Bankir.Ru
22 января, воскресенье 23:24

Объявление

Свернуть

Конференция «Банки и МСБ. Перезагрузка отношений»

Показать больше
Показать меньше

CVC2/CVV2 при e-comm эквайринге

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • CVC2/CVV2 при e-comm эквайринге

    Подскажите, люди добрыя, обязан ли ноне эквайр при и-нет операциях обрабатывать эти самые СВС/СВД? И если обязан, но не делает - есть ли средствА на оного эквайера давления?

  • #2
    2#paul

    Не скажу точно по Визе, но Европей в Combined Operations Bulletin N.4/00 написал, что до 1 Апреля 2001 года, все Мото и э-комерс акваеры должны передавать CVC2 издателю, но в отличии от издателя, к акваеру не применяются никакие санкции (во всяком случае я ничего не нашел) если он этого не делает.

    Кстати для информации - совсем недавно проходили ЕТЕТ для БИНа виртуального ЕСМС. Европей делал транзакции на сайте Бельгийского интернет магазина, который не поддерживал приемку и отправление CVC2.
    С уважением
    Alex007

    Комментарий


    • #3
      Alex007
      Спасибо.
      ВолкИ они там - зачем тогда было огород городить, заставлять на картах печатать, если эквайера ни к чему не обязывают :-Е

      Комментарий


      • #4
        2 #paul

        Извини за позднюю реакцию, редко стал заходить сюда.

        Ты прав, речь идет в основном об эмитентах и их возможностях, а не об экваерах. Т.е. я честно говоря так и не понял, каковы шансы на у эмитента на chargeback с RC37, если экваер зарегистрирован и чего-то там прислал в DE 48. Ну есть они, и что? Может кто просветит?

        Combined Operations Bulletin No. 4 · April 2000
        "CVC 2 Impact on MO/TO and Non-SET Electronic Commerce Transactions"

        Background
        The introduction of the CVC 2 mandate for MO/TO and non-SET electronic commerce transactions implies specific issuer and acquirer requirements and also means that issuers will no longer be able to charge back such transactions under reason code 37(4526) if they have not complied with this mandate.
        ..............
        Effective 1 April 2001, the card validation code 2 (CVC 2) validation processing is mandatory for issuers and acquirers that process mail order/telephone order (MO/TO) and non-SET Secure Electronic Transaction™ electronic commerce transactions. The service provides additional protection from merchant fraud loss because of counterfeit MO/TO and non-SET electronic commerce transactions.
        Acquirers must transmit CVC 2 data to the issuer in the Authorization Request/0100 message in DE 48, sub-field 92 for MO/TO and non-SET electronic commerce transactions.
        ..............
        Acquirer Requirements for CVC 2 Validation

        Acquirers must register for CVC 2 validation processing between 1 October 2000 and 1 April 2001 and meet the following requirements:
        · They must comply with the disclosure restrictions for CVC 2 data set forth in the Security Policies and Procedures manual.
        · They must transmit CVC 2 data to the issuer in the Authorization Request/0100 message in DE 48, sub-field 92 for MO/TO and non-SET electronic commerce
        transactions.

        Комментарий


        • #5
          To #Paul:

          "There is no mandate that force a merchant to transmit the CVC2 to its Acquirer. The mandate is about the acquirer to transmit the CVC2 to the Issuers.
          But the issuers have a chargeback rigth if the CVC2 is not received for MOTO and non-SET e-commerce transaction. This means that the Acquirers have a risk to receive chargeback for non-CVC2 transactions. So, it is the acquirer interest to convince its merchants to collect and transmit CVC2 values to minimise the losses."

          Rostik

          Комментарий


          • #6
            Наш MSP с 1 апреля 2001 г. в сотв. с указанным опер. бюллетенем дает отказ эквайеру если поле CVC2 для МОТО операций не заполнено. В связи с этим участились жалобы от клиентов на отказ в обслуживании в Интернет-магазинах, типа Амазона.
            Мы стали разбираться кто прав а кто нет. Писали в Европей - спрашивали, прав ли эмитент что дает отказ, прав ли магазин, что не передает CVC2.
            Писали в Амазон - спрашивали, почему не передают CVC2.

            Амазон ответил, что им это не надо, что они не хотят и не будут(!) и предложили обращаться в Мастеркард.

            Европей ответил, что эквайер обязан передавать, а эмитент обязан проверять. Магазин же никому не чего не обязан. И в принципе это дело эмитента, проверять или нет. Другой вопрос, что если эмитенту дали CVC2, а он не проверил или проверил, а оно было неверное или еще чего не так заполнил в ответе (см. тот бюлетень) то он всего лишь теряет право чарджбека. Вот так.

            MSP же говорит что они считают что правильно давать отказ если нет CVC2 ибо Интернет - огромная дыра из которой сыпятся мошеннические операции, итд. И они считают, что в целях защиты эмитента, лучше давать отказ.
            Мы же, как эмитент, считаем, что мы сами должны определять нашу политику и решать как настроить систему в плане обработки CVC2.
            Вообще, я думаю, идеальным было бы вообще настраивать диапазон БИНов, вплоть до 1 карты, по которым решать, давать отказ по отсутствию CVC2 или нет.
            Пример. Приходит клиент и говорит: "у меня не работает карта в Амазоне".
            А мы ему: "понимаешь, это Инет, это дыра для мошенников, но если очень хочешь, пиши заяву что отвечаешь за возможные "лишние" списания" (хотя клиент и так за все отвечает :-) {пожалуйста флейм по этому поводу не поднимать - это не в тему}
            Тогда мы бы отключили для его карты проверку CVC2. А так - облом.

