چرا کارت‌های اعتباری، پيوسته و انبوه هک می‌شوند؟

چرا شمار بسيار زيادی از شرکت‌های بزرگ «هک» می‌شوند و فهرست اطلاعات کارت‌های اعتباری‌ آن‌ها به‌سرقت می‌رود؟ معلوم است، زیرا صنعت کارت‌های اعتباری از هر سرقتی که روی می‌دهد پول به جيب می‌زند و برای پيش‌گيری از اين هک‌ها هيچ کاری انجام نمی‌دهد. می‌دانم مسخره به‌نظر می‌رسد، اما اين دقيقاً همان چيزی است که اتفاق می‌افتد.سرقت‌های گسترده از کارت‌های اعتباری به‌وسيله رخنه‌گری، هک، کارشکنی خودی‌ها، يا موارد ديگر برای برندهای کارت اعتباری عوايد مالی خيلی خوبی دارد. به‌همين علت، آن‌ها با لابی‌گری قوانينی را وضع کرده‌اند که آن‌ها را از هرگونه مسئوليتی مصون می‌دارد و در اين ميان، همه سختی‌ها را صادرکننده کارت، فروشنده يا مشتری به‌جان می‌خرد. اين سيستم نقص دارد. 

مطلب پیشنهادی: 21 میلیون سکه مجازی

نخست بياييد به ريشه اين ماجرا، يعنی همان مجموعه استانداردهایی که آن‌را پی‌سی‌آی PCI، (سرنام Payment Card Industry) می‌نامند، نگاهی بياندازيم. پی‌سی‌آی توسط شبکه‌ها يا همان برندهای بزرگ کارت اعتباری توسعه داده‌ شده ‌است و بيشتر مردم فکر می‌کنند اين قوانين وضع شده‌اند تا اطمينان دهند يک فروشنده در عمل امنيت را جدی می‌گيرد. اين شبيه همان ترفندهایی است که حزب‌ها به‌کار می‌بندند تا مردم باورشان کنند. متاسفانه پی‌سی‌آی درباره امنيت واقعاً کاری انجام نمی‌دهد يا دست‌کم فقط به‌صورت جزیی به‌آن می‌پردازد.
اگر در اين‌باره وب‌سايت‌ها و ديگر مطالب مرتبط را مطالعه کنيد، می‌بينيد نوشته‌اند که پی‌سی‌آی با برقراری صحيح امنيت سروکار دارد؛ اين استانداردها شامل گزارش‌ کار‌ها، کنش‌های پيشنهادی و چيزهایی است که می‌توانيد انجام دهيد تا عمليات پردازش کارت اعتباری خود را «امن» کنيد. به‌طور خلاصه چيزی در مايه‌های بهترين رهنمودهای صنعتی که در شکل ابتدایی‌اش اين‌گونه است. ريشه مشکل همين است.
آن‌چه که رهنمودها يا دستورهای مندرج در پی‌سی‌آی انجام می‌دهد اين است که از هر کسی که با کارت‌های اعتباری سروکار دارد، می‌خواهد تا يک‌سری راه‌کارهای پيشنهادی را رعايت کند. اين رهنمودها بسته به وسعت کار، مشکلات پيشين و بسياری موارد ديگر می‌تواند به‌صورت گسترده‌تری طبقه‌بندی شود و هرچه کسب‌وکارتان بزرگ‌تر باشد، بايد کارهای بيش‌تری انجام دهيد (موارد بيش‌تری را رعايت کنيد). اين چيزها تا وقتی که روی کاغذ هستند عالی به‌نظر می‌رسند، هر چه ميزان ريسک بالاتر باشد، شما هم بايد کارهای بيش‌تری انجام دهيد، و آن‌ها حتی يک چک‌ليست هم به‌شما می‌دهند تا طبق آن سازوکارهای خود را تنظيم و کنترل کنيد. 
اما متأسفانه اين فهرست راهنما چنان گنگ و سست است که شرکت‌ها می‌توانند تقريباً هر کاری انجام دهند و همچنان از آن‌ها تأييد بگيرند. ما چندين نفر را می‌شناسیم که مدت‌ها براساس استانداردهای پی‌سی‌آی کارهای خود را اداره می‌کرده‌اند و همه آن‌ها فرآيند يادشده را، دست‌کم تا جایی که به امنيت واقعی مربوط می‌شود، يک شوخی دانسته‌اند. تنها کاری که پی‌سی‌آی انجام می‌دهد اين است که يک چک‌ليست در اختيار شرکت‌ها می‌گذارد. شرکت‌ها نيز می‌توانند آن‌را مدنظر قرار دهند و سپس ادعا کنند قوانين، يعنی همان «بهترين رهنمودهای صنعتی»، را رعايت کرده‌اند. يعنی مجموعه رهنمودهای پی‌سی‌آی به امنيت واقعی تقريباً هيچ ربطی ندارد. 

