AG亚游支付网首页
囊括国内所有第三方支付公司信息
为客户提供最优质的支付接口服务
24小时服务电话
182-2176-9212
站内搜索
您当前的位置:主页 > 支付知识 >

浅议第三方支付平台有效防控CNP交易风险的举措

添加时间:2014-05-28 13:48

  第三方支付平台是支付中介通过电子信息手段在消费者和商家以及银行之间搭起的一座桥梁,是消费者和商家可以方便收、付款的载体。因为是介于消费者、商户和银行之间。所以,这一支付方式被称为第三方支付。随着第三方支付平台业务和电子商务的发展,越来越多的商户选择使用无卡支付(CardNotPresent,CNP)交易。本文拟从第三方支付平台的角度分析CNP交易中存在的风险,并提出相应的风险防范措施。本文面向的读者是第三方支付的从业人员、CNP交易风险防范的爱好者及相关研究人员。

一、第三方支付平台中的CNP交易流程

  CNP指消费者只需要提交信用卡号、卡有效期限、CVC2/CVV2安全码(卡背面三位识别码)等有效信息,不用刷卡、无需当面交易、即可完成付款的过程。因此,CNP交易又被称为非面对面交易或者信用卡无卡支付交易。图1为CNP交易的流程示意图。第三方支付平台的CNP交易方式对于消费者、商家以及银行都具有一定优越性。对于消费者来说,可以在没有随身携带银行卡,但持有卡信息的情况下实现付款,增强了便利性;对于商家来说,只需要与第三方支付平台对接,而不需和多个银行进行对接,节省了开发成本,第三方支付还可以向商家提供定制化的服务,使商家收款更加方便,结算更加及时,账目更加清晰;对于银行来说,第三方支付弥补了银行对中小商家服务的不足,同时也给银行带来了不小的交易量。第三方支付借助信息技术为消费者和商家提供快速、便捷的资金支付和清结算服务,同时收取交易手续费来获得收益。

二、第三方支付平台中CNP交易风险的表现

  任何事物都是一分为二的。CNP交易在给消费者和商家带来便利的同时,也会增加使用者的风险。由于持卡人不需要事前在银行开通功能,支付时只需要输入卡号、有效期、CVV2,所以,一旦持卡人的信息保存不当、被钓鱼或者卡数据泄漏,信用卡信息都会被盗卡者拿去支付,导致持卡人和商家的损失。CNP交易的主要风险有以下几点。

  (一)欺诈风险

  由于CNP交易不需要当面刷卡交易,只要获得卡信息就可以支付,一旦被他人得到了卡信息,就存在被他人盗用支付的风险。导致欺诈风险的主要动因和理由有:

  单位价值高的商品,如数码产品,盗卡利益回报大;从各种途径泄漏了大量的卡信息,如被钓鱼、电脑中毒、信息保存不当等;CNP支付缺乏面对面风险防控措施;外卡跨境支付中追踪难度较大,无法有效追溯到实施欺诈犯罪人员,欺诈风险更高。有些黑客为了证明自己的技术能力,侵入金融机构的系统盗取大量卡信息,转卖给从事欺诈风险交易的犯罪分子。

  欺诈风险如果无法得到有效控制,将可能导致被盗卡的持卡人大量投诉,对商户及支付机构以及发卡银行品牌和卡组织声誉带来负面影响。在外卡MOTO通道下,导致大量拒付损失,通常情况下损失由商户承担,也可能转移至支付机构承担;外卡3D-Secure通道下,如果出现严重超标的情况,卡组织将打开拒付窗口,导致商户及支付机构的拒付损失;卡组织对欺诈指标、拒付指标分别有要求,超过标准将进一步进行处罚,包括罚款、商户进入黑名单、支付机构进入黑名单、禁止受理相应卡种等;内卡CNP支付欺诈风险过高可能导致银行关闭支付通道,给支付机构造成业务上的损失。

  (二)数据安全风险

  经营电子商务的商户,尤其是一些大的商户,要求采用API方式(程序直接后台对接而不是页面跳转)与支付机构对接,可能导致数据安全出现风险。商户保存银行卡号、有效期、CVV2等敏感信息,需要按银联ADSS、外卡PCI-DSS要求进行合规认证,否则存在违规风险,支付机构可能会受到监管机构质询或处罚;商户可能有意或被动泄露或者滥用银行卡信息,会对支付机构声誉造成极大的负面影响,也严重损害了整个支付行业的安全。API模式下,支付机构无法获取商户的各类信息,包括交易网站、订单信息、IP等等,对交易风险和商户失去监控和管控能力;商户可用API接口包装或移作它用,比如,将接口转给其它商户使用,甚至将API接口做二次支付,技术上无法控制和约束。

  (三)拒付风险

  对于CNP交易,作为收单机构的第三方支付平台及商户,较难提供有效的凭证进行再请款与仲裁,卡组织更倾向于保障发卡行与持卡人利益,甚至存在用户已经收到货仍然以货不对版或者未收到货的原因进行拒付;国际卡组织关于拒付的业务规则复杂,需相当的专业能力去理解并应用,才能有效保障支付机构和商户的合理权益。比如,在3D-Secure模式下,欺诈率未达到卡组织的预警标准时,发卡行仍会以不正确的理由进行拒付,如对规则了解不深入,可能导致不必要的损失。内卡和外卡拒付不一样,内卡没有银行和商户共同遵循的卡组织规则,因而需要和每个发卡行单独沟通拒付的规则。内卡支付同样存在用户恶意拒付的情况,但是内卡交易欺诈风险较低,拒付风险也相对较小。

