作者ariesvtvtvt (meatball)
站内creditcard
标题[心得] 再续信用卡网路认证
时间Tue Dec 23 23:11:04 2008
在此提供多年来从事网路金流之经验给大家参考:
其实在网路刷卡,除非填卡号页就是在银行端网页,否则多少都有可能有商家会自行保留消费者卡号,
而金流厂商专责做商家与收单行间之付款匝道,必然也需要储存卡号,方能与收单行进行订单验证等动作,
并据此产生相关档案(请/退款档)以向银行进行请/退款。
另一需要金流厂商之原因为一般商家资本额不足(几百万),无法成为银行特约商店,
故须由金流厂商协助向银行申请成为次特约商店
另外VBV,SecureCode,JSecureCode,之验证密码,需要由消费者於特定网址进行注册,
故只有持卡人本人知道密码,而网路购物时之验证动作也在该发卡行网站进行验证,
一般而言,除非你是写在纸上或不经意向他人泄漏密码,否则不太可能由其他人知道。
至於伪冒风险,商家若有加入3D验证机制,则若有持卡人否认(已进行过3D验证),
通常来讲是由收单行与发卡行承担风险,但有时也有特殊状况须由商家自行承担,
但若消费者本身未使用3D验证机制,则伪冒之风险将由持卡人本人自行负担。
大致交易流程:
角色说明:
消费者:买物品者
商家:提供物品者
发卡行:A.提供验证系统:负责信用卡3D验证行为(VBV,SecureCode,JSecureCode)
B.提供授权系统:接收信用卡,验证後提供授权码
收单行:A.为网路上之窗口银行,负责接收各商家交易卡号资讯,再转至各发卡银行进行授权
B.协助阻挡3D验证失败之交易再进行授权
正常流程A:(填卡号网址为商家端网址)
1.消费者於商家网站购物,并於商家网页填入信用卡资讯
2.商家接收後先判断走3D流程,转导至发卡行之3D验证系统进行3D验证,
3.发卡行将验证完之结果回传给商家(验证失败则直接回覆交易失败),
4.商家再将验证结果与信用卡资讯传送给收单行(金流厂商介入),
5.收单行将相关资讯转送给发卡行授权系统,由发卡行提供授权码再回传给收单行,
6.收单行再将收到之资讯回传给商家,
7.当商家收到核准之授权码即代表该笔交易可正常出货,同时也於网页上显示刷卡成功之讯息给消费者
正常流程B:(填卡号网址为金流厂商提供之刷卡网页)
1.消费者於商家网站购物,并由商家转导网页至金流厂商刷卡页(金流厂商介入),
2.金流厂商接收後先判断走3D流程,转导至发卡行之3D验证系统进行3D验证,
3.发卡行将验证完之结果回传给金流厂商(验证失败则直接回覆交易失败),
4.金流厂商再将验证结果与信用卡资讯传送给收单行,
5.收单行将相关资讯转送给发卡行授权系统,由发卡行提供授权码再回传给收单行,
6.收单行再将收到之资讯回传给金流厂商,金流厂商再回覆给商家,
7.当商家收到核准之授权码即代表该笔交易可正常出货,同时也於网页上显示刷卡成功之讯息给消费者
正常流程C:(填卡号网址为收单行网址)
1.消费者於商家网站购物,导至收单行系统网页,
3.消费者於收单行网页填入信用卡资讯
3.收单行先判断走3D流程,转导至发卡行之3D验证系统进行3D验证,
3.发卡行将验证完之结果回传给收单行(验证失败则直接回覆失败),
4.收单行再将验证结果与信用卡资讯传送给发卡行授权系统,由发卡行提供授权码再回传给收单行
5.收单行再将收到之资讯回传给商家,
6.当商家收到核准之授权码即代表该笔交易可正常出货,同时也於网页上显示刷卡成功之讯息给消费者
OA
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 219.85.47.241
1F:推 Saramende:推专业文! \(^▽^)/ 12/23 23:31
2F:推 Reyes567:再叙 再续 国字真的很好玩 12/23 23:48
3F:推 lbt:关於这点,个人补充一个以前教资安的老师的不同看法… 12/24 00:49
4F:→ lbt:「交易的不可否认性是由两者同时存在才能达成:1.法律上2.技术 12/24 00:49
5F:→ lbt:上。法律上自然是要法律承认的东西,这种东西就是要政府认可的 12/24 00:50
6F:→ lbt:凭证管理中心…技术上的话,就不用多谈了,数位签章是代表 12/24 00:50
7F:→ lbt:依照当时授课老师的意思是:今天只要是没透过凭证去线上购买东 12/24 00:51
8F:→ lbt:西,你在事後都可以完全否认掉。(所以现在的线上购物机制是 12/24 00:51
9F:→ lbt:非常脆弱的,只是太过安全的东西就麻烦,变没人要用)告上法院 12/24 00:52
10F:→ lbt:的话消费者会胜诉 12/24 00:52
11F:推 isaacc:lbt讲的是技术面,也是PKI的基本概念 12/24 06:21
12F:→ isaacc:但问题是商业运作讲的是合约。密码掉了银行是不负责的 12/24 06:21
13F:→ isaacc:使用者也不太可能都告银行然後教法官资讯安全技术... 12/24 06:22
14F:推 lbt:其实我是满怀疑老师的这种说法,不过他算是每年政府固定开资 12/24 06:59
15F:→ lbt:安会议会邀请的专家…仅提出另种说法(法官一定不会是全能的, 12/24 07:00
16F:→ lbt:这方面实务上不懂的东西会不会请教专家则不得而知) 12/24 07:00
17F:推 tcytc:若消费者本身未使用3D验证机制,则伪冒之风险将由持卡人.... 12/24 08:53
18F:→ tcytc:原PO这一段话是不是刚好说反了啊?? 12/24 08:54
19F:→ tcytc:另外有了3D验证码,网路刷卡就如同提款卡盗领,具不可否认性 12/24 08:55
20F:推 WaterDragonI:看到那我也是一头雾水,写颠倒了? 12/24 11:23
21F:推 isaacc:老师讲的没错阿,但他讲的是技术面。讲不可否认性的技术面 12/24 16:32
22F:→ isaacc:但基本上法律没有规定【交易系统需强制具备不可否认性】 12/24 16:33
23F:→ isaacc:因此,这就是学理跟实际层面的差别... 12/24 16:33
24F:→ isaacc:另外检察官跟法官都会传专家证人,我就当过很多次 12/24 16:34
25F:→ isaacc:但是说到效果,嗯,我不觉得有多大的帮助啦,唉。。。 12/24 16:34
26F:推 lbt:这东西最好有能作为判决依据的判例出现後,画出清楚的界线,对 12/24 22:33
27F:→ lbt:银行还有持卡人来讲都是好事 12/24 22:34