Сравнение использования данных кредитной/дебетовой карты и считывания карты в платежном терминале (кредитной карте)

Продавец дал мне возможность прийти в их офис и провести мою кредитную / дебетовую карту там в их платежном терминале .

Поскольку добраться до их офиса далеко, я спросил продавца, может ли он просто взять данные моей кредитной карты (номер, срок действия и т. д.) по телефону и провести транзакцию самостоятельно. Он отказался это сделать.

Я не спросил его, почему, потому что он сварливый человек.

Какие могут быть причины такого отказа, кроме подлости?

Если у него есть этот платежный терминал, разве это не гарантирует, что он сможет провести транзакцию, просто имея данные моей кредитной карты?

Возможно ли, что выполнение транзакции просто с использованием данных моей карты может стоить продавцу больше, чем простое считывание моей карты?

Он обеспокоен тем, что вы можете заниматься мошенничеством? «Привет, я хотел бы заплатить вам, прочитав вам эти числа, которые полностью сошли с карты, которую я держу, а не из списка, который я скачал из даркнета…»
Вы находитесь в США (учитывая, что свайп все еще актуален)?
«Я не спрашивал его, почему, потому что он сварливый человек». Это отличный совет.
@Stobor Я не знаю, где ты был последние 20 лет. Загружаемых данных карты достаточно для оплаты на 99% сайтов электронной коммерции по всему миру.

Ответы (5)

Я вижу три возможные причины:

  1. У него нет безопасного способа (или любого способа) вручную ввести данные карты. Большинство платежных терминалов имеют клавиатуру и могут поддерживать ручной ввод (или PIN-коды), но все остальное в экосистеме также должно поддерживаться. Если у него нет способа (или он не знает, как) заставить терминал запрашивать ввод вручную, то это не вариант.
  2. PCI-DSS . Вполне возможно, что его сфера действия PCI (насколько он ответственен) основана на том, что у него самого никогда не было номера карты. Предоставление ему этого по телефону нарушило бы это. Нарушения PCI могут привести к тому, что основные бренды карт заявят: «Вам больше не разрешено принимать кредитные карты», что в наши дни было бы фатальным для большинства предприятий. Нарушения также возлагают на него ответственность за любое мошенничество, которое можно отследить до его магазина.
  3. Курсы обмена . Он почти наверняка платит больше за карту, введенную вручную, чем за карту, проведенную считыванием, потому что последняя более безопасна. Если у него есть способ для вас вставить чип, это еще лучше, а также снимает с него ответственность за мошенничество в случае кражи вашей карты (поскольку бренды карт съедят ее). Таким образом, заставляя вас ходить туда, чтобы физически предъявить свою карту, он экономит деньги.

Другими словами, № 3: заставив вас явиться лично, он снизит вероятность того, что вы используете украденный номер карты (потому что у вас будет физическая карта), и ему будет легче доказать, что вы действительно авторизовали оплата (потому что вы подпишете квитанцию ​​и/или будете засняты камерой слежения). Это снижает вероятность того, что это мошенническая транзакция, поэтому она получает более низкий обменный курс.

По моему опыту работы с владельцами малого бизнеса, я бы сказал, что № 3 наиболее вероятен, но я признаю, что у меня довольно узкое представление о нем.
@ JPhi1618, потому что для малого бизнеса, совершающего сделки с высокой стоимостью и низкой наценкой, потеря розничной стоимости всего товара может занять весь месяц. Из-за переноса ответственности, если обычный розничный магазин вводит цифры вместо чипа, мошенничество полностью на них . Естественно, именно этого и хотят от вас мошенники.

Использование физической карты или нет - это два разных сценария, а именно «Карта присутствует» и «Карта отсутствует» (также известный как MOTO, как в почтовом заказе / телефонном заказе). Они могут включать разные контракты, разные ставки, разные риски и разное оборудование.

Некоторые контракты просто не разрешают транзакции без предъявления карты. Вам нужно фактически использовать карту в терминале, либо проводя по ней, либо используя чип (и в идеале булавку). Это добавляет дополнительный уровень проверки (в основном, если вы используете чип и пин-код, но даже на магнитной полосе есть информация, которая недоступна при считывании карты), а сеть и эмитент карты знают, использовалась ли карта на самом деле или нет.

Аналогичным образом, некоторые терминалы не позволят вам выполнить транзакцию без предъявления карты. Даже если у него есть клавиатура, у него может просто не быть функции, позволяющей вручную вводить карту.

Поскольку продавец не видит карту, и ни одна из функций безопасности, доступных в платежном терминале, не может быть использована, также возникает дополнительный риск. Это может повлечь за собой более высокие сборы для продавца и/или более высокий риск возврата платежа. Обычно риск лежит на банке, если в транзакции использовался один из безопасных режимов (чип + пин-код или 3D-безопасность при использовании онлайн), а в остальных случаях риск лежит на продавце.

