 从右往左,奇数位乘以2
for i in range(len(digits) - 2, -1, -2):
digits[i] *= 2
if digits[i] > 9:
digits[i] -= 9
return sum(digits) % 10 == 0
# 测试
print(luhn_check("4111111111111111")) # True (Visa测试卡)
print(luhn_check("1234567890123456")) # False
| 特性 |
3DS 1.0 |
3DS 2.0 |
3DS 2.2 |
| 推出时间 |
2001 |
2019 |
2022 |
| 用户体验 |
跳转银行页面 |
内嵌、无跳转 |
支持Decoupled |
| 数据点 |
12个 |
120+个 |
150+个 |
| 认证方式 |
密码 |
生物识别、OTP |
推送确认 |
| 手机支持 |
差 |
原生SDK |
优化 |
| frictionless |
不支持 |
支持 |
增强 |
消费者点击支付
↓
商户收集设备/交易数据(120+字段)
↓
发送认证请求(AReq)到卡组织
↓
卡组织转发到发卡行
↓
发卡行风险评分
↓
├─ 低风险(Score < 30)
│ └── Frictionless Flow → 直接通过(无需用户操作)
│
└─ 高风险(Score > 30)
└── Challenge Flow → 用户验证(指纹/人脸/OTP)
↓
验证通过 → 返回认证结果(ARes)
验证失败 → 拒绝交易
| 类别 |
字段 |
说明 |
| 设备 |
deviceChannel |
浏览器/App/3RI |
| 设备 |
browserScreenHeight |
屏幕高度 |
| 交易 |
purchaseAmount |
交易金额 |
| 交易 |
purchaseCurrency |
交易币种 |
| 持卡人 |
cardholderName |
持卡人姓名 |
| 行为 |
challengeWindowSize |
挑战窗口大小 |
| 风险 |
threeDSRequestorAuthenticationInd |
认证指示 |
持卡人刷卡/输入卡号
↓
商户POS/网关提交授权请求
↓
收单行接收并路由到卡组织
↓
卡组织转发到发卡行
↓
发卡行检查:
├── 卡状态(是否冻结、过期)
├── 余额/额度(是否充足)
├── 风控规则(是否触发限制)
└── 3DS结果(如适用)
↓
├─ 通过 → 返回授权码(Auth Code),冻结资金
└─ 拒绝 → 返回拒绝码(如 51: 资金不足)
| 代码 |
含义 |
处理建议 |
| 00 |
批准 |
交易成功 |
| 01 |
refer to card issuer |
联系发卡行 |
| 05 |
不批准 |
拒绝,建议换卡 |
| 14 |
无效卡号 |
检查卡号输入 |
| 51 |
资金不足 |
提示余额不足 |
| 54 |
过期卡 |
提示更新卡片 |
| 57 |
不允许交易 |
卡类型不支持 |
| 65 |
活动计数超限 |
联系发卡行 |
| 类型 |
说明 |
应用场景 |
| 预授权 |
冻结资金,不实际扣款 |
酒店预订、租车押金 |
| 捕获 |
实际扣款,完成交易 |
离店结算、还车 |
| 撤销 |
取消预授权,释放资金 |
取消预订 |
| 退款 |
已捕获交易的资金退回 |
退货、取消 |
酒店预订场景:
入住:预授权 $500(冻结资金)
↓
离店:捕获 $450(实际扣款)
↓
释放剩余 $50
┌─────────────────────────────────────────────┐
│ 发卡风控三层体系 │
├─────────────────────────────────────────────┤
│ │
│ 第一层:申请风控 │
│ ├── 身份验证(KYC) │
│ ├── 信用评估(信用卡) │
│ └── 反欺诈(合成身份识别) │
│ │
│ 第二层:交易风控 │
│ ├── 实时规则引擎 │
│ ├── 机器学习模型 │
│ └── 行为生物识别 │
│ │
│ 第三层:账户管理 │
│ ├── 额度管理 │
│ ├── 异常监控 │
│ └── 催收(信用卡) │
│ │
└─────────────────────────────────────────────┘
| 规则 |
说明 |
阈值示例 |
| 单笔限额 |
单笔交易最大金额 |
虚拟卡: $10K |
| 日累计限额 |
单日累计消费上限 |
企业卡: $50K |
| 地域限制 |
允许/禁止的国家 |
只允许 US, EU |
| MCC限制 |
允许/禁止的商户类型 |
禁止赌博、加密货币 |
| 时间限制 |
允许交易的时间段 |
工作时间 |
| 频次限制 |
单位时间交易次数 |
每小时 < 10笔 |
| 特性 |
说明 |
效果 |
| 单次卡 |
一次交易后失效 |
100%防止盗刷复用 |
| 限额卡 |
预设消费上限 |
控制损失范围 |
| 商户锁定 |
绑定特定商户 |
防止跨商户盗用 |
| 时间窗口 |
设定有效期 |
过期自动失效 |
| 地理锁定 |
限定使用地区 |
防止异地盗刷 |
┌─────────────────────────────────────────────┐
│ API Gateway │
│ (开发者、商户、持卡人) │
└──────────────────┬──────────────────────────┘
│
┌──────────────┼──────────────┐
▼ ▼ ▼
┌────────┐ ┌────────┐ ┌────────┐
│ 卡管理 │ │ 交易处理 │ │ 账户管理 │
│ │ │ │ │ │
│- 发卡 │ │- 授权 │ │- 余额 │
│- 换卡 │ │- 清算 │ │- 额度 │
│- 冻结 │ │- 对账 │ │- 账单 │
│- 注销 │ │- 争议 │ │- 还款 │
└────┬───┘ └────┬───┘ └────┬───┘
│ │ │
└────────────┼────────────┘
▼
┌─────────────────┐
│ 核心账务系统 │
│ (复式记账、核算) │
└────────┬────────┘
│
┌────────────┼────────────┐
▼ ▼ ▼
┌────────┐ ┌────────┐ ┌────────┐
│ 卡组织 │ │ 银行网络 │ │ 支付网络 │
│(Visa) │ │(ACH) │ │(FPS) │
└────────┘ └────────┘ └────────┘
| 模块 |
功能 |
技术要点 |
| 卡生命周期管理 |
发卡、激活、换卡、冻结、注销 |
状态机、HSM加密 |
| 授权引擎 |
实时交易决策 |
低延迟(P99 < 100ms) |
| 清算对账 |
交易匹配、资金结算 |
日终批量、差异处理 |
| 账单系统 |
账单生成、还款管理 |
账单周期、最低还款 |
| 争议管理 |
拒付处理、证据收集 |
时限管理(120天) |
| HSM |
密钥管理、PIN加密 |
FIPS 140-2 Level 3 |
| 要求 |
标准 |
说明 |
| PCI DSS |
Level 1 |
卡数据保护 |
| HSM |
FIPS 140-2 L3 |
密钥安全 |
| 3DS |
EMVCo 规范 |
认证安全 |
| 数据加密 |
AES-256 |
传输和存储 |
| 审计日志 |
不可篡改 |
合规追溯 |
| 收入 |
说明 |
费率 |
| interchange |
卡组织分润 |
0.2%-2% |
| 年费 |
卡片年度费用 |
$0-$500 |
| 利息 |
信用卡循环信用 |
15%-25% APR |
| 滞纳金 |
逾期还款 |
$25-$40 |
| 取现费 |
ATM取现 |
3%-5% |
| 换汇费 |
跨境交易 |
1%-3% |
| 商户返佣 |
推荐商户消费 |
协议分成 |
| 成本 |
说明 |
占比 |
| 资金成本 |
信用卡垫资利息 |
30-40% |
| 欺诈损失 |
盗刷、拒付 |
5-10% |
| 运营成本 |
客服、系统 |
20-30% |
| 合规成本 |
KYC、AML、监管 |
10-15% |
| 卡组织费 |
品牌费、网络费 |
10-15% |
| 趋势 |
说明 |
影响 |
| 虚拟卡爆发 |
企业采购、订阅管理 |
实体卡需求下降 |
| 嵌入式发卡 |
SaaS/平台内嵌发卡 |
API-first模式 |
| 先买后付(BNPL) |
分期内嵌消费场景 |
信用卡替代 |
| 数字钱包 |
Apple Pay / Google Pay |
NFC支付普及 |
| 生物识别 |
指纹/人脸支付 |
3DS 2.0推动 |
| 可持续卡 |
环保材料、碳足迹追踪 |
ESG合规 |
创建时间:2026-05-29
维护者:Lucy 🐾