Verifica della proprietà della carta di credito

4

Quando viene effettuata una transazione con carta di credito fraudolenta CNP (Card Not Present), il commerciante è responsabile del chargeback.

Per questo motivo, la nostra azienda ha implementato una politica in cui chiediamo una foto della carta del cliente che mostri solo le ultime 4 cifre prima di cancellare il pagamento. Chiediamo loro di inviarlo via e-mail che ritengo sia un rischio per la sicurezza perché potrebbe non essere criptato.

La nostra azienda fornisce servizi finanziari forniti elettronicamente. Quindi chiediamo solo l'indirizzo di fatturazione, non consegniamo mai beni fisici.

Qual è l'approccio migliore per verificare la proprietà delle carte? (conforme allo standard PCI-DSS)

    
posta programmer_guy 13.01.2015 - 22:49
fonte

2 risposte

8

Suggerirei l'implementazione di Verified by Visa e Mastercard 3DSecure.

Chiedi al tuo acquirente di abilitare questi servizi sul tuo account commerciante. Questi 2 servizi trasferiranno la responsabilità al cliente a condizione che sia passata l'autenticazione VBV / 3DS corretta / autenticazione OTP.

Puoi anche scegliere di rifiutare le carte che non hanno VBV / 3D abilitato, oppure puoi passare quelle transazioni e prendere il rischio di chargeback.

Se i servizi finanziari forniti dall'utente sono "utilizzabili" in un paese specifico a causa di leggi e simili, ti suggerisco di inserire un blocco geoIP sul tuo sito e anche di chiedere al tuo acquirente (o di configurarlo nel pannello di controllo del tuo commerciante se forniscono tale servizio) per bloccare, si accettano solo le carte emesse nel paese X.

Se si desidera utilizzare anche AVS (Address Verification System), suggerire all'utente di inserire il proprio indirizzo di fatturazione al momento dell'iscrizione, quindi si invia un indirizzo fisico con un codice one-time necessario per attivare l'account . Quindi è possibile utilizzare solo questo indirizzo di fatturazione. La modifica dell'indirizzo di fatturazione disattiva l'account e invia un nuovo codice snail-mail al nuovo indirizzo. Ciò inoltre aggiunge convenienza al cliente (non ha bisogno di inserire il suo indirizzo di fatturazione per tutto il tempo), controllabilità (avete un vero indirizzo per il cliente da consegnare alla polizia in caso di frode) e sicurezza (dal momento che l'indirizzo è sia verificato da snail-mail sia contro la carta di credito).

    
risposta data 13.01.2015 - 22:57
fonte
2

Questo dovrebbe essere un commento, ma stava diventando un po 'lungo ....

Penso che avrei potuto simulare una foto del genere in circa 30 minuti fino a un livello in cui avrebbe dovuto individuare un competente esperto di analisi forense. Non ho abilità / strumenti specialistici.

E sembri essere confuso su ciò che stai cercando di proteggere qui. Si tratta di una perdita nel trasferimento delle ultime 4 cifre della carta di credito non crittografate, ma è molto minore. Ed è ortogonale alla minaccia che stai tentando di risolvere (cioè verificando la proprietà della carta).

Quindi non penso che quello che stai facendo stia aggiungendo alcun valore, ma non penso che faccia alcun danno significativo.

"chiediamo solo l'indirizzo di fatturazione" - ma ci sono molte altre informazioni che è possibile utilizzare per identificare la frode - IP di origine, intestazioni HTTP, agente utente, prodotto richiesto, ora del giorno, schemi di navigazione. E potresti facilmente aggiungere ulteriori acquisizioni come indirizzo email veritiero, impronta digitale del browser. Sebbene questi non impediscano la prima istanza di una frode, possono essere utilizzati per prevenire frodi ricorrenti.

    
risposta data 14.01.2015 - 13:06
fonte

Leggi altre domande sui tag