Интересный пользовательский опыт платежей: Жена получила SMS с сообщением "Это [медицинский специалист]. У вас есть счет на сумму $X. Ответьте 1, чтобы оплатить счет с вашей кредитной карты, заканчивающейся на 1234." Нет фактического счета или возможности увидеть счет, предположительно, это комбинация HIPAA и UX-мышления.

Рурико спросила меня, является ли это мошенничеством. Я сказал, что, скорее всего, нет; ничего в общении не является обязательно надежным, но «1» сам по себе ничего не дает, если они не знают полный номер CC (и, возможно, еще несколько деталей). Немедленное автоматическое последующее действие:

"Вы подтверждаете списание $X с вашей кредитной карты, заканчивающейся на 1234. Ответьте своей фамилией, чтобы подтвердить это списание." Мы сделали это; списание прошло, как и ожидалось. Теперь немного комментариев о том, на что обращает внимание этот процесс.

Когда вы платите с помощью кредитной карты в Соединенных Штатах, у вас есть практически неограниченное право сказать своему банку: "Я никогда этого не авторизовывал!" и это предназначено для автоматического сбора доказательств, которые будут представлены как "Клиент однозначно авторизовал эту транзакцию."

Медицинские учреждения не заботятся о риске перехвата SMS, номере, используемом новым человеком, мошенничестве в семье и т.д. Они уверены, что в какой-то момент это был ваш номер, и стремятся максимизировать сбор законных счетов.

Если они позже потеряют возврат платежа, потому что ваша бывшая заплатила за медицинское обслуживание вашей картой, несмотря на то, что было сказано в разводном соглашении, "Ну что ж, это цена ведения бизнеса."

С точки зрения стоимости это значительно дешевле, чем традиционные методы получения платежа, которые представляют собой либо бумажное письмо, либо (что реже, насколько я понимаю) телефонный звонок из бухгалтерии.

В законопроектах есть что-то праведное в том, что они сами документируют свою обоснованность и напоминают людям, что они фактически потребляли определенные услуги, и это означает, что они должны за них платить. Это сталкивается с HIPAA, и этот бывший специалист по соблюдению норм не считает это безумным.

Существуют некоторые прецеденты и решения, согласно которым иногда вам нужно быть осторожным даже при упоминании названия практики в коммуникации с пациентами, потому что противник может жить в том же доме и может сделать вывод о характере услуг по названию практики.

Учитывая это, очень очевидно, что вы не можете поместить код выставления счета в SMS, где он будет отображаться, например, на экране блокировки телефона, даже если вы думаете, что SMS — это защищенный канал, что большинство практиков HIPAA сказали бы: "Противоположно истине! Переходите на факс!"

Я спросил Рурико, стоит ли мне позже войти в ее аккаунт XYZ, когда она рядом, чтобы получить код аутентификации, отправленный на ее телефон, чтобы фактически прочитать счет и принять решения на его основе. "Похоже, это слишком много работы." Что, да, действительно мало отдачи от проверки.

И поэтому я чувствую себя немного противоречиво по поводу этого UX. Он упрощает оплату счета за услуги, которые были справедливо понесены, и очень заботится о времени законного пользователя по сравнению с прошлыми подходами. Но прошлые подходы были надежными и самодокументируемыми.

(Мне приходит в голову, что, будучи приверженцем этого, у меня теперь нет ни одной записи о том, что я оплатил счет, кроме одной невыразительной строки в счете, ни записи о *каком счете* шла речь.)

(“Хорошо, что медицинские учреждения США ведут точные записи и не выдумывают счета или забывают о произведенных платежах.” Да, теперь я передумал, ДА.)

* как и ожидалось (Не знаю, какую комбинацию мозга, пальцев и предсказательной клавиатуры винить за это.)

@bsierakowski И я абсолютно готов отстоять мнение, что хорошо оформленный счет — это вклад в человечество и, возможно, потребовал довольно сложного морального рассуждения.