Frage:
Was hindert Webshop-Besitzer daran, Kreditkartendaten zu missbrauchen?
sweet home
2014-12-22 22:55:13 UTC
view on stackexchange narkive permalink

Ich besitze keine Kreditkarte, lese aber viel über Betrug mit gestohlenen Kreditkarten. Da ich keine besitze, weiß ich nicht, wie Sie genau online mit Ihrer Kreditkarte einkaufen. Bitte korrigieren Sie mich, wenn ich falsch liege (und ich hoffe es).

  1. Kunde wählt Artikel im Online-Shop aus und legt sie in den Einkaufswagen.
  2. Der Kunde geht zum virtuellen Check-out.
  3. Der Kunde gibt die Lieferadresse und seine CC-Daten (?) ein und sendet sie an den Server
  4. Der Shop-Server sendet die vom Kunden eingegebenen CC-Daten sowie seine Daten und den Betrag an den CC-Karten-Server und erhält das Geld.
  5. Der Kunde erhält gekaufte Artikel.
  6. Der Ladenbesitzer war nicht sehr ehrlich und verwendet die vom Kunden eingegebenen CC-Daten, um in anderen Online-Shops einzukaufen (insbesondere nicht nachverfolgbare Waren wie Softwarelizenzen, ...). Da die Daten für alle Shops gleich sind, weiß niemand, welcher Shop die CC-Daten missbraucht hat.
    7. ol>

    Warum nicht stattdessen einen einmaligen Authentifizierungscode oder Token verwenden? Zum Beispiel gibt der Kunde die CC-Daten auf dem Server des CC-Unternehmens ein, der eine Bestätigung an den Ladenbesitzer sendet oder einen signierten Token (wie GPG) gibt, den der Benutzer dem Laden gibt, um zu beweisen, dass er das Geld gesendet hat, oder der Laden wartet nur bis Da ich über grundlegende IT-Sicherheitskenntnisse verfüge, können Sie auch technische Details hinzufügen. Sind meine Annahmen also richtig und wenn ja, was hindert Webshop-Besitzer daran, Kreditkartendaten zu missbrauchen?

7. Der Kunde bestreitet die zusätzliche Gebühr. 8. Das Kreditkartenunternehmen erstattete die streitige Gebühr. 9. Da immer mehr Kunden dasselbe tun, beginnt der Kreditkartenaussteller, betrügerisches Verhalten zu untersuchen. Schließlich wird der Shop gesperrt und möglicherweise wegen Kreditkartenbetrugs bestraft.
Wie würden sie wissen, welcher Ladenbesitzer dies tat? Der gemeinsame Kunde verwendet dieselben Daten in mehreren Geschäften. Er würde sich nicht um Erstattungen kümmern, da er bereits den Lizenzschlüssel oder das, was er gekauft hat, erhalten hat
@DavidFoerster Oder, da der Diebstahl von Kreditkarten ein Verbrechen ist, kooperiert das Kreditkartenunternehmen mit den Strafverfolgungsbehörden und der Ladenbesitzer kommt ins Gefängnis.
wenn sie herausfinden, war er es. Aber ich dachte über Einkäufe nach, die sie nicht auf ihn zurückführen können. Also ist er klug genug, sein Haus nicht als Lieferadresse zu benutzen;)
Es gibt mehrere gute und wertvolle Antworten mit teilweise unterschiedlichen Informationen, aber ich kann nur eine akzeptieren. Ich hoffe, die anderen werden mit positiven Stimmen belohnt. :) :)
Online-Kreditkartenzahlungen werden durch ein Einmalkennwort (One Time Password, OTP) authentifiziert, das an die registrierte Handynummer (RMN) / E-Mail-Adresse des Benutzers in Indien gesendet wird. Die Zahlung ist erst nach diesem Schritt erfolgreich.
MasterCard und Visa verfügen jetzt standardmäßig über 2FA, sofern dies von Ihrer ausstellenden Bank bereitgestellt wird. In der Regel wird dazu ein Geheimcode eingegeben, der als SMS an Ihr registriertes Mobiltelefon gesendet oder in einem Hardware-Token generiert wird. Wenn Ihre Bank dies noch nicht unterstützt, fordere ich Sie dringend auf, diese zusätzliche Sicherheitsebene so bald wie möglich einzuführen.
Etwas verwandt, aber dies ist nur deshalb ein Problem für CC, weil es sich um einen Pull-Zahlungsmechanismus handelt. Bitcoin hingegen verwendet einen Push-Mechanismus, sodass betrügerische Anschuldigungen wie diese nicht möglich sind.
Acht antworten:
gowenfawr
2014-12-22 23:23:26 UTC
view on stackexchange narkive permalink

Die Haftung für eine streitige Transaktion liegt beim Händler für Transaktionen ohne Karte. Wenn Sie eine Transaktion bestreiten, wenn der Händler nicht über Ihre Unterschrift verfügt, wird die Rechnung letztendlich bezahlt, wenn Sie darauf bestehen. Aus dem gleichen Grund wird ein CNP-Händler, der Sie doppelt in Rechnung stellt, am Ende zahlen, wenn Sie die Rechnung bestreiten.

Wie @DavidFoerster hervorhebt, verfolgen die Prozessoren und Kartenunternehmen die Rückbuchungsraten. Sie beobachten die Statistiken und werden abgeschnitten, wenn ein Händler zu viele Rückbuchungen hat. (Normalerweise werden sie von ihrem Prozessor gebootet und suchen einen anderen Prozessor, der ihnen für das höhere Risiko mehr berechnet.)

Gleiches gilt für Geschäfte, die Karten an anderer Stelle erneut missbrauchen. Die Kartenmarken sehen sich Betrugsberichte an und stellen fest, dass diese 20 Betrugsberichtskarten alle Bob's Web Shack als frühere Transaktion gemeinsam hatten. Sie werden dann Bobs Web Shack untersuchen - sowohl weil es ein schlechter Ladenbesitzer sein könnte, als auch weil es ein Laden sein könnte, der kompromittiert ist. Und - wieder - wenn ein Shop Probleme verursacht, werden sie abgeschnitten.

Das verhindert, dass Webshop-Besitzer die Karten missbrauchen. Sie verlieren alle Streitigkeiten, werden dann fallen gelassen und können keine Karten mehr verarbeiten.

Ich sollte klarstellen, dass er es nicht in seinem eigenen Geschäft verwenden würde, sondern zum Beispiel bei eBay usw., damit niemand es zu seinem eigenen Geschäft zurückverfolgen kann, weil er seinen eigenen Namen nicht verwendet
Aktualisiert, um diesen Fall zu behandeln. Die Kartenmarken sind schlau; Sie gehen alle statistisch auf Fraud's Arsch.
Dass sie alle Bobs Web Shack in der Transaktionshistorie haben, ist ein gültiger Punkt, wenn er dies mit mehreren Karten verwendet
Ein weiterer kleiner Datenpunkt ist die Wahrscheinlichkeit, dass ein Karteninhaber einen legitimen Artikel kauft. Als Beispiel kauft ein Karteninhaber einen PC. Der Karteninhaber kauft einen anderen PC in einem anderen Geschäft, was zu einer Verweigerung der Betrugsprüfung führt. Dann werden sie Dinge zurückverfolgen, um zu sehen, wo die Karten verwendet wurden.
Ich habe Drillinge und kaufe Computer zu dritt und habe noch nie eine Bank-Nachverfolgung durchgeführt :) Aber ja, die Kartenmarken sind statistische Tiere und geben sich viel Mühe, ihre Daten zu sichten.
@gowenfawr zeigt höchstwahrscheinlich, dass diese Art des Kaufs für Sie normal ist. Für andere ist es in einer guten Bank im Allgemeinen eine rote Fahne, dass sie Sie anrufen müssen. Capital One und Chase werden dies vor allem bei Einkäufen über Staatsgrenzen hinweg tun (ja, sie haben in MI Urlaub gemacht, sind nach CO zurückgekehrt, um einen Kühlschrank für Hirschfleisch zu kaufen, und Chase hat uns angerufen, als wir versuchten, das Ding zu laden).
"Sie werden alle Streitigkeiten verlieren, und dann werden sie fallen gelassen und können keine Karten mehr verarbeiten." "Und dann werden sie untersucht und wahrscheinlich gemäß den Bedingungen ihrer Vereinbarung mit dem Zahlungsanbieter bestraft. Abhängig von den Umständen werden sie auf Kreditkartenbetrug untersucht. Als jemand, der zuvor in diesem Bereich gearbeitet hat (Verhinderung von Kreditkartenbetrug), kann ich Ihnen sagen, dass es viel schwieriger ist, Ihre Spuren zu verbergen, als Sie denken.
@gowenfawr WENN Sie 1 Rechnung mit 3 Computern haben, ist es OK. Wenn Sie 3 identische Rechnungen haben, jeweils 1 Computer im Abstand von 3 Sekunden, wird die Bank sofort nachverfolgen
Ich denke, es wäre angebracht, eine Quelle für die Antwort zu zitieren und darauf hinzuweisen, in welchen Ländern / Staaten sie gültig ist. Die Annahme der USA für Antworten im Internet ist für den Rest der Welt etwas unhöflich. Besonders wenn die USA über die aktuellsten Systeme und Gesetze zum Thema Kreditkarten verfügen.
@ClausJørgensen, dies sind keine rechtlichen Angelegenheiten, sondern Richtlinien und Praktiken von Kartenunternehmen (MC, Visa, Amex, Discover). Es ist gültig ... überall, wo Sie hin wollen.
Nein, Haftung ist Rechtssache.
Haftung ist ein juristischer Begriff, der häufig in nichtlegislativen Kontexten verwendet wird. Zum Beispiel im Rahmen der (US!) Verschiebung in Richtung EMV "[Zu den Meilensteinen der Zahlungsmarke gehört ... Verschiebung der Betrugshaftung] (http://www.emv-connection.com/emv-migration-driven-by-payment) Marken-Meilensteine ​​/). " Dies ist ein Beispiel, bei dem die Kartenmarken anpassen, welche Partei die Haftung aufgrund ihrer (freiwilligen) Übernahme (oder des Fehlens) neuer Technologien übernimmt - es gibt keine Beteiligung der Regierung an dieser Haftungsübernahme. Händler, die EMV nicht einführen, übernehmen bei Betrugsvorwürfen eine höhere finanzielle Haftung.
Peteris
2014-12-23 18:59:21 UTC
view on stackexchange narkive permalink

Wenn Sie es in großem Maßstab tun, werden Sie herausgefunden

Wie bei den meisten Verbrechen hindert Sie nichts daran, es zu tun, wenn Sie entschlossen sind, außer den Risiken und Konsequenzen von herausgefunden werden. Für kleine und seltene Ereignisse wird es von den CC-Unternehmen als Geschäftskosten abgeschrieben. In großen oder häufigen Szenarien werden die Leute herausgefunden und ins Gefängnis gebracht.

Gemeinsame Verkaufsstelle

Die Analyse von Betrugsmustern wird ernsthaft durchgeführt, viele talentierte Leute und finanzielle Ressourcen gehen es richtig zu machen. All diese Risiken sind nicht neu - bevor Webshops üblich waren, hatten Mitarbeiter in verschiedenen physischen Geschäften die Möglichkeit, dasselbe zu tun. Zum Beispiel hat ein Restaurantkellner Zugriff auf viele Karten und kann deren Daten missbrauchen.

Wenn es ein einziges Mal ist, gibt es keine Muster, die herausgefunden werden können, aber es läuft, dann ist es nicht so schwer Um automatisch festzustellen, ob sich eine Reihe missbrauchter Karten einen gemeinsamen Point of Purchase teilen, und diesen Standort zu überprüfen. Je nach Betrugsmaßstab kann dies zu polizeilichen Maßnahmen führen oder das Unternehmen und andere zukünftige Unternehmen auf die schwarze Liste setzen Dieselben Eigentümer oder Management.

Darüber hinaus sind diese Risiken Teil der Gründe, warum es nicht trivial ist, einen Webshop zu eröffnen, in dem Sie tatsächlich Zugriff auf CC-Daten erhalten. Oft erlauben Banken zufälligen kleinen Unternehmen nicht, Karten online direkt zu akzeptieren - sie akzeptieren dies unter der Bedingung, dass die gesamte Autorisierung über ein vertrauenswürdiges Zahlungsgateway erfolgt und Ihr Unternehmen einfach eine signierte Token-Zahlung von $ erhält xxx akzeptiert "und nicht die vollständigen Kartendaten. Wenn Sie CC-Daten selbst verarbeiten möchten, bereiten Sie sich auf verschiedene Konformitätsprüfungen vor.

Guter Punkt, dass sie kleine Fälle akzeptieren und darüber spekulieren, die größeren zu fangen, so dass der Ladenbesitzer im Vergleich zu Risiko und Strafen nicht viel Wert hat
Gut, dass Sie die Zahlungsgateways erwähnt haben, an die ich gedacht habe (obwohl es meiner Meinung nach besser wäre, wenn die CC-Unternehmen dies standardmäßig selbst auf diese Weise bereitstellen würden).
Als Entwickler bin ich ein großer Fan von Diensten wie Stripe, bei denen ich etwas an Ort und Stelle ablegen und sie die CC-Daten anstelle von mir / meinem Kunden verarbeiten lassen kann.Eine Sache weniger, über die man sich Sorgen machen muss.Für kleine Webshops, die WordPress-basierte Websites verwenden, verwenden sie normalerweise ähnliche Plugins (Woo Commerce), die diese vertraulichen Details auf ähnliche Weise vor dem Eigentümer der Website verbergen.
Travis Pessetto
2014-12-22 23:12:09 UTC
view on stackexchange narkive permalink

Um Zahlungen zu akzeptieren, benötigen viele Kreditkartenunternehmen, dass der Code des Kunden PCI-konform ist. Ich bin mir nicht sicher, welche Regeln es gibt, aber ich glaube, dass es jemanden erfordert, der den Code nicht geschrieben hat, um ihn zu überprüfen. Bei anderen wie Stripe und PayPal berühren die Kreditkartendaten niemals den Server des Ladenbesitzers. Im Fall von Stripe sendet JavaScript es an sie und gibt dann ein Token an den Server des Shop-Eigentümers zurück, das angibt, dass sie bezahlt haben, es durchlaufen hat und für Rückerstattungen verwendet werden kann.

Siehe:

