在我们的网站上,我们有:-用户注册(数据包括姓名)-嵌入式支付系统(由Stripe提供动力)
用户可以在线购买商品,我们希望确保他们用于支付的卡实际上归他们所有,即卡所有者的名字和姓氏与用户的名字和姓匹配(如果不是,我们要求用户更新个人数据或使用另一张卡)。我们使用Stripe作为支付服务提供商(顺便说一句,太棒了!),但问题是独立于平台。有人告诉我,没有实际的方法来实现这一点(因为付款可以在没有名字和姓氏的情况下处理,银行也不会退还),除了在收费请求中向银行传递姓名和姓氏以及卡号之外,希望发卡行也会对他们进行匹配控制,如果错误,他们会拒绝付款(但这并不能保证,许多银行不会这样做)。
基于此,在收取付款时验证用户身份的最佳做法是什么?
您是对的,在执行授权时没有验证卡名。不过,还有其他选择。
CV2/CVC/AVS
一个简单的选项是执行CV2检查(也称为CVV-卡验证值、CVC-卡验证检查或AVS-地址验证服务)。要做到这一点,你需要从用户地址中提取数字,从邮政编码中提取数字和从银行卡背面提取三位数字(在美国运通是四位数字),并在执行授权时提交。
支付服务提供商将回复CV2结果,通知您哪些部分匹配/不匹配。即"ALL MATCH"或"ADDRESS MATCH ONLY"等。然后您可以使用此选项来决定是否接受付款,或发送冲销以取消授权。
https://support.stripe.com/questions/what-is-avs
3DSecure/VBV/SecureCode
Visa/Mastercard联合开发的其他身份识别服务在欧洲很常见(我相信现在已经引入美国)。这种共享技术被称为3D安全,但被Visa称为"Visa验证",被MasterCard称为"MasterCard SecureCode",被Amex称为"SafeKey"等等
这首先需要持卡人在银行配置密码。然后在在线授权时,持卡人会从支付页面重定向到持卡人银行,银行会显示自定义问候语,并(可选)要求用户确认密码。
http://en.wikipedia.org/wiki/3-D_Secure