海外支付：抵禦信用卡欺詐的CyberSource

時間 2019-11-08

標籤海外支付抵禦信用卡欺詐 cybersource 简体版

原文原文鏈接

海外支付：抵禦信用卡欺詐的CyberSourcehtml

吳劍 2014-06-04算法

原創文章，轉載必需註明出處：http://www.cnblogs.com/wu-jian安全

吳劍 http://www.cnblogs.com/wu-jian服務器

前言微信

在歐美地區，Paypal與信用卡爲兩大主要在線支付方式。Paypal你們都很熟悉，而信用卡，相信作海外電商的企業在這上面都吃過苦頭，由於信用卡會面臨一個嚴峻問題：欺詐風險。網絡

Visa 於2010年以20億美金收購了 CyberSource 成爲它的全資控股子公司。在中國大的在線支付平臺背後，幾乎都有CyberSource提供的反欺詐服務，如阿里的支付寶、騰訊的財富通......ide

海外支付：遍及全球的Paypal測試

海外支付：抵禦信用卡欺詐的CyberSource大數據

吳劍 http://www.cnblogs.com/wu-jian網站

概述

<圖1.CyberSource支付流程>

吳劍 http://www.cnblogs.com/wu-jian

Secure Acceptance

圖1描述了CyberSource信用卡支付的完整流程（使用CyberSource支付網關，使用CyberSource Decision Manager），同時本文針對非PCI認證商家（即信用卡信息必須存在於第三方）。

OK，第一個步驟是採集用戶的設備指紋，即經過一些CyberSource提供的API來惟一識別一個用戶；而後經過Secure Acceptance接口向CyberSource發起信用卡的受權請求。在這個請求中包含了支付相關的全部信息，好比支付幣種、金額、帳單信息等等，以及若是使用CyberSource Decision Manager附帶的風控所需數據。

此處，須要特別注意以下幾點：

一、CyberSource會對Secure Acceptance的請求數據進行驗證（如字段長度，字段特殊字符等，在API開發文檔中有相關章節，但因爲開發文檔版本迭代頻繁，此處須要測試用例的合理覆蓋），如驗證未經過，不會進行銀行受權，直接Return一個「Request parameters are invalid or missing」至商家頁面。由於未進行銀行受權，因此Return回來時不會包含網關ID這個關鍵參數，後續也就沒法進行Capture或Reversal動做。

二、若是用戶的Secure Acceptance請求通過了Decision Manager，Return回來時會包含DM的決策結果，同時在DM API中會再次將決策結果通知到商家（見Decision Manager章節）。

三、Secure Acceptance的結果由CyberSource商戶後臺配置的URL進行回調，這裏可能會存在一箇中斷，好比由於網絡緣由致使Return結果未到達商家服務器，所以後面須要一個單獨的程序來按期進行查詢和處理（見對中斷的處理章節）。

吳劍 http://www.cnblogs.com/wu-jian

Decision Manager

CyberSource的強大之處在於它的反欺詐服務，這個服務稱之爲：Decision Manager。

CyberSource DM系統很容易讓我聯想到西蒙斯和他的文藝復興公司（Renaissance Technologies Corp），經過大數據，經過算法，經過數學模型玩轉對衝基金，收益甚至把巴菲特甩了幾條街。CyberSource Decision Manager也幹着相似的事情，首先它有足夠大的用戶交易行爲數據，一旦你使用CyberSource，你也成爲了它的數據源貢獻者，而後它構建數學模型，對用戶的行爲進行分析，揪出欺詐用戶，固然，最重要的是按次計費。但不能否認CyberSource在在線反欺詐領域仍是赫赫有名的。

OK，看看CyberSource Decision Manager的大至工做流程：

<圖2.CyberSource Decision Manager邏輯>

CyberSource Decision Manager提供一個龐大的後臺，在這裏面你能夠配置很是多很是複雜的規則。爲了清晰描述Decision Manager的工做流程，例舉一個最簡單自定義規則：當用戶來自俄羅斯，自動拒絕交易；當用戶來自美國，自動容許交易；當用戶來自日本，需人工審覈來決定是否容許交易。如上圖所示，Decision Manager的工做流程就很清晰了。