            Комментарий


            • #7
              2 Shelter

              Все правильно сказал, за исключением следующего:

              >если эмитенту дали CVC2, а он ... проверил, а оно было неверное ... то он всего лишь теряет право чарджбека.

              IMHO не теряет, потому что "Issuers ... that do not provide a valid response code to acquirers will not be eligible to charge back". А он дал N, что есть "valid response code", но при этом одобрил запрос.

              Я не прав?

              Комментарий


              • #8
                rosti
                issuers have a chargeback rigth if the CVC2 is not received for MOTO and non-SET e-commerce transaction
                It is not the same as "issuer don't have a chargeback right if CVC2 was received for MOTO and non-SET e-commerce transactions". Две большие разницы.

                Shelter
                пиши заяву что отвечаешь за возможные "лишние" списания" (хотя клиент и так за все отвечает :-) {пожалуйста флейм по этому поводу не поднимать - это не в тему}
                Полная чушь, тем более в данном контексте. Списания не будет, будет замораживание до написания клиентом заявления об отказе ( ну и плюс некий срок, установленный его банком для таких ситуаций). С равным успехом можно спрашивать у каждого клиента, какие операции по своей карте он хочет запретить (e-comm, MOTO, KEY-entered и пр.). CVC2 тут не при чём.

                ArtemK
                Тема неожиданно переплелась с http://forum.bankir.ru/showthread.php?s=&threadid=11156 . В плане перспектив нововведений в обработке e-comm в свете игнорирования их (нововведений) магазинами. Может, слить их (темы, то есть)?

                Комментарий


                • #9
                  To #paul:

                  Soglasen. No rech ne o tom. Trebovanie po CVC2 otnositsja k Acquier-u i Issuer-u.
                  Vse Internet site/magasiny i td. ne budut trebovat' vvedenija CVC2 poka Acquirer (Bank) ne nastoit na tom.
                  Amazon-u i vsem drugim prosto nenuzhno eto i vse. No eto ne znachit chto Amazon kak Merchant narushaet pravila.

                  Rostik

                  Комментарий


                  • #10
                    Что-то я забыл N - выдается если неверный CVC2? Тогда если неверный, то разве можно одобрить запрос?
                    #paul
                    Почему сразу "чушь"? Блокировка суммы будет, а потом и презентмент припрется.
                    Вот его и отбивать придется если клиент потребует.
                    А тебе безавторизационные списания из Инета не приходили? Раз, и с клиента
                    списано. Никакой блокировки нет!
                    А вот еще был случай, пришел из Инета презентмент по несуществующей карте.
                    Его правда, быстро отбили, но пришлось писать экваеру, тк пришло опять через
                    месяц (видимо была подписка автоматическая).
                    А CVC2 еще как причем. Это очень хороший способ идентификации клиента, тк просто так этот код не подберешь. А из Инета операции по сгенеренным номерам карт просто потоком сыпятся. И в данный момент наш эмитент их все отшибает.
                    Но, к сожалению, и хорошие люди попадаются ;-) Фактически, получается как ты
                    и говоришь, запрет на совершение операций в Инете или МОТО.
                    Вот для отдельных лиц и хотелось бы сделать исключение.
                    Короче - это как часто бывает, вопрос выбора и баланса между Разрешить и Запретить.

                    rosti
                    Да, об этом вопрос то и был и Европей мы спрашивали именно об этом, нарушает ли магазин правила. Оказалось, что нет. Ну, раз не нарушает, то и требовать с него нечего.

                    Комментарий


                    • #11
                      2 Shelter

                      Привет, Алексей.

                      >Что-то я забыл N - выдается если неверный CVC2?

                      Да.

                      >Тогда если неверный, то разве можно одобрить запрос?

                      А это up to you. Ты же сам сказал "а он ... проверил, а оно было неверное ... то он всего лишь теряет право чарджбека." Из чего я понял, что запрос был одобрен. А иначе как можно потерять права на то, чего нет?

                      Комментарий


                      • #12
                        Shelter
                        "Чушь" - потому что в контексте прозвучала идея о добровольном согласии клиента на списании по фродовым e-comm. А списания я понимаю как завершенную операцию без возможности отката.

                        Комментарий


                        • #13
                          #paul
                          Ну ладно, не хочу спорить. Вопрос вовсе не об этом был.
                          А что операция фродовая - это еще доказать надо. Не, конечно, если клиент отказывается, будем пытаться отбить, а вот если неполучится - то извините.

                          Подчеркиваю, что это были _теоретические_ измышления. А реальность такова, что с 1 апреля ни один клиент у нас не может авторизоваться по МОТО и e-comm операциям без CVC2. Посему - примеров успешного отбивания прошедших фродовых операций с авторизацией просто нет. (Безавторизационные - были, как я говорил выше).
                          Поэтому, у меня нет практического опыта и сказать я ничего не могу. Если кто-то хочет об этом рассказать - прошу.

                          Комментарий


                          • #14
                            А CVC2 еще как причем. Это очень хороший способ идентификации клиента, тк просто так этот код не подберешь. А из Инета операции по сгенеренным номерам карт просто потоком сыпятся.


                            1. CVC2/CVV2 не подбирают.
                            2. Номера генерят или а)дети или б)по некоторым бинам в основном банков из ЮК - заведомо известны кредитные лимиты.
                            А еще, мы выгуливаем собак...

                            Комментарий

                            Пользователи, просматривающие эту тему

                            Свернуть

                            Присутствует 1. Участников: 0, гостей: 1.

                            Обработка...
                            X