7

根据客户的喜好,我们每 2、3 或 4 个月发货一次实物产品。在两次发货之间,用户可以选择修改他们的选择。

在任何人建议之前 - 我很确定经常性计费系统(例如 Paypal)不适合我们的需求。由于两个原因,像 Paypal 这样的系统似乎并不理想。

  • 他们只让你每月、每季度、每年做一次。不是每2或3个月一次。[此处为 Paypal API 文档]
  • 如果客户想要他们的产品早于或晚于正常时间表,我们希望他们能够“立即发货”。
  • 由于它是一种实物产品,我们不能将其拆分为按比例分配的每月金额。

我认为因此我们将不得不使用与创建初始订单时相同的机制重新计费 - 使用 CC numebr 和 CVV2 代码。但显然我们不能存储 CVV2 代码以符合 PCI !

我最近遇到了“BrainTrees”支付服务——它允许您创建初始交易并检索代表该信用卡号的“令牌”。该令牌可以安全地存储,因为它对小偷毫无用处。它有助于最大限度地减少 PCI 合规性所需的工作。

我完全可以使用 BrainTree 的解决方案。它似乎非常适合我们的需求——但它让我对 Paypal 的产品感到困惑。我将如何在无需存储 CVV2 代码的情况下使用 BrainTree 以外的任何系统实现我想要做的事情?

4

4 回答 4

6

您可能已经知道 cvv2 用于 avs/csc 检查,该检查通过获取客户地址中的数字、邮政/邮政编码中的数字和 cvv2 中的数字并将它们与卡中的已知值进行比较来完成发行人。

avs/csc 检查的结果返回一个三位数的值,让您知道地址/cvv2 值是否与发卡机构保存的文件相匹配。然后可以使用此检查的结果来帮助防止欺诈交易。

因此,解决无法存储实际 cvv2 代码问题的常用方法是存储 cvv2结果。这样您就可以相当确信只要地址没有更改,该卡仍然有效。这种方法的唯一缺点是一些收单银行认为在没有 cvv2 检查的情况下执行的授权是不安全的,并且收取更高的交换率。您可能需要与您的收单行讨论这一点,以说明仅使用 cvv2 check 执行第一次授权,而随后的则不执行。

总而言之,如果您改为使用允许您持有令牌值而不是实际卡号的服务提供商,您会发现 PCI 合规性要容易得多。

我不确定您是否考虑过定期付款的另一个问题是卡会随着时间的推移过期、被取消或重新发行。Visa 和 MasterCard 都有一个相对较新的服务,称为Visa Account UpdaterMasterCard Automatic Billing Updater来处理这个问题。您需要与收单银行一起组织它,或者如果您使用 PSP 路线,它可能会自动处理 - 但值得检查。

于 2009-08-10T20:07:56.473 回答
3

自从我不得不做这样的事情已经有一段时间了......而且我只使用了 Verisign Payflow API。你可能想检查一下。

据我所知,支付网关强烈建议不要存储卡详细信息。

推荐的机制是使用原始交易中的参考号,然后将新交易链接到它;它必须与 Brain Tree 处理它的方式非常相似。

于 2009-08-10T05:17:08.107 回答
2

大多数网关不需要 cvv 即可工作。该代码本质上意味着“存在信用卡”,不应用于重复交易。

如果您不想要符合 PCI 的麻烦,Braintree 似乎是一个不错的选择(我必须这样做,并不难,但需要创建相当多的流程)

于 2009-08-10T05:41:32.177 回答
0

本文很好地解释了围绕 CVV2 号码定期计费的问题,值得一读: http: //kb.modularmerchant.com/a378-credit-card-security-codes.php

于 2011-04-03T10:51:03.410 回答