Czym jest czarna lista oszustw płatniczych?

Czarne listy oszustw płatniczych to systemy, które analizują dane kont z systemów przetwarzania płatności, aby powstrzymać oszukańcze zakupy. Czarne listy mogą składać się z różnych atrybutów oszukańczego zakupu, takich jak numer karty, adres e-mail czy adres wysyłki. W zależności od sprzedawcy, czarne listy mogą być również dostosowywane na podstawie raportów o obciążeniach zwrotnych lub raportów o oszustwach z różnych systemów kart kredytowych (tj. Visa TC40, Mastercard SAFE).

Dla każdej płatności, czarne listy oszustw są w stanie zapobiegać oszustwom, sprawdzając dane płatności w porównaniu z danymi o oszustwach. Jeśli zakup pasuje do danych o oszustwach, system zadziała zgodnie z tymi protokołami.

• Trwała odmowa: Żądanie płatności jest oznaczone kodem wskazującym, że proces zakończył się bez dalszych kroków autoryzacji.
• Oznacz do przeglądu: Płatność jest oznaczona przez system, a następnie przeprowadzana jest ręczna weryfikacja.
• Wzmożone uwierzytelnienie: Dla klienta może zostać zainicjowana dodatkowa weryfikacja, taka jak 3D Secure.

Skuteczność czarnej listy oszustw jest związana z rodzajami zbieranych informacji.

Oto różnice między trzema typami:

• Czarna lista to wykaz, który ogranicza określone transakcje lub użytkowników na podstawie z góry zdefiniowanych wymagań. 
• Biała lista jest prowadzona w celu identyfikacji transakcji lub użytkowników, którzy spełniają ustalone kryteria akceptacji i mogą przejść przez proces ze standardowymi weryfikacjami. 
• Szara lista pełni rolę pośredniczącą, kierując wybrane transakcje do dalszej oceny lub uwierzytelnienia w celu podjęcia ostatecznej decyzji. 

Wykorzystując czarne, białe i szare listy, organizacje stosują dostosowane procesy do przeglądania i zarządzania aktywnością transakcyjną zgodnie z określonymi protokołami.

Czarne listy oszustw są przeglądane i aktualizowane według ustalonych harmonogramów, w oparciu o procedury każdej organizacji, zazwyczaj codziennie. Aktualizacje obejmują działania takie jak usuwanie wpisów, które nie są już aktualne, w tym adresów IP, które zostały ponownie przypisane. Zautomatyzowane programy dodają dane ze źródeł takich jak pliki transakcji, rejestry obciążeń zwrotnych (chargeback logs), strumienie TC40 i SAFE oraz inne zewnętrzne rekordy. Programy te służą do dopasowywania informacji z czarnych list do danych aktualnie obecnych w tych źródłach.

Zarządzanie czarną listą obejmuje zgodność ze standardami prywatności i bezpieczeństwa informacji, a także z procedurami technicznymi:

• Zgodność z przepisami:
  • RODO/CCPA: Osoby fizyczne mają zdefiniowane opcje dotyczące sposobu wykorzystania ich danych osobowych, z możliwością żądania zmian lub usunięcia wyników generowanych poprzez automatyzacja.
  • Bezpieczeństwo danych: Dane z czarnej listy są przetwarzane przy użyciu standardowych metod, takich jak Szyfrowanie lub tokenizacja w celu spełnienia wymogów dotyczących prywatności.
• Fałszywie pozytywny Zarządzanie:
  • Parametry czarnej listy są rutynowo sprawdzane w ramach bieżących działań związanych z oceną systemu.
  • Stosowanie szerokich czarnych list sieciowych lub geograficznych (np. blokowanie całego kraju lub współdzielonego publicznego adresu IP Wi-Fi) może wpłynąć na dystrybucję i wolumen istniejących transakcji.

Czarna lista wykorzystuje określone reguły do dopasowywania transakcji do z góry ustalonego zestawu danych związanych z niepożądaną aktywnością. A system punktacji ryzyka oszustw, z drugiej strony, przypisuje wartość ryzyka po przeanalizowaniu wielu czynników, takich jak informacje o zachowaniu użytkownika, szczegóły urządzenia, częstotliwość transakcji oraz odpowiednie zdarzenia historyczne. 

Czarne listy zapewniają proste filtrowanie i działają w oparciu o zdefiniowany zestaw wpisów, natomiast systemy punktacji ryzyka oszustw przetwarzają różnorodne punkty danych w celu uzyskania ilościowej oceny ryzyka. 

Często, zarządzanie oszustwami procesy obejmują obie metody do analizy transakcji z różnych perspektyw.