Преминете към основното съдържание

Формуляри за оторизация на кредитни карти: Ръководство за периодично таксуване, PCI съответствие и защита срещу оспорени плащания

· 14 минути четене
Mike Thrift
Mike Thrift
Marketing Manager

Клиент оспорва транзакция на стойност 4 800 долара по карта, която сте таксували всеки месец в продължение на две години. Банката ви дава десет дни, за да докажете, че плащането е било оторизирано. Ровите се в входящата си поща, в CRM системата и в споделеното устройство — и не намирате нищо друго освен устно споразумение от мениджър, който отдавна е напуснал компанията. Оспорването на плащането (chargeback) бива уважено. Картовият оператор изтегля парите обратно, добавя такса от 25 долара и ви приближава до прага за висок риск, който удвоява вашите такси за обработка.

Това е точно сценарият, за чието предотвратяване е създаден формулярът за оторизация на кредитна карта. Това е малък, почти скучен документ, който тихо върши една от най-важните задачи във вашата система за таксуване: той улавя съгласието, служи като основна защита срещу спорове и дава на останалата част от вашата дейност разрешение да работи на автопилот.

2026-04-23-credit-card-authorization-form-complete-guide

Ако се използва правилно, той ви позволява уверено да таксувате авансови плащания, абонаменти, депозити и поръчки по телефона. Ако се използва лошо — или се съхранява в шкаф до миналогодишните данъчни декларации — той се превръща в бомба със закъснител по отношение на съответствието, готова да избухне. Това ръководство обхваща какво представляват тези формуляри, кога действително се нуждаете от тях, какви полета трябва да съдържат и как да боравите с тях, без да се излагате на риск от PCI глоба или изтичане на данни.

Какво представлява формулярът за оторизация на кредитна карта?

Формулярът за оторизация на кредитна карта е писмен документ, подписан от картодържателя, който дава разрешение на търговеца да таксува картата му при специфични обстоятелства. Мислете за него като за „бележка с разрешение“ за вашата система за таксуване: той ви казва какво можете да таксувате, кога можете да го таксувате, колко и за колко време.

Формулярът запълва празнината, която физическото прокарване на картата запълваше преди. Когато клиент подаде карта и подпише касова бележка на терминал, съгласието е подразбиращо се и мигновено. Когато таксувате карта три седмици по-късно за услуга, която клиентът все още не е видял, това съгласие трябва да дойде отнякъде — и „обсъдихме го по телефона“ не е защита, която банката ще приеме.

Подписаният формуляр за оторизация е документирано доказателство за съгласие. Той не гарантира, че ще спечелите всяко оспорване на плащане (повече за това по-долу), но променя ситуацията драстично във ваша полза при спорове, които зависят от това дали клиентът първоначално се е съгласил с таксата.

Кога действително се нуждаете от такъв?

Не всяка транзакция изисква отделен формуляр за оторизация. Ако прокарвате карта през POS терминал, касовата бележка и подписът (или чип и ПИН код) се грижат за съгласието. Формулярът става от съществено значение в три специфични ситуации.

1. Транзакции без физическо присъствие на картата (CNP)

Всеки път, когато физическата карта не е пред вас, вие сте в територията на CNP транзакциите. Това включва:

  • Поръчки по телефона, при които клиентът диктува номера на картата си на глас
  • Поръчки на услуги по имейл или факс
  • Плащания по пощата
  • Такси, инициирани от вашия персонал срещу карта, която имате в системата

CNP транзакциите носят интерчейндж такси, които са с около 30 до 60 базисни точки по-високи от транзакциите с присъствие на карта, и е много по-вероятно да бъдат оспорени. Формулярът за оторизация е документацията, която мрежата очаква да види, когато CNP такса бъде оспорена.

2. Периодично таксуване или таксуване на запазени карти

Ако таксувате една и съща карта по график — месечна такса, тримесечен абонамент, годишно подновяване — картовите мрежи изрично изискват да получите и съхраните оторизацията на картодържателя за периодичните отношения. Visa, Mastercard и American Express имат свои собствени правила за това какво трябва да съдържа оторизацията (ще стигнем до списъка с полета след малко), но всички те изискват тя да бъде в писмен вид или чрез проверено цифрово споразумение.

Това важи дори когато периодичната такса е променлива. Счетоводна фирма, която таксува клиент въз основа на месечния обем транзакции, все още се нуждае от оторизация, която изрично покрива променливи суми, с посочен таван или известие за задействане.

