妈蛋,早上7点了还睡不着。。真该去回答下那个失眠的问题了。。爬起来继续码字~
本人在美国有过两次网上帐户被盗用的经历,再加上最近正在弄电子商务网站,从消费者和商户两头都刚好可以讨论下。声明本人不是在金融相关行业或银行业工作,只是个混在美国想创业的现大龄失业女青年一枚。答案仅限于本人目前经历,如有不专业的地方还请专业人士打脸~
把结论放前面吧。没耐心看的人 可以pass 掉后面流程和细节,留下辛苦写了几个小时的我独自在角落里画圈圈也是没有关系的呢~(酸)
---------------混歌先----------------------
涉及到的机构: 1. Merchant service 服务商:提供支持信用卡支付的全套解决方案,一般都会有保险支持。
2.Payment Gateway:提供支付通道
3.Merchant service 服务关联 银行:客户的付款先进这个银行,再从该银行支付到商户账户。通常由服务商指定。有风控会检查可疑交易。
以上三者有时候可以是一体的,比如一些银行就可以全部充当以上三种角色。
4.信用卡发卡组织:Visa,Master,AMEX 等,他们会负责部分安全认证的工作,比如 AVS。
5.PCI Compliance 安全认证提供商:负责根据Payment Card Industry 设立的一系列Data Security Standard 对商户的网络安全环境进行认证,提供网络安全保险。
6.电子商务网站平台/ 电子商务解决方案提供商:有的电子商务解决方案提供商可以充当1,2的角色,但申请要求比较高,比如必须是美国公民或只支持境内卡等。
7.SSL Certificates认证提供商:对购物平台的数据传输提供经过认证的加密。有的电子商务解决方案提供商也会提供该项服务,灰常贴心,费用也不少收。。
写了这么多,总结下:
1. 可以确定的是,如果发生盗刷,绝对不止涉及银行和客户两方面。以上列出的所有机构都要举证说明自己无过错。任何一方无法证明自己无过错,都要承担相应责任。当然可以肯定的是最后赔付的肯定都是各机构的保险公司。 2.如果无法证明客户是恶意撤单,基本不会要客户举证并承担相应责任。举证的主要方还是在商户。因为是商户要求增加信用卡支付功能以提高自己的竞争力,进而提高销售额,则必然要承担更多责任。 3.本着客户是上帝的原则,商户和银行会在各个环节加强安全保障,而不是增加客户的负担。 4.当然,能这样客观处理主要还是基于美国有一套成熟的信用体系和保险机制。 ---------------继续混歌----------------------
先从商户如何能支持信用卡支付说起吧。
1.首先,美国的公司(不论是否是电子商务的),只要想支持credit card/debit card 支付,都要找merchant service provider开merchant account, 中文不知怎么译。merchant service的提供商可以是银行,也可以是其他有资质的专业金融服务商。这样的金融服务商非常多,但走的支付通道(payment gateway)就是有限的几十家。具体他们之间的关系就只有专业人士来细说了。举个栗子, 我现在的merchant service 服务商,就称他为N吧,他们的payment gateway走的就是usaepay,而服务银行是Wells Fargo, 而实际上Wells Fargo自己也提供merchant service,他们之间的关系我现在还有点脑乱。。
2. 找到了Merchant service 服务商,完成一堆问卷调查和电话调查,填个申请表,等服务商风险部门审批。一般的服务商那里,只要你是正规在美国注册的公司且无不良信用记录,不管规模大小或成立时间长短,基本都能通过,但服务费用略高。大的服务商或银行审批门槛高些,但付合条件的商户可以得到优惠得多的服务费折扣。
3.说说服务费。不同商户服务费报价相差会很远,这里面猫腻很多。几大国际信用卡组织(visa,master和AMEX等)收的费用大概在2%-3%,不同的卡略有区别,这部分基本有详细的收费标准,可在各组织网上查到,这部分是照实收。服务商收的费用就五花八门了,固定费用如月费,报告费,单笔手续费和认证费等等,此外再收刷卡金额的0.3%-3%作为手续费,英文叫Discounted Rate. 对,这个区间就是这么大,这其中对应的就是不同风险级别的支付行为。最安全的行为是客户持美国境内的卡,在POS机上(通常是由服务商提供的 POS 机)由本人持卡刷(看签单),这种行为安全级别最高,收的费用最低,大概0.3-0.5%,需实物终端机支持。接下来比如是电子商务,由客户自己在网络终端输入卡信息,服务商收的费用要比上面那种多百分之零点几。最次的情况是由商户通过其它途径获取客户卡信息(email,电话等),由商户自己在payment gateway 提供的虚拟终端上手动输入卡信息,这样的行为风险最高,收的费用大概在1.5%。如果客户的卡是境外卡,费用再加收0.5%左右。这样算下来(加上卡组织收的费用)最安全的支付行为只用收2.5%左右,而最不安全的支付行为商户要支付将近5%的费用。
