几个农民工趴在我身上吃奶

<legend id="ytfhh"></legend>

      1. 無憂支付網首頁
        囊括國內所有第三方支付公司信息
        為客戶提供最優質的支付接口服務
        24小時服務電話
        182 2176 9212
        站內搜索
        您當前的位置:主頁 > 支付知識 >

        淺議第三方支付平臺有效防控CNP交易風險的舉措

        添加時間:2014-05-28 13:48

          第三方支付平臺是支付中介通過電子信息手段在消費者和商家以及銀行之間搭起的一座橋梁,是消費者和商家可以方便收、付款的載體。因為是介于消費者、商戶和銀行之間。所以,這一支付方式被稱為第三方支付。隨著第三方支付平臺業務和電子商務的發展,越來越多的商戶選擇使用無卡支付(CardNotPresent,CNP)交易。本文擬從第三方支付平臺的角度分析CNP交易中存在的風險,并提出相應的風險防范措施。本文面向的讀者是第三方支付的從業人員、CNP交易風險防范的愛好者及相關研究人員。

        一、第三方支付平臺中的CNP交易流程

          CNP指消費者只需要提交信用卡號、卡有效期限、CVC2/CVV2安全碼(卡背面三位識別碼)等有效信息,不用刷卡、無需當面交易、即可完成付款的過程。因此,CNP交易又被稱為非面對面交易或者信用卡無卡支付交易。圖1為CNP交易的流程示意圖。第三方支付平臺的CNP交易方式對于消費者、商家以及銀行都具有一定優越性。對于消費者來說,可以在沒有隨身攜帶銀行卡,但持有卡信息的情況下實現付款,增強了便利性;對于商家來說,只需要與第三方支付平臺對接,而不需和多個銀行進行對接,節省了開發成本,第三方支付還可以向商家提供定制化的服務,使商家收款更加方便,結算更加及時,賬目更加清晰;對于銀行來說,第三方支付彌補了銀行對中小商家服務的不足,同時也給銀行帶來了不小的交易量。第三方支付借助信息技術為消費者和商家提供快速、便捷的資金支付和清結算服務,同時收取交易手續費來獲得收益。

        二、第三方支付平臺中CNP交易風險的表現

          任何事物都是一分為二的。CNP交易在給消費者和商家帶來便利的同時,也會增加使用者的風險。由于持卡人不需要事前在銀行開通功能,支付時只需要輸入卡號、有效期、CVV2,所以,一旦持卡人的信息保存不當、被釣魚或者卡數據泄漏,信用卡信息都會被盜卡者拿去支付,導致持卡人和商家的損失。CNP交易的主要風險有以下幾點。

          (一)欺詐風險

          由于CNP交易不需要當面刷卡交易,只要獲得卡信息就可以支付,一旦被他人得到了卡信息,就存在被他人盜用支付的風險。導致欺詐風險的主要動因和理由有:

          單位價值高的商品,如數碼產品,盜卡利益回報大;從各種途徑泄漏了大量的卡信息,如被釣魚、電腦中毒、信息保存不當等;CNP支付缺乏面對面風險防控措施;外卡跨境支付中追蹤難度較大,無法有效追溯到實施欺詐犯罪人員,欺詐風險更高。有些黑客為了證明自己的技術能力,侵入金融機構的系統盜取大量卡信息,轉賣給從事欺詐風險交易的犯罪分子。

          欺詐風險如果無法得到有效控制,將可能導致被盜卡的持卡人大量投訴,對商戶及支付機構以及發卡銀行品牌和卡組織聲譽帶來負面影響。在外卡MOTO通道下,導致大量拒付損失,通常情況下損失由商戶承擔,也可能轉移至支付機構承擔;外卡3D-Secure通道下,如果出現嚴重超標的情況,卡組織將打開拒付窗口,導致商戶及支付機構的拒付損失;卡組織對欺詐指標、拒付指標分別有要求,超過標準將進一步進行處罰,包括罰款、商戶進入黑名單、支付機構進入黑名單、禁止受理相應卡種等;內卡CNP支付欺詐風險過高可能導致銀行關閉支付通道,給支付機構造成業務上的損失。

          (二)數據安全風險

          經營電子商務的商戶,尤其是一些大的商戶,要求采用API方式(程序直接后臺對接而不是頁面跳轉)與支付機構對接,可能導致數據安全出現風險。商戶保存銀行卡號、有效期、CVV2等敏感信息,需要按銀聯ADSS、外卡PCI-DSS要求進行合規認證,否則存在違規風險,支付機構可能會受到監管機構質詢或處罰;商戶可能有意或被動泄露或者濫用銀行卡信息,會對支付機構聲譽造成極大的負面影響,也嚴重損害了整個支付行業的安全。API模式下,支付機構無法獲取商戶的各類信息,包括交易網站、訂單信息、IP等等,對交易風險和商戶失去監控和管控能力;商戶可用API接口包裝或移作它用,比如,將接口轉給其它商戶使用,甚至將API接口做二次支付,技術上無法控制和約束。

          (三)拒付風險

          對于CNP交易,作為收單機構的第三方支付平臺及商戶,較難提供有效的憑證進行再請款與仲裁,卡組織更傾向于保障發卡行與持卡人利益,甚至存在用戶已經收到貨仍然以貨不對版或者未收到貨的原因進行拒付;國際卡組織關于拒付的業務規則復雜,需相當的專業能力去理解并應用,才能有效保障支付機構和商戶的合理權益。比如,在3D-Secure模式下,欺詐率未達到卡組織的預警標準時,發卡行仍會以不正確的理由進行拒付,如對規則了解不深入,可能導致不必要的損失。內卡和外卡拒付不一樣,內卡沒有銀行和商戶共同遵循的卡組織規則,因而需要和每個發卡行單獨溝通拒付的規則。內卡支付同樣存在用戶惡意拒付的情況,但是內卡交易欺詐風險較低,拒付風險也相對較小。

        三、第三方支付平臺中的CNP交易風險防范措施

          那么,如何預防上述風險,以增強CNP交易方式的使用安全性呢?實務操作中第三方支付平臺可以采取商戶業務規則、第三方支付平臺交易過程偵測規則以及第三方支付平臺人工審核等方法來進行防范。

          (一)運用商戶業務規則

          對于有條件的商戶可以增加一些業務規則防范CNP的交易風險。

          第一,加強賬戶安全管理。用戶密碼長度至少8位以上,至少含數字、字母、特殊符號中的兩種或以上;用戶登錄應設置必要的密碼控件,預防密碼被截取;制定密碼錯誤鎖定策略,在用戶登錄過程中應設置密碼錯誤次數,在用戶密碼輸入三次錯誤后,附加額外輔助驗證方式,例如3次密碼錯誤時,會附加圖形驗證碼(圖形碼的復雜度應確保很難被自動識別),同時應制定密碼鎖定策略,例如密碼錯誤超過5次后,15分鐘內禁止登陸。

          第二,加強賬戶信息變更的管理。賬戶名、身份證號、手機號等關鍵信息必須是驗證之前填寫的信息;對于密碼等敏感信息要增加雙因素認證,如增加手機驗證、建議不要使用email找回密碼。

          第三,商戶要加強網站建設。商戶網站必須有明顯、有效的聯系方式,包括但不限于電話與電子郵件;商戶網站必須有明顯的退換貨政策;商戶網站的商品必須有明確的標價和貨幣類型;商戶網站必須公布明確的發貨方式、費用、預計到貨周期。

          第四,關注高風險的國家和地區。商戶根據歷史情況判斷風險交易高發的國家、地區、IP等,并進行相應的限制措施;識別高危的交易地點對應IP、發卡國家,限制黑名單對應的訂單使用在線支付方式。

          第五,訂單一致性檢查。商戶可以比較訂單數據的一致性,如果發現不一致,可以聯系購貨人,讓其提供卡片信息、身份信息并核對一致后再予以發貨;IP地址和收貨地址城市地區是否一致、收貨人姓名和賬戶注冊的姓名是否一致,如果核對不一致,商戶可以采取取消訂單、退款等措施避免拒付。

          第六,訂單異常。商戶可以從如下方面發現訂單數據的異常:單筆金額過大、重復多次購買相同的商品、同一個賬戶短時間內多次購買商品、同一個IP短時間內多次購買商品、收貨地址模糊,如果發現異常,可以聯系購貨人,讓其提供卡片信息、身份信息,核對一致后再予以發貨。

          (二)第三方支付平臺交易過程偵測規則

          通過風險偵測系統自動運行規則對風險交易進行識別。

          第一,頻率規則。通過一定時間內同一頻率要素多次交易的規則來識別風險。例如,同卡24小時交易成功多次。

          第二,訂單一致性的規則。通過比較訂單各要素的一致性來識別風險。例如,發卡國家和持卡人國家是否一致,持卡人姓名和收貨人姓名是否一致。

          第三,交易行為規則。通過對異常交易行為的判斷來識別風險。例如,同一個持卡人姓名多張不同的卡交易成功多次,同一張卡有不同的持卡人姓名,同一個IP有多張不同的卡交易成功多次。

          (三)第三方支付平臺人工審核

          針對系統判斷為滯留狀態的交易,審核團隊進行人工審核,目的是通過輔助的方法或工具,將可疑交易的風險因素排除,使更多的交易能夠通過,并控制合理的通過率、誤殺率、誤放率。人工審核要點如下。

          第一,外部風險偵測系統。根據外部風險偵測系統的判斷結果,輔助交易審核。

          第二,反查工具的使用。針對可疑交易的訂單或支付數據要素,通過外部工具進行反查,確認其真實性或有效性。例如賬單地址真實性反查、姓名真實性反查、電話真實性反查、關聯IP反查、關聯卡號反查。

          第三,歷史數據分析。針對銀行卡、商戶維度在支付機構的歷史交易情況,進行綜合判斷。比如,該銀行卡是否曾經存在拒付情況,該商戶是否曾經存在欺詐情況。

          第四,聯系持卡人確認交易。如果持卡人曾經在支付機構留有聯系方式,且歷史交易記錄未顯示風險特征,那么支付機構團隊直接聯系持卡人確認是否為本人交易。如果持卡人為首次在支付機構支付,那么支付機構可聯系持卡人獲取進一步身份證明資料。

          第五,聯系商戶提供證明資料。如果支付機構無法聯系到持卡人,支付機構將聯系商戶要求配合。商戶可暫停發貨;商戶通過其客服部門聯系購貨人提供進一步購貨信息;針對持卡人本人購貨的,要求提供銀行卡正反面復印件、身份證明文件;對于非持卡人本人支付的,要求提供持卡人書面授權書、銀行卡正反面復印件、持卡人身份證明文件;如果購貨人無法提供有效文件,則商戶可要求購貨人改用其他付款方式支付或者取消訂單然后退款到原來支付的銀行卡上。

          (四)退款處理

          第一,商戶退款約束。關于商戶退款的要求包括但不限于以下兩點:退款只能退還到原有銀行賬戶中;退款后要及時通知持卡人,避免由于持卡人長時間收不到退款而提起拒付。

          第二,商戶應做好退單分析管理。商戶應對退單案例進行數據統計,分析退單趨勢,從而減少退單率。

          上述第三方支付平臺的CNP交易風險防范的措施,在實踐中起到了很好的效果。某國內著名航空公司通過這些措施,外卡交易的偽冒率降低了80%,在保證了交易成功率的前提下,很好地防范了交易風險。

        几个农民工趴在我身上吃奶

        <legend id="ytfhh"></legend>