https://www.controlscan.com/support-resources-qa.php

https://www.controlscan.com/support -resources-qa.php # 6

Wenn sie entschlüsselbar auf Ihrem Server gespeichert sind (den Sie möglicherweise verarbeiten und an den Kreditkartenserver senden müssen), ist es nicht schwierig, sie vom Live-System oder einem Backup abzurufen oder währenddessen einen SSL-Proxy / Mitm-Angriff durchzuführen Die CC-Daten werden übermittelt
@sweethome Das ist ein guter Punkt, wenn sie diese bestimmte Konformitätsstufe wählen. Ich bin nicht mit allen PCI-Standards vertraut, aber ich wage zu vermuten, dass dort etwas zum Speichern von CC-Daten auf dem Server vorhanden ist. Dies ist nur eine Vermutung von Geschäften wie Target, die nach dem Diebstahl von Kreditkarteninformationen mit einer Geldstrafe belegt werden.
@sweethome Aus diesem Grund verstößt es gegen PCI, den CVV2-Code (den Sicherheitscode auf der Karte) nach seiner Validierung in jeder Form zu speichern. Es kann nicht verschlüsselt, nicht gesichert werden und muss vollständig gelöscht werden, sobald es zur Validierung gesendet wird.
Ich wusste nicht, dass es nicht erlaubt ist, alle Informationen zu speichern. Meine (scheinbar falsche) Annahme war, dass der Ladenbesitzer die gleichen benötigten Informationen hat wie der legitime CC-Besitzer.
Das stimmt also nicht ganz ... Die Kartennummer kann gespeichert werden, ist aber nicht ganz einfach. CVV kann NIEMALS sein, wird aber nicht benötigt, nachdem die Karte als legitim überprüft wurde. Eine ausführliche Diskussion zu diesem Thema finden Sie unter: http://security.stackexchange.com/questions/59520/how-to-store-credit-card-information-for-repeated-transactions-and-still-be-pci.
@briansol interessante Informationen in diesem Link
Beachten Sie, dass der CVV und andere vertrauliche Daten bis nach * Autorisierung * gespeichert werden dürfen. Dies kann Stunden, Tage oder sogar Wochen nach dem Kauf sein, wenn der Händler Transaktionen stapelt und sie nach einer bestimmten Zeit autorisiert. Zugegeben, die meisten Händler müssen das CVV nicht speichern, aber es ist unter bestimmten Umständen * erlaubt *.
wberry
2014-12-24 10:13:06 UTC
view on stackexchange narkive permalink

Was hält sie davon ab? Nichts als die Konsequenzen.

Es gibt jedoch Verarbeitungsdienste von Drittanbietern, die größere Online-Händler nutzen können, die alle Kreditkartentransaktionen abwickeln und im Rahmen ihres Vertrags mit dem Händler die gesamte Haftung dafür übernehmen Kompromisse dieser Daten. Bei diesen Vereinbarungen sieht der Händler selbst die Kreditkartennummer überhaupt nicht. Sie erhalten nur einen Token, mit dem dieselbe Karte erneut über den Dritten abgerechnet werden kann, der jedoch für jeden Angreifer nutzlos ist. (Und wenn der Dritte kompromittiert wird und Millionen von Nummern durchgesickert sind, können die Händler ihre Hände von allem waschen.)

Natürlich, selbst wenn ein Händler eine solche verwendet Dritte, Endbenutzer müssen einfach ihr Wort dafür nehmen, wenn der Händler dies überhaupt offenlegt. Und natürlich würde nichts einen korrupten Mitarbeiter eines Dritten davon abhalten, die Nummern abzureißen.

Bis zu Ihrem Punkt ist es möglich, Krypto zum Sichern von Online-Transaktionen einzusetzen. Es gibt digitale Cash-Kryptosysteme. Die Benutzererfahrung bei der Verwendung eines solchen Systems ist jedoch im Allgemeinen komplizierter, und dies ist nur eines von vielen Hindernissen für eine breite Akzeptanz.

Wenn Sie bei der Zahlung an den Fuzbar-Store nur aufgefordert werden, Ihre Anmeldeinformationen in einem Payfoo-Fenster einzugeben, kann extern nachgewiesen werden, dass Fuzbar dies nicht tut (vorausgesetzt, Payfoo ist ein vertrauenswürdiger Händler, dessen Website ordnungsgemäß implementiert ist usw.). Einige Benutzer könnten dies Seien Sie trivial betrogen, wenn Sie glauben, dass ein Fuzbar-Fenster von Payfoo stammt.
Das ist eigentlich eine etwas andere Architektur und ein anderes Geschäftsmodell. In Ihrem Szenario hat der Dritte eine Beziehung (d. H. Ein Konto) zum Benutzer / Kunden. Das gleiche Konto kann für mehrere Händler verwendet werden. In meinem Fall wird die Kreditkartenverarbeitung einfach an Dritte ausgelagert. Jede Kombination (Händler, Kunde) ist separat.
sedstar-guest
2014-12-26 03:44:18 UTC
view on stackexchange narkive permalink

Im wirklichen Leben leite ich einen kleinen Laden. Sie können uns persönlich oder telefonisch mit einer Kreditkarte bezahlen.

