詐騙與爭議監控計畫
為履行對 Visa 和 Mastercard 等發卡組織的財務義務,您需要將商店內的爭議 (包含交易退單和查詢) 及詐騙維持在可接受範圍內。如果爭議或詐騙超過發卡組織的門檻,您可能會被列入監控計畫,並產生每月的罰款或額外費用。瞭解 Shopify Payments 風險標準和發卡組織門檻的詳情。
如果您使用 Shopify Payments,便可在 Shopify 管理介面中監控爭議交易退款率,以檢閱近期的交易退單活動,並採取措施減少未來的拒付。
本指南概述 Mastercard 和 Visa 的交易退單及詐騙監控計畫、早期詐騙警告 (EFW) 及高風險商家清單。
本頁內容
早期詐騙警示 (EFWs)
早期詐騙警示 (EFWs) 為來自 Visa 的 TC40 報告與 Mastercard 的 System to Avoid Fraud Effectively (SAFE) 報告的訊息,由這些網路上的發卡行產生,用於標記疑似詐騙的付款。這些網路要求發卡行通報詐騙,但該要求不會影響發卡行是否要發起爭議的決定。
EFW 可能發生在已退款的交易上。只有當退款是以撤銷方式處理,且是在付款擷取後 2 小時內處理時,已退款的交易才不會產生詐騙報告。
雖然稱為早期詐騙警示,您仍有可能在收到與詐騙相關的爭議後才收到 EFW。原因通常是網路用於處理 EFW 的系統與處理爭議的系統相互獨立,且不一定會同步。
監控計畫時間表
每項監控計畫都會依照固定的時間表評估您的商店。瞭解發卡組織計算時間的方式,有助於您將計畫通知與觸發該通知的活動連結,並預測下一次評估的時間。
如何將活動歸入特定月份
爭議或詐騙報告會歸入發卡組織收到該報告的月份,無論原始付款的處理時間為何。例如,針對 1 月擷取的付款在 2 月提出的交易退單,會計入 2 月的活動。
下列術語用於描述時間表:
| 術語 | 定義 |
|---|---|
| 資料月份 | 發卡組織收到爭議或詐騙報告的月份。 |
| 報告月份 | 計畫判定您的商店超出門檻的月份。這通常是包含符合條件之活動的資料月份的下一個月。 |
因此,您通常會在導致您被列入計畫的活動發生後的下一個月收到通知。
各個發卡組織計算比率的方式
Visa 和 Mastercard 每月評估您的活動,但會使用不同的參考月份來計算比率:
- Visa (VAMP 和 Visa Secure):Visa 於每月根據上個月的資料計算您的數量、比率和交易量,並依據該資料識別您的商店。就 Visa Secure 而言,早期詐騙警告 (EFW) 歸屬於收到相關 TC40 詐騙報告的月份,而非擷取原始付款的月份。例如,2 月的計算範圍涵蓋 2 月擷取的 3D 安全驗證付款及 2 月通報的 EFW,即使部分詐騙付款原本是在 1 月擷取也是如此。
- Mastercard (ECP 和 EFM):Mastercard 參考兩個不同的資料月份,一個用於爭議,另一個用於銷售。您當月的比率為當月的爭議或詐騙交易退單數量,除以前一個月的擷取付款總數。交易退單歸屬於提出該退單的月份。例如,2 月的 ECP 會使用 1 月擷取的付款及 2 月提出的交易退單進行計算。
部分地區性計畫採用不同的時間節奏。例如,澳洲的 AusPayNet 按季而非按月追蹤活動。
Visa 收單機構監控計畫 (VAMP)
VAMP 會根據特定比率來識別潛在的詐騙活動。如果您達到 VAMP 比率門檻或 VAMP 列舉比率門檻,系統就會將您列入監控計畫,並通知您已加入 VAMP。如果您長時間處於 VAMP 中,您使用 Shopify Payments 的權限可能會受到限制。
請檢閱下列資訊,以瞭解 VAMP 使用的不同類型比率,以及這些比率的計算方式。
VAMP 總筆數
VAMP 總筆數為您帳戶中的爭議與詐騙總數,不含銷售點 (POS) 交易。此筆數包含以下兩個項目:
- 爭議:依 Visa 的 TC15 報告辨識之所有付款爭議,含詐騙與非詐騙;其中包括拒付與查詢。
- 詐騙:來自 Visa 的 TC40 報告的 早期詐騙警示 (EFWs)。詐騙交易可能會升級為拒付,也可能發生於已退款的交易。
VAMP 比率
