在美国等信用卡起源地的多数西方国家,信用卡不设密码,两种交易方法中,交易凭证仅为签字或验证码。
而在中国,根据本土花费习惯,银行往往鼓励持卡人给信用卡设置密码,来保障用卡安全。
“这种双轨制的信用卡系统下,中国花费者几乎都不知道验证码的存在,更没有相干的风险意识。”一位银联人士表现。
信用卡的验证码,被称为CVV码。它是一串3位数字,由卡号、有效期和服务束缚代码,经过发卡银行的编码规矩和加密算法生成。
根据信用卡卡种和印刷地位的不同,还有CVV2、CVC、CVC2等,一般印于信用卡卡面、卡号后面。
陈方在“乐在上海”材料单上填下的,正是其招商银行信用卡卡号和CVV码。
在招商银行信用卡中心供给的“信用卡(个人卡)通用申请表”及所附“信用卡(个人卡)通用领用合约”上,都没有任何介绍性、警示性文字涉及CCV码。
在信用卡用户与招商银行签订的唯一一张合约,及银行网站上能找到的“信用卡介绍”中,CVV码丝毫未被提及。
绝大多数的持卡人对CVV码的第一次接触,产生在网络支付的实际操作中——“请输入信用卡卡号后三位数字”。但没有多少持卡人意识到自己正在应用另一种“密码”,它也需要保护。
招商银行不是孤例。记者查阅了建设银行、工商银行等行供给的信用卡章程,上面均无任何CVV码的应用保管提示。这似乎是个没有公开原因的行业惯例。
找不到买单者
正是利用这个惯例,“乐在上海”买通了信用卡中“离线支付”和“实体店”——两个底本并行无交集的支付系统,找到了一条生财之道。
根据其营业执照,“乐在上海”运营机构为上海鹏杨广告有限公司,它的经营范畴仅为广告业务。实际经营中,鹏杨广告的主业则为发行“会员花费折扣卡”,向商户收取推广费并向“会员”收取会员费。
身为实体店,“乐在上海”却向网银在线的上海分部,申办了“离线支付”业务。
根据双方签订的服务协议,网银在线在互联网建立支付服务平台,向实体店“乐在上海供给”电子商务利用服务。
协议期,“乐在上海”可登陆网银在线的服务平台,在“信用卡远程支付MOTOPAY(即离线支付)”一栏下,登陆被供给的账号,输入客户的信用卡卡号与CVV码,便可自行输入金额,进行划款。
“义务就在这个环节,乐在上海的收单银行,对它没有进行应有的实体店资质监控。”丁诗妮认为:“它们乱设收单POS,授权POS。”
但招行自己并不在“乱设POS的收单银行”之外。
据记者懂得,在网银在线向“乐在上海”供给的支付服务中,协议银行包含招商银行、中国工商银行、中国建设银行、兴业银行、广东发展银行、中国银行及VISA、mastercard等多个境外银行联盟。
这意味着,几乎中国所有的银行,都被网银在线网罗,会向“乐在上海”们供给收单服务。
而拓展这种收单服务中,第三方支付机构网银在线向市场铺设各类POS时,银行与实体店并不产生任何接触,亦没有相干资质审核。
那么,商户资质审核是谁的义务?
在各类离线支付过程,在发卡银行和收单银行之间,至少1个或2个“中转商”,或是第三方支付平台;或者是第三方支付平台和银联。
在这种“离线支付”产业链中,银联作为信息转接者,的确不涉及商户的资质管理、风险把持。不过,银联亦有子公司进行第三方支付业务,并在该行业市场份额盘踞前三。
“资质管理的义务,在商户备案的收单机构。”招商银行信用卡中心项目经理张记洲告诉记者:“谁对接商户,就应当谁对这个实体店进行资质管理。”
第三方支付之患
而这个案例中,商户对接的是网银在线。但网银在线并不认为自己应对此事义务。
相关阅读