Итак, погнали!
В первую очередь скажем пару слов о платежах. Как можете знать, существуют оффлайн и онлайн платежи. Основной скоуп этой лекции, конечно же, онлайн и в частности платежи картой.
Чтобы обобщить (хотя это и не совсем верно с технической, академической точки зрения) оффлайн платежи, это все те платежи, которые происходят без участия платежных карт или иных электронных и автоматизированных методов обмена информации между участниками процесса, а только по старинке - кешом.
По факту, в “правильной” классификации существует и оффлайн платеж картой (это когда устройство например фиксирует данные карты, но непосредственно саму операцию проводит терминал, когда появляется физическая возможность это сделать - например в самолете, в воздухе в связи с тем, что нет инета, стюардесса продавая что-то, возьмет карту человека, проведет ее в POS-терминале, которые совершит покупку (а правильнее сказать резервирование денежных средств) лишь по прилету и подключении к инету.
Кстати по поводу резервирования. Мгновенного списание денежных средств со счета практически никогда не происходит, это так к слову. Об этом более детально поговорим ниже.
Сейчас конечно уже не редкость наличие инета на борту самолета, но суть именно такая. Для простоты же понимания на данном этапе ограничимся простым объяснением онлайн / оффлайн платежа так: онлайн это с картой, оффлайн это налом (хотя, повторюсь, “по науке” такая классификация НЕ ВЕРНА - существуют и оффлайн платежи по картам).
Потом мы будем больше разбираться в классификации и устраним эту излишнюю простоту, но пока что будем работать так, чтобы не сеять панику и хаос и не запутаться в формулировках.
Разница между оффлайн и онлайн платежами заключаются в том, как будет организован обмен информационными потоками между участниками операции: банками, покупателем и продавцом (но в первую очередь, конечно же банками).
На самом деле оффлайн платеж может происходить и без вовлечения наличных средств. Так, покупатель при предоставлении требуемых документов поручает своему банку перечислить требуемую сумму на счет в банк продавца.
Обоснованием как правило служит договор, инвойс.
Во всех нормальных странах банки жестко регулируются и подобные поручения имеют свой дедлайн по времени. Например в России этот срок составляет 3 дня.
В течении этого срока банк обязан провести платеж. Как правило на практике он делает это быстрее.
Когда продавец получает средства от покупателя он осуществляет отгрузку товара или предоставляет оплаченную услугу. Хотя, конечно же, этот момент реализуется согласно договору сторон, а условия в нем могут быть самые разнообразные.
Иногда продавец может предоставить товар или услугу покупателю при предоставлении последним доказательств о том, что банк принял от него средства. Таким образом покупатель показывая документальные подтверждения о платеже принятом банком в исполнение может получить товар или услугу до фактического получения средств продавцом.
В вышеуказанной схеме, как мы видим, ни продавец, ни покупатель не подключены к платежным системам. Сам платеж осуществляют непосредственно банки напрямую между собой. Иначе говоря, информацией о платеже банки обмениваются между собой по установленным каналам связи без привлечения третьих лиц. Все участники при этом находятся в оффлайне в классическом понимании.
Теперь же, относительно онлайн платежей.
Мы говорили про обмен информации. Так вот в случае с онлайн платежами, один из участников должен быть либо напрямую (либо через посредника) быть включен в пресловутый информационный обмен.
Как это примерно выглядит?
Покупатель оформляет заказ. Продавец в свою очередь выставляет покупателю счет.Покупатель, изучив счет, соглашается его погасить и вводит свои реквизиты (платежные данные), а также дополнительные данные, требуемые платежной системой для идентификации плательщика и аутентификации самого платежа.
После этого осуществляется запрос в банк покупателя на предмет наличия средств и непосредственно самой аутентификации (подтверждения легитимности платежа). Если средства на счете имеются в достаточном кол-ве, то требуемая сумма мгновенно резервируется и соответствующий ответ возвращается продавцу. На данном этапе продавец понимает, что деньги за продажу практически у него в кармане. Хотя, прошу заметить, транзакции как таковой (движение денег со счета на счет) еще не было.
После этого банк, зарезервировавший средства в течении 3-ех дней перечисляет их на счет продавцу. Существует также процедура сверки, которая проводится регулярно между участниками операции, но нас это пока что не очень волнует. Там точка продажи раз в день как правило отсылает в банк весь массив транзакций, чтобы тот провел расчеты. Бывают и исключения, могут затянуть с расчетами. Но как правило с этим строго - если контрагент настучит в МПС, могут быть сложности.
