作者ariesvtvtvt (meatball)
站內creditcard
標題[心得] 再續信用卡網路認證
時間Tue Dec 23 23:11:04 2008
在此提供多年來從事網路金流之經驗給大家參考:
其實在網路刷卡,除非填卡號頁就是在銀行端網頁,否則多少都有可能有商家會自行保留消費者卡號,
而金流廠商專責做商家與收單行間之付款匝道,必然也需要儲存卡號,方能與收單行進行訂單驗證等動作,
並據此產生相關檔案(請/退款檔)以向銀行進行請/退款。
另一需要金流廠商之原因為一般商家資本額不足(幾百萬),無法成為銀行特約商店,
故須由金流廠商協助向銀行申請成為次特約商店
另外VBV,SecureCode,JSecureCode,之驗證密碼,需要由消費者於特定網址進行註冊,
故只有持卡人本人知道密碼,而網路購物時之驗證動作也在該發卡行網站進行驗證,
一般而言,除非你是寫在紙上或不經意向他人洩漏密碼,否則不太可能由其他人知道。
至於偽冒風險,商家若有加入3D驗證機制,則若有持卡人否認(已進行過3D驗證),
通常來講是由收單行與發卡行承擔風險,但有時也有特殊狀況須由商家自行承擔,
但若消費者本身未使用3D驗證機制,則偽冒之風險將由持卡人本人自行負擔。
大致交易流程:
角色說明:
消費者:買物品者
商家:提供物品者
發卡行:A.提供驗證系統:負責信用卡3D驗證行為(VBV,SecureCode,JSecureCode)
B.提供授權系統:接收信用卡,驗證後提供授權碼
收單行:A.為網路上之窗口銀行,負責接收各商家交易卡號資訊,再轉至各發卡銀行進行授權
B.協助阻擋3D驗證失敗之交易再進行授權
正常流程A:(填卡號網址為商家端網址)
1.消費者於商家網站購物,並於商家網頁填入信用卡資訊
2.商家接收後先判斷走3D流程,轉導至發卡行之3D驗證系統進行3D驗證,
3.發卡行將驗證完之結果回傳給商家(驗證失敗則直接回覆交易失敗),
4.商家再將驗證結果與信用卡資訊傳送給收單行(金流廠商介入),
5.收單行將相關資訊轉送給發卡行授權系統,由發卡行提供授權碼再回傳給收單行,
6.收單行再將收到之資訊回傳給商家,
7.當商家收到核准之授權碼即代表該筆交易可正常出貨,同時也於網頁上顯示刷卡成功之訊息給消費者
正常流程B:(填卡號網址為金流廠商提供之刷卡網頁)
1.消費者於商家網站購物,並由商家轉導網頁至金流廠商刷卡頁(金流廠商介入),
2.金流廠商接收後先判斷走3D流程,轉導至發卡行之3D驗證系統進行3D驗證,
3.發卡行將驗證完之結果回傳給金流廠商(驗證失敗則直接回覆交易失敗),
4.金流廠商再將驗證結果與信用卡資訊傳送給收單行,
5.收單行將相關資訊轉送給發卡行授權系統,由發卡行提供授權碼再回傳給收單行,
6.收單行再將收到之資訊回傳給金流廠商,金流廠商再回覆給商家,
7.當商家收到核准之授權碼即代表該筆交易可正常出貨,同時也於網頁上顯示刷卡成功之訊息給消費者
正常流程C:(填卡號網址為收單行網址)
1.消費者於商家網站購物,導至收單行系統網頁,
3.消費者於收單行網頁填入信用卡資訊
3.收單行先判斷走3D流程,轉導至發卡行之3D驗證系統進行3D驗證,
3.發卡行將驗證完之結果回傳給收單行(驗證失敗則直接回覆失敗),
4.收單行再將驗證結果與信用卡資訊傳送給發卡行授權系統,由發卡行提供授權碼再回傳給收單行
5.收單行再將收到之資訊回傳給商家,
6.當商家收到核准之授權碼即代表該筆交易可正常出貨,同時也於網頁上顯示刷卡成功之訊息給消費者
OA
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 219.85.47.241
1F:推 Saramende:推專業文! \(^▽^)/ 12/23 23:31
2F:推 Reyes567:再敘 再續 國字真的很好玩 12/23 23:48
3F:推 lbt:關於這點,個人補充一個以前教資安的老師的不同看法… 12/24 00:49
4F:→ lbt:「交易的不可否認性是由兩者同時存在才能達成:1.法律上2.技術 12/24 00:49
5F:→ lbt:上。法律上自然是要法律承認的東西,這種東西就是要政府認可的 12/24 00:50
6F:→ lbt:憑證管理中心…技術上的話,就不用多談了,數位簽章是代表 12/24 00:50
7F:→ lbt:依照當時授課老師的意思是:今天只要是沒透過憑證去線上購買東 12/24 00:51
8F:→ lbt:西,你在事後都可以完全否認掉。(所以現在的線上購物機制是 12/24 00:51
9F:→ lbt:非常脆弱的,只是太過安全的東西就麻煩,變沒人要用)告上法院 12/24 00:52
10F:→ lbt:的話消費者會勝訴 12/24 00:52
11F:推 isaacc:lbt講的是技術面,也是PKI的基本概念 12/24 06:21
12F:→ isaacc:但問題是商業運作講的是合約。密碼掉了銀行是不負責的 12/24 06:21
13F:→ isaacc:使用者也不太可能都告銀行然後教法官資訊安全技術... 12/24 06:22
14F:推 lbt:其實我是滿懷疑老師的這種說法,不過他算是每年政府固定開資 12/24 06:59
15F:→ lbt:安會議會邀請的專家…僅提出另種說法(法官一定不會是全能的, 12/24 07:00
16F:→ lbt:這方面實務上不懂的東西會不會請教專家則不得而知) 12/24 07:00
17F:推 tcytc:若消費者本身未使用3D驗證機制,則偽冒之風險將由持卡人.... 12/24 08:53
18F:→ tcytc:原PO這一段話是不是剛好說反了啊?? 12/24 08:54
19F:→ tcytc:另外有了3D驗證碼,網路刷卡就如同提款卡盜領,具不可否認性 12/24 08:55
20F:推 WaterDragonI:看到那我也是一頭霧水,寫顛倒了? 12/24 11:23
21F:推 isaacc:老師講的沒錯阿,但他講的是技術面。講不可否認性的技術面 12/24 16:32
22F:→ isaacc:但基本上法律沒有規定【交易系統需強制具備不可否認性】 12/24 16:33
23F:→ isaacc:因此,這就是學理跟實際層面的差別... 12/24 16:33
24F:→ isaacc:另外檢察官跟法官都會傳專家證人,我就當過很多次 12/24 16:34
25F:→ isaacc:但是說到效果,嗯,我不覺得有多大的幫助啦,唉。。。 12/24 16:34
26F:推 lbt:這東西最好有能作為判決依據的判例出現後,畫出清楚的界線,對 12/24 22:33
27F:→ lbt:銀行還有持卡人來講都是好事 12/24 22:34