|
|
目前位置 : 首頁
> 永然文化出版
| |
|
線上刷卡, 風險誰負﹖
2003/03/04
|
作者:
蔡淑美
Q: 何先生的網路商店想接受網友線上刷卡,可是現在偽卡滿天飛,不曉得接受線上刷卡風險高不高?要成為網路特約商店有無條件限制?線上刷卡請款的方式如何?如果收到盜刷的個案時,風險是由被盜刷的人或是發卡銀行,還是由網路特約商店承擔損失? A: 電子商務購物的付款方式除了傳統以劃撥現金、傳真信用卡資料等方式付款外,也可透過線上付款方式付款,線上付款的支付工具主要有電子轉帳(Electronic Fund Tran-sfer, EFT)、電子錢幣、電子支票、智慧卡、電子信用卡等,而目前網路購物較為常見的付款工具仍為信用卡。
一、申請為網路特約商店
因此網路企業經營者如果要接受線上刷卡,即須向銀行申辦成為網路特約商店。每家銀行接受網路特約商店的條件不一,但是由於網路業者對銀行而言是屬於高風險客戶,所以各銀行對於是否接受網路特約商店的申請,均訂有一定的門檻限制。「財團法人聯合信用卡處理中心」對網路特約商店的審核,除要求資本額須在新台幣五百萬元(有些銀行訂為一千萬元)以上外,而且還要求將含首頁、詳細客戶服務聯絡資訊、商品項目、完整購物流程及購物說明等網頁內容列印,並提供發貨配送說明及保全伺服器安全憑證等。而一般實體特約商店須支付每筆交易的一.五%左右給收單銀行當手續費,但是網路特約商店卻必須支付每筆交易的二.五%給收單銀行當手續費。
二、信用卡付款交易模式
網路信用卡交易的流程大致為,當消費者向網路特約商店訂購商品(在線上填寫訂購表單)並選擇以信用卡作為付款方式時,網路特約商店即喚起消費者的電子錢包(內存網際網路存款帳號、信用卡交易明細等資料),消費者必須將付款資料(如持卡人姓名、卡別、有效期限等)及電子憑證傳送給網路商店,網路特約商店再將付款資料和消費者的電子憑證等經由付款閘道(Payment Gateway)傳送給收單銀行,收單銀行驗證無誤後轉向發卡銀行請求授權,於取得發卡銀行的授權,網路商店就根據訂單在約定日期內將商品送交到指定地址,通常收單銀行先將帳款撥付給網路商店,收單銀行將請款資料送交清算中心彙整再傳送向發卡銀行請求付款,而發卡銀行則先代墊付給收單銀行,之後消費者再依發卡銀行的規定繳交其信用卡帳款,或預存金額在其信用卡帳戶以供發卡銀行扣繳。
三、網路盜刷風險的承擔
對業者而言,成為網路特約商店,其實也有頗高的風險。目前線上刷卡的後端付款機制尚未建立明確規範,網路業者在出貨之後,如果消費者聲稱沒有在網路上消費,則這種可能涉及使用偽造卡號、盜刷或是消費者有意欺騙所下訂單所導致的損失,應該由誰來承擔呢? 灱信用卡付款的輔助措施:現在信用卡盜刷、偽卡的事件層出不窮,所以有業者推出簡單的信用卡號檢查程式,藉此使特約商店得以初步檢查信用卡的正確與否,以降低收到偽卡的風險。此外,美國運通銀行曾推出「拋棄式信用卡」的私人付款軟體,消費者每一次利用AmEx美國運通卡在網路上購物的時候,美國運通會產生一組購物憑證數字以及有效期限,當結完帳之後,這組數字就會失效,即使被駭客攔截也不致有大問題。但對特約商店而言加強刷卡的安全機制,讓想要利用信用卡來詐欺的罪犯不要這麼容易得手,減低誘因,才是根本防制之道。 牞安全交易機制的必要性:網路企業經營者由於無法透過核對持卡人的身分證及簽名來辨識是否有信用卡盜用情形,所以網路企業經營者遭逢信用卡詐欺比一般實體商店更嚴重,如果是實體世界的信用卡帳款爭議發生時,簽名是最重要的決定因素,如果有簽名,發卡銀行會吃下這筆因為詐欺交易而產生的帳單,但是在網際網路上,透過網站填單、點選或利用電子郵件完成的交易行為一般並沒有簽名作為證據,也沒有實體的卡片可加以辨識,所以一旦遇到網路詐欺的狀況時,如果持卡人已經依約定辦理掛失,則網路企業經營者就必須自行吸收這些損失。 所以除非採行安全的交易機制,否則在特約商店負有對持卡人同一性加以辨識的義務下,如果特約商店無法以善良管理人注意義務來辨識消費者的真實性,可能導致無法向發卡銀行請求付款的結果。財團法人聯合信用卡處理中心也表示,如果網路交易特約商店採取符合該中心約定的作業方式,網路特約商店的風險絕不高於目前一般的郵購特約商店。 網路上最常見的交易安全機制有兩種,一種是SSL (Secure Sockets Layer)軟體加密法,這種方法是在傳輸卡號與密碼等資料時,完全以亂碼的方式進行,所以即使資料遭駭客攔截,駭客所取得的也只是一些無法使用的亂碼,但是這些亂碼傳輸至目標端後,會有預先設定好的伺服器進行譯碼的工作。SSL不需要申請或做什麼認證。另外一種是SET (Secure Electronic Tran-saction)安全機制,此機制就需要密碼及認證,安全等級更高,但使用起來較為繁瑣。SET是以密碼科技和數位電子證書保護線上交易及電子信用卡支付的安全協定,由VISA、MasterCard、MicroSoft、IBM、Netscape、GTE、Verisign等公司聯合制定,交易雙方即消費者與網路特約商店必須先向認證中心註冊取得公開金鑰憑證後才能進行交易,SET對於訂購及信用卡付款等敏感資料在加密後才傳送,且使用數位簽章及數位憑證來確認包括信用卡持卡人、銷售商店、金融機構、信用卡公司等交易流程的參與者。但因SET使用上的不便利及高成本,所以一直無法被普遍採用。目前有許多業者已經在努力開發使SSL更安全及檢討改進SET繁瑣性的其他新的網路交易安全標準。
|
|
|
|
| | | | | | | |