如何在不存储CVV代码的情况下每两个月向某人收取可变金额？

Question

根据顾客的喜好，我们有一个每2,3或4个月发货的实物产品。在发货之间，用户可以选择修改他们的选择。

在任何人暗示之前 - 我敢肯定一个循环计费系统（如Paypal）不适合我们的需求。由于两个原因，像Paypal这样的系统似乎并不理想。

• 他们只让你每月，每季度，每年。不是每2或3个月。 [Paypal API document here]
• 我们希望客户能够'现在出货'，如果他们希望他们的产品早于或晚于正常时间表。
• 由于它的实物产品我们不能将其分成按比例分摊的数额。

因此，我认为我们必须使用与创建初始订单时所用的机制相同的机制 - 使用CC编号和CVV2代码重新填充。但显然我们不能存储用于PCI合规的CVV2代码！

我最近遇到了'BrainTrees' payment services - 它允许您创建一个初始交易并检索代表该信用卡号码的“代币”。这个标记是安全的，因为它对小偷没用。它有助于最大限度地减少PCI合规所需的工作。

我完全可以使用BrainTree的解决方案。这对我们所需要的东西来说似乎是完美的 - 但它让我对Paypal的产品感到困惑。如何在没有存储CVV2代码的情况下实现我想用BrainTree以外的任何系统做什么？

Answer 1

您可能已经知道cvv2用于avs/csc检查，该检查通过从客户地址中获取数字，来自邮政/邮政编码的数字和来自cvv2的数字并将其与卡所保存的已知值进行比较来完成发行人。

avs/csc检查的结果返回一个三位数字值，通过该值可以知道地址/ cvv2值是否与发卡人在文件中保存的值相匹配。此检查的结果可用于帮助防止欺诈性交易。

因此，解决无法存储实际cvv2代码问题的常见方法是存储cvv2 结果。这样，只要地址没有被改变，你就可以相当有信心，该卡仍然有效。这种方法唯一的缺点是一些收单银行认为没有cvv2支票的授权是不安全的，收取更高的汇率。您可能需要与您的收单机构讨论此事，以解释只有第一个授权是使用cvv2检查执行的，而后续的授权不是。

尽管如此，如果您改为使用允许您持有令牌值而非实际卡号的服务提供商，您会发现PCI合规性更容易。

我不确定您是否考虑过经常性支付的另一个问题，即时间卡会过期，被取消或重新发放。 Visa和MasterCard都有相对较新的服务，称为Visa Account Updater或MasterCard Automatic Billing Updater来处理这个问题。它需要与收单银行组织，或者如果你使用PSP路线，它可能会自动处理 - 但值得检查。

Answer 2

已经有一段时间了，因为我不得不这样做......和 我只使用了Verisign Payflow API。你可能想看看它。

为了我的记忆，支付网关强烈建议不要存储卡的详细信息。

推荐的机制是使用原始交易的参考号码，然后将新的交易链接到它;它必须与Brain Tree处理它的方式非常相似。

Answer 3

大多数网关不需要cvv工作。该代码实质上意味着'存在信用卡'，不应用于经常性交易。

布伦特里似乎是一个不错的选择，如果你不希望符合PCI的麻烦（这我不得不这样做，并不难，但需要过程的公平位被创建）

Answer 4

本文介绍的问题围绕定期结算的CVV2号码真的很好，值得一读： http://kb.modularmerchant.com/a378-credit-card-security-codes.php