虚拟终端是一种在线应用程序,允许企业通过互联网手动输入并处理信用卡交易。它通常被需要处理“非现场”交易(如电话或邮购订单)的企业使用。用户通过支付服务商提供的网站访问虚拟终端,并需手动输入卡片详情和交易信息。
支付网关是一种商家用来接收客户借记卡或信用卡付款的技术。它在商家网站(或销售点系统 (POS))与处理交易所涉及的支付网络之间扮演中介角色。
预计 2024 年全球电子商务收入将突破 4.1 万亿美元,虚拟终端和支付网关对商业运营日益重要。本指南将对比二者差异,并阐述如何为企业部署相应解决方案。
本文内容
- 虚拟终端如何运作?
- 支付网关如何运作?
- 虚拟终端与支付网关:相似与差异
- 虚拟终端与支付网关:部署
- 虚拟终端与支付网关:安全问题和最佳实践
虚拟终端如何运作?
虚拟终端允许企业在在线界面中录入支付信息,以处理无实体卡交易。它对无实体店、通过电话或电子邮件接单,或需在多个地点处理支付的企业尤为实用。虚拟终端可与发票管理、会计核算和库存管理等其他业务系统集成,是处理企业交易的多功能工具。
以下是虚拟终端工作原理的简要概述:
登录:商家通过支付处理商提供的安全门户网站进入虚拟终端。
数据输入:商家手动将客户的支付详细信息(例如信用卡号)和交易金额输入到虚拟终端界面。
处理:虚拟终端通过支付网关发送信息以进行授权。
授权:支付网关将交易数据加密并转发到卡组织和发卡行进行审批。
确认:发卡行发回批准或拒绝,该批准或拒绝通过支付网关转发到虚拟终端。
完成:商家完成销售,并记录交易详细信息以供对账和存档。
支付网关如何运作?
支付或数字网关是促成支付的中介环节。它将敏感的信用卡信息从客户处传输到发卡行,然后将银行对交易的批准或拒绝传输回商家。
通常,其运作流程如下:
虚拟终端与支付网关:相似与差异
尽管虚拟终端和支付网关都处理电子支付,但它们旨在满足不同的需求和交易类型。虚拟终端需要手动输入,最适合商家输入的交易。支付网关使处理自动化,更适合客户驱动的在线购买。
以下是对它们的主要相似点和差异的简要概述:
相似点
安全交易处理:虚拟终端和支付网关对交易数据进行加密,确保敏感支付信息在互联网上安全传输。
支付网络集成:两者都会与各种支付网络及银行进行交互,以完成支付授权与处理。
无卡 (CNP) 交易支持:两者都支持持卡人不在场时发生的支付,例如在线或电话支付。
差异
虚拟终端
功能和用途:虚拟终端主要由企业在持卡人不在时将支付详细信息输入在线界面。它们非常适合电话或邮购,不需要与客户直接互动。
用户交互:虚拟终端需要商家员工手动将支付详细信息输入系统。
技术集成应用:虚拟终端通常是一套可通过网页浏览器访问的独立系统,有时也能与会计或库存管理等其他业务系统集成。
目标用户:虚拟终端适用于无需电商平台,但仍需远程处理支付的企业,例如专业服务类企业或批发类企业。
支付网关
功能和用途:支付网关会关联商家网站以及处理支付所涉及的金融系统。
用户交互:支付网关自动运行,专为客户发起的交易而设计。客户在电商网站或应用上输入他们的支付详细信息。在交易过程中,它们需要与商家进行最少的互动。
技术集成:支付网关高度集成到网站、应用程序和在线购物车中。
目标用户:需要支付网关的是电商企业以及任何直接向客户在线销售商品或服务的企业。
虚拟终端与支付网关:部署
虚拟终端与支付网关的实施需求和流程各不相同,选择使用哪一种取决于企业的具体需求。虚拟终端技术门槛较低,搭建步骤简单,能快速完成部署,非常适合需要手动处理支付的企业。支付网关的部署需要更多技术专业知识,更适合需要全面、集成化在线支付系统以处理大量交易的企业。
以下是企业部署虚拟终端与支付网关的方法:
部署虚拟终端
可访问性:虚拟终端设计简洁、易于使用,通常是基于网页的应用程序,无需额外安装软件。用户只需通过浏览器登录在线平台即可使用。
