2006年e-commerence风险防范.pptVIP

 2006年 E-Commerence 风险防范 2006.08 2006年度E-Commerenc 风险防范 3-D Secure概述 3-D模型各参与方定位与作用分析 3-D 注册流程 3-D 验证流程 3-D 带来的授权流程的变化 3-D 安全机制 3-D 业务目前存在的风险概述 如何有效控制3-D的风险交易 3-D交易 CB和FRAUD 查询 3-D Secure概述 「3-D Secure」 是由VISA国际组织提出的，新一代全球通用网上信用卡支付验证标准，通过密码验证持卡人身份。使用复杂的加密技术，保护持卡人机密交易资料的安全传输，避免泄漏及截取，以减少网络信用卡诈欺及交易纠纷问题 「3-D Secure」验证机制： 发卡行通过密码验证合法持卡人，防止伪卡欺诈 VISA通过商户密码验证商户，防止不法商户骗取信息 持卡人通过个人确认信息验证合法发卡行，防止假冒发卡行骗取信息 通过数字证书验证发卡行、收单行、协作域的合法性 3-D模型各参与方定位与作用分析 持卡人 个人或公司 通过Internet与商户进行交换 持卡人事先需进行3-D合法注册, 取得3-D验证密码 发卡行 确保支付交易经过授权 负责检验持卡人参与3-D交易的合法性 对符合3-D规范的交易提供授权服务 3-D 注册流程 3-D 验证流程 3-D 带来的授权流程的变化 3-D 业务目前存在的风险概述 由于网络交易的特殊性,故目前全球发卡银行向VISA国际组织申报网络冒用交易之比例明显高出传统的信用卡收单风险比例。为了有效控制网络交易的风险，请严格遵照VISA国际组织的VISA Merchant Risk Best Practices 制定出完整的网络风控条例。 有效控制3-D的风险交易—审核商户 为了有效降低网关的风险，建议针对高风险商户能进一步做好审核工作，特别是提供网络服务产品的商户要重点考虑其合作的风险，对于商户等级，按照等级设定： A级： 卡户在支付完成后，商家在后期与其面对面接触签字的行业，如酒店行业等。信用等级高！一般开放ECI＝5和ECI＝6的交易 B级：有实物陪送， 通过物流和用户面对面签署的行业。信用等级中！一般开放ECI＝5，也就是全认证的交易，而个别商户可能开放ECI＝6的交易，不一定进行3D认证，调查单和拒付频率较高 C级：无实物陪送，无法与卡户面对面签字确认的行业，如游戏点卡网等。信用等级低！建议不要与此类商户合作,即使正在合作的商户,要严格控制做全认证交易。 有效控制3-D的风险交易—拆分商户 要求网关以下的每家商户各自签署《网上接入服务协议-网关适用》，并按照以下要求提供完整有效的资料： 1、商户的营业执照副本复印资料 2、公司简介，明确主要经营内容及行业项目； 3、法人的身份证复本，若无法提供法人身份证复本，需提供公司执行管理者的身份证复本并附上法人委托书； 4、合约上必须提供法人或公司执行者的签字及公司公章（并存） 5、提供商户的开户银行账号 及时统计网关以下合作商户的完整通讯资料提交给银行,并详细注明商户的商户类型(实物及虚拟产品) 系统上控制3-D的风险交易 外卡交易量的监控, 针对每笔交易，IPS系统都需运用RSA算法对卡号进行加密,当超过限制时，IPS交易系统将对其进行屏蔽，不予再做交易。建议交易规则如下： 失败交易次数一日内超过2次的卡，当日不可再做交易。 成功交易次数一日内超过3次的卡，当日不可再提交交易。 单笔交易针对不同等级的商户作金额限制。标准是根据商户业务类型和行业而定。 将银行提供出的经常Charge Back的卡号，列入交易黑名单。 对于银行提交的冒用交易的卡号，请列入交易黑名单。 对IP地址等进行监控并建立存档 (Negative File) 确保3-D 安全机制 持卡人信息必须被安全管理，敏感信息（卡号）加密保存 必须遵守“Visa International Account Information Security Standards” 证书、密钥必须被安全管理，提供备份、恢复等功能 硬件加密设备必须遵守“Federal Information Processing Standards (FIPS) level 3” 提供安全连接，必须使用128-bit SSL密码组加密 密码组必须支持“TLS_RSA_WITH_3DES_EDE_CBC_SHA” 3-D交易 CB和FRAUD 查询 在银行的查单时效日前提供卡户的交易查询记录, 并同时注明以下资料: 交易的商户名称 交易订单号、金额、日期 交易的回复代码（ECI=5;ECI=6) 备注交易内容 注明交易是否需要退单（