當收到CyberSource Decision Manager結果時，表明了Authorization（銀行受權）已經過，受權經過後用戶信用卡里的金額會被臨時凍結，此時用戶若是查詢會發現卡內餘額減小，所以當受權經過後應儘快進行後續動做，要麼對這筆金額進行收款，即發起Capture；要麼把這筆金額歸還給用戶，即發起Reversal。固然，若是你什麼都不作，一段時間後銀行會自動Reversal把凍結的款項歸還給用戶，只是這個時間段若是用戶查詢餘額會以爲困惑，由於在商家網站付款未成功，而卡內餘額卻減小了。

須要注意的是CyberSource Decision Manager結果通知可能由於網絡或其它緣由中斷，沒法送達商家服務器，而CyberSource不會像Paypal同樣會有重試機制，所以後面咱們一樣須要一個單獨程序來按期詢問CyberSource，有哪些支付在DM中已有結果而未送達商家的。

吳劍 http://www.cnblogs.com/wu-jian

對中斷的處理

在圖1的第6步和第7步，由CyberSource將結果發送至商家服務器，中間可能由於各類緣由（如網絡故障、接收程序異常）致使消息未送達。此時若是不及時處理會帶來糟糕的用戶體驗，若是拖延時間太長，即便最後付款處理成功，也極容易致使用戶的Chargeback，而Chargeback太高，收單行就會拒絕與商家的合做，因此不論何總支付方式，總會考慮處理意外中斷，合做不易，與銀行長期穩定的合做更不易，且行且珍惜。

<圖3.受權中斷處理>

Secure Acceptance可能存在結果未響應的狀況（根據我的經驗，實際天天都會有必定數量的交易出現該狀況）。如上圖所示，咱們經過一個單獨程序把每筆未收到結果的交易拿去CyberSource查詢比對，而後按響應結果進行後續邏輯處理。須要注意的是CyberSource提供的查詢API以銀行受權結果爲前提，當一筆交易未進行銀行受權時，返回的結果相似於NULL；另外當一筆交易在DM結果爲Review，而且已人工處理完成時，在此處拿到的結果仍爲Review狀態，如要正確處理，就須要另外一個針對Decision Manager的中斷處理程序。

<圖4.DM中斷處理>

當Decision Manager進入人工審覈，一樣經過商戶後臺配置的一個回調URL回傳審覈結果（見圖1中的步驟7）。此處若是商戶不能接收到結果，就會致使該收的款未收，該退的款未退。咱們作電商，知道用戶從選擇商品、下單、再到支付，是一個逐漸流失的過程，每一個用戶到了支付環節都是來之不易的，若是在最後一步由於技術緣由致使用戶付款失敗，實在是一件極不划算的事情。

須要注意的是CyberSource在此處提供的查詢API，是針對Decision Manager中人工審覈的結果，交易若是被DM中的規則自動拒絕或自動經過，是在Secure Acceptance中斷程序中來處理的。若是很不幸，一筆交易在步驟6和步驟7處同時發生了中斷，由於兩處API分工不一樣，就必須保證Secure Acceptance中斷處理程序先執行，DM中斷處理程序後執行。

吳劍 http://www.cnblogs.com/wu-jian

後記

關於CyberSource的服務，他們的技術團隊在美國，售前在香港，因此一些具體的技術問題溝通較消耗時間。接入上線後，技術溝通就只能與他們美國方面進行，非常不方便。他們中國地區的售前和風控團隊還算有問必答，只是一些技術相關的細節問題，須要中轉至美國，效率會偏低一點。

關於海外信用卡支付，國內也有很多公司在作，但曾經有過慘痛的教訓，最終無可奈何選擇了CyberSource。

關於支付的風險控制，相信每一個商家都在作或計劃在作，但由於沒有大數據的支撐，好比一個用戶第一次來你的網站支付，你沒法知道他以前在別家網站是否有欺詐行爲，而CyberSource有這方面數據，因此他提供收費服務。對商家來講能化繁爲簡，專業的事交給專業的人去作，也未償不是件好事。

關於收單行，使人遺憾的是國內的各大銀行，目前都很難在國際上獲得認同，香港是一個不錯的選擇。

最後稍說明一下，由於涉及到交易與安全，本文並未涉及到具體技術細節，若有須要，歡迎與本人取得聯繫。

吳劍 http://www.cnblogs.com/wu-jian

若是您以爲本文對您有所幫助，可掃描兩側的二維碼向做者打賞。您的支持是原創的源動力！
做者：吳劍
出處： http://www.cnblogs.com/wu-jian/
本文版權歸做者全部，歡迎轉載，但必需註明出處，而且在轉載頁面明顯位置給出原文鏈接，不然保留追究法律責任的權利。