VAMP 比率的計算方式是將 VAMP 數量除以所有擷取付款的總數。詐騙通知是使用源自 Visa TC40 報告的早期詐騙警告 (EFW) 資料來定義。當顧客提出查詢或交易退單時,就會發生爭議。顧客提出查詢或交易退單的潛在原因包含:疑似詐騙、未收到已付款的商品,或收到商品但商品已損壞。
VAMP 列舉比率
VAMP 列舉比率的計算方式,是將每月的列舉交易數量除以授權交易數量。當詐騙者不斷輸入主帳號 (PAN)、卡片驗證碼 (CVV2)、到期日和郵遞區號等卡片數值組合,直到找到合法組合時,即發生列舉交易。
VAMP 比率與相關門檻
如果您的比率使您有被列入 VAMP 的風險,我們的銀行合作夥伴將會通知 Shopify。當數量、比率或交易量超過特定門檻,且 Visa 將帳戶歸類為「超標」時,VAMP 就會將該帳戶列入計畫。指標降至門檻以下後,VAMP 便會將該帳戶從計畫中移除。
請檢閱以下關於 VAMP 比率類型及其門檻的資訊。
| 條件 | 不合規門檻 | 超標門檻 |
|---|---|---|
| VAMP 總筆數 | 5 | 中歐、中東和非洲為 150 筆 其他地區為 1,500 筆 |
| VAMP 比率 | 0.5% | 在中歐、中東和非洲為 2.2% 其他地區為 1.5% |
| VAMP 交易金額 | 不適用 | 中歐、中東和非洲為 75,000 美元 其他地區不適用 |
當商家達到或超過以下這兩項門檻時,Visa 會將其列入 VAMP 窮舉攻擊監控名單:
| 條件 | 門檻 |
|---|---|
| VAMP 窮舉攻擊次數 | 300,000 筆窮舉交易 |
| VAMP 列舉比率 | 20% |
Visa 對於 VAMP 窮舉攻擊監控不會收取罰款。
Visa Secure 過度詐騙防範計畫 (僅限美國)
Visa Secure 過度詐騙防範計畫適用於國內 3D 安全驗證詐騙過多的美國商家。
如果您達到或超過以下這兩項每月門檻,系統便會將您列入此計畫:
- 詐騙金額:75,000 美元,即經過 Visa 3D 安全驗證的付款中,早期詐騙警告 (Early Fraud Warning) 的總美元金額。
- 詐騙率:0.9%,即 EFW 金額除以所有已請款之 Visa 3D 安全驗證付款的總美元金額。
Visa 會在收到 TC40 報告的月份計算 EFW,而非付款請款的月份。雖然不會收取罰金,但在您將詐騙金額和比例降回門檻以下並完全退出該計畫前,您將失去國內 3D 安全驗證交易的責任轉移保障。
Mastercard 監控計畫
Mastercard 的過度交易退單計畫 (Excessive Chargeback Program,ECP) 分為兩個級別:過度交易退單商家 (Excessive Chargeback Merchant,ECM) 以及高頻過度交易退單商家 (High Excessive Chargeback Merchant,HECM)。過度詐騙商家合規計畫 (Excessive Fraud Merchant (EFM) Compliance Program) 是另一項獨立計畫,適用於除了德國、印度和瑞士以外所有支援國家/地區的商家。
當您的交易退單連續 3 個月低於計畫門檻時,Mastercard 就會將您從計畫中移除。如果您屬於 HECM,且交易退單降至 HECM 門檻以下但仍符合 ECM 門檻,您就會轉為 ECM 級別。
Mastercard 過度拒付計畫 (ECP)
若企業在以下兩項條件中同時達到或超過門檻,即會被納入 ECP:
- 爭議筆數:被提出爭議的交易總筆數。
- 爭議率:被提出爭議的交易占總交易的百分比。
請參閱以下資訊,瞭解各爭議筆數與爭議率對應的監控層級及其相關罰則。
| 監控等級 | 爭議筆數 | 爭議率 | 罰則 |
|---|---|---|---|
| ECM | 100-299 | 1.5%-2.99% |
|
| HECM | 300 以上 | 3% |
|
您可以在案件審理期間,要求 Mastercard 暫停一次已評估的罰款。然而,除非您確信自己在未來 3 個月內都能維持在門檻以下以便退出該計畫,否則請勿這麼做。如果您要求暫停罰款,並連續 2 個月低於門檻,卻在下個月超標,系統便會繼續評估罰金,直到您退出計畫為止。
