The basic concept of the protocol is to tie the financial authorization process with an online authentication. This authentication is based on a three-domain model (hence the 3-D in the name). The three domains are:
Acquirer Domain (the merchant and the bank to which money is being paid).
Issuer Domain (the bank which issued the card being used).
Interoperability Domain (the infrastructure provided by the card scheme, credit, debit, prepaid or other type of finance card, to support the 3-D Secure protocol). Interoperability Domain includes the Internet, MPI, ACS (Access Control Server) and other software providers
基本概念
和国内信用卡一致,信用卡安全用卡要保护好几大要素:卡号、手写签名、CVV2、过期时间。有卡交易的时候签名是重要凭证。而对于无卡交易(比如网络支付的时候),CVV2和过期时间则是重要的要素了。过期时间好理解,简单提下CVV2。
CVV,CVV2,CVC,CSC,CSN,CVN
信用卡有个很重要的概念是CVV2,就是我们经常在卡背面看到的三位数字:
常有人简称为CVV,后来便以讹传讹了。所谓的CVV其实写在卡片磁条(磁道)中的,是不可见的二进制信息。用于线下有卡交易,POS机会去读取。其实不管是CVV,还是CVV2其功能都与我国身份证号最后一位一样——校验码。可以校验出卡的真实性,有效性。
另外CSC,CSN,CVC等等都是CVV2的同义词了。所谓C就是Card或Code缩写,S就是Secure,N是Number,V是Verification。组合的方式有很多了。
值得一提的是,与大部分卡组织将CVV2印刷在卡背面的后三位数字的做法不同,美国运通卡(American Express)是印刷在卡正面,并且是4位数字。
卡组织
在谈论海外信用卡的时候,卡组织是一个绕不开的概念。卡组织即我们听说过的有VISA、MasterCard(万事达)。
除了上述两大寡头以外呢。还有Diners Club、JCB、American Express以及中国银联四大信用卡卡组织。中国银联,中国最(唯)大(一)的卡组织,正是由于我们用的卡都是银联卡,导致我们大众可能常常忽略银联这一组织,而只关注发卡行了。所谓卡组织就是完成多家银行之间的清算业务与实际的资金划拨。谈到清算又是一个很长的概念了,这里不再展开了。
拒付
英文chargeback。一直感觉中文翻译不够贴切。拒付一词听起来让人感觉是交易发生时,持卡人拒绝付款的意思。实际不是。拒付指的是:信用卡交易发生后,持卡人向发卡行对这笔交易提出异议,申请退款的行为。信用卡被盗刷时,或者购物时遇到商品损坏、货不对版等情况下多会发生拒付。
当然拒付这种事只会发生在海外,天朝并无拒付一说:
因此拒付是“万恶”的资本主义国家用来保护持卡人权益的,在欧美国家有一套相当成熟的拒付处理机制。当然申请拒付是有时效的,VISA和MasterCard的时间窗口都为120天。整个拒付处理过程可能是耗费相当长时间的,其中涉及角色众多,包括:持卡人、商户、发卡行、收单行以及卡组织。一图胜千言,下面以Visa为例,盗图一张来描述整个处理过程:
EDC
在谈论海外支付的时候,可能会经常遇到这个词,不止针对信用卡,也适用于借记卡。全称为:Electronic Data Capture 或 Electronic Draft Capture。咳咳。其实就是POS(Point of Sale)的另一个叫法。。所谓的EDC Machine就是POS机。。
DCC
即Dynamic currency conversion(动态汇率转换)。DCC通常发生在持卡人跨境消费的时候。因为跨境交易存在一个汇率问题。