三、第三方支付平台中的CNP交易风险防范措施

  那么,如何预防上述风险,以增强CNP交易方式的使用安全性呢?实务操作中第三方支付平台可以采取商户业务规则、第三方支付平台交易过程侦测规则以及第三方支付平台人工审核等方法来进行防范。

  (一)运用商户业务规则

  对于有条件的商户可以增加一些业务规则防范CNP的交易风险。

  第一,加强账户安全管理。用户密码长度至少8位以上,至少含数字、字母、特殊符号中的两种或以上;用户登录应设置必要的密码控件,预防密码被截取;制定密码错误锁定策略,在用户登录过程中应设置密码错误次数,在用户密码输入三次错误后,附加额外辅助验证方式,例如3次密码错误时,会附加图形验证码(图形码的复杂度应确保很难被自动识别),同时应制定密码锁定策略,例如密码错误超过5次后,15分钟内禁止登陆。

  第二,加强账户信息变更的管理。账户名、身份证号、手机号等关键信息必须是验证之前填写的信息;对于密码等敏感信息要增加双因素认证,如增加手机验证、建议不要使用email找回密码。

  第三,商户要加强网站建设。商户网站必须有明显、有效的联系方式,包括但不限于电话与电子邮件;商户网站必须有明显的退换货政策;商户网站的商品必须有明确的标价和货币类型;商户网站必须公布明确的发货方式、费用、预计到货周期。

  第四,关注高风险的国家和地区。商户根据历史情况判断风险交易高发的国家、地区、IP等,并进行相应的限制措施;识别高危的交易地点对应IP、发卡国家,限制黑名单对应的订单使用在线支付方式。

  第五,订单一致性检查。商户可以比较订单数据的一致性,如果发现不一致,可以联系购货人,让其提供卡片信息、身份信息并核对一致后再予以发货;IP地址和收货地址城市地区是否一致、收货人姓名和账户注册的姓名是否一致,如果核对不一致,商户可以采取取消订单、退款等措施避免拒付。

  第六,订单异常。商户可以从如下方面发现订单数据的异常:单笔金额过大、重复多次购买相同的商品、同一个账户短时间内多次购买商品、同一个IP短时间内多次购买商品、收货地址模糊,如果发现异常,可以联系购货人,让其提供卡片信息、身份信息,核对一致后再予以发货。

  (二)第三方支付平台交易过程侦测规则

  通过风险侦测系统自动运行规则对风险交易进行识别。

  第一,频率规则。通过一定时间内同一频率要素多次交易的规则来识别风险。例如,同卡24小时交易成功多次。

  第二,订单一致性的规则。通过比较订单各要素的一致性来识别风险。例如,发卡国家和持卡人国家是否一致,持卡人姓名和收货人姓名是否一致。

  第三,交易行为规则。通过对异常交易行为的判断来识别风险。例如,同一个持卡人姓名多张不同的卡交易成功多次,同一张卡有不同的持卡人姓名,同一个IP有多张不同的卡交易成功多次。

  (三)第三方支付平台人工审核

  针对系统判断为滞留状态的交易,审核团队进行人工审核,目的是通过辅助的方法或工具,将可疑交易的风险因素排除,使更多的交易能够通过,并控制合理的通过率、误杀率、误放率。人工审核要点如下。

  第一,外部风险侦测系统。根据外部风险侦测系统的判断结果,辅助交易审核。

  第二,反查工具的使用。针对可疑交易的订单或支付数据要素,通过外部工具进行反查,确认其真实性或有效性。例如账单地址真实性反查、姓名真实性反查、电话真实性反查、关联IP反查、关联卡号反查。

  第三,历史数据分析。针对银行卡、商户维度在支付机构的历史交易情况,进行综合判断。比如,该银行卡是否曾经存在拒付情况,该商户是否曾经存在欺诈情况。

  第四,联系持卡人确认交易。如果持卡人曾经在支付机构留有联系方式,且历史交易记录未显示风险特征,那么支付机构团队直接联系持卡人确认是否为本人交易。如果持卡人为首次在支付机构支付,那么支付机构可联系持卡人获取进一步身份证明资料。

  第五,联系商户提供证明资料。如果支付机构无法联系到持卡人,支付机构将联系商户要求配合。商户可暂停发货;商户通过其客服部门联系购货人提供进一步购货信息;针对持卡人本人购货的,要求提供银行卡正反面复印件、身份证明文件;对于非持卡人本人支付的,要求提供持卡人书面授权书、银行卡正反面复印件、持卡人身份证明文件;如果购货人无法提供有效文件,则商户可要求购货人改用其他付款方式支付或者取消订单然后退款到原来支付的银行卡上。

  (四)退款处理

  第一,商户退款约束。关于商户退款的要求包括但不限于以下两点:退款只能退还到原有银行账户中;退款后要及时通知持卡人,避免由于持卡人长时间收不到退款而提起拒付。

  第二,商户应做好退单分析管理。商户应对退单案例进行数据统计,分析退单趋势,从而减少退单率。

  上述第三方支付平台的CNP交易风险防范的措施,在实践中起到了很好的效果。某国内着名航空公司通过这些措施,外卡交易的伪冒率降低了80%,在保证了交易成功率的前提下,很好地防范了交易风险。