Mastercard 過度詐騙商家合規計畫 (EFM)
Mastercard 判定企業是否納入 EFM 的流程與 ECP 的計算方式類似,但詐騙拒付率僅以詐騙拒付計算。
若企業在以下所有指標均達到或超過門檻,即會被納入 EFM 計畫:
- 付款筆數:Mastercard 電子商務付款的總筆數。
- 詐騙金額:依爭議原因代碼 4837 和 4863 計算的詐騙拒付總金額 (美元)。
- 詐騙率:詐騙交易占所有電子商務交易的總百分比。
- 3DS 比率:3DS Mastercard 付款占總付款的百分比。
請參閱以下資訊,瞭解付款筆數、詐騙金額、詐騙拒付率與 3DS 付款總比率的各項門檻,以及相關罰則。
| 付款次數等於或大於 | 詐騙金額大於 | 詐騙拒付率大於 | 總 3DS 比例小於或等於 | 罰則 |
|---|---|---|---|---|
| 1,000 以上 | 50,000 美元以上 澳洲則為 15,000 美元以上 | 0.50% 以上 澳洲則為 0.20% 以上 |
|
|
您可以在案件審理期間,要求 Mastercard 暫停一次已評估的罰款。然而,除非您確信自己在未來 3 個月內都能維持在門檻以下以便退出該計畫,否則請勿這麼做。如果您要求暫停罰款,並連續 2 個月低於門檻,卻在下個月超標,系統便會繼續評估罰金,直到您退出計畫為止。
高風險商家名單
VMSS 和 MATCH 皆為已終止合作商家檔案 (Terminated Merchant Files,TMF),這些資料庫列出了全球付款處理商因交易退單過多或違反發卡組織規則而關閉的帳戶。處理商會在商家上線新業務時檢查這些名單,且必須在關閉符合條件的商家帳戶時,將其加入名單中。若是被列入名單,通常會導致新的處理商申請遭到拒絕。
Mastercard 高風險控管警示 (MATCH)
MATCH 是 Mastercard 的已終止合作商家檔案 (TMF) 資料庫。該資料庫列出了全球信用卡處理商因爭議交易退款率過高或違反發卡品牌規則而關閉的帳戶資訊。
列入 MATCH 的標準
當商家與信用卡處理商的合作關係終止時,處理商必須判斷該商家是否符合列入 MATCH 的標準。
若任何 MATCH 標準符合,則處理商必須在終止後的 1 個工作日內,或帳戶於終止後符合 MATCH 條件的 1 個工作日內,將該商家的資料加入 MATCH。
MATCH 質性標準
MATCH 的多數標準 (或原因代碼) 涉及違反發卡組織規則,包括非法活動與共謀。
| 代碼 | 原因 | 說明 |
|---|---|---|
| 1 | 帳戶資料外洩 | 直接或間接導致未經授權存取或揭露帳戶資料的事件。 |
| 2 | 共同消費地點 | 帳戶資料在某商家的地點遭竊取,並在其他商家地點用於詐騙交易。 |
| 3 | 洗錢 | 該商家涉及洗錢活動。所謂洗錢,是指商家向其收單機構提交的交易紀錄,並非該商家與真實持卡人之間的合法商品或服務銷售交易。 |
| 7 | 詐欺罪定罪 | 商家的主要負責人或合作夥伴曾因詐騙犯罪被判有罪。 |
| 8 | Mastercard 可疑商家稽核計畫 | 依 Mastercard 可疑商家稽核計畫所訂標準,該商家被認定為可疑商家。 |
| 9 | 破產、清算或無力償債 | 該商家無法或可能無法履行其財務義務。 |
| 10 | 違反標準 | 就 Mastercard 收單機構所回報之商家而言,該商家違反了一項或多項規範。這些規範說明商家在受理卡片交易時應遵循的程序,包括但不限於:接受所有卡片、正確展示標誌、向持卡人收費、最低或最高交易金額限制,以及禁止的交易,相關內容載於 Mastercard Rules 手冊第 5 章。 |
| 11 | 商家串通 | 商家涉及詐騙性串通行為。 |
| 12 | 未遵循支付卡產業資料安全標準 (PCI DSS) | 商家未遵循 PCI DSS 的要求。 |
| 13 | 非法交易 | 商家從事非法交易。 |
| 14 | 身分盜用 | 收單機構有理由相信,為了不法簽訂商家協議,有人不法冒用名單中商家或其負責人的身分。 |