Сейчас все больше клиентоориентированных сервисов могут осуществить фактическое движение денежных средств на счет партнеру гораздо быстрее, чем 3 дня. Но в таких случаях как правило это посредник и оперирует он своими деньгами, создавая для себя кассовый разрыв. Тут речь как раз таки идет о платежных системах, которые сам платеж и обрабатывают, то есть по факту берут на себя риск, допустить совершение платежа или нет (в случае например CNP платежа).
В случае с онлайн платежами мы видим отсроченное реальное движение денежных средств по счетам, но мгновенный товарооборот. Операция, где кассовый разрыв и иные риски разделяют между собой банки и их партнеры - платежные системы.
Поскольку банку напрямую работать в огромным количеством продавцов технически очень непросто, появились партнеры-посредники в виде платежных сервисом и систем (что в нашем обиходе принято называть “мерчами”).
Я ранее уже говорил, что это академически неверно, но для простоты понимания и во избежание недопониманий мы намеренно сделаем такое упрощение.
Зачем знать как осуществляются платежи по картам? Чтобы у нас была общая картина и мы знали всю расстановку сил и имели в голове всю военную карту действий. Не только онлайн.
Фундаментальные знания дадут нам крепкую теоретическую базу, на основании которой мы будем строить свою уже практическую базу.
Типичные участники офлайн платежа (не интернет):
1) банк-эмитент: это тот банк, который выпустил карту и где находится обслуживаемый счет, принимающий участие в операции.
2) банк-эквайер: банк, который обслуживает точку продажи (терминал, осуществляющий платеж)
3) непосредственно девайс (платежный терминал посредством которого происходит операция).
Хотелось бы на данном этапе сначала рассказать про платежи по картам в целом и потом уже углубиться непосредственно в онлайн.
Есть два разных способа провести платежную транзакцию. Обе они по факту выполняют одну и ту же функцию.
Относительно платежей по картам, речь идет об онлайн и офлайн платеже.
Онлайн транзакция в данном случае эта та, которую банк-эмитент подтверждает сразу после запроса, в режиме реального времени. В то время как офлайн транзакция это та, которая не подтверждается инстантом, а проводится терминалом терминалом после какого-то периода времени. Я об этом уже говорил выше.
Такие транзакции характерны для операций, где существует низкий уровень риска (или в том случае, когда банально нет связи с банком-эмитентом.
И в данном случае, говоря “онлайн” я как раз имею в виду осуществление покупок в интернетах.
Для этих разных видов платежей соответственно предусмотрены два разных вида аутентификации.
Если речь идет об онлайн транзе, то соответственно выполняется онлайн аутентификация при участии эмитента, в то время как офлайн аутентификация подтверждается просто платежным терминалом.
Ниже привожу иллюстрацию демонстрирующую схему и логику аутентификации транзакции. Вникать в нее не обязательно, достаточно просто понять масштаб бедствия.
Добавлю, что во время онлайн транзакции технологически существует возможность произвести как олнайн так и офлайн аутентификацию ОДНОВРЕМЕННО - и карта и терминал должны позволять совершить такую процедуру.
Более того, непосредственно на этапе аутентификации не всегда ясно в каком режиме будет происходить транзакция.
Это довольно углубленные технические детали и скорее всего в нашей непосредственной работе они нам не понадобятся, но они довольно любопытны, как мне показалось и я их включил в нашу лекцию.
Тут хотелось бы сказать пару слов о типах карт с технологической точки зрения. Более детально об этом мы будем говорить в отдельной специально отведенной для этой темы лекции.
Глобально, с технологической точки зрения карты делятся на 2 категории: магнитные и с чипом (EMV).
Первые имеют магнитные полосы, вторые микрочип (микропроцессорные карты). Нередко (я бы даже сказал, часто) эти две технологии совмещаются. Чипы появились тогда, когда магнитная полоса начала себя изживать и перестала обеспечивать надлежащий уровень безопасности.
Потом, к слову, появился и NFC стандарт, но я бы не выделял их как отдельный тип, так как они а редким исключением не являются единственной технологией для отдельно взятой карты.
Главная задача банка, выпустившего карту (в офлайн платеже) - это аутентификация карты (не путать с идентификацией!).
