美國的銀行如何解決網絡盜刷案件,有怎樣的流程,哪些機構參與其中? | 知乎問答精選

 

A-A+

美國的銀行如何解決網絡盜刷案件,有怎樣的流程,哪些機構參與其中?

2016年07月15日 知乎問答精選 暫無評論 閱讀 141 ℃ 次

【PonyPan的回答(23票)】:

媽蛋,早上7點了還睡不著。。真該去回答下那個失眠的問題了。。爬起來繼續碼字~

本人在美國有過兩次網上帳戶被盜用的經歷,再加上最近正在弄電子商務網站,從消費者和商戶兩頭都剛好可以討論下。聲明本人不是在金融相關行業或銀行業工作,只是個混在美國想創業的現大齡失業女青年一枚。答案僅限於本人目前經歷,如有不專業的地方還請專業人士打臉~

把結論放前面吧。沒耐心看的人 可以pass 掉後面流程和細節,留下辛苦寫了幾個小時的我獨自在角落裡畫圈圈也是沒有關係的呢~(酸)

---------------混歌先----------------------

涉及到的機構:

1.Merchant service 服務商:提供支持信用卡支付的全套解決方案,一般都會有保險支持。

2.Payment Gateway:提供支付通道

3.Merchant service 服務關聯銀行:客戶的付款先進這個銀行,再從該銀行支付到商戶賬戶。通常由服務商指定。有風控會檢查可疑交易。

以上三者有時候可以是一體的,比如一些銀行就可以全部充當以上三種角色。

4.信用卡發卡組織:Visa,Master,AMEX 等,他們會負責部分安全認證的工作,比如 AVS。

5.PCI Compliance 安全認證提供商:負責根據Payment Card Industry 設立的一系列Data Security Standard 對商戶的網絡安全環境進行認證,提供網絡安全保險。

6.電子商務網站平台/電子商務解決方案提供商:有的電子商務解決方案提供商可以充當1,2的角色,但申請要求比較高,比如必須是美國公民或只支持境內卡等。

7.SSL Certificates認證提供商:對購物平台的數據傳輸提供經過認證的加密。有的電子商務解決方案提供商也會提供該項服務,灰常貼心,費用也不少收。。

寫了這麼多,總結下:

1. 可以確定的是,如果發生盜刷,絕對不止涉及銀行和客戶兩方面。以上列出的所有機構都要舉證說明自己無過錯。任何一方無法證明自己無過錯,都要承擔相應責任。當然可以肯定的是最後賠付的肯定都是各機構的保險公司。

2.如果無法證明客戶是惡意撤單,基本不會要客戶舉證並承擔相應責任。舉證的主要方還是在商戶。因為是商戶要求增加信用卡支付功能以提高自己的競爭力,進而提高銷售額,則必然要承擔更多責任。

3.本著客戶是上帝的原則,商戶和銀行會在各個環節加強安全保障,而不是增加客戶的負擔。

4.當然,能這樣客觀處理主要還是基於美國有一套成熟的信用體系和保險機制。

---------------繼續混歌----------------------

先從商戶如何能支持信用卡支付說起吧。

1.首先,美國的公司(不論是否是電子商務的),只要想支持credit card/debit card 支付,都要找merchant service provider開merchant account, 中文不知怎麼譯。merchant service的提供商可以是銀行,也可以是其他有資質的專業金融服務商。這樣的金融服務商非常多,但走的支付通道(payment gateway)就是有限的幾十家。具體他們之間的關係就只有專業人士來細說了。舉個栗子, 我現在的merchant service 服務商,就稱他為N吧,他們的payment gateway走的就是usaepay,而服務銀行是Wells Fargo, 而實際上Wells Fargo自己也提供merchant service,他們之間的關係我現在還有點腦亂。。

2. 找到了Merchant service 服務商,完成一堆問卷調查和電話調查,填個申請表,等服務商風險部門審批。一般的服務商那裡,只要你是正規在美國註冊的公司且無不良信用記錄,不管規模大小或成立時間長短,基本都能通過,但服務費用略高。大的服務商或銀行審批門檻高些,但付合條件的商戶可以得到優惠得多的服務費折扣。

