我的同事正在讨论被拒绝的信用卡交易的具体情况。我们从卡处理器获得了很多有关交易的详细信息,我们正在尝试确定将多少信息传递给用户。
例如,您是否告诉用户他们的卡已被拒绝,因为它已过期或CCV号码错误,或者是否存在太多潜在欺诈行为?当我们将用户返回到他们提供付款详细信息的页面时,我们是否使用之前输入的数据预先填写字段?
答案 0 :(得分:2)
我参与了大约4年前的PCI合规性审核,然后政策就是简单地向用户返回已接受或已拒绝以及交易ID。如果交易被拒绝,我们添加了一条注释“有关更多信息,请联系您的信用卡提供商并引用此号码......”。
原因是,如果有人试图生成卡号,您不希望向他们提供任何有关更改以获得有效卡的信息。如果它是一个真实的人,那么你无法解决的交易有太多问题,只需告诉他们联系他们的卡提供商。即使交易响应是“卡已过期”,也可能是别的,你不知道也不要猜。
此外,如果您返回包含付款字段的页面,请不要预先填写它们,将其留空。顾客可能会偏执地想“嘿,这件事记得我的信用卡信息!?”卡被拒绝的最可能原因是他们输入了错误的内容,并且再次使用错误的信息预先填写错误的信息,他们只是诱惑他们一遍又一遍地点击提交,直到超过他们的信用额度。去过那里,做到了。
答案 1 :(得分:1)
过去我曾试图尽可能地保持一般。例如,如果您告知CVV2编号不正确。当然,通过让他们知道CVV2是不正确的,这有助于有效的持卡人。它还让不受欢迎的人知道信用卡号 IS 是正确的。如果他们确实失败了,也许你会提示他们联系某人。
当你谈到预填充字段在失败并重试之后或在完全不同的场合进行讨论时?
如果是在他们失败之后,在我看来这样做的安全方法是不再显示它,但你需要确保他们无法点击并获得相同的信息,否则就有了没有意义。不过,这可能并不重要。
如果您正在谈论一个完全独立的场合,您需要在某处存储该信息。如果它在您的服务器上,我建议您查看PCI-DSS。即使您只是将数据传输到网关,也需要遵守规定。
答案 2 :(得分:1)
在过去,我尽可能多地提供信息,并让人们尽可能轻松地纠正。不想停止潜在的销售(或在我的情况下捐赠)。至于处理欺诈行为,不要试图通过将它们弄成一个坏的CCV号码来减缓它们的速度来处理它,以其他方式处理它,例如跟踪会话试图处理卡片的频率(并且失败),如果在X时间内太多次,将它们列入黑名单。这是一个单独的问题。