Лучшие практики электронной коммерции: сколько информации слишком много для отклоненных кредитных карт?

Question

Мои коллеги спорят о том, насколько конкретно следует принимать транзакции по кредитным картам, которые были отклонены. Мы получаем много подробностей о транзакциях от нашего процессора карт и пытаемся решить, сколько информации передать пользователю.

Например, вы говорите пользователю, что его карта была отклонена, потому что срок ее действия истек или номер CCV неверен, или в этом слишком много возможностей для мошенничества? И когда мы возвращаем пользователя на страницу, где он предоставляет данные платежа, мы предварительно заполняем поля данными, которые они вводили ранее, или нет?

Answer 1

Я участвовал в обзоре соответствия PCI около 4 лет назад, и тогда политика заключалась в том, чтобы просто вернуть принятый или отклоненный и идентификатор транзакции пользователю. Если транзакция была отклонена, мы добавили примечание «Для получения дополнительной информации свяжитесь с поставщиком кредитной карты и укажите этот номер ...».

Причина заключается в том, что если кто-то пытается сгенерировать номера карт, вы не хотите предоставлять им какую-либо информацию о том, что нужно изменить, чтобы получить действительную карту. Если это реальный человек, существует слишком много вещей, которые могут не сработать с транзакцией, которую вы не можете исправить, просто скажите им, чтобы они связались с провайдером своей карты. Даже если ответом на транзакцию является «Срок действия карты истек», это может быть что-то другое, вы не знаете, поэтому не догадайтесь.

Также, если вы вернетесь на страницу с полями оплаты, не заполняйте их, оставьте их пустыми. Клиенты могут стать параноиками, думая: «Эй, эта штука запоминает информацию о моей кредитной карте !?» Наиболее вероятная причина, по которой карта была отклонена, заключается в том, что они ввели что-то неправильно, и, предварительно заполнив ее неверной информацией, вы просто заставляете их нажимать кнопку Отправить снова и снова, пока их кредитный лимит не будет превышен. Был там, сделал это.

Answer 2

В прошлом я давал как можно больше информации и помогал кому-то легко исправить. Не хочу останавливать потенциальную продажу (или в моем случае пожертвование). Что касается борьбы с мошенничеством, не пытайтесь бороться с ним, надеясь, что вхождение их в неверный номер CCV замедлит их, разобраться с этим другими способами, например, отслеживать, как часто сеанс пытается обработать карту (и неуспешно), если это слишком много раз за X, занесите их в черный список. Это отдельный вопрос.

Answer 3

В прошлом я пытался быть как можно более общим. Например, если вы скажете, что номер CVV2 неверен. Конечно, это помогает действительному владельцу карты, сообщая ему, что это CVV2, который является неправильным. Это также позволяет нежелательному узнать, что номер кредитной карты IS правильный. Если они продолжают терпеть неудачу, возможно, вы предлагаете им связаться с кем-то.

Когда вы говорите о предварительном заполнении полей, говорите о том, что после того, как они потерпели неудачу и повторите попытку, или в совершенно отдельном случае?

Если это после того, как они потерпели неудачу, мне кажется, что безопасный способ сделать это - не отображать их снова, но вам нужно убедиться, что они не могут нажать назад и получить ту же информацию, в противном случае Нет смысла. Впрочем, это не так важно.

Если вы говорите о совершенно другом случае, вам нужно где-то хранить эту информацию. Если это на ваших серверах, я предлагаю вам взглянуть на PCI-DSS . Даже если вы просто передаете данные на шлюз, вы обязаны соблюдать требования.