3.說說服務費。不同商戶服務費報價相差會很遠,這裡面貓膩很多。幾大國際信用卡組織(visa,master和AMEX等)收的費用大概在2%-3%,不同的卡略有區別,這部分基本有詳細的收費標準,可在各組織網上查到,這部分是照實收。服務商收的費用就五花八門了,固定費用如月費,報告費,單筆手續費和認證費等等,此外再收刷卡金額的0.3%-3%作為手續費,英文叫Discounted Rate. 對,這個區間就是這麼大,這其中對應的就是不同風險級別的支付行為。最安全的行為是客戶持美國境內的卡,在POS機上(通常是由服務商提供的 POS 機)由本人持卡刷(看簽單),這種行為安全級別最高,收的費用最低,大概0.3-0.5%,需實物終端機支持。接下來比如是電子商務,由客戶自己在網絡終端輸入卡信息,服務商收的費用要比上面那種多百分之零點幾。最次的情況是由商戶通過其它途徑獲取客戶卡信息(email,電話等),由商戶自己在payment gateway 提供的虛擬終端上手動輸入卡信息,這樣的行為風險最高,收的費用大概在1.5%。如果客戶的卡是境外卡,費用再加收0.5%左右。這樣算下來(加上卡組織收的費用)最安全的支付行為只用收2.5%左右,而最不安全的支付行為商戶要支付將近5%的費用。

順便吐個槽,美帝人民很不厚道,報價時雖然不會騙人,但費用各種隱瞞,要細問才擠牙膏樣告訴你還有什麼什麼什麼,等你反應過來坑都挖好了~要細說的話就是個和米國奸商鬥智鬥勇的感人事跡~

4. 再說說服務商收的其他費用。以上說的Discounted Rate』是和支付行為的安全程度掛鉤的,其實就有保險的意味在裡面。另外,有的服務商還會按月收『Breach Protection Fee』(每個月10美元左右)以及按年收『PCI Compliance Fee』(每年120美元左右,各家收費標準不同)。這兩個費用都是和 PCI 相關的。PCI Compliance 就是由 Payment Card Industry 設立的一系列Data Security Standard ,如果商戶通過了PCI Compliance 認證,則服務商可免收『PCI Compliance Fee』。但 PCI Compliance 認證是由專業的PCI 相關安全服務公司提供的,他們的年費也要收110美元左右。。。。(各家收費依然不同)。 PCI 安全服務提供商根據 PCI DSS 設立一系列標準問卷,並根據商戶的反饋把商戶分成1-4個層級,針對不同層級的商戶設立不同的安全標準。比如網絡支付的話,他們會定期掃瞄商戶常用 IP 並對該 IP 地址的安全性進行評估,如果評估通過了證明網絡安全有保障,這個『PCI Compliance Fee』服務商才能免收。最重要的是,PCI 安全服務提供商提供保險!一般保額都是10萬美元。就是說如果商戶通過了他們的PCI Compliance 認證,但還是被黑客通過網絡盜取了最終用戶的信用卡信息,由此造成的損失商戶可以得到相應賠償。

值得一提的是,『PCI Compliance Fee』不是每個服務商都會列在收費明細裡,這個是貓膩之一。。據我觀察,凡是不收月服務費的服務商,前期報價裡即使沒有這個費用,最後的合同裡不起眼的地方也會加上這個費用,或者乾脆等到要收的時候再告訴你,誰讓你自己不去做PCI Compliance認證的。。一般收月費的服務商都不會再單收這個費用,已經包含在月費裡了,但都要仔細問啊親們~

5. 再來說說電子商務網站。不管是自己架站,還是找在線的電子商務解決方案提供商(如 Shopify 或 Volusion 等),如果要想實現客戶在線提交訂單的時候實時扣款,都需要網站後台和Merchant Service 服務商提供的 payment gateway 直接掛鉤,客戶的信用卡信息直接提交到 payment gateway, 商戶不儲存客戶卡片信息,也無法看到詳細的客戶的信用卡信息。這種情況安全級別也相對較高。另外一種情況不是實時扣款的,一般客戶提交的信用卡信息都在商戶處,商戶按批提交到Merchant Service 服務商的終端(最弱的情況是手工輸入。。),這種情況安全性要相對差一些。不管怎麼,客戶的信用卡信息一旦要通過網絡傳輸,該網站就最好要有 SSL Certificates(有的電子商務解決方案提供商是強制要求的)。 這裡又來了一個SSL Certificates的認證提供商。。。有名的SSL 提供商包括Symantec,Comodo等,主要是將網絡傳輸的數據進行加密。如果自己架站也可以自己做 SSL,但如果不是 Certificated SSL 的話,操作系統就會跳出『該網站不靠譜,你是否信任這個網站』之類的信息,謹慎的老美用戶很多情況下就會選擇放棄了。這個認證的費用從幾美元一年到幾百美元一年不等。。。