 در اين صنعت قدرت در يک‌جا متمرکز شده‌است و آن برندها يا همان شبکه‌های کارت اعتباری و شرکت‌های مربوطه‌شان است. آن‌ها می‌توانند قوانين يک‌سويه و دلخواه خودشان را وضع کنند تا در برابر هيچ‌چيز پاسخ‌گو نباشند. 

اگر موضوع تا اين اندازه مسخره است، پس چرا صنعت کارت‌های اعتباری هنوز آن‌را دنبال می‌کند؟ اگر پی‌سی‌آی هيچ کاری انجام نمی‌دهد، پس چرا اصلاً به‌آن اهميت می‌دهند؟ پاسخ اين پرسش نخستين کليد تمام اين داستان است. پی‌سی‌آی برای کسانی که از آن پيروی کنند خيلی‌ کارها انجام می‌دهد، اما آن‌چه انجام می‌دهد به امنيت هيچ ارتباطی ندارد. مزيت پی‌سی‌آی اين است که يک‌سری مقررات ارائه می‌کند، چيزی‌که ارزش آن در جهان مدرن خيلی بيشتر از امنيت واقعی است. 
اين مجموعه مقررات، به زبان ساده راهی را فراروی شرکت‌ها قرار می‌دهند تا آن‌ها با به‌کار بردن اصطلاح‌های حقوقی بگويند: «هرآن‌چه می‌توانستيم، انجام داديم تا امنيت را تضمين کنيم»، درحالي‌که شايد تمام کاری که انجام داده‌اند، رعايت حداقل‌های لازم برای گذر از تست‌ها و گرفتن تاييديه ‌باشد. گفتنی است، کسی که وضعيت پی‌سی‌آی اين شرکت‌ها را تست می‌کند، يک نهاد حسابرس طرف سوم (third party) است که هزينه و دستمزدش از جيب فروشندگان پرداخت می‌شود (منظور از فروشندگان، همان فروشگاه‌های کوچک و بزرگی است که پول کالاها و سرويس‌های فروخته‌شده به مشتريان را توسط کارت‌های اعتباری دريافت می‌کنند). يک لحظه درباره‌اش فکر کنيد، حدس می‌زنيد پولی که بايد به اين حسابرس‌ها داده‌شود کجا است؟ ضمن اين‌که اين تاييدها فقط رعايت يا عدم رعايت مقررات گفته‌شده را بررسی می‌کنند و نه امنيت واقعی را. 
پس پی‌سی‌آی چيزی جز يک سپر قانونی (برای شبکه‌های کارت اعتباری) نيست؛ گواهی‌‌نامه‌ای در قاب طلایی که (به‌آن‌ها) می‌گويد اگر کلاه‌برداری رخ داد، می‌توانيد خودتان را کنار بکشيد. به‌طور خلاصه، مهر تأييدی است که اين صنعت قبولش دارد و با اتکا به‌آن خود را در برابر دادخواست‌هایی که ممکن است پس از حمله‌های هک مطرح شوند، مصون نگاه می‌دارد. پی‌سی‌آی راه گريز اين شرکت‌ها از دادخواهی‌های پس از وقوع هک است. در مواردی هم که نتوانند از زير بار مسئوليت شانه خالی کنند، کاری می‌کنند که اين دادخواست‌ها ارزش مطرح شدن پيدا نکنند. پی‌سی‌آی برای امنيت کاری انجام نمی‌دهد. مگر اين‌که سود خالص شرکت‌های بی‌عرضه و بی‌مبالات را امنيت واقعی قلمداد کنيد. البته که اين رويه، برنامه‌ريزی‌شده است و هدفش اين است که چاره‌جویی‌های قانونی مشتريان را خنثی کند و اين کار را خيلی هم خوب انجام می‌دهد. 
اگر چنين است، چرا شرکت‌های کارت اعتباری اقدامی نمی‌کنند تا سازوکارها واقعاً امن شود؟ اين‌همان مشکل بعدی است و بستگی دارد منظورتان از شرکت‌های کارت اعتباری چه کسی باشد؟ عبارت «شرکت کارت اعتباری» ممکن است به چند نهاد متفاوت اشاره داشته‌باشد. ممکن است منظور يک نفر از شرکت کارت اعتباری، برند کارت مانند ويزا و امريکن اکسپرس باشد، يا منظورش بانک صادرکننده‌ای باشد که در واقع می‌توانيد کارت را از آن‌ دريافت ‌کنيد، يا منظور آن فروشندگانی باشد که آن کارت‌ها را دريافت می‌کنند. در پايين‌ترین سطح اين تل نيز مشتری قرار دارد که کارتی را که برايش صادر شده‌است می‌گيرد. (پيکان اين مقاله، مورد نخست را نشانه رفته‌است؛ يعنی برندهای کارت اعتباری مانند ويزا، مسترکارد و...)
 در اين صنعت قدرت در يک‌جا متمرکز شده‌است و آن برندها يا همان شبکه‌های کارت اعتباری و شرکت‌های مربوطه‌شان است. آن‌ها می‌توانند قوانين يک‌سويه و دلخواه خودشان را وضع کنند تا در برابر هيچ‌چيز پاسخ‌گو نباشند. می‌توانند هرگاه که خواستند دوشاخه را از پريز شرکت‌های صادرکننده کارت بکشند و اين بخش بزرگی از کسب‌وکار آن‌ها است. فروشنده‌ای که عضو اين زنجيره باشد و بخواهد با شبکه‌های کارت اعتباری مبارزه کند، بايد خيلی خوش‌شانس باشد که بتواند پيروز شود، او هيچ شانسی ندارد. و مشتريان؟ خب، آن‌ها مثل قربانيان جاده‌ای اين ماجرا هستند. آن‌ها جز در چند ايالت معدود که قوانين نصفه و نيمه‌ای به‌تصويب رسيده ‌است، هيچ حق و حقوقی ندارند. تازه لابی‌گران آن قوانين نصفه و نيمه را هم تا اندازه زيادی بی‌اثر کرده‌اند و درنتيجه آن‌ قوانين هم بی‌ارزش هستند. در اين زنجيره فقط حلقه بالانشين است که قدرت را در دست دارد. 

