电子商务最佳实践：对于拒收的信用卡，多少信息太多？

Question

我的同事们正在讨论被拒绝的信用卡交易的具体情况。我们从我们的卡片处理器获得大量关于交易的细节，并且我们正在尝试确定将多少信息传递给用户。

例如，你告诉他们的银行卡被拒绝的用户，因为它是过期的或CCV号码是错误的，或者是有太多的欺诈潜力呢？当我们将用户返回到他们提供付款详细信息的页面时，我们是否使用他们之前输入的数据预先填写了这些字段？

Answer 1

在过去，我尽可能地提供了尽可能多的信息，并尽可能让人们更容易地进行纠正。不想停止潜在的销售（或在我的情况下捐赠）。至于处理欺诈问题，不要试图处理它，希望将它们提交给一个错误的CCV号码会降低它的速度，以其他方式处理它，例如跟踪一次会话尝试处理卡片的频率（和失败），如果在X时间内的次数太多，将它们列入黑名单。但这是一个单独的问题。

Answer 2

在过去，我尽量做到尽可能通用。例如，如果您告诉CVV2号码不正确。当然，通过让他们知道CVV2不正确，这可以帮助有效的持卡人。它也让不受欢迎的人知道信用卡号码IS是正确的。如果他们确实失败了，也许你会提示他们联系某人。

当你在谈论预填充字段都在谈论后，他们失败，然后重试或上一个完全独立的场合？

如果是在他们失败后，我认为安全的做法是不再显示它，但你需要确保他们不能点击返回并获得相同的信息，否则毫无意义。不过，这可能并不重要。

如果您正在谈论一个完全独立的场合，您需要某处存储该信息。如果它在你的服务器上，我建议你看看PCI-DSS。即使您只是将数据传输到网关，也需要遵守。

Answer 3

我大约4年前参加了一个PCI合规性审查，然后将政策是只返回已接受或拒绝，交易ID给用户。如果交易被拒绝，我们会添加一条注释“有关更多信息，请与您的信用卡提供商联系并引用此号码......”。

的理由是，如果有人试图生成身份证号码，你不想为他们提供的任何信息，以什么改变来获得一个有效的卡。如果它是一个真实的人，那么你的无力解决的交易出现了太多的问题，只要告诉他们联系他们的信用卡供应商。即使交易回应是“卡已过期”，也可能是别的，你不知道，所以不要猜测。

另外，如果您返回到付款栏的页面，请不要预先填写它们，请将它们留空。顾客可能会偏执狂地想：“嘿，这是否记得我的信用卡信息！？”卡被拒绝的最可能的原因是他们输入了错误的内容，并且再次用错误的信息预填充，您只是想诱使他们重复点击提交，直到他们的信用限额被超过。去过也做过。