3. Депозити, блокиране на суми и предварителни оторизации

Хотели, събиращи суми за евентуални допълнителни разходи, изпълнители, вземащи депозити за проекти, зъболекарски кабинети, резервиращи часове — навсякъде, където парите се движат преди услугата да бъде доставена, формулярът за оторизация документира, че клиентът се е съгласил на блокирането или таксуването при конкретни условия.

Това е важно, защото много клиенти не осъзнават, че блокирането на „депозит“ може да се превърне в действителна такса при определени условия. Поставянето на тази трансформация в писмен вид предотвратява разговора, който започва с „но аз никога не съм се съгласявал на това“.

Задължителни полета: Анатомия на полезния формуляр

Формуляр, в който липсват полета, е по-лош от липсата на формуляр изобщо. Той създава илюзия за защита, докато ви оставя уязвими. Като минимум всеки формуляр за оторизация на кредитна карта трябва да улавя:

Идентификация на картодържателя:

  • Пълно официално име върху картата
  • Адрес за фактуриране (трябва да съвпада с този, който е в банката издател)
  • Телефонен номер и имейл за обратна връзка
  • Последните четири цифри от номера на картата (никога не съхранявайте пълния номер — вижте раздела за съответствие по-долу)
  • Тип на картата (Visa, Mastercard и др.)
  • Дата на изтичане

Обхват на оторизацията:

  • Вид таксуване: еднократно, периодично или променливо
  • Конкретна сума в долари (или максимална сума за променливи такси)
  • Честота за периодични такси (месечно, тримесечно и др.)
  • Начална дата и крайна дата или условия за прекратяване
  • Ясно описание на това, което се купува

Език за съгласие и анулиране:

  • Декларация на разбираем език, че картодържателят оторизира описаните такси
  • Клауза, обясняваща как картодържателят може да оттегли оторизацията (обикновено с 30-дневно писмено предизвестие)
  • Подпис и дата

Идентификация на търговеца:

  • Името на вашия бизнес, както се появява в извлечението на клиента
  • Информация за контакт при въпроси относно таксуването

Описанието (descriptor), което се появява в извлечението на картодържателя, заслужава специално внимание. Неясните или непознати описания са водещата причина за оспорвания тип „не разпознавам тази такса“, дори когато основната транзакция е напълно легитимна. Уверете се, че формулярът казва на клиента точно какво трябва да очаква да види в извлечението си.

Съответствие с PCI: Частта, която повечето малки бизнеси объркват

Стандартът за сигурност на данните в индустрията на разплащателните карти (PCI DSS) се прилага за всеки бизнес, който приема картови плащания. Няма изключение за малкия бизнес. Повечето малки оператори попадат в Ниво 4 — по-малко от 20 000 електронни трансакции или общо 1 милион трансакции с карти годишно — което означава, че те могат сами да оценят съответствието си чрез Въпросник за самооценка (Self-Assessment Questionnaire), вместо да преминават през официален одит. Самооценката не е по избор; тя просто е по-малко обременяваща от алтернативата.

Най-важното правило на PCI за формите за оторизация е следното: не трябва да съхранявате пълни номера на карти никъде, под каквато и да е форма, след като първоначалната оторизация е уловена и токенизирана от вашия платежен процесор.

Това означава:

  • Без хартиени формуляри с пълни номера на карти в картотечни шкафове
  • Без PDF файлове с пълни номера на карти в споделени дискове или имейли
  • Без електронни таблици за проследяване на клиентски карти
  • Без персонализирани полета в CRM системи, съдържащи данни за карти
  • Без съобщения в Slack, страници в Notion или лепящи бележки

Ако вашата форма за оторизация е хартиен PDF, който улавя пълния номер на картата, в момента, в който служител запази копие или го изпрати по имейл, вероятно сте нарушили PCI DSS — и вашата отговорност в случай на пробив е значителна. Глобите варират от 5 000 до 100 000 долара на месец за несъответствие, плюс потенциална пълна загуба на правата за приемане на карти.

Съвместимият път е използването на платежен процесор, който токенизира данните от картата в момента на улавянето им. Формата (хартиена или дигитална) събира номера на картата веднъж, процесорът го съхранява като непрозрачен токен и вашите системи след това виждат и реферират само към този токен. Stripe, Square, Braintree, Adyen и повечето модерни процесори се справят с това нативно.