顺便吐个槽,美帝人民很不厚道,报价时虽然不会骗人,但费用各种隐瞒,要细问才挤牙膏样告诉你还有什么什么什么,等你反应过来坑都挖好了~要细说的话就是个和米国奸商斗智斗勇的感人事迹~
4. 再说说服务商收的其他费用。以上说的Discounted Rate』是和支付行为的安全程度挂钩的,其实就有保险的意味在里面。另外,有的服务商还会按月收『Breach Protection Fee』(每个月10美元左右)以及按年收『PCI Compliance Fee』(每年120美元左右,各家收费标准不同)。这两个费用都是和 PCI 相关的。PCI Compliance 就是由 Payment Card Industry 设立的一系列Data Security Standard ,如果商户通过了PCI Compliance 认证,则服务商可免收『PCI Compliance Fee』。但 PCI Compliance 认证是由专业的PCI 相关安全服务公司提供的,他们的年费也要收110美元左右。。。。(各家收费依然不同)。 PCI 安全服务提供商根据 PCI DSS 设立一系列标准问卷,并根据商户的反馈把商户分成1-4个层级,针对不同层级的商户设立不同的安全标准。比如网络支付的话,他们会定期扫描商户常用 IP 并对该 IP 地址的安全性进行评估,如果评估通过了证明网络安全有保障,这个『PCI Compliance Fee』服务商才能免收。最重要的是,PCI 安全服务提供商提供保险!一般保额都是10万美元。就是说如果商户通过了他们的PCI Compliance 认证,但还是被黑客通过网络盗取了最终用户的信用卡信息,由此造成的损失商户可以得到相应赔偿。
值得一提的是,『PCI Compliance Fee』不是每个服务商都会列在收费明细里,这个是猫腻之一。。据我观察,凡是不收月服务费的服务商,前期报价里即使没有这个费用,最后的合同里不起眼的地方也会加上这个费用,或者干脆等到要收的时候再告诉你,谁让你自己不去做PCI Compliance认证的。。一般收月费的服务商都不会再单收这个费用,已经包含在月费里了,但都要仔细问啊亲们~
5. 再来说说电子商务网站。不管是自己架站,还是找在线的电子商务解决方案提供商(如 Shopify 或 Volusion 等),如果要想实现客户在线提交订单的时候实时扣款,都需要网站后台和Merchant Service 服务商提供的 payment gateway 直接挂钩,客户的信用卡信息直接提交到 payment gateway, 商户不储存客户卡片信息,也无法看到详细的客户的信用卡信息。这种情况安全级别也相对较高。另外一种情况不是实时扣款的,一般客户提交的信用卡信息都在商户处,商户按批提交到Merchant Service 服务商的终端(最弱的情况是手工输入。。),这种情况安全性要相对差一些。不管怎么,客户的信用卡信息一旦要通过网络传输,该网站就最好要有 SSL Certificates(有的电子商务解决方案提供商是强制要求的)。 这里又来了一个SSL Certificates的认证提供商。。。有名的SSL 提供商包括Symantec,Comodo等,主要是将网络传输的数据进行加密。如果自己架站也可以自己做 SSL,但如果不是 Certificated SSL 的话,操作系统就会跳出『该网站不靠谱,你是否信任这个网站』之类的信息,谨慎的老美用户很多情况下就会选择放弃了。这个认证的费用从几美元一年到几百美元一年不等。。。
6. 如果客户是邮件订货或电话订货呢? 通常情况下是商户通过 Email 或电话获得客户信用卡信息后,通过payment gateway 的虚拟终端『Virtual Terminal』手工输入客户的信用卡信息并提交。必填的信息是卡号,用户名,有效期,卡背面的 CVV 码可以勾选『允许不匹配』,账单地址可空,其他选填的订单信息包括客户代码,订单号,发票号,PO 号和订单备注等等。原则上说只要有卡号,用户名,有效期就可以 charge 你的卡了,但如果 CVV 码勾选了"可以不匹配",这个支付行为就会被Merchant service 服务商的风评部门高度怀疑,可能会被收取额外的手续费或拒收。账单地址可空是因为有的境外卡因为语言不通的原因通常会通不过 AVS 认证(Address Verification System),很多商户会选择留空。也可以设置必须AVS匹配,安全性更高,这样的网站一般不支持境外卡支付。 其他的订单信息虽然说不是必填的,但如果出现盗刷,而商户无法提供可追溯的订单信息,这个责任就是100%商户承担了。而且订单信息空白而金额异常的交易,一般也会被Merchant service 服务商的风评部门拒收。