6. 如果客戶是郵件訂貨或電話訂貨呢? 通常情況下是商戶通過 Email 或電話獲得客戶信用卡信息後,通過payment gateway 的虛擬終端『Virtual Terminal』手工輸入客戶的信用卡信息並提交。必填的信息是卡號,用戶名,有效期,卡背面的 CVV 碼可以勾選『允許不匹配』,賬單地址可空,其他選填的訂單信息包括客戶代碼,訂單號,發票號,PO 號和訂單備註等等。原則上說只要有卡號,用戶名,有效期就可以 charge 你的卡了,但如果 CVV 碼勾選了"可以不匹配",這個支付行為就會被Merchant service 服務商的風評部門高度懷疑,可能會被收取額外的手續費或拒收。賬單地址可空是因為有的境外卡因為語言不通的原因通常會通不過 AVS 認證(Address Verification System),很多商戶會選擇留空。也可以設置必須AVS匹配,安全性更高,這樣的網站一般不支持境外卡支付。 其他的訂單信息雖然說不是必填的,但如果出現盜刷,而商戶無法提供可追溯的訂單信息,這個責任就是100%商戶承擔了。而且訂單信息空白而金額異常的交易,一般也會被Merchant service 服務商的風評部門拒收。

————————還混————————————————————————————————

好了,現在進入正題。。。如果支付賬戶/信用卡被盜用了腫麼辦? 從客戶和商戶兩方面來看:

A. 客戶:

1.如果你在這筆款的刷卡商戶處有帳號且有過購物記錄,最好及時聯繫商戶聲明此單不是你下的,要求撤單。商家一般會有些標準問題詢問,如基本可確定是盜刷,(刷卡地或送貨地和用戶常住地不一致等),商戶會馬上先給予返款並幫你重設賬戶和密碼。然後就沒你事兒了。

2.如果你不認識這個商戶,則立即給發卡銀行打電話說這筆款不是你刷的,要求撤銷支付。銀行會去進行調查,但舉證的責任在商戶,沒你什麼事兒。就是說刷卡商戶必須能舉證這個訂單確實是你下的。最後款肯定會退還,具體多久能退沒有概念,沒具體經歷過這種情況,但肯定不會拖很久,因為一般Merchant service 服務商都會先行賠付,並把這筆款直接從商戶的賬戶裡劃走,並多收一筆charge back fee。

我當時是 paypal 賬戶被盜用過一次,在 ebay 上刷了一個 iphone4s。我給paypal 打電話後確認了我常用收貨地址不是俄羅斯,我本人也不在俄羅斯以後,他們馬上就給我refund 了,並 reset 了我的賬戶密碼。另外一次是 walmart 的 online賬戶,也是刷了一個iphone。。好在還沒發貨,walmart 馬上取消了訂單並凍結了我的賬戶。

當然如果訂單確實是客戶下的,並且屬於惡意撤單,即商戶能舉證自己無過錯,並提供客戶已確認訂單的信息,應該是可以起訴客戶如實付款的,就看金額值不值得折騰了。

B. 商戶。

1. 首先不管因為什麼原因,客戶一旦申請了撤消付款,商戶就會被多收一筆charge back fee,通常是25美元。一旦有客戶反饋訂單問題,不光是信用卡盜刷,甚至收到的包裹缺件啊破損啊貨不對板啊什麼的,該退退該換換,商戶都會積極解決,否則客戶可以以各種『商戶提供的產品/服務與說明不符』等原因申請銀行撤消付款。25美元的charge back fee是小事兒,影響商戶信用度,以後很難申請Merchant service 服務了。

2.如果接到客戶報告說訂單不是自己下的,商戶核對客戶信息,對比以往訂單記錄以後如果能確認是盜刷,該退款就會馬上 refund。商戶自己主動 renfund 是不會被收charge back fee的,也不會影響商戶信用。此時商戶應當懷疑自己網絡安全出問題,應及時採取相應措施並通知PCI Compliance 安全認證提供商如果有經濟損失,且證實確實是網絡漏洞造成,可以向PCI Compliance 安全認證提供商申請賠付,因為他們沒有查出來你有漏洞~