За малките предприятия практическото правило е: оставете вашия процесор да съхранява данните за картата, а формата за оторизация да съхранява съгласието. Това са два различни артефакта с два различни профила на сигурност.

Защита при оспорване на плащания (Чарджбек): От какво всъщност ви защитава формата

Подписаната форма за оторизация е вашата най-силна защита в специфична категория спорове — тези, при които картодържателят твърди, че никога не е оторизирал плащането. Кодовете на причините варират в зависимост от мрежата, но често срещаните включват:

  • „Неоторизирана трансакция“
  • „Неотменена периодична трансакция“
  • „Липса на оторизация за таксуваната сума“

За тези спорове представянето на подписана оторизация, която ясно покрива оспорваната трансакция, прехвърля тежестта обратно върху картодържателя. Банките обикновено застават на страната на търговеца, когато документацията е изрядна.

От какво формата не ви защитава:

  • Спорове за качеството — „услугата не беше според описанието“
  • Спорове за недоставена стока — „никога не получих това, за което платих“
  • Спорове за дефектен продукт
  • Добронамерена измама (Friendly fraud), при която клиентът просто лъже

За тези категории ще ви трябват различни доказателства: потвърждение за доставка, подписани документи за обхват на работата, записи на комуникация и т.н. Формата за оторизация е необходима, но не е достатъчна. Разглеждайте я като един слой в стека от документация.

Също така си струва да се отбележи, че оторизациите имат срокове. Оторизация, подписана през 2020 г., може да не се счита за валидно доказателство за таксуване през 2026 г. — мрежите обикновено очакват оторизациите да се обновяват периодично, особено след преиздаване на карта или съществена промяна в отношенията.

Дигитално срещу хартиено: Кое е по-добро?

Хартиените форми изглеждат познати и не изискват инвестиции в технологии. Те също така са кошмар за сигурността и съответствието за почти всеки бизнес, който ги използва. Хартиените форми се фотокопират, сканират, изпращат по имейл, губят се, изпращат се на грешен човек и се тъпчат в чекмеджета, до които всеки с ключ има достъп.

Дигиталните работни процеси за оторизация — правилно внедрени — решават почти всички тези проблеми:

  • Електронните подписи са правно обвързващи. Закони като ESIGN Act и UETA в САЩ дават на електронните подписи същата правна тежест като на мастилените подписи, а цифровите одитни следи (времеви клейма, IP адреси, хешове на подписи) често ги правят по-защитими от хартиените.
  • Данните за картата се токенизират при улавяне. Клиентът въвежда картата си директно в PCI-съвместимо поле, хоствано от платежния процесор, така че самият документ за оторизация никога не съдържа чувствителни данни.
  • Съхранението е криптирано и с контролиран достъп. В сравнение с картотечния шкаф, правилно конфигурираното облачно хранилище за документи е значително по-сигурно.
  • Оттеглянето на съгласие е проследимо. Клиентите могат да оттеглят оторизацията чрез документиран канал и времевото клеймо създава ясно доказателство за това кога е приключила оторизацията.

Ако все още използвате хартиени форми за оторизация през 2026 г., преминаването към дигитален работен процес е едно от най-ефективните подобрения на сигурността, които можете да направите.

Чести грешки, които създават реална отговорност

Няколко модела се появяват многократно при спорове за оспорване на плащания и разследвания на PCI. Избягвайте ги:

Съхраняване на CVV кода. Три- или четирицифреният код за сигурност на гърба на картата никога не трябва да се съхранява след оторизиране на трансакцията — нито за момент, дори и криптиран. Ако вашата форма за оторизация има поле за CVV, което се запазва някъде, имате сериозен проблем със съответствието.

Неясен език на оторизацията. Форма, която казва „Оторизирам Acme Corp. да таксува моята карта“, без да уточнява сума, честота или продължителност, е на практика безполезна при спор. Банката ще попита: „оторизирате ги за какво?“

Липса на срок на валидност на самата оторизация. Клиент, който е подписал оторизация преди три години, може да има силен аргумент, че никога не е очаквал отношенията да продължат безкрайно. Изградете ритъм на подновяване — ежегодно е разумно за повечето взаимоотношения.

Използване на форми за оторизация като заместител на договор. Формата документира съгласие за плащане. Тя не документира обхват на работа, резултати или условия за ползване. Те принадлежат към отделно споразумение, към което оторизацията препраща.

