Що таке відповідальність мерчанта SaaS? 

Підзвітність SaaS-мерчанта окреслює фінансові, договірні та регуляторні зобов'язання, які несе компанія-розробник програмного забезпечення, виступаючи в ролі офіційного продавця або обробляючи платежі.

Ця відповідальність включає потенційні відкликання платежів (чарджбеки), збитки, пов'язані з шахрайством, недотримання нормативних вимог та суперечки, що виникають через практики виставлення рахунків за підпискою.

Оскільки періодичне виставлення рахунків є поширеним явищем у SaaS, компанії часто керують оновленнями облікових записів, термінами поновлення та обробкою скасувань як частиною своїх платіжних операцій. Крім того, SaaS-компанії зобов'язані відповідати стандартам PCI DSS щодо даних власників карток та відстежувати ліміти суперечок у платіжних системах.

SaaS-провайдери несуть повну відповідальність, коли вони виступають у ролі Продавця за записом або за договірною домовленістю керують чарджбеками.

Цей підхід може бути використаний для:

• удосконалити процедури оформлення замовлення
• дозволяти транзакції від міжнародних клієнтів
• безпосередньо керувати виставленням рахунків клієнтам

Налаштування платежів може по-різному впливати на обробку транзакцій та контроль ризиків.

• Інструменти безпеки: Використання таких методів, як 3D Secure, AVS та CVV додає кроки верифікації під час оформлення замовлення, які можуть вимагати участі клієнта та впливати на процес оформлення замовлення.
• Чіткість: Чіткі, конкретні дескриптори (наприклад, COMPANYNAME-PRODUCT-888-555-0000) тепер є обов’язковими для більшості карткових мереж, щоб зменшити суперечки щодо “дружнього шахрайства”.

Способи оплати з нижчими показниками оскарження можуть зменшити вашу відповідальність:

SaaS-компанії вирішують питання відповідальності продавця за допомогою кількох адміністративних практик.

• Відповідність: Дотримання PCI DSS  v4.0.1 вимог.
• Зв'язок: Встановлення умов повернення коштів та надання платіжної інформації у стандартному форматі.
• Операції: Підтримка процесів чарджбеку та записів транзакцій для “повторного подання” (обробки суперечок).
• Моніторинг: Регулярний перегляд кроків скасування та дескрипторів виставлення рахунків для забезпечення зручності та простоти використання.

SaaS-компанії використовують багатошарові запобігання шахрайству стратегії для боротьби з ризиком шахрайства та відповідальністю.

• Багатошарова стратегія: Поєднання перевірок особистості, оцінки транзакцій, та заходів контролю безпеки облікового запису.
• Специфічний моніторинг: Перегляд активності, пов'язаної зі зловживанням підпискою, проблемами з використанням карт та захопленнями облікових записів (ATO).

Ліміти відповідальності — це узгоджені суми, які визначають ліміт фінансової відповідальності SaaS-мерчанта. Ці ліміти значною мірою визначаються транзакційним ризиком, пов'язаним з SaaS-бізнесом.

SaaS-моделі з підвищеними профілями ризику, такі як ті, що мають історію зворотні платежі або працюють у регульованих галузях, часто мають нижчі ліміти відповідальності або більш конкретні умови.

Платіжні процесори використовують ці ліміти як операційні заходи для управління своїм ризиком потенційних збитків від SaaS-продавців, враховуючи фактори, що виходять за межі юридичних положень.

SaaS-компанії, що обробляють дані власника картки або персональні дані, підлягають витоку даних вимогам щодо повідомлень.

• Обов'язкові повідомлення: Компанії повинні повідомляти постраждалих осіб та регуляторні органи у визначені терміни після витоку даних.
• Ризики недотримання вимог: Ці вимоги пов'язані з цивільними штрафами, судовими розглядами та репутаційними факторами.
• Планування реагування: Компанії повинні мати план, що включає:

1. Юридичний супровід.
2. Розслідувачі інцидентів.
3. Стратегії комунікації з клієнтами.
4. Координація з постачальниками кіберстрахування.