چرا اين سيستم هرگز واقعاً تغيير نخواهدکرد؟ کوتاه سخن اين‌که، سود زيادی در اين کار است و آن‌چه از اين پرداخت‌ها عايد دريافت‌کنندگان می‌شود، تقريباً 100 درصد سود خالص است. 

چرا اين موضوع يک مشکل به‌شمار می‌آيد؟ قوانين يک‌سويه را که از آن‌ها سخن گفتيم، به‌ياد داريد؟ حدس بزنيد بعضی از آن‌ها برای چه وضع شده‌اند؟ اگر کارت شما مورد کلاه‌برداری قرار بگيرد و شما هيچ تقصيری نداشته‌باشد، فکر می‌کنيد خسارت آن‌را چه کسی می‌پردازد؟ بيش‌تر بانک‌ها در اين مواقع مشتريان را سپر قرار می‌دهند تا خودشان تنها مسئوليت اندکی را بپذيرند يا هيچ مسئوليتی متوجه‌شان نشود. فروشندگانی که کارت‌ها برضد آن‌ها مورد ‌استفاده قرار گرفته‌است خيلی خوش‌شانس نيستند (منظور زمانی است که هکرها با اطلاعات ربوده‌شده کارت‌های اعتباری ديگران، از اين فروشندگان کالا يا سرويس می‌خرند). هيچ پولی به‌آن‌ها پرداخت نمی‌شود و تازه بابت موارد گوناگونی همچون دريافت کارت‌های بی‌اعتبار خسارت هم می‌پردازند، اما بانک صادرکننده کارت معمولاً نه تنها يک سنت هم از حساب خودش پولی نمی‌پردازد، بلکه شايد سهمی از غرامت‌های دريافتی هم به‌او برسد. برند کارت اعتباری نيز از راه دريافت غرامت پول کلانی به جيب می‌زند. 
سپس وضع بدتر می‌شود، هزينه‌ای که فروشنده‌های پذيرنده کارت‌های اعتباری بابت استفاده از آن‌ها به شرکت‌های مربوطه می‌پردازند، برای مدت زيادی افزايش پيدا می‌کند. آن‌ها به‌اين علت که قربانی جرم شده‌اند، متحمل رنج می‌شوند و اين حتی از پولی که از دست داده‌اند و جريمه‌هایی که پرداخته‌اند، ناراحت‌کننده‌تر است. 
می‌بينيد يک جورهایی چه سيستم انگيزشی کژراهی است؟ می‌بينيد چه‌طور باعث می‌شود برندهای کارت اعتباری و صادرکنندگان آن اطمينان يابند که در واقعيت هيچ امنيتی وجود ندارد يا دست‌کم صحنه را طوری می‌چينند که عملاً امنيتی در کار نباشد؟ می‌بينيد چه‌طور آن‌هایی که آسيب ديده‌اند هرگز هيچ قدرتی برای تغيير اين وضع ندارند؟ می‌بينيد چرا اين سيستم هرگز واقعاً تغيير نخواهدکرد؟ کوتاه سخن اين‌که، سود زيادی در اين کار است و آن‌چه از اين پرداخت‌ها عايد دريافت‌کنندگان می‌شود، تقريباً 100 درصد سود خالص است. 
اگرچه کسانی که واقعاً آسيب ديده‌اند، می‌توانند برای جبران خسارت‌های‌شان دادخواست ارائه دهند اما آن‌هایی که از حمله‌های هک‌ سود می‌برند، سپر قانونی تقريباً استواری دارند تا محافظت‌شان کند. اين سپر طبق برنامه‌ريزی‌های خودشان پديد آمده‌است و تقريباً هر کسی که در اين صنعت کار می‌کند با آن موافق است و خوب می‌پنداردش. يکی از علت‌هايش شايد اين باشد که اگر با اين قوانين موافق نباشيد و از آن‌ها پيروی نکنيد، نمی‌توانيد در اين صنعت حضور داشته‌ باشيد. چنين سازوکاری به‌اندازه انتخابات در کره‌ شمالی منصفانه و راستين است. 
اگرچه پذيرفتن شرايط حاکم بر صنعت کارت‌های اعتباری و پيوستن به‌آن برای فروشندگان به اسم اختياری است، اما رسماً چنين نيست و فروشگاه‌ها نمی‌توانند بدون آن کسب‌وکار خود را اداره کنند. پس ناچار هستند به‌روی آن لبخند بزنند و وانمود کنند که خرسند هستند.  
اکنون اين‌را با کلاهبرداری‌های کلانی بسنجيد که اين اواخر شاهدشان بوده‌ايم. کلاهبرداری‌هایی که ضمن آن‌ها ميليون‌ها تا ده‌ها ميليون کارت به‌‌يک‌باره هک می‌شوند. اگر فرض کنيم در حمله‌ای فرضی، يک ميليون کارت هک شود و هکرها با هزار عدد از آن‌ها از فروشندگان بی‌گناه خريد کنند، برمی‌گرديم به سر جای اول‌مان در آغاز اين داستان. دوباره بياييد فرض کنيم که روی کارت اعتباری هر فروشنده سالانه يک ميليون دلار تراکنش انجام می‌‌پذيرد و در این ميان، سهم هر مشتری 50 دلار است. از اين‌جا به بعد، فروشندگانی که با کارت‌های سرقتی از ايشان خريد شده‌است بايد تقريباً از کل پولی که از دست‌شان رفته‌است، چشم بپوشند و جای آن‌را از جيب خودشان پر کنند. زیرا هرچه از آن‌ها خريداری شده رفته ‌است و آن‌ها عملاً راه چاره‌ای ندارند. اين آغاز دردسر آن‌ها است. تازه آن‌ها مبالغی را هم به‌عنوان خسارت پرداخت می‌کنند اما نمی‌دانيم رقم‌شان چقدر است. آری آن‌هایی که قربانی هکرها شده‌ بودند، قربانی‌ برندهای کارت اعتباری می‌شوند. چرا؟ زیرا دست برندها برای غرامت‌خواهی به‌جایی بند است اما دست فروشندگان نه. 

