標籤:

App Store 是否保存用戶信用卡的 CVV 碼?

12-29

在 App Store 上綁定了信用卡後就可以在下載收費應用時自動扣款,蘋果是如何完成自動扣款的過程的?是存儲了用戶的信用卡信息,包括失效時間,CVV 碼等?還是通過其他技術?

根據stackoverflow上的這個貼:
How come Appstore gets to store CVV2?
當你購買apps時蘋果實際上並不需要向信用卡公司提供CVV碼。一開始讓你輸入CVV碼只是為了驗證這卡真的是你的而已,所以蘋果並沒有儲存用戶的CVV碼。

也有的商家是從頭到尾都不需要用戶提供CVV的,比如Amazon。據說信用卡公司會對這些不提供CVV的交易收取更高的費用,這些費用都由蘋果亞馬遜他們自己承擔了。

商戶扣款是不需要用戶CVV的,有卡號就能扣,問你CVV和有效期只是為了確認卡是不是你的,不會保存的?,信用卡玩的就是信用,商戶違規扣款會影響商戶信用,就跟你欠款不還後果類似,所以泄露CVV及有效期的風險在於其他人冒名使用你的信用卡,而不在於商戶?
歡迎拍磚!!

首先糾正問題,CVV 和 CVV2 不是一個東西,針對非專業人士一般講的 CVV 是指 CVV2,CVV 和 CVV2 時有明顯區別的:

  1. CVV 是保存在信用卡磁條中的,POS 機是可以讀出來的;
  2. CVV2 通常是印刷在信用卡背面的(AE 卡印刷在正面),除了你自己沒有任何人知道你的信用卡 CVV2 是什麼,CVV2 不能被 POS 機讀取;
  3. CVV2 各家卡品牌叫法不一致,分別有:CAV2、CVC2、CVV2、CID 等等。

=========================================

下面回歸正題:

我想題主這個問題只有 Apple 的員工才知道,但是我想 Apple 應該時不會存儲的,PCI DSS 在國外的認知程度比較高。

那些信息支撐你完成交易?

再說下整個互聯網交易(通常這個行業將其歸類為「卡不存在」交易的一種)中都需要那些信用卡信息,或者說那些信用卡信息會發送給你的發卡行來驗證你的身份?

這些分別是:

  • 卡號
  • 有效期
  • CAV2/CVC2/CVV2/CID
  • 賬單地址(部分國家實現)
  • 密碼(僅限用於電子商務交易的 3D 交易)

為了完成交易,上面的所有信息幾乎除了卡號是必選以外,其他均為可選項。那麼為什麼你說只要有了卡號就可用完成交易,可在實際中商戶非要索取那麼多的信息?答案只有一直,風險原因。商戶需要更多的信息來驗證你的身份,確保自己的利益不受損失。

這些信息用來幹什麼?

下面在分別說下上面提到的每項信息的用途:

  • 卡號:非常容易泄漏,但沒有辦法,總得知道從誰要錢吧;
  • 有效期:同樣非常容易泄漏,但是要確保信用卡在有效期內,因為不在有效期內的卡,發卡行可以不會給你付錢;
  • CAV2/CVC2/CVV2/CID:相對比較難泄漏,因為印刷在背面么,且僅限於「卡不存在」交易使用,為了識別持卡人身份,防止你知道了別人的卡號和有效期就冒用別人的信用卡;
  • 賬單地址:進一步驗證你的身份,銀行會根據商戶提供的持卡人賬單地址驗證地址是否和銀行資料庫中的匹配,賬單地址匹配的交易,持卡人以欺詐交易為理由拒付,商戶申訴成功率非常高。
  • 密碼:僅限於互聯網電子商務交易用,商戶可以選擇是否執行 3D 驗證,需要驗證的時候會跳轉到你的發卡行頁面輸入 3D 驗證密碼,3D 驗證通過的,收單行和商戶不接受以欺詐交易為理由拒付。

PCI DSS 的所有要求其實就是圍繞保護卡號不被泄漏展開的,同時因為 CVV2 太敏感,所有禁止存儲,其實 CVV2 除了泄漏或者你告訴別人以外,沒有任何人知道,POS 機也辦法從磁條中讀出。

那麼商戶能不能在整個交易中都不要求持卡人提供 CVV2 呢?答案是可以的,但是這樣要求商戶具有很強的技術能力可以識別具有風險的交易,目前貌似沒有誰願意擔這個風險,持卡人拒付了商戶要賠啊,而且拒付太多了,還會被卡組織罰款或者拒絕接入呢。

持卡人的終極武器:拒付

再說說拒付吧,被我朝銀行蹂躪習慣的大傢伙可能對拒付這個東西很陌生,我來說說各種奇葩的拒付吧(正常的不說了):

  • 老婆刷了自己的卡了,老子不樂意了,以非授權交易拒付
  • 東西買了,用了一段時間出現了一點小問題,又一時半會找不到售後,以產品質量拒付
  • 商戶承諾三天發貨,第四天還沒有收到,以收不到物品或服務拒付

你看看國外的銀行把客戶都慣的壞成啥了,在我朝簡直不可想像,更讓你不可想像的是拒付追溯期是 180 天啊。

更坑爹是卡組織對商戶的拒付考核非常嚴,就以最寬大仁慈的 Visa 來說,每個月 200 筆 2% 就要整改,三個月不達標直接踢出門。

為什麼這麼苛刻的條件,大家還要接收信用卡?還不是卡組織無條件的保護持卡人,你商戶不就被綁架了么,看看人家都是怎麼做生意的,再看看我們銀聯,只能呵呵了。

商戶怎麼辦?

針對信用卡信息保存問題,商戶要嚴格按照 PCI DSS 要求來做,不可以馬虎,老外只講程序。一旦發生了卡信息泄漏問題(即便只是卡號),立即啟動應急程序,通知卡組織(PCI DSS 也要求這麼做),只要你流程對,卡組織不會卡你接入問題。

當然自己流程對了,還有惡意持卡人怎麼辦?

  1. 選擇可靠的風控服務,如果認為交易存在風險,可以何時持卡人信息,例如要求提供護照等,否則放棄交易;
  2. 不要給客戶瞎承諾和過度承諾;
  3. 切記做好客戶服務,該退款就退款;
  4. 所有交易儘可能多的驗證信息,發生拒付後,整理資料,向銀行申訴。

你怎麼辦?

首先我一致提倡放心大膽的使用你的信用卡,但是一下幾個事情我覺得有必要做或者沒必要做:

  1. 刮 CVV2,沒有必要,我不信你能徹底刮掉!那個是壓進去的;
  2. 保存好自己的卡片,不要用各種 IM 軟體、電子郵件傳遞信用卡號,很有必要;
  3. 儘快更換晶元卡,並盡量使用晶元卡,很有必要,特別是東南亞,在東南亞就不要用磁條卡了;
  4. 磁條信用卡不要設置密碼,很有必要,特別是在東南亞用磁條卡;
  5. 在國外有 Visa 等組織的地方盡量不要使用銀聯線路,很有必要;
  6. 如果發生盜用情況,堅持拒付,很有必要。

祝你用卡愉快。

CVV只是用於第一次授權,獲得授權之後商戶會獲得一個授權token,下次用這個授權token就能直接扣款了,類似微博的授權機制。

推薦閱讀:

支付行業里二清是指什麼?第三方機構不能接二清嗎?
銀聯閃付 (QuickPass) 目前都有哪些體驗不好的地方?沒有得到大範圍使用的原因是什麼?
支付平台是如何測試各種渠道和銀行通道?
網站想嵌入的各銀行網銀介面,該如何做?
影響國內手機支付普及應用的障礙是什麼?

TAG:AppStore | 信用卡 | 支付 |