————————还混————————————————————————————————
好了,现在进入正题。。。如果支付账户/信用卡被盗用了肿么办? 从客户和商户两方面来看:
A. 客户:
1.如果你在这笔款的刷卡商户处有帐号且有过购物记录,最好及时联系商户声明此单不是你下的,要求撤单。商家一般会有些标准问题询问,如基本可确定是盗刷,(刷卡地或送货地和用户常住地不一致等),商户会马上先给予返款并帮你重设账户和密码。然后就没你事儿了。
2.如果你不认识这个商户,则立即给发卡银行打电话说这笔款不是你刷的,要求撤销支付。银行会去进行调查,但举证的责任在商户,没你什么事儿。就是说刷卡商户必须能举证这个订单确实是你下的。最后款肯定会退还,具体多久能退没有概念,没具体经历过这种情况,但肯定不会拖很久,因为一般Merchant service 服务商都会先行赔付,并把这笔款直接从商户的账户里划走,并多收一笔charge back fee。
我当时是 paypal 账户被盗用过一次,在 ebay 上刷了一个 iphone4s。我给paypal 打电话后确认了我常用收货地址不是俄罗斯,我本人也不在俄罗斯以后,他们马上就给我refund 了,并 reset 了我的账户密码。另外一次是 walmart 的 online账户,也是刷了一个iphone。。好在还没发货,walmart 马上取消了订单并冻结了我的账户。
当然如果订单确实是客户下的,并且属于恶意撤单,即商户能举证自己无过错,并提供客户已确认订单的信息,应该是可以起诉客户如实付款的,就看金额值不值得折腾了。
B. 商户。
1. 首先不管因为什么原因,客户一旦申请了撤消付款,商户就会被多收一笔charge back fee,通常是25美元。一旦有客户反馈订单问题,不光是信用卡盗刷,甚至收到的包裹缺件啊破损啊货不对板啊什么的,该退退该换换,商户都会积极解决,否则客户可以以各种『商户提供的产品/服务与说明不符』等原因申请银行撤消付款。25美元的charge back fee是小事儿,影响商户信用度,以后很难申请Merchant service 服务了。
2.如果接到客户报告说订单不是自己下的,商户核对客户信息,对比以往订单记录以后如果能确认是盗刷,该退款就会马上 refund。商户自己主动 renfund 是不会被收charge back fee的,也不会影响商户信用。此时商户应当怀疑自己网络安全出问题,应及时采取相应措施并通知PCI Compliance 安全认证提供商
。 如果有经济损失,且证实确实是网络漏洞造成,可以向PCI Compliance 安全认证提供商申请赔付,因为他们没有查出来你有漏洞~
3. 如果银行直接通知商户说客户要求撤消付款,charge back fee是肯定要被收的。如果已经造成了损失,且商户想要回款项,商户就必须要举证说明订单确实是客户下的,并且证实自己是PCI Compliance 认证过的,且网站有 SSL 认证,即商户自己无安全方面的过错。这种情况目前我还没遇到过,不确定是由银行还是Merchant service 服务商承担责任,有明白人可指点下。但商户只要能举证自己无责,也是可以申请要回这笔款或保险赔偿的。至于银行或者Merchant service 服务商,不管谁承担责任,可以想象的是他们必然都有保险公司在后面进行赔付。大金额的肯定也会报警追查骗子的信息并记录在案。一般Merchant service 服务商都有一个骗子库『Fraud list』,并会教商户大概什么样的订单有是骗子的可疑,商户可随时查这个『Fraud list』。
4.如果遇上骗子客户,盗用别人信用卡信息后网上下单,卡主等到商户发货后才申请撤款,他就能白收货物之类的。这种情况目前我也还没遇到过,但同样商户只要能举证自己无责,也是可以申请要回这笔款的,不确定是由银行还是Merchant service 服务商承担责任。
5.如果商户本身是骗子,或者信用卡套现的,如果短期追究不到商户,发生的损失应该是Merchant service 服务商承担,因为他们负责审核商户的资质。
以上是我所知所有内容了。。欢迎专业人士指点~
— 完 —
本文作者:
Pony Pan
【知乎日报】
你都看到这啦,快来点我嘛 Σ(▼□▼メ)
此问题还有
1 个回答,查看全部。
延伸阅读:
在国内,信用卡被盗刷后通知银行,银行接下来具体会怎么处理?
信用卡被盗刷了怎么办?