在歐美地區,Paypal與信用卡為兩大主要線上支付方式。Paypal大家都很熟悉,而信用卡,相信做海外電商的企業在這上面都吃過苦頭,因為信用卡會面臨一個嚴峻問題:欺詐風險。
海外支付:抵禦信用卡欺詐的CyberSource
吳劍 2014-06-04
原創文章,轉載必需注明出處:http://www.cnblogs.com/wu-jian
吳劍 http://www.cnblogs.com/wu-jian
前言
Visa 于2010年以20億美金收購了 CyberSource 成為它的全資控股子公司。在中國大的線上支付平台背後,幾乎都有CyberSource提供的反欺詐服務,如阿裡的支付寶、騰訊的财富通......
海外支付:遍布全球的Paypal
概述
<圖1.CyberSource支付流程>
Secure Acceptance
圖1描述了CyberSource信用卡支付的完整流程(使用CyberSource支付網關,使用CyberSource Decision Manager),同時本文針對非PCI認證商家(即信用卡資訊必須存在于第三方)。
OK,第一個步驟是采集使用者的裝置指紋,即通過一些CyberSource提供的API來唯一識别一個使用者;然後通過Secure Acceptance接口向CyberSource發起信用卡的授權請求。在這個請求中包含了支付相關的所有資訊,比如支付币種、金額、賬單資訊等等,以及如果使用CyberSource Decision Manager附帶的風控所需資料。
此處,需要特别注意如下幾點:
1、CyberSource會對Secure Acceptance的請求資料進行驗證(如字段長度,字段特殊字元等,在API開發文檔中有相關章節,但由于開發文檔版本疊代頻繁,此處需要測試用例的合理覆寫),如驗證未通過,不會進行銀行授權,直接Return一個“Request parameters are invalid or missing”至商家頁面。因為未進行銀行授權,是以Return回來時不會包含網關ID這個關鍵參數,後續也就無法進行Capture或Reversal動作。
2、如果使用者的Secure Acceptance請求經過了Decision Manager,Return回來時會包含DM的決策結果,同時在DM API中會再次将決策結果通知到商家(見Decision Manager章節)。
3、Secure Acceptance的結果由CyberSource商戶背景配置的URL進行回調,這裡可能會存在一個中斷,比如因為網絡原因導緻Return結果未到達商家伺服器,是以後面需要一個單獨的程式來定期進行查詢和處理(見對中斷的處理章節)。
Decision Manager
CyberSource的強大之處在于它的反欺詐服務,這個服務稱之為:Decision Manager。
CyberSource DM系統很容易讓我聯想到西蒙斯和他的文藝複興公司(Renaissance Technologies Corp),通過大資料,通過算法,通過數學模型玩轉對沖基金,收益甚至把巴菲特甩了幾條街。CyberSource Decision Manager也幹着類似的事情,首先它有足夠大的使用者交易行為資料,一旦你使用CyberSource,你也成為了它的資料源貢獻者,然後它建構數學模型,對使用者的行為進行分析,揪出欺詐使用者,當然,最重要的是按次計費。但不可否認CyberSource在線上反欺詐領域還是赫赫有名的。
OK,看看CyberSource Decision Manager的大至工作流程:
<圖2.CyberSource Decision Manager邏輯>
CyberSource Decision Manager提供一個龐大的背景,在這裡面你可以配置非常多非常複雜的規則。為了清晰描述Decision Manager的工作流程,例舉一個最簡單自定義規則:當使用者來自俄羅斯,自動拒絕交易;當使用者來自美國,自動允許交易;當使用者來自日本,需人工稽核來決定是否允許交易。如上圖所示,Decision Manager的工作流程就很清晰了。