Итак, в качестве резюме:

  • он может просто не иметь возможности (контракт или терминал не позволят)
  • это может стоить ему дороже (более высокие гонорары)
  • это может быть сопряжено с более высоким риском

Или он может быть просто сварливым :-)

«Обычно риск лежит на банке» Риск практически всегда лежит на банке. В безопасном режиме риск лежит на банке-эмитенте. При использовании небезопасных методов риск лежит на банке-эквайере (который затем передает возврат платежа продавцу).
@Накопление, поэтому риск лежит на продавце, а не на банке (за исключением нескольких случаев, когда продавец не может возместить плату, но это крайние случаи).
В принципе, любой терминал с клавиатурой будет иметь возможность ввести номер карты/транзакцию вручную. Эта функция может быть защищена паролем (либо динамическим, либо параметром, который доступен только с помощью пароля), который продавец или лицо, управляющее терминалом, не знает. Например, для терминалов, приобретенных у процессора, продавцу может никогда не быть предоставлен пароль конфигурации. Также возможно, что параметры установлены таким образом, что функция появляется только при нескольких неудачных попытках чтения карты.

Причина, которую я бы рассматривал, скорее всего, - это «перенос ответственности».

Когда транзакция по карте помечается как мошенническая, эмитент проверяет, соответствует ли продавец, принявший платеж, согласованным стандартам:

  • Безопасность: правильно ли изолирована платежная система, строго ли контролируется доступ к реквизитам карты и т.д.
  • Аутентификация: предоставил ли клиент доказательства того, что он является держателем карты

Если эти стандарты не соблюдаются, то с продавца взимается плата за помеченную транзакцию; то, чего они явно хотят избежать.

Если бы вы вошли в офис, они могли бы:

  • Продемонстрируйте безопасность, используя специальное аппаратное устройство, и никогда не увидите номер своей карты
  • Аутентифицировать вас с помощью чипа и PIN-кода или проверки подписи (в местах, где это все еще принято)

Если бы вы покупали что-то в Интернете, эквивалент был бы:

  • Изолировать страницу, на которой вы вводите данные своей карты, от остальной части системы и никогда не регистрировать введенные данные.
  • Аутентифицирует вас, попросив вас пройти проверку 3-D Secure (подтверждено Visa/MasterCard SecureCode или более новым Visa Secure/MasterCard IdentityCheck)

Если вы сообщаете подробности по телефону, может быть продемонстрирована некоторая безопасность, но существует риск того, что оператор запомнит ваши данные, и в настоящее время нет хорошей системы аутентификации. Таким образом, такие платежи «MOTO» обычно перекладывают ответственность на продавца.

Предполагая, что его терминал даже настроен для ручного ввода, я предполагаю, что это одна из двух вещей: это намного больше работы, которую он не хочет делать, или он беспокоится, что вы позже заявите о мошенничестве, а затем его нет. товар и цена.

  • Они платят более высокую комиссию продавцам за транзакции без карты. Это часто имеет место в магазинах, которые продают товары с высокой ценой; они не заботятся о комиссии за транзакцию , но изо всех сил торгуются, чтобы получить лучшую процентную комиссию. Эти лучшие цены идут с условиями.
  • На этих предметах может быть высокий уровень мошенничества . Они опасаются (обоснованно или нет), что этот «голос по телефону», которого они никогда не встречали, не просто так держится на расстоянии.
  • Они несут ответственность за мошеннические транзакции, совершенные с помощью «чиповых карт», которые не обрабатываются с помощью чипа. Этот «сдвиг ответственности» является новым и был сделан, чтобы побудить продавцов внедрять чиповые автоматы. Это простое самосохранение со стороны купца; в дорогом бизнесе одна мошенническая транзакция может испортить вам целый месяц.
  • Они не оборудованы для безопасной обработки ваших данных через компьютер. Их системы должны будут соответствовать «золотому стандарту» компьютерной безопасности под названием «PCI-DSS», который применяется к каждому компьютеру в каждой сети, способной подключиться к этой сети.* Это огромное бремя для семейного бизнеса; им просто нецелесообразно подчиняться.

Кроме того, не рассчитывайте на то, что вы сможете полностью следовать хорошей политике. Поработав в розничном магазине дорогих товаров, я могу сказать вам, что очень часто лучшее, что вы можете сделать, — это честные и хорошие продавцы, которые заботятся о покупателе и уважают ваш бизнес. Если бы они любили технику, они бы здесь не работали . Они просто не могут/не будут соблюдать тонкие детали, которые необходимы, и, учитывая сложность, вы вряд ли можете их винить. Проще вообще запретить эту деятельность, а также подать хороший пример владельцам, которые этого не делают.

* Исключением являются такие вещи, как машина «swiper» или swiperfob «PayPal Here», которые используют «шифрование точка-точка», также известное как безопасный VPN-туннель, прямо от swiper к серверам банка.

Сравнение использования данных кредитной/дебетовой карты и считывания карты в платежном терминале (кредитной карте)
СпросиСетьПолитика конфиденциальности1y, 0v