El caso sería que alguien con una tarjeta de crédito robada se registre en mi sitio y use los detalles de la tarjeta de crédito robada para comprar servicios a través de mi sitio.
¿Cómo puedo proteger mi sitio de comercio electrónico de tarjetas de crédito robadas? ¿Qué acciones puedo tomar para validar la tarjeta antes de usarla?
Normalmente, cuando se utiliza la tarjeta con una pasarela de pago oficial, una tarjeta de crédito robada notificada debe marcarse como inutilizable. La tarjeta será rechazada por la pasarela.
Si realmente necesita autenticación avanzada antes de permitir que el cliente utilice una tarjeta, debe verificar su identidad haciendo que el cliente le envíe una copia de su tarjeta de identificación o pasaporte y una factura reciente (agua, electricidad, ... .) que indica su nombre y dirección. Esta dirección debe ser la misma que en la tarjeta de crédito. Tenga en cuenta que esto hará que la transacción sea mucho más difícil y engorrosa y que algunos clientes desaparezcan.
También asegúrese de que al realizar transacciones con tarjeta de crédito sea totalmente compatible con PCI-DSS si es necesario. Si su empresa no es compatible con PCI, las marcas de tarjetas pueden tomar varias medidas, desde advertencias y multas monetarias hasta la revocación de su capacidad para procesar transacciones por completo. Más importante aún, las PCI DSS le permiten asegurar a sus clientes que están protegiendo los datos de sus tarjetas de crédito de manera adecuada. En caso de incumplimiento, también puede ser considerado legalmente responsable por sus clientes.
No estoy seguro de cómo esto sería posible. La única forma de verificar si la tarjeta es robada sería confirmando con el emisor. Si el usuario no ha reportado el robo, el emisor no estará al tanto y permitirá que se utilice. Si el usuario lo ha reportado como robado, el emisor de la tarjeta bloqueará la tarjeta.
Si la transacción es exitosa o no, ¿es su única protección contra una tarjeta robada, sin duda?
¿Depende de tu negocio? ¿Usted entrega sus productos / servicios electrónicamente? ¿O a una dirección física? ¿Se pueden cercar, revender o convertir en efectivo sus productos? ¿Sus productos / servicios tienen una mayor tasa de remordimiento del comprador? ¿Su producto es controvertido?
Además del número de tarjeta, el código de seguridad en la parte posterior o la verificación / registro de la firma por fax / escaneo, también puede validar las tarjetas de crédito verificando su dirección de facturación, verificando el código postal de facturación (solo para los EE. UU. de lo contrario, es 00000 para extranjeros en territorio estadounidense y verificación del número de teléfono de facturación (todos estos cheques adicionales son opcionales, pero puede hacerlos necesarios si lo desea).
Si necesita limitar aún más su exposición, puede negarse a enviar a una dirección física que no sea su dirección de facturación oficial (obviamente, si su sitio fuera una floristería en línea, esa estrategia no funcionaría).
Puede compartir su lista negra de compradores sospechosos y estafadores potenciales con algunos de sus competidores (¡Cuidado! La legalidad de esta práctica dependerá completamente de la jurisdicción en la que se encuentre).
Puede consultar su informe de crédito (nuevamente, consultar las leyes locales)
Puede tener su propio número 800 para clientes de EE. UU. (para detectar algunas de las transacciones de sus clientes por teléfono). Tener un número 800 aseguraría que no puedan ocultarle fácilmente su identificación de llamada, incluso si son los que lo están llamando. También puede lograr el mismo propósito solicitando un número de devolución de llamada, un sms de devolución de llamada o una dirección de correo electrónico de devolución de llamada a la que su sistema podría devolverle la llamada o enviar un correo electrónico de inmediato para validar que le dieron el derecho. pieza de información.
También puede negarse a hacer negocios con ubicaciones geográficas específicas y rangos de IP específicos (de nuevo, verifique sus leyes locales, de hecho, suponga que estoy colocando este aviso legal al final de cada párrafo que escribo). Puede comprar listas de direcciones de correo vetadas que se sabe que existen y que se sabe que no son buzones de correos (o que se sabe que no son buzones de correos privados como buzones, etc.).
Usted podría limitar su exposición implementando un programa de referencias / invitaciones donde las personas derivan a sus familiares y amigos, o una empresa / organización refiere a sus empleados / miembros. Entonces, si encuentra que una persona está cometiendo un fraude, es más probable que las personas con las que están conectados también cometan fraude (y viceversa).
Puede limitar el valor de reventa de lo que tiene que ofrecer personalizando y adaptando sus productos / servicios específicamente al comprador inicial.
Puede limitar su exposición colocando límites de gastos y retrasos en el envío según el historial pasado de un comprador o el monto del pedido (nuevamente, consulte las leyes locales, bla bla). Y podría crear programas de lealtad y un trato preferencial / exclusivo para una clase específica de clientes seleccionados (como Amazon Prime, clubes de libros o membresías de Costco).
También puede limitar su exposición vendiendo un servicio de suscripción a una tarifa con descuento, o empaquetando sus productos / servicios de manera diferente, y limitar el rendimiento de su inventario de inmediato. De nuevo, mucho de lo que podría hacer dependería realmente del tipo de sitio de comercio electrónico que tenga.
Lea otras preguntas en las etiquetas credit-card e-commerce