MATCH 量化準則
Mastercard 對兩個 MATCH 理由代碼訂有明確的數值門檻,達標時付款處理商必須將帳戶新增至 MATCH。
這些代碼與帳戶上的拒付與詐騙活動相關,也是被加到 MATCH 的最常見原因。即便業者並未從事非法或違規行為,也可能受到影響。
| 代碼 | 原因 | 說明 |
|---|---|---|
| 4 | 拒付過多 | 就 Mastercard 收單機構所回報之商家而言,任一單月的 Mastercard 拒付筆數超過同月 Mastercard 銷售交易筆數的 1%,且該等拒付的總金額達 5,000 美元或以上。 |
| 5 | 詐騙過多 | 商家發生任何類型的詐騙交易(包含偽卡等),且達到或超過以下最低通報標準:於某一曆月中,詐騙金額占銷售金額比例達 8% 以上,且該曆月內發生至少 10 筆詐騙交易,總金額達 5,000 美元或以上。 |
關於拒付與詐騙過多的補充資訊
MATCH 理由代碼與 Visa 與 Mastercard 執行的卡品牌拒付與詐騙監控計畫相互獨立。雖然所有主要發卡組織都要求使用 MATCH,但「拒付過多」的判定僅適用於 Mastercard 卡片的活動。
如果爭議活動並非發生在 Mastercard 卡片上,則不會計入 MATCH 比率。如果商家達到其他發卡組織卡片品牌監控計畫的過量階段,或是因這些計畫而遭罰款,其他發卡組織可能會要求將該商家列入 MATCH。
評估 MATCH 資格時,處理商會審查同一個日曆月內發生的所有交易和交易退單,無論原始交易何時發生。
當業者在某一曆月符合拒付過多或詐騙過多的 MATCH 準則時,只要日後處理合作關係終止,就必須將該商家加入 MATCH,即使終止時間不在該曆月內。
例如,若業者僅在 2 月符合 MATCH 準則,而處理合作關係於 9 月終止,處理商仍須將資訊新增至 MATCH,縱使達標活動發生在 2 月。
若關係初次終止時尚未達到 MATCH 準則,之後若達標,仍可能符合 MATCH。舉例來說,若終止後才發生拒付,則該業者可被加入 MATCH。
資格判定資料範例
請查看以下某一曆月的交易與拒付範例:
- Mastercard 交易筆數:125
- Mastercard 拒付筆數:6
- 拒付占交易比率:(6/125) = 4.8%
- Mastercard 拒付總金額:6,250 美元
在此情況下,若日後終止處理合作關係,該業者即會因拒付過多而符合 MATCH。之後即使拒付被撤銷或由商家勝訴,也不影響結果。
就拒付過多而符合 MATCH 而言,拒付筆數沒有最低門檻。
新增至 MATCH 的資訊
發卡組織要求,若可提供,需將以下資訊新增至 MATCH:
- 商家法定名稱與對外營業名稱 (DBA)
- 營業地址
- 商家電話號碼
- 商家稅務 ID
- 商家網址
- 負責人姓名
- 負責人地址
- 負責人電話號碼
- 負責人稅務 ID
- 帳戶開立日期與終止日期
- MATCH 理由代碼
Mastercard 不會評估 MATCH 名單的準確性。
從 MATCH 移除
付款處理商無法依要求從 MATCH 移除帳戶資訊。處理商只有在下列情況下才能移除 MATCH 項目:
- 若處理商錯誤地將商家加入 MATCH。
- 若名單的 MATCH 理由代碼為 12 (PCI DSS),且處理商已確認該商家已遵循 PCI DSS。
若您認為符合上述任一情況,請聯絡將您的資訊列入 MATCH 的處理商以申請移除。資料會在 MATCH 系統中保留 5 年,之後由 Mastercard 自動清除。
列入 MATCH 後該怎麼辦
若您被列入 MATCH,當您嘗試註冊新的處理商時會收到通知。MATCH 僅供處理商在申請流程中作為資訊參考,但只要有 MATCH 紀錄,申請往往會遭到駁回。
您需要聯絡先前的處理商,以找出您的資訊被加入 MATCH 的原因。MATCH 準則由 Mastercard 制定,且處理商必須遵守此準則。即使商家已修正導致交易退單的問題,Shopify 也無法移除符合過量交易退單準則的商家。