當收到CyberSource Decision Manager結果時,代表了Authorization(銀行授權)已認證,授權通過後使用者信用卡裡的金額會被臨時當機,此時使用者如果查詢會發現卡内餘額減少, 是以當授權通過後應盡快進行後續動作,要麼對這筆金額進行收款,即發起Capture;要麼把這筆金額歸還給使用者,即發起Reversal。當然,如果你什麼都不做,一段時間後銀行會自動Reversal把當機的款項歸還給使用者,隻是這個時間段如果使用者查詢餘額會覺得困惑,因為在商家網站付款未成功,而卡内餘額卻減少了。
需要注意的是CyberSource Decision Manager結果通知可能因為網絡或其它原因中斷,無法送達商家伺服器,而CyberSource不會像Paypal一樣會有重試機制,是以後面我們同樣需要一個單獨程式來定期詢問CyberSource,有哪些支付在DM中已有結果而未送達商家的。
對中斷的處理
在圖1的第6步和第7步,由CyberSource将結果發送至商家伺服器,中間可能因為各種原因(如網絡故障、接收程式異常)導緻消息未送達。此時如果不及時處理會帶來糟糕的使用者體驗,如果拖延時間太長,即使最後付款處理成功,也極容易導緻使用者的Chargeback,而Chargeback過高,收單行就會拒絕與商家的合作,是以不論何總支付方式,總會考慮處理意外中斷,合作不易,與銀行長期穩定的合作更不易,且行且珍惜。
<圖3.授權中斷處理>
Secure Acceptance可能存在結果未響應的情況(根據個人經驗,實際每天都會有一定數量的交易出現該情況)。如上圖所示,我們通過一個單獨程式把每筆未收到結果的交易拿去CyberSource查詢比對,然後按響應結果進行後續邏輯處理。需要注意的是CyberSource提供的查詢API以銀行授權結果為前提,當一筆交易未進行銀行授權時,傳回的結果類似于NULL;另外當一筆交易在DM結果為Review,并且已人工處理完成時,在此處拿到的結果仍為Review狀态,如要正确處理,就需要另一個針對Decision Manager的中斷處理程式。
<圖4.DM中斷處理>
當Decision Manager進入人工稽核,同樣通過商戶背景配置的一個回調URL回傳稽核結果(見圖1中的步驟7)。此處如果商戶不能接收到結果,就會導緻該收的款未收,該退的款未退。我們做電商,知道使用者從選擇商品、下單、再到支付,是一個逐漸流失的過程,每個使用者到了支付環節都是來之不易的,如果在最後一步因為技術原因導緻使用者付款失敗,實在是一件極不劃算的事情。
需要注意的是CyberSource在此處提供的查詢API,是針對Decision Manager中人工稽核的結果,交易如果被DM中的規則自動拒絕或自動通過,是在Secure Acceptance中斷程式中來處理的。如果很不幸,一筆交易在步驟6和步驟7處同時發生了中斷,因為兩處API分工不同,就必須保證Secure Acceptance中斷處理程式先執行,DM中斷處理程式後執行。
後記
關于CyberSource的服務,他們的技術團隊在美國,售前在香港,是以一些具體的技術問題溝通較消耗時間。接入上線後,技術溝通就隻能與他們美國方面進行,很是不友善。他們中國地區的售前和風控團隊還算有問必答,隻是一些技術相關的細節問題,需要中轉至美國,效率會偏低一點。
關于海外信用卡支付,國内也有不少公司在做,但曾經有過慘痛的教訓,最終迫不得已選擇了CyberSource。
關于支付的風險控制,相信每個商家都在做或計劃在做,但因為沒有大資料的支撐,比如一個使用者第一次來你的網站支付,你無法知道他之前在别家網站是否有欺詐行為,而CyberSource有這方面資料,是以他提供收費服務。對商家來說能化繁為簡,專業的事交給專業的人去做,也未償不是件好事。
關于收單行,令人遺憾的是國内的各大銀行,目前都很難在國際上得到認同,香港是一個不錯的選擇。
最後稍說明一下,因為涉及到交易與安全,本文并未涉及到具體技術細節,如有需要,歡迎與本人取得聯系。
如果您覺得本文對您有所幫助,可掃描兩側的二維碼向作者打賞。您的支援是原創的源動力!
作者:吳劍
出處:http://www.cnblogs.com/wu-jian/
本文版權歸作者所有,歡迎轉載,但必需注明出處,并且在轉載頁面明顯位置給出原文連接配接,否則保留追究法律責任的權利。