设置和配置:设置虚拟终端通常只需极少的技术配置。企业一般需在提供虚拟终端服务的支付处理商处注册账户(虚拟终端是该服务商服务的一部分)。账户开通后,企业可能需要配置一些基础设置,如安全功能和用户权限。
硬件要求:通常情况下,除了能联网的电脑或移动设备外,无需其他特定硬件。同时需要处理实体卡交易的企业可将读卡器等硬件设备与部分虚拟终端解决方案集成使用。
用户培训:虚拟终端员工培训通常很简单,不需要大量的技术技能。用户应了解如何安全地输入支付信息、处理交易和管理收据。
部署支付网关
技术集成:与虚拟终端相比,支付网关的技术集成更为复杂。它必须与网站、电商平台或移动应用集成,且网关的应用程序接口 (API) 需配置为可与现有数字基础设施兼容。
安全:部署支付网关需要严格遵守支付卡行业数据安全标准 (PCI DSS) 安全标准,以确保敏感信用卡信息的安全处理。这可能涉及设置加密协议、安全数据存储和其他网络安全措施。
定制:支付网关提供了更多定制选项,让企业能够创建与其线上品牌形象相符的用户体验。
可扩展性:网关可以扩展以处理大量交易,并且可支持各种支付方式和货币。
开发者资源:部署支付网关通常需要调用开发者资源。开发者需使用支付处理商提供的 API 集成网关,并进行全面测试,以确保网关在所有预期交易场景下均能正常运行。
虚拟终端与支付网关:安全问题和最佳实践
无论使用虚拟终端还是支付网关,遵循一些最佳实践都能帮助商家有效处理支付。
对员工进行有关安全的最佳实践教育,包括如何发现网络钓鱼诈骗以及如何处理敏感的客户数据。
为支付处理和数据处理制定和实施明确的安全策略。
制定快速有效响应安全事件的方案。
告知客户如何防范在线欺诈。
下文概述了与虚拟终端和支付网关相关的特定安全问题及最佳实践。
虚拟终端安全问题
手动数据输入:虚拟终端的最大风险与手动输入卡信息有关。这可能会导致人为错误和潜在的数据泄露问题。
数据存储: 如果保护不当,已存储的银行卡数据可能会成为黑客的目标。
无卡 (CNP) 交易欺诈:手动录入信息的交易将被视为CNP 交易,欺诈的风险较高。
虚拟终端最佳实践
PCI DSS 合规:虚拟终端提供商必须符合 PCI DSS。这一套安全要求旨在保护持卡人数据。
强密码:为您的虚拟终端账户设定强大且独特的密码,并定期更改。
限制访问:仅向受信任的员工提供虚拟终端访问权限,根据员工的职责分配权限。
加密:确保在传输和存储过程中对持卡人的敏感数据进行加密处理。
欺诈防范:使用地址验证服务 (AVS) 和银行卡验证值 (CVV) 等工具以降低欺诈风险。
定期更新:使用最新的安全补丁使您的虚拟终端软件保持最新状态。
支付网关安全问题
数据泄露:尽管支付网关都有强大的安全措施,但仍无法完全避免数据泄露的风险。
网络钓鱼攻击:攻击者可能会制作仿冒店铺的虚假网站,诱骗客户在该网站上输入支付信息。
欺诈交易:欺诈行为者可能会试图绕过网关的安全措施。
支付网关最佳实践
PCI DSS 合规:支付网关必须符合 PCI DSS 标准并定期接受安全审计。
安全套接字层 (SSL)/传输层安全 (TLS) 加密:支付网关必须使用强大的 SSL/TLS 加密来保护传输过程中的数据。
令牌化:支付网关应集成令牌化技术,将敏感的卡数据替换为对欺诈者无用的唯一令牌。
3DS 验证:支付网关应考虑实施 3DS 验证(例如,Visa 的 Verified、Mastercard SecureCode)以增加身份验证保护。
欺诈监控:支付网关应配备欺诈检测与防范工具,例如交易频次核查和机器学习算法。
定期安全审查:支付网关应定期进行安全审查和渗透测试,以识别和修复漏洞。
本文中的内容仅供一般信息和教育目的,不应被解释为法律或税务建议。Stripe 不保证或担保文章中信息的准确性、完整性、充分性或时效性。您应该寻求在您的司法管辖区获得执业许可的合格律师或会计师的建议,以就您的特定情况提供建议。