Sobald die Transaktion abgeschlossen ist, können wir die Kreditkartennummern nicht mehr "sehen", sie werden blockiert und von bearbeitet das Unternehmen, das Kreditkarten verarbeitet.

Wenn ich oder meine Mitarbeiter versuchen würden, die Nummern über die Telefontransaktionen zu speichern, um sie zu missbrauchen: Ich glaube nicht, dass es ZU lange dauern würde, das alles herauszufinden Die Opfer lebten in der gleichen Gegend und nutzten unseren Laden.

============================== ==============

In einer Online-Händlersituation würde ich die Kreditkartennummern nicht einmal verarbeiten oder sehen können. Die Kreditkartenfirma würde nur Geld auf ein Konto für mich einzahlen. Ich nehme an, ich könnte versuchen, Kunden dazu zu bringen, mir ihre Kreditkarteninformationen per E-Mail zu senden, aber ich glaube nicht, dass zu viele Kunden auf diesen Trick hereinfallen würden, lol.

Die "schmutzigsten Einzelhändler" im Internet spielen mit dem Artikel, den sie Ihnen gesendet haben, oder ob sie die Artikel sogar gesendet haben oder ... den Versand überladen. Sie verdienen bereits etwas Geld und versuchen möglicherweise, ein wenig mehr zu verdienen.

Aber wie ich sehen kann, muss ein böswilliger Dritter die Kreditkarteninformationen abfangen und missbrauchen.

Danke die Insider Infos.:-) Wenn ich Sie gut verstehe, würde das bedeuten, dass Ihr Geschäft gekürzt wird, wenn einer Ihrer Mitarbeiter die Kreditkartendaten missbraucht?
algiogia
2014-12-23 16:15:51 UTC
view on stackexchange narkive permalink

Heutzutage leiten die meisten Webshops Sie zu einer Bestätigungsseite weiter, die von Ihrem Kartenanbieter gehostet wird. Dort müssen Sie ein Passwort eingeben (normalerweise nur ein Teil davon), um zu bestätigen, dass Sie der Besitzer der Karte sind. Das hindert den Ladenbesitzer nicht daran, Ihre Kartendaten zu stehlen, aber er kann das Sicherheitspasswort nicht sehen, was ihn daran hindert, mit der Überprüfungsfunktion auf Websites einzukaufen.

Leider verwenden nicht alle Geschäfte diese Funktion, aber Mit zunehmender Akzeptanz wird es immer schwieriger, gestohlene Kartendaten zu verwenden.

Bis Sie auf der Website großer Unternehmen einkaufen, sind Sie in Sicherheit. Für kleinere, unbekannte Geschäfte ist die Verwendung von PayPal ein guter Weg, um sicher zu sein: Die Kartendaten werden auf PayPal-Servern gespeichert, oder Sie geben sie auf ihrer Seite ein, wenn sie nicht bereits registriert sind. Auf diese Weise erhält der Shop Ihre Daten nicht.

Es sind also nur Geschäfte, die diese Funktion nicht verwenden, deren CC-Daten gestohlen werden? Trotz der Berichterstattung in den Medien berichten sie hauptsächlich über große Geschäfte, in denen ich gedacht hätte, dass sie sich um die Sicherheit ihrer Kunden kümmern würden
Nun, nein. Diese Funktion fügt nur einen zusätzlichen Sicherheitsschritt hinzu: Nachdem Sie Ihre CC-Daten auf der Shop-Website eingegeben haben, werden Sie zur Authentifizierung auf die Bank-Website weitergeleitet. Der Shop kann weiterhin Ihre CC-Daten stehlen, aber die Anzahl der E-Shops, in denen er sie verwenden kann, ist durch die Überprüfungsfunktion begrenzt: Sie kennen Ihre CC-Daten, aber nicht Ihr Passwort. Es klingt unwahrscheinlich, dass der CEO von Amazon CC-Details stiehlt, wenn man sein Gehalt berücksichtigt. Kleine Läden werden normalerweise von einer einzelnen Person geführt, die leichter "in Versuchung geraten" kann.
Ich hoffe, dass sich auch große Unternehmen darauf einstellen, damit unterbezahlte IT-Techniker oder Assistenten, die für das Erstellen der Backups oder das Recycling alter Server verantwortlich sind, nicht in Versuchung geraten.
munchkin
2014-12-26 06:01:46 UTC
view on stackexchange narkive permalink