Аутентификация здесь - чисто технический процесс, который призван подтвердить факт того, что карта выпущена банком, который имеет авторизацию на это действие со стороны соответствующей международной платежной системы (далее МПС).
Чисто технически это выглядит так: данные платежной карты отправляются терминалом в банк эмитент через банк экваер и платежную систему.
Эмитент получив эти данные или подтверждает транзакцию или не пропускает ее.На данном моменте как раз и есть весь краеугольный камень безопасности платежей покартам: гарантией целостности карты выступает CVV (Card Verification Value) или CVC(Card Verification Code) код, который модифицировать или подделать невозможно. Затоданные карты можно просто сфоткать с двух сторон или тупо переписать данные.
Теперь хотелось бы углубиться немного в тему именно онлайн платежей, так как для насони наиболее близки и являются по сути нашим фокусом.К вышеперечисленным участникам платежа добавляются еще несколько игроков:платежная система и платежный агрегатор. Платежная система (у нас принято называть МПС - международная платежная система)осуществляют перевод денежных средств. Все просто.МПС - это де факто совокупность технической инфраструктуры, определенных правил ипроцедур, которые используются для передачи денежных средств от одного участника платежа другому.
Выражаясь канцелярским языком, МПС - это утвержденный свод правил и порядков,отношений, методик и методов расчета, которые определяют и осуществляют движениеденежных средств среди участников экономики.МПС это бизнес, соответственно они ставят перед собой цели бесперебой работы ипоступления новых и новых операций, которые они проводят.
Соответственно, для того, чтобы эта штука вся работала как им надо, они вынуждены поддерживать систему жизнеспособной и на максимально высоком уровне: безопасность, бесперебойность, масштабирование, надежность, эффективность и так далее.
Если для нас МСП это всего лишь инфраструктура, через которую проходят какие-то платежи, то для реального мира это целые институты позволяющие осуществлять банкам их кредитно-финансовую политику, управлять своей ликвидностью и самое главное сильно упрощающие формирование кредитных и финансовых программ в банках и иных финансовых учреждениях.
С появлением и бурным развитием финтех отрасли, конечно многое будет меняться, но пока что банки доминируют над всеми МПС их во многом помогают.
Типичная МПС может состоять из следующих составляющих: организации (подразделения) осуществляющие платежи, ПО осуществляющий внутренние и внешние операции и нормативно-правовая база, регламентирующая работу вышеперечисленного. МПС на то и международная, что работает на всем шарике и предоставляет свои услуги всем желающим практически вне зависимости от географического расположения (за небольшими но конкретными исключениями).
Задача МПС - оперативно (читай: быстро) проводить взаиморасчеты между участниками рынка.
Наиболее известные МПС это VISA, MasterCard, AmEx тот же, Diners Club и так далее. Эти чуваки по сути определяют и задают тренды и политику “хождения” денег. Зарабатывают тем, что обилечивают подключенных к ним клиентов. Клиенты в данном случае это финансовые организации (как правило банки).
Последнии отчисляют первым фиксированный %, который зависит от объемаосуществленных платежей.МПС как некий главенствующий (но при этом коммерческий!) орган выдает лицензиибанкам на изготовление карт с логотипом МПС и тщательно следит за соблюдением всехвнутренних регламентов.
Следующий товарищ - платежный агрегатор и платежный шлюз. Что это такое? Чтоделают? Зачем нужны?С логической точки зрения и те и другие делаю одну и ту же вещь: осуществляютинтернет платеж (онлайн покупку).
Тогда вопрос: почему их два?
Разница лишь в том, что шлюз это просто технологичекий партнер, которыймаршрутизирует платеж, не взаимодействую со средствами клиентов, в то время какагрегатор средства аккумулирукет у себя. Степень риска у тех и других соответствующая(у одного его практически нет, у другого он очень большой). Об этом гораздо болеедетально будем говорить в следующей лекции.
Хочу также обратить внимание на неочевидные различия таких понятий как Международная Платежная Система и просто Платежная Система.Важно понимать, что в первом случае мы имеем дело с финансовым гигантом, который
Важно понимать, что в первом случае мы имеем дело с финансовым гигантом, которыобслуживает банковскую инфраструктуру, создавший свой стандарт и активно егоподдерживающий (это как правило такие товарищи как VISA и MasteCard).
В то время как во втором случае, речь идет о местечковых решениях, как правилодовольно узконаправленным (осуществляющих интернет эквайринг например). Кпоследним можно отнести PayPal, