支付宝与校园卡业务合作的基本要求

　　第三方支付平台的资质

　　第三方支付方式虽然方便快捷，但由于当前我国电子支付方面的法律较为滞后，对第三方支付市场监管不够，法律地位和责任均不明确，第三方支付产品质量参差不齐，用户的交易安全和个人信息存在很大的风险。学校与第三方支付平台合作拓展校园卡圈存业务，首先必须选择符合资质的第三方支付平台。

　　将支付宝作为校园卡圈存业务拓展的合作伙伴，学校首先考虑的是支付宝支付平台的可信度和安全性。支付宝提供强大的担保功能，“全额赔付”策略保证交易双方的安全交易，在虚拟的网络环境和信用缺失情况下，保证了网上交易与支付的安全与可靠。

　　系统联调环境

　　为了确保合作业务的顺利实施，上海师范大学和支付宝公司双方协定了联调环境。如业务入口URL、双方服务端IP、密钥（对报文进行解密时需要使用密钥）、公钥（对方请求进行验签时使用公钥）等，并确定一卡通业务错误码、系统错误码、业务类型编码等，便于业务流程规范和问题的排查。

　　建立清算对账机制

　　建立财务结算制度。支付宝每天生成对账文件，一卡通系统通过SFTP 获取对账文件并自动与一卡通系统内的充值流水进行对账，对于有出入的充值流水将每日发送报表到指定邮箱，便于学校财务的结算工作。

　　系统运行的安全机制

　　校园卡的电子钱包功能，每年承担了数以千万计的校内消费结算，因此校园卡数据的安全问题是重中之重。

　　学校实施了严格安全机制，确保校园卡支付宝圈存业务系统各个业务环节通信和数据的安全。在校园一卡通系统的建设和管理过程中，学校在物理安全、网络安全、数据安全、财务安全、制度安全等各方面，都有明确的要求和措施。支付宝公司的支付服务提供了相对完善的信息安全策略体系、信息安全管理流程和信息安全队伍。此外，支付宝还提供了多种安全产品供用户选用，包括安全控件、数字证书、支付盾、手机动态口令、宝令等，并在后台配备先进的智能实时风险监控系统CTU，7*24 小时全天候实时监控用户账户和交易过程中的安全风险。

　　在技术层面，支付宝和学校还使用了多种先进的加密手段和方法。

　　1. 加密：师生用户使用支付宝客户端传送数据的过程全程加密，确保用户个人信息及财务信息安全。

　　2. 验证：客户端登录时验证浏览器是否正在运行安全套接字层3.0 (SSL) 或更高版本。

　　3. 密钥：信息传送过程中，受到加密密钥长度达128 位的SSL 保护。

　　4. 防火墙：学校和支付宝服务器都设防火墙，避免直接连到网络，严密保护客户信息。

　　5. 防掉单：定单消息实时、定期、多次返回机制，商户订单状态实时同步，杜绝掉单。