PCI DSS ist eine Checkliste zur Einhaltung von Standards, an die sich Geschäfte halten müssen, die CC-Informationen verarbeiten möchten. Da die Verordnung jedoch weltweit nicht weit verbreitet ist, entspricht dies genau den ISO-Standards.

In der Vergangenheit verwendeten die Webshops Paypal. Oder rufen Sie ihre Einkäufe über ihre eigenen Händlerkonten bei den Banken an. Das Risiko von Rückbuchungen und Betrug über das Internet machte es jedoch einfacher, das Risiko bei einer Gegenpartei zu parken. Paypal und einige andere waren die ersten, die dieses Risiko eingegangen sind.

Nun werden Sie feststellen, dass die meisten E-Commerce-Websites Sie zu einer anderen Seite mit der Kontrahenten-Website führen, auf der die Transaktionen abgewickelt werden, nur damit dies nicht der Fall ist muss das Risiko eingehen. Dies ist für die meisten ein tragfähiges Geschäftsmodell, da der Webshop nicht die Kosten für Betrug übernehmen muss, sondern möglicherweise Gebühren zahlen muss.

Wenn Sie sich das Risikomodell von shopify ansehen, werden Sie feststellen, dass es größer ist als die Verbreitung von Betrug durch sein System.

Aniket
2014-12-26 17:05:54 UTC
view on stackexchange narkive permalink

Hier spielen viele Faktoren eine Rolle.

Erstens ist das Zahlungsgateway eine wichtige Komponente - die verschlüsselten CC-Daten werden vom Browser des Benutzers zum Gateway übertragen. In einigen Fällen werden sie möglicherweise über den Webserver des Händlers abgerufen, um die Transaktionsdaten zu erfassen (in diesem Fall kommen alle PCI-DSS-Standards zum Tragen). Manchmal umgeht das Gateway den Webserver des Händlers vollständig und erhält die Transaktionsdaten als separate Verschlüsselung vom Händlerserver verbunden (in diesem Fall nicht sicher, ob die PCI-Konformität besteht).

Nachdem die Zahlungsinformationen und die Transaktionsinformationen abgerufen wurden, werden sie an den Zahlungsverarbeitungsserver der Bank weitergeleitet, der sie an die jeweiligen Verbände weiterleitet (Visa, Mastercard, Amex usw.), die es erneut zur Validierung und Überprüfung des Kreditlimits / Kontostands an die ausstellende Bank weiterleiten. Nach der Validierung senden sie eine Erfolgsantwort, die dem umgekehrten Pfad zurück zum Händler folgt.

Bei betrügerischen Transaktionen verfügen die meisten Karten heutzutage über eine dritte Schutzschicht (sogenannte 3D-Auszahlung) - entweder eine Code / Passwort (zB Master Card Secure Code usw.) oder ein OTP (Einmalpasswort, das an die registrierte Handynummer gesendet wird) (z. B. bei AMEX- und Citi-Karten), das der Benutzer eingeben muss, während die Transaktion die Zahlungsverarbeitungsserver erreicht, wodurch minimiert wird das Risiko betrügerischer Transaktionen.

Abgesehen davon verfolgen sie die IP-Adresse Ihres Computers. Ich wäre mehr besorgt über die persönlichen Daten, die ich bei jeder Transaktion an den Händler weitergebe - z. B. Name, Geburtsdatum, Adresse, Telefonnummer usw. Ich kenne keine branchenweiten Compliance-Protokolle für diese und daher könnte es eine große Menge geben Möglichkeit des Missbrauchs.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...