پرسش خوبی است که اين پول چگونه تقسيم می‌شود؟ منابع ما می‌گويند بخش زيادی از آن نصيب برندها می‌شود، يعنی همان کسانی که قوانين را وضع می‌کنند.

بدتر اين‌که معمولاً هزينه‌های پرداختی فروشندگان بابت پردازش‌های کارت اعتباری نيز افزايش پيدا می‌کند. اگر فرض کنيم اين هزينه تنها 05/0 درصد افزايش ‌يابد (که البته تا جایی که می‌دانيم، هيچ برندی آ‌ن‌قدر خوش‌قلب نيست که به چنين رقمی بسنده کند) می‌شود سالانه 50 هزار دلار پول اضافی به‌ازای هر فروشنده يا 50 ميليون دلار برای برند مربوطه (زیرا در بالا فرض شد که تراکنش سالانه فروشنده با کارت اعتباری‌اش يک ميليون دلار است).
تازه اين‌ به‌ازای يک سال است و افزايش‌ هزينه‌ها می‌تواند برای چندين سال ديگر نيز ادامه داشته‌باشد. در اين‌جا داريم درباره پول واقعی حرف می‌زنيم و چنين پولی برای برندها و بانک‌های صادرکننده کارت تقريباً 100 درصد سود خالص است. 
مشکل بنيادی نيز همين است. در سناريوی فوق مبنی بر هک شدن يک ميليون کارت اعتباری، برندها و صادرکنندگان کارت اعتباری 50 ميليون دلار درآمد خالص به علاوه چندده هزار دلار ديگر به‌عنوان جبران خسارت به جيب می‌زنند. پرسش خوبی است که اين پول چگونه تقسيم می‌شود؟ منابع ما می‌گويند بخش زيادی از آن نصيب برندها می‌شود، يعنی همان کسانی که قوانين را وضع می‌کنند. فکر می‌کنيد اين‌ها اتفاقی است؟ فروشندگان با انواع ترفند‌ها سردوانده می‌شوند و گاهی بايد تا چندين سال همه خسارت را از جيب خودشان جبران کنند. و همه‌اش به‌اين خاطر است که آن‌ها قربانیانی بی‌گناه هستند. 
آن 0.1 درصد از مشتريان بدشانسی که شماره‌های‌شان مورد سوء‌استفاده قرار گرفته‌ بود، حتی ممکن است کمی بيش‌تر متحمل زحمت شوند. خو.اهشمندم اين‌را هم به‌ياد داشته‌باشيد که در اين سناريو فرض شد از يک ميليون کارت اعتباری هک شده تنها 1000 عدد از آن‌ها مورد سوء‌استفاده قرار گرفته‌اند. اگر آن تعداد را به 2000 عدد افزايش دهيم، برندها و صادرکنندگان کارت سالانه 100 ميليون دلار پول به‌علاوه مبالغ متفرقه حاصل از دريافت جريمه و ديگر مواردی را که همگان از آن مطلع نمی‌شوند، به‌حساب خود واريز می‌کنند. مدل تجاری بدی نيست و نشان می‌دهد که چرا از همان سطوح بالا امنيت در کارت‌های اعتباری جایی ندارد. البته مشتری در چنين سوء‌استفاده‌های بي‌شرمانه و پستی می‌تواند برای دريافت خسارت دادخواهی کند. مشتريان و فروشندگان هيچ کار اشتباهی انجام نداده‌اند و با اين‌حال برای اين‌که قربانی نشوند، بايد سالانه ده‌ها تا صدها ميليون دلار پول بپردازند. 
