多年前興起網上購物,如何「付款」成為首要解決的問題,寄支票、銀行入數等等都是當時現成的方法,但全部都要客人多做功夫,直接打擊客人的購買意欲,同時亦不能利用客人的「一殺那購物」(impulse buying)消費習性來增加生意額。
信用卡公司睇到了商機,便推出了「SET」及 「SSL」兩個利用信用卡在網上付款的方案,再伙拍各銀行推出。銀行方面,為了要加強推行,就向持卡人及網上商戶大力宣傳,利用SET及SSL有何好處,希望:
1) 更多商戶支援SET及SSL,令更多持卡人利用支援SET及SSL的信用卡
2) 令更多持卡人利用支援SET及SSL的信用卡,而令更多商戶支援SET及SSL
一個有雞就有雞蛋、有雞蛋就有雞的情況。
作為一般普通市民,即係持卡人,利用SET/SSL又係咪真係有好處呢? 無!
因為網上交易,最擔心的一方,不是持卡人,而是商戶及銀行。
任何人都可以在網上商店輸入信用卡資料購物,之後商戶就把信用卡之資料即時傳去銀行,由銀行決定是否發出授權號碼,如有授權號碼商戶便可以賣出貨物,如沒有授權號碼商戶便可以和客人討論用其他方法付款。
大家可以見到,整個購物過程,持卡人及商戶都不會見面,而被用作付款的信用卡,其實物真身亦從來不會出現,這種交易方式稱為"Card not present transaction" (實卡沒有被展示的交易),而且,連持卡人的簽名亦不存在。
對於商戶,面對一單交易,收到的只有一堆資料,連對方人都未見過,聲都無聽過,就要把有價值的貨品寄出,或者把有價值的資訊供對方下載,真係幾擔心,究竟事後是否真的可以收到錢?
不過最擔心既可能係銀行,因為係銀行先行墊支款項給商戶,大約一個月後先由持卡人根據月結單付款,萬一到時持卡人有任何爭議,銀行可能收回不到該宗款項而造成壞賬。
既然持卡人「人又無出現過,張卡又無出現過」,咁事後如果持卡人死口否認做過該單交易,咁銀行係無任何有力證據可以咬得入的。
商戶方面,貨物(有型的,tangible)可能已經寄出了,又或者有價值的的無型(intangible)資訊已然被人下載了(例如 ringtone、檔案、軟件等等),如果銀行仍然未入數給商戶的而銀行發覺可能不能由持卡人收回錢的話,則有可能不入數給商戶,那麼商戶就會白白損失了。
如果銀行已經入了數給商戶,之後才收到持卡人提出抗議(dispute)指該交易不是由持卡人所做的話,持卡人自然不會為該交易付款(chargeback),但由於銀行已一早墊支該筆款項絡商戶,所以銀行好可能會有壞賬了。
由以上可以見到,銀行是最有可能受害的一方,因為整個網上交易過程中,無方法可以證明當時做交易的是「真正的持卡人」,因為任何人只要手持該信用卡或其基本資料,都可以「扮」卡主去網上商戶買東西。當中,更不排除有不良持卡人會係拿取了貨物或下載了資訊/軟件後,否認當時做交易的是自己,想以此為藉口,不為該交易付款。
如何證明該單交易係由真正的持卡人用真正的信用卡做呢? 銀行就用SET及SSL。
SET的原理是利用數碼証書(digital cert),銀行會為其信用卡發出數碼証書,持卡人就要把其數碼証書放入數碼銀包(e-wallet)內,每次到支援SET的網下商戶購物,商戶網頁都會要求持卡人上載數碼証書用來証明身份。
使用數碼証書及數碼銀包的手續非常非常麻煩,並不是一般人可以輕易學習到! 而且數碼証書有「有效日期」,到期又要再發出。再者,就算是數碼証書,一樣可以被「非真正的持卡人」用到,因為數碼証書亦只不過是一個電子檔案,任何人都可以輕易複製。
最重要的,係發出數碼証書的同時,銀行的「細字」條文中可以已經把責任推到持卡人手上,即係話,如果該信用卡係已經發出了數碼証書的話,日後該卡如果被用來做網上交易而又用了數碼証書的話,持卡人就再無藉口話張卡被其他人偷來用了。
SSL的原理就簡單好多了,持卡人基本上不需要做任何新的步驟,只要用一個支援SSL的瀏覽器便可以了。不過,SSL對銀行來講,仍然沒有解決根本的問題,就係持卡人可以有藉口話張卡係被其他人偷來用,而做網上交易的並不是持卡人本身,藉詞逃避付款。
究竟SET及SSL那樣好? 歷史已經做了決定,市場上現在不會見到SET、數碼証書及數碼銀包了。現在大家聽到的,會是 Verified by Visa 或者是 MasterCard SecureCode。
那麼,SSL和這兩個方案又有什麼關係呢? 更重要的,對大眾持卡人來講,這此等方案又有沒有什麼好處或壞處呢?
有時間的話,再和大家分享吧 :)
沒有留言:
發佈留言