Оставяне на оторизациите само в нечия входяща поща. Когато лицето, събрало оторизацията, напусне компанията, документацията често си тръгва с него. Централизирайте съхранението в система, до която цялата функция за фактуриране има достъп.

Счетоводни последици: Проследяване на оторизираните таксувания

Оторизираните периодични плащания създават предвидими приходни потоци, което е полезно за прогнозирането на паричните потоци — но само ако вашето счетоводство отразява самите оторизации, а не само банковите депозити.

Когато таксувате списък с периодични оторизации, три неща са важни за чистото счетоводство:

  1. Свързвайте депозитите с фактурите, а не обратното. Всяко таксуване на запазена карта трябва да генерира фактура във вашата счетоводна система, която е свързана с конкретна оторизация. Когато депозитът постъпи в банковата ви сметка (обикновено 1-3 работни дни по-късно, нето след такси за обработка), извършвате равняване спрямо фактурата — а не спрямо брутната сума на оторизацията.

  2. Проследявайте таксите за обработка като отделен разход. Картовите мрежи таксуват между 1,5% и 3,5% на трансакция и отделянето на тези такси от приходите ви дава по-ясна представа за юнит икономиката. Счетоводна система, която автоматично разделя брутните продажби, таксите на оператора и нетните депозити, спестява часове месечна работа по почистване на данните.

  3. Засичайте изтичането на оторизациите, преди да е станало твърде късно. Ако запазена карта изтече и клиентът не я актуализира, следващият цикъл на таксуване се проваля — и може да се окаже, че сте предоставили услуги седмици наред без заплащане, докато някой забележи. Включете в месечното си счетоводно приключване проверка, която сигнализира за неуспешни периодични таксувания.

За сервизни бизнеси, счетоводители и SaaS оператори със значителни периодични приходи, третирането на оторизираните плащания като отделна категория в сметкоплана (различна от еднократните продажби) прави месечното равняване значително по-бързо.

Бърз списък за изпълнение

Ако въвеждате формуляри за оторизация или одитирате настоящите си процеси, преминете през тези стъпки подред:

  1. Изберете платежен оператор, съответстващ на PCI стандартите, който управлява токенизацията вместо вас. Не събирайте данни за карти в инфраструктура, която контролирате.
  2. Въведете цифров работен процес за оторизация — или чрез хостваните форми на вашия оператор, или чрез специализиран инструмент, който се интегрира с него.
  3. Стандартизирайте един шаблон за оторизация с всички задължителни полета, описани по-горе. Един шаблон, използван навсякъде.
  4. Одитирайте и унищожете всички съществуващи хартиени формуляри с пълни номера на карти. Унищожете оригиналите; не ги архивирайте просто така.
  5. Обучете всеки служител, който работи с данни за карти, на правилото: „Записвайте веднъж, директно в системата на оператора. Никога не го записвайте на хартия. Никога не го повтаряйте на глас.“
  6. Настройте напомняне в календара за ежегодно подновяване на дългосрочните оторизации и за месечна проверка на датите на изтичане на картите.
  7. Документирайте процеса си за отговор на оспорени плащания (chargebacks), така че когато постъпи такова, екипът да знае къде да намери съответната оторизация в рамките на срока за отговор (обикновено 7-14 дни).

Поддържайте счетоводните си записи чисти от първия ден

Формулярът за оторизация на кредитна карта е само половината от уравнението. Другата половина е това, което се случва след таксуването — всяко оторизирано плащане се превръща в трансакция във вашите книги и начинът, по който проследявате тези трансакции, определя дали приключването на месеца ще отнеме час или седмица. Beancount.io предлага счетоводство в обикновен текстов формат (plain-text accounting), което ви дава пълна прозрачност върху всяко периодично таксуване, такса за обработка и равняване — с контрол на версиите, готовност за AI и без обвързаност с конкретен доставчик. Започнете безплатно и вижте защо финансовите професионалисти преминават към plain-text accounting за своите работни процеси по таксуване и равняване.

Share on TwitterFollow @beancount_io

Започнете с Beancount.io

Поемете контрол над финансите си с нашата отворена система за двустранно счетоводство. Започнете своя регистър днес.

Започнете безплатноВижте цените

Първи стъпки

Функции

Общност

Правни въпроси

Beancount.io© 2019 - 2026 Beancount.io
Изтеглете от App StoreВземете го от Google Play
Изградено с прозрачност • Контрол на версиите • Задвижвано от AI