خوشبختانه صنعت کارت اعتباری فکر آنجا را هم کرده‌است و اقدام پيش‌گيرانه سريعی را به‌اجرا درآورده‌است (!) در اين سناريو هيچ مسئوليت مستقيمی متوجه برند يا بانک صادرکننده کارت نيست و در نتيجه آن‌ها به دردسر نمی‌افتند. البته فروشندگانی که کارت‌ها برای خريد از آن‌ها مورد استفاده قرار گرفته‌اند و همچنين مشتريان تقصيری ندارند، اما سرانجام اين آن‌ها هستند که هزينه‌ها را می‌پردازند. در نهايت، اين شرکت هک ‌شده‌ است که وکلای حقوقی سراغش می‌روند. و در اين‌جا است که پی‌سی‌آی دوباره به بازی برمی‌گردد و می‌گويد شرکت هک ‌شده، دست‌کم از نظر قانونی، همه تلاشش را کرده‌‌است تا همه‌چيز را امن نگاه دارد. و آن‌ (چک‌ليست‌ها)، تاييديه‌ها، اسکن‌ها و مهرهای تاييدی که نشان می‌دادند شرکت مزبور همه تلاشش را به‌کار بسته ‌است، رو می‌شوند. اين چيزی است که شرکت‌ها کوشيده‌اند پديد بياورند تا بدانند کارشان را در دادگاه راه می‌اندازد. 
رويه‌های حقوقی زيادی وجود دارند که مقررات مدنظر پی‌سی‌آی را پشتيبانی می‌کنند. کوتاه سخن اين که اين شرکت‌ها مرز مصونيت خود را آن‌قدر بالا گرفته‌اند که اگر بخواهيد مبلغ نا‌چیزی از آن‌ها پول بگيريد، بايد ثابت کنيد به‌طور موثر و خودخواسته درباره تأمين امنيت بی‌مبالاتی کرده‌اند؛
کاری که انجام آن در دادگاه عملاً ناممکن است و جز درباره هک‌های پرهياهویی که مستندات خوبی درباره‌شان وجود دارد، شدنی نيست. 
معنی‌اش اين است که سيستم کارت اعتباری دقيقاً آن‌گونه که برنامه‌ريزی‌ شده ‌است، کار می‌کند. آن‌ها قوانين را طوری تنظيم کرده‌اند که از هر هکی که اتفاق می‌افتد، سود کلانی به جيب بزنند. پس چرا بايد انتظار داشت که اين قوانين تغيير کنند؟ آن‌هایی که هک می‌شوند و فهرست کارت‌های مشتريان‌شان به‌سرقت می‌رود، تقريباً به‌طور کامل از جبران خسارت حتی يک مشتری يا قربانی و در واقع در برابر سيستم قانونی، مصون هستند. 
آن‌هایی که قربانی می‌شوند به دردسر می‌افتند و در اين‌باره هيچ کاری نمی‌توانند انجام دهند. شايد شما يا هر فروشنده‌ای در هر جایی يکی از آن قربانيان باشد. از دولت هم انتظار نداشته ‌باشيد که اين وضع را تغيير دهد. 
صنعت کارت اعتباری لابی‌گران زيادی دارد و شما نداريد. شما را و سرمی‌دوانند. اين صنعت از هر هک سودهای کلانی عایدش می‌شود و چه از نظر قانونی و چه از هر حيث ديگری کسی نمی‌تواند درباره‌اش کاری انجام دهد. با در نظر داشتن مبلغ پولی که در اين کار است، انتظار نداشته ‌باشيد اين وضع تغيير کند. فقط شاد باشيد که می‌توانيد در فروشگاه‌های پيرو پی‌سی‌آی با «امنيت» خريد کنيد، مقررات پی‌سی‌آی، آن‌گونه که برنامه‌ريزی شده ‌است، کار می‌کند. متأسفانه اين سيستم برای شما کار نمی‌کند. 

نهادهای موجود در صنعت کارت‌های  اعتباری و ارتباط ميان آن‌ها 
در عرصه کارت‌های اعتباری، برند کارت و شرکت صادرکننده آن اغلب دو نهاد متفاوت هستند. منظور از شرکت‌های‌ کارت اعتباری (credit card company)، صادرکنندگان کارت (card issuer) است که مؤسسه‌‌هایی مالی‌ (اغلب بانک) هستند و برای مشتريان‌ کارت اعتباری صادر می‌کنند و به حساب‌های‌شان خدمات ارائه می‌دهند. در سوی ديگر، برندها يا شبکه‌های کارت اعتباری (credit card network) قرار دارند که تعيين می‌کنند کارت اعتباری کجا می‌تواند مورد استفاده قرار بگيرد و نيز فرآيند پردازش پرداخت‌های صورت‌گرفته ميان کاربران کارت اعتباری، فروشندگان، و صادرکنندگان کارت را تسهيل می‌کنند. گفتنی است دو تا از بزرگ‌ترين شبکه‌های کارت جهان يعنی امريکن اکسپرس و ديسکاور همزمان در هر دو نقش ظاهر شده‌اند و هم شبکه کارت و هم صادرکننده آن هستند. اما کارت‌های موجود روی شبکه‌های ويزا و مسترکارد را ممکن است مؤسسه‌های ديگری مانند کاپيتال وان، بانک آو امريکا و ولز فارگو صادر کنند. در واقع خود ويزا يا مسترکارد کارت صادر نمی‌کنند. برای اين که بدانيد هر کارت اعتباری را چه شرکتی صادر کرده‌است، خود کارت را بررسی کنيد. نام صادرکننده معمولاً در جلوی کارت، در گوشه راست يا چپ آن، و نيز در بخش زيرين پشت کارت نوشته می‌شود (شکل1). مهم است که هم نام صادرکننده کارت و هم شبکه آن‌را بدانيد. چون اگر درباره حساب‌تان پرسشی داشته‌باشيد بايد آن‌را از شرکت صادرکننده بپرسيد و شبکه کارت نيز نشان می‌دهد که شما کجاها می‌توانيد از اين کارت استفاده کنيد و سياست‌های مرتبط با مسئوليت‌ها از جمله در صورت وقوع کلاهبرداری را همين شبکه‌ها تعيين می‌کنند (شکل1).