基於銀行合作夥伴的限制,除非有特殊情況 (例如先前身分資訊遭竊的合法商家),否則 Shopify 通常無法為列於 MATCH 上的商家處理交易。
Visa 商家審查服務 (VMSS)
VMSS 是 Visa 的已終止合作商家檔案 (TMF) 資料庫,該資料庫列出了全球信用卡處理商因交易退單過多或違反發卡品牌規則而關閉的帳戶資訊。
VMSS 列入資格條件
當商家與信用卡處理商終止合作關係時,由該處理商判定商家是否符合列入 VMSS 的標準。
只要符合任何 VMSS 標準,處理商就必須將終止合作的商家資訊加入 VMSS。
VMSS 定性標準
VMSS 的多數原因代碼涉及違反發卡組織規範,包含非法活動。
| 代碼 | 原因 | 說明 |
|---|---|---|
| 23 | 交易洗錢 | 商家或第三方代理不實陳述所提交交易的來源(未經授權的整合),或代其他商家提交交易(代收)。 |
| 24 | 非法交易 | 商家或第三方代理將非法或被禁止的交易送入付款系統。 |
| 25 | Visa 風險遵循計畫識別 | 在 Visa 風險遵循計畫中遭識別後,收單機構依其裁量終止與該商家或第三方代理的合作,而該方未能妥善改善。 |
| 26 | 商家串通 | 商家或第三方代理串通實施詐騙。 |
| 27 | 共同消費點 (CPP) | 商家或第三方代理被識別為一個地點,合法交易的帳戶資料在該地遭到外洩並被用於後續的詐騙活動(包含側錄),且未能妥善改善。 |
| 28 | 詐欺罪定罪 | 商店或第三方代理的負責人因詐欺罪遭判有罪。 |
| 29 | 破產、清算或無力償債 | 商家或第三方代理因可能或已發生的破產、無力償債或停業,無法履行其財務義務。 |
| 30 | 違反商家或第三方代理協議 | 商家或第三方代理違反其協議。 |
| 31 | 違反 Visa 規範 | 商家或第三方代理違反 Visa 規範,讓付款系統的收單機構承受不當風險。 |
| 32 | 未遵守帳戶資料安全計畫 | 商家或第三方代理未符合支付卡產業資料安全標準 (PCI DSS) 或付款應用程式資料安全標準 (PA-DSS) 的要求。 |
| 33 | 帳戶資料外洩 | 商家或第三方代理遭遇資料外洩,直接或間接導致付款帳戶或交易資訊未經授權的洩露。 |
| 34 | 商家身分盜用 | 商家申請使用了負責人或公司主管的身分資料,但該等資料所屬個人從未成為商家協議的當事人。 |
| 35 | 取消參與 Visa 付款系統資格 | Visa 取消商家或第三方代理參與 Visa 付款系統的資格。 |
VMSS 定量標準
Visa 為其中兩個 VMSS 原因代碼訂定了明確的數值門檻,規定處理商必須在達到門檻時將帳戶加入 VMSS 名單。
這些涉及拒付與詐騙活動的原因代碼,是被加入 VMSS 的最常見原因,亦可能影響並未涉及非法或違規行為的商家。
| 代碼 | 原因 | 說明 |
|---|---|---|
| 21 | 詐騙過多 | 商家或第三方代理將過多的詐欺交易送入付款系統(在任一月份,詐騙金額達 250,000 美元,且詐騙金額占銷售金額比率達 1.8% (180 個基點)),且未能妥善改善。 |
| 22 | 爭議過多 | 商家或第三方代理在付款系統產生過多爭議(在任一月份,爭議件數達 1,000 件,且爭議金額占銷售金額比率達 1.8% (180 個基點)),且未能妥善改善。 |
從 VMSS 移除
Shopify 通常無法依要求從 VMSS 移除帳戶資訊。只有在處理商錯誤將商家加入 VMSS 的情況下,處理商才能移除 VMSS 項目。
列入 VMSS 後的下一步
若您被列入 VMSS,您可能要在嘗試向新的處理商註冊時才會察覺。VMSS 僅作為處理商在申請流程中的資訊工具。出現 VMSS 紀錄通常會導致申請遭拒。若您被列入 VMSS,請聯絡您先前的處理商,查明為何您的資訊被加入 VMSS。VMSS 的標準由 Visa 設定,處理商必須遵循。
即使商家已解決導致拒付的問題,只要符合拒付過多的判定標準,Shopify 也無法將其移除。
由於銀行合作夥伴的限制,Shopify 一般無法為列入 VMSS 的企業提供付款處理服務,除非有特殊情況,例如某合法企業曾遭竊取身分資料。