E commerce 电子商务最佳实践：对于谢绝的信用卡，多少信息就是太多？

我的同事们正在就被拒绝的信用卡交易应该如何具体进行辩论。我们从我们的卡处理器中获得了很多关于交易的详细信息，我们正试图决定将多少信息传递给用户

---

例如，您是否告诉用户，他们的卡被拒绝是因为过期或CCV号码错误，或者这其中是否存在太多的欺诈可能性？当我们将用户返回到他们提供付款详细信息的页面时，我们是否用他们以前输入的数据预先填写字段？

过去，我一直试图尽可能地笼统。例如，如果您告知CVV2编号不正确。当然，这有助于有效持卡人，让他们知道CVV2不正确。它还让不受欢迎的人知道信用卡号是正确的。如果他们继续失败，也许你会提示他们联系某人

当您谈论预填充字段时，您指的是在它们失败并重试后，还是在完全不同的场合

如果是在他们失败之后，在我看来，安全的方法是不再显示它，但是你需要确保他们不能点击返回并获得相同的信息，否则就没有意义了。不过，这可能没那么重要

---

如果你谈论的是一个完全不同的场合，你需要一个地方来储存这些信息。如果它在你的服务器上，我建议你看看。即使您只是将数据传输到网关，您也需要遵守法规。

大约4年前，我参加了PCI合规性审查，当时的政策是只向用户返回接受或拒绝的交易ID。如果交易被拒绝，我们会添加一条注释“有关更多信息，请联系您的信用卡提供商并引用此号码…”

理由是，如果有人试图生成卡号，你不想向他们提供任何关于如何更改才能获得有效卡的信息。如果是真人，你无法修复的交易中有太多问题，请告诉他们联系他们的卡提供商。即使交易响应是“卡过期”，也可能是其他原因，您不知道，所以不要猜测

---

此外，如果返回到包含付款字段的页面，则不要预先填充这些字段，而是将其留空。客户可能会产生偏执的想法：“嘿，这是不是记住了我的信用卡信息！？”信用卡被拒绝的最可能的原因是他们输入了错误的信息，而通过再次使用错误的信息进行预填充，你只会诱使他们一次又一次地点击提交，直到超过信用额度。在过去，我已经提供了尽可能多的信息，并使人们尽可能容易地纠正错误。我不想阻止潜在的销售（或者我的捐赠）。至于处理欺诈，不要指望把他们塞进一个坏的CCV号码会让他们慢下来，用其他方式处理它，比如跟踪会话试图处理一张卡的频率（并且失败），如果在X时间内次数太多，就将他们列入黑名单。不过，这是另一个问题