Prevención de fraude en transacciones en línea

  

¿Alguna idea sobre cómo podemos prevenir esta situación?

1) El fraude es mayor con las transacciones CNP (Tarjeta no presente), no solo porque es más fácil salirse con la suya. Si el comprador dice que nunca lo recibió y lo archiva con la compañía de tarjetas, la compañía de tarjetas se pone del lado, a menos que tenga un comprobante firmado, lo que las transacciones de CNP nunca tuvieron. Por lo tanto, para ese tipo de fraude en particular, no puede hacer nada, excepto evaluar cuánto le cuesta a su empresa y ajustar sus precios para compensar.

2) Su procesador (Cielo en este caso, al parecer) debe realizar varios pasos antifraude para determinar si es probable que la transacción se realice o no. Algunos procesadores trabajan más duro en esto que otros, por lo que es posible que desee examinar sus alternativas para el procesamiento de pagos. Un procesador que pone más esfuerzo en esa capa puede costar más, pero también puede valer la pena. (Descargo de responsabilidad: trabajo para un procesador, pero no sé nada sobre Cielo, y no sé si es probable que estén haciendo un buen trabajo para usted o no, continúen investigando). Estos son pasos que el procesador puede seguir pero realmente no puede, porque no tiene acceso a la misma cantidad de información que acumulan en conjunto y al nivel de información que obtienen de los adquirentes de tarjetas de crédito. Por lo tanto, no es un tipo de cosas de tipo "hágalo usted mismo".

Parece que está utilizando un servicio de pago alojado (PSP). Sugiera tener una discusión con ellos sobre cómo puede reducir sus devoluciones de cargo y los niveles de fraude. Si no tienen a alguien con quien conversar, considere cambiar de proveedor. También hable con su banco adquirente, ya que también pueden tener tecnología o procesos que pueden habilitar.

Algunas cosas deberían poder habilitar, lo que reducirá sus niveles de fraude:

• Calificación de riesgo : utilizará la combinación de datos recopilados en el navegador del cliente para realizar la identificación del dispositivo, la dirección IP y la lista negra de dispositivos, velocidad (por ejemplo, la misma tarjeta de crédito utilizada en diferentes países en un corto tiempo), reportó tarjetas robadas, artículos de alto riesgo de fraude, por ejemplo iPads, etc. para proporcionar un puntaje de riesgo para la transacción y el cliente. Un buen software aprovecha cosas como una red de e-Fraud (servicio RSA) para unir el conocimiento del fraude en todo el mundo. Puede establecer acciones en función de la puntuación de riesgo, por ejemplo. una puntuación de 1-1000, por debajo de 500 acepta la transacción, 500-800 requiere pasos adicionales, por encima de 800 rechazar o requiere un método de pago diferente

• Reglas específicas del comerciante : puede requerir verificaciones básicas como AVS (la validación de la dirección, es decir, la dirección de facturación ingresada coincide con la dirección de la tarjeta), CVS (validación del código de seguridad de la tarjeta). Otras reglas simples pueden basarse en el tipo de artículo o artículo o valor de la cesta. Nuevamente, puede tomar medidas adicionales o rechazarlas en función de las respuestas a estas.

• 3D Secure (3DS) : esto significa que el usuario debe ingresar su Verified by Visa (VbV), Mastercard Secure Code o la contraseña de Amex, la cual es validada por el emisor de la tarjeta para procesar la transacción. 3DS también debe proporcionarle la transferencia de responsabilidad, por lo que si se aprueba la 3DS y hay un contracargo, el emisor de la tarjeta asumirá la responsabilidad en lugar de usted como comerciante.

• Autenticación adaptativa : en función del puntaje de riesgo, es posible que desee solicitar una autenticación adicional, por ejemplo. una pregunta secreta que ingresaron en el registro, o un SMS con una contraseña única que se envió a su teléfono móvil registrado para procesar la transacción.

• Opciones de pago alternativas : puede transferir parte de su riesgo y posiblemente obtener clientes adicionales al ofrecer opciones como Google Checkout o Paypal, por ejemplo. Estos proveedores tienen sistemas de detección y prevención de fraudes y, de nuevo, se puede negociar un cambio de responsabilidad en ciertos casos.

Algunos de estos pasos pueden ser un costo adicional, también pueden resultar en una mayor tasa de abandono de sus clientes. Por lo tanto, tendrá que medir estos costos en relación con sus niveles de fraude y sintonizar para obtener un balance óptimo para su negocio. Espero que ayude y buena suerte!

Normalmente, los procesadores de pagos no tienen la tarea de detectar el fraude. Reciben una única llamada a la API con un número de CC y detalles y una dirección de facturación, y solo verifican la información que el banco tiene archivada. La mayoría de las empresas no rechazan el pedido, incluso si la dirección de facturación no coincide; tiene la opción de pedirle a su procesador de pagos que rechace el pedido según el código AVS (Verificación de dirección).

Para detectar si una orden es un fraude, se debe ingresar más información en el análisis y es posible que no se necesiten los detalles de la tarjeta de crédito. Por lo general, los pedidos grandes en los que las direcciones de facturación y envío son diferentes y el pedido se realiza desde una IP internacional puede indicar un fraude. Además, si se coloca una orden después de que se probaron varias tarjetas de crédito, posiblemente sea un fraude. Puede revisar manualmente estos detalles para cada pedido, si recibe un puñado de pedidos todos los días. Puede buscar en el mapa de Google la dirección de envío y verificar la IP de la que proviene la solicitud. Mira lo lejos que están unos de otros. Los datos de ingeniería social son también una clave; Puedes revisar la gente en LinkedIn para ver si existen y lucir legítimas.

Pero esto puede ir de las manos, si tiene una gran cantidad de pedidos. Hay muchos proveedores de servicios de detección de fraude a los que puede llamar a su API, proporcionar los detalles de la transacción y le darán una puntuación que indica el riesgo del pedido. Ejemplos de ellos son SignifyD, MaxMind, SiftScience, Riskified, Kount.