شرکت‌های کارت اعتباری
بسياری از کارت‌های اعتباری از سوی بانک‌ها و اتحاديه‌های اعتباری صادر می‌شوند. آن‌ها با برخورداری از منابع درآمد به‌نسبت پايدار حاصل از کارمزد حساب‌ها، ديرکرد پرداخت‌ها، و کارمزد پردازش پرداخت‌ برای فروشندگان، نهادهای مالی ايجاد می‌کنند. سرشت تراکنشی کارت‌های اعتباری اين فرصت را برای ‌صادرکنندگان فراهم می‌آورد با مشتريان‌ رابطه پيوسته‌ای ايجاد و آن‌ها را تشويق ‌کنند تا از آن‌ها محصولات و سرويس‌های ديگری نيز بخرند (نمودار 1).

شبکه‌های کارت اعتباری (برندهای کارت)
ويزا، مسترکارد، امريکن اکسپرس و ديسکاور چهار شبکه بزرگ کارت اعتباری هستند. کار آن‌ها پردازش‌ تراکنش‌های کارت اعتباری در سراسر جهان است و مانند دروازه‌ای بين فروشگاه‌ها و شرکت‌های کارت اعتباری عمل می‌کنند تا تک‌تک تراکنش‌ها را تأييد و پردازش کنند و نيز مواردی مانند کارمزدهای مربوطه و مسئوليت در صورت کلاهبرداری را همين‌ها تعيين می‌کنند. در نمودار 2 سهم هر يک از اين چهار شبکه نشان داده شده‌است.

پی‌نوشت:
1ـ می‌توان چنين تصور کرد که هکرها از ميان انبوهی از اطلاعات به سرقت رفته از کارت‌های اعتباری با اطلاعات 1000 نفر از صاحبان واقعی کارت‌ها از فروشگاه‌ها خريد می‌کنند. هنگامی‌که ماجرا آشکار می‌شود، بديهی است که صاحبان کارت پول خود را می‌خواهند و بر اين باورند که خودشان تقصيری نداشته‌اند و به‌راستی نيز چنين است. 
فروشندگان با اين‌که کالا را فروخته‌اند، اما پول تنها به‌صورت اعتبار (و نه نقدی)  در حساب‌شان ثبت شده‌است. 
اما چون پول‌های پرداختی در برابر خريد کالا دزدی بوده‌است، مبلغ کالاهای خريداری‌شده هرگز به‌دست فروشنده نمی‌رسد و بديهی است که فروشنده در اين ميان زيان می‌‌کند.