和借记卡不同,信用卡消费有一大特点是:先交易,后付费。如果是借记卡,那么也没太大异议。但是信用卡,则有一大问题。那就是交易日与账单日之间的时间
窗口,汇率是波动的!比如你在境外购买了美元标价的产品,用依据当天的汇率折算为等价人民币进行了付款,而在信用卡账单日的时候,汇率变啦。由此诞生了一个叫DCC的东东:
据说DCC是澳大利亚的一家机构开发出来的。对于它的这种行为,就好比:“老乡,快开门,我们不拿群众一针一线。。咦,你家有个女儿”
使用多币种的信用卡可避免被DCC,如果你的卡片币种包含当地币种,那么即支付的时候选择使用当地货币支付即可。但是奸商们通常是乐忠于DCC的,因此常常在持卡人不知情的情况(可避免DCC)下,被强行DCC。
其实国际上支持DCC的信用卡只有Visa和MasterCard,其他卡组织(包括中国银联)发行的信用卡都是不支持DCC的,但这不代表这些卡在跨境交易的时候,不存在一个币种转换的问题,凡是货币转换,必有手续费(货币兑换费)。比如你的卡片支持美元,但是你去泰国购买了标价泰铢的商品,那么就会转换为美元(另加了汇兑手续费)来支付。但其手续费与DCC相比都是洒洒水啦。
3D安全验证
1997年,Visa与MasterCard主导,联合微软、IBM推出了“安全电子交易”协议(SET协议),它以信用卡交易为基础,规范电子商务中的网络支付交易,并保证其安全性。不过SET实在过于复杂,实现复杂,不易推广。后来VISA率先推出了,更为简化的信用卡网上交易安全认证方案——3D安全认证(3 Domain Secure Authentication),作为SET协议的替代解决方案。
后来其他卡组纷纷效仿,纷纷推出了自己的3D安全认证模式,只不过每个卡组织对于3D认证的叫法各不相同:
那么到底何为“3D安全认证”呢,插播一条维基百科(3-D Secure):
其实所谓3D安全认证,拆解开来可以这样理解:出于安全目的需要认证,利用的手段是3D。3D简单理解就是3方的意思,哪三方?上文那段英语已经阐释的比较清楚了:
虽然把3D是哪3个D解释清楚了,但是具体流程是怎样的呢?其实非常简单,其过程我多年前我们网络的时候选择的网上银行支付,非常相似。
在Web时代,网购已经普及,但是对于第三方支付工具还持审慎态度(比如我)的时候,人们在付款的时候往往喜欢选择网上银行支付,此时我们的流量器会跳转到银行的官网页面,待我们登录,输入完密码(通常是U盾上的口令密码)成功登录后,再自动跳转回网购页面。当然,后来移动支付的普及,以及互联网金融理财的渗透,让普罗大众已经开始广泛接纳第三方支付工具,而当初的网上银行支付逐步退出历史舞台(U盾丢了好几年了)。
3D安全认证过程与之类似,之间经历3方主体。用户发起支付指令之后,商户的收单行会承接该指令,然后传递给卡组织,卡组织再传递给发卡行。此时浏览器就会弹出发卡行的网站。不需要U盾之类的实体安全口令。用户通过卡号,CVV2,过期时间以及设置的3D安全验证密码的校验来完成验证,也可能在这个页面通过手机短信来完成认证。
3D安全认证的出现,极大的保护了持卡人的支付安全,提升其网购信心,降低了拒付(主要是恶意拒付)的概率。另外也打击了不少恶意商家。但同时也阻碍了大量支付的交易的成功进行,削减了支付成功率。据悉,3D安全认证只在亚洲地区比较流行,而欧美则多为非3D的网上交易,这是因为欧美地区,信用卡制度、征信机制十分完善,资金保障机制十分完备。
ECI
ECI(Electronic Commerce Indicator)是个比较生僻的信用卡行业术语。中文翻译貌似是:卡评级。ECI数值表示在验证过程中可能出现的几种场景,不同场景存在不同的拒付责任转移。
ECI=0:MasterCard使用。ACS服务不可用或者卡片不支持3D验证。
ECI=1:MasterCard使用。持卡人或发卡行未注册3D安全验证服务。
ECI=2:MasterCard使用。持卡人3D安全验证通过。
ECI=5:Visa使用。持卡人3D安全验证通过。
ECI=6:Visa使用。持卡人或发卡行未注册3D安全验证服务。
ECI=7:Visa使用。ACS服务不可用或者卡片不支持3D验证。
参考资料
Visa Chargebacks
Chargeback Rules for MasterCard
Visa商户拒付管理指南
edc services你知道DCC是什么吗?
3-D Secure