3. 如果銀行直接通知商戶說客戶要求撤消付款,charge back fee是肯定要被收的。如果已經造成了損失,且商戶想要回款項,商戶就必須要舉證說明訂單確實是客戶下的,並且證實自己是PCI Compliance 認證過的,且網站有 SSL 認證,即商戶自己無安全方面的過錯。這種情況目前我還沒遇到過,不確定是由銀行還是Merchant service 服務商承擔責任,有明白人可指點下。但商戶只要能舉證自己無責,也是可以申請要回這筆款或保險賠償的。至於銀行或者Merchant service 服務商,不管誰承擔責任,可以想像的是他們必然都有保險公司在後面進行賠付。大金額的肯定也會報警追查騙子的信息並記錄在案。一般Merchant service 服務商都有一個騙子庫『Fraud list』,並會教商戶大概什麼樣的訂單有是騙子的可疑,商戶可隨時查這個『Fraud list』。

4.如果遇上騙子客戶,盜用別人信用卡信息後網上下單,卡主等到商戶發貨後才申請撤款,他就能白收貨物之類的。這種情況目前我也還沒遇到過,但同樣商戶只要能舉證自己無責,也是可以申請要回這筆款的,不確定是由銀行還是Merchant service 服務商承擔責任。

5.如果商戶本身是騙子,或者信用卡套現的,如果短期追究不到商戶,發生的損失應該是Merchant service 服務商承擔,因為他們負責審核商戶的資質。

以上是我所知所有內容了。。歡迎專業人士指點~

【貓太厚的回答(2票)】:

我是一小公司的會計,今年這上半年就遭遇三次換卡換賬號。

先是去年跨越整個美國的target事件。雖然當時我們並沒有被涉及,但年初的時候銀行還是給我們寄了一張全新的銀行卡(卡號都和以前不一樣)。導致我用了兩天給我們供貨商挨個打電話換支付方式。

二月的時候,我們銀行賬號被盜。直接從銀行賬號走了26筆小額支出給同一家公司。好像是從公司劃款的話,銀行賬單會顯示對方的公司名字和電話等不是很詳細的信息。我們一方面聯繫了銀行,一方面google到了對方的信息。銀行方面似乎很快捷的就接受了我們要求退款的信息,那個劃了我們26筆的公司說他們也不知道怎麼回事,說已經有來自四個不同州的人打電話告訴他們說劃走了小額款項。因為我看到劃款的時候顯示的還是pending,所以最終的結果並不是退款,而是銀行直接取消了付款。所以如果你現在讓我出示二月份的銀行賬單,上面並沒有這26筆支出。銀行當時建議我們關掉被盜賬號,重新建立新賬號,由於我們公司還處於case中,建立新賬號不是一般麻煩。和銀行和法院扯皮了一個多月才搞定所有事,這一個多月,我作為一個小會計,遭罪遭大發了。

結果銀行賬戶剛解決完,我們新換的卡又被盜了。被bestbuy刷走兩千多。立刻打電話給銀行,告訴他們不是我刷的。還是沒有很多argue,銀行就把錢退給我們了。這回因為是直接從卡裡刷走的,所以當時交易成功,最後是退款的。但是銀行有些不靠譜,退多了錢給我們,然後在沒有通知我們的情況下,隔了一個月,把多退的錢又charge走了。(通知信在劃走錢後一個禮拜才收到)。天煞的我又挨個打電話給供貨商換支付方式。

這是我們公司的故事。我們有一個大客戶,今年三月也被盜了卡,然後dispute。結果我們的merchant service居然就把錢給退了。還好客戶又通過另外方式打錢給我們。麻煩的是他們的信用卡公司(某銀行)神經病一樣地又把該筆款打回了我們的merchant service。關鍵是我們一直沒有收到過。現在已經六月底了,我們還在和客戶扯皮,因為他們的信用卡公司催他們還錢,但我們沒收到錢就不可能給他們退款。最後才發現,那個銀行需要我們客戶再次打電話,錢才能真正的到我們的service,要不然一直處於pending中。

由此可見,銀行有時候不太靠譜,真真需要像擠牙膏一樣才能得到自己想要的信息。而且沒有密碼通過網絡支付,的確有很大風險。我有很多次想像如果有人有我的信用卡信息(卡號,過期時間,信用卡後面的三位安全號,這都是很容易就透露出去的),會不會很容易就被盜用。雖然跟銀行argue也許能拿回錢,但這個漏洞誰來補呢?

標籤:-汽車 -心理學 -日常心理分析 -人際交往 -伊斯蘭教


相關資源:





給我留言