Come posso convincere i miei clienti a non inviare i dati della carta di credito via email?

Naviga le tue risposte
10

Mia moglie ed io gestiamo un'attività online. Per molto tempo avremmo accettato le carte di credito sul nostro sito web e in contanti o assegni circolari di persona. Tuttavia, col passare del tempo, mia moglie è andata a prendere la Square per processare i pagamenti con carta di credito di persona e ai nostri clienti piace molto.

A causa della natura della nostra attività (gran parte dei mobili è personalizzata) non prendiamo in anticipo l'intero pagamento. Potremmo autorizzare un importo, catturare il 60%, e quando arrivano le merci, ri-autorizziamo per il restante 40%. Questo è abbastanza standard e funziona bene. Tranne che alcune persone non sono entusiaste di incontrarsi di persona per il restante 40% e non abbiamo la possibilità di gestire quel 40% in più attraverso il nostro sito web (ci si aspetterebbe un nuovo ordine).

Ho notato che alcuni dei clienti hanno inviato tali dettagli tramite e-mail. Alcuni erano cauti, inviando il numero e le date / codice cvv da indirizzi email separati. Altri non così tanto. In ogni caso, è non una pratica stellare . L'ho portato a mia moglie ieri sera, e lei non ha davvero capito perché stavo facendo un grosso problema al riguardo - dopotutto, lei cancella l'e-mail non appena è stata elaborata. Ho detto "cosa succede se hai perso il telefono oggi?" e ha fatto clic sul fatto che essere insicuri per "solo pochi giorni" non va bene, specialmente se quasi sempre ci si trova nella fase "solo pochi giorni" con qualcuno .

Allo stesso tempo, sarebbe una pratica piuttosto scarsa dire "Non possiamo fare questa cosa che è super conveniente per te perché non possiamo fidarci di mia moglie per non perdere il suo telefono". - Questo è fondamentalmente ciò che i nostri clienti avrebbero sentito. Quindi, tenendo presente che non possiamo fare affidamento sul fatto che i nostri clienti siano esperti di tecnologia, cosa posso usare come leva per convincere i miei clienti a non rivelare i dati della loro carta di credito via email?

Ho letto questo su email non richieste ma le raccomandazioni sono vaghe - "istituire una politica", va bene. * mani d'incoraggiamento * non accettiamo più queste e-mail. Ma, quando discutiamo per la prima volta dei termini di pagamento, è probabile che chiedano "Posso inviarti i miei dati CC via email" e quando diciamo di no, loro chiederanno "perché no"? Cosa posso dire loro che non ci fa apparire irresponsabili e li convince che sarebbe meglio farlo di persona con uno swipe reale, o se deve essere remoto, chiamarci e possiamo inserirlo mentre siamo in chiamata e non ha mai bisogno di essere registrato da nessuna parte?

    
posta corsiKa 18.06.2014 - 21:20
fonte

4 risposte

5

È molto semplice, quando stai prendendo i dati della carta di credito significa che devi essere conforme con PCI-DSS essere un commerciante Ora per far capire ai tuoi clienti questo è necessario spiegare loro che semplicemente non è possibile prendere i dettagli della carta di credito tramite e-mail. Si prega di rifiutarlo, riconoscere che è fastidioso ma necessario e distruggere immediatamente l'e-mail.

Non è consentito archiviare o accettare i dati della carta di credito tranne quando è conforme agli standard indicati nel documento allegato. Se lo fai, puoi essere responsabile per qualsiasi frode con carta di credito che proviene da una carta di credito trapelata attraverso la tua attività.

Puoi anche spiegare ai tuoi clienti che non devono mai inviare i dettagli della carta di credito via e-mail in quanto ciò potrebbe essere considerato un atto contro la doppia diligenza (di cui i clienti devono tener conto anche).

Un modo per risolvere questo è solo consentire pagamenti con carta di credito attraverso i terminali bancari o attraverso un gateway di pagamento come PayPal. Questi si prenderanno cura del problema di responsabilità.

    
risposta data 18.06.2014 - 22:56
fonte
1

Un servizio come paypal è fuori questione? Ciò consentirebbe loro di inviarti il resto del saldo direttamente senza inviare loro le informazioni CC. Ci sarà una tassa associata, ma penserei che valga la sicurezza aggiuntiva e la tranquillità.

Oltre a tenere le informazioni CC fuori dalla tua casella di posta (che stai eliminando), la tiene anche fuori dalla casella dei clienti SENT. (che probabilmente non stanno cancellando)

Aggiorna

Sebbeneciònonrispondainmodospecificoallatuadomanda,ritengochesialasoluzionedel"gioco finale" in contrasto con una soluzione.

Significherebbe modifiche al tuo sito web / app per dispositivi mobili.

Esamina:

link (mobile)

link (API Web)

Ciò consentirà al cliente di pagare la parte anticipata della fattura, consentendo al contempo di addebitare il resto in una data futura.

    
risposta data 18.06.2014 - 22:12
fonte
0

Se fossi in me, inizierei inviando una gentile e-mail affermando o spiegando loro di persona che apprezzate la loro attività. Tuttavia, a causa della natura insicura delle e-mail, che possono essere intercettate ( vedi Wikipedia sulle e-mail inviate senza crittografia ) che è in entrambi i tuoi migliori interessi, non inviare i dati via email, poiché qualcun altro potrebbe leggere i dati e fare acquisti fradicanti. Spiegherei anche che non memorizzi i dati delle carte di credito a causa della conformità PCI e che gestisci le carte di credito da terze parti.

Inoltre, è possibile allegare un PDF crittografato (la mia azienda di servizi di pubblica utilità lo fa) e inviarlo a loro che potrebbe essere solo la password del proprio codice di avviamento postale o un altro mezzo di identificazione. So che è possibile avere il PDF inviare le informazioni di pagamento. Puoi trovare diverse guide su come integrare un pulsante PayPal su di loro o vedere il mio link su Stirata qui sotto. In questo modo i tuoi clienti possono comunque pagare "via email" ma non dovrai ricevere direttamente i dati della loro carta di credito.

Aggiornamento: Sembra che la mia società di servizi utilizzi Striata per la loro soluzione di fatturazione in PDF.

    
risposta data 18.06.2014 - 23:28
fonte
-3

Ci sono 2 problemi qui. Il primo è che sei disposto ad assumerti la responsabilità di ciò che fa un cliente non così brillante. L'altro è bene che alcuni clienti non siano brillanti.

Lascia che ti dica come gestirlo. Quando si riceve per la prima volta l'indirizzo e-mail dal cliente, si inviano loro e-mail ringraziandoli per la propria attività e proprio lì in grassetto si può dire loro di pagare solo tramite un sito Web o di persona e non tramite e-mail. Se in futuro ti mandano ancora un messaggio di posta elettronica, allora sei coperto perché li hai avvertiti.

Se inavvertitamente un nuovo cliente ti invia il CC tramite e-mail, ringraziali e invitali a farlo tramite il sito web o di persona la prossima volta perché il loro ISP o la connessione Internet non sono sicuri. Nota che non ho detto che il telefono di tua moglie non è sicuro.

    
risposta data 18.06.2014 - 21:31
fonte

Leggi altre domande sui tag

Vale la pena aumentare l'entropia / dev / random nel software? Quali sono alcune buone analogie per descrivere i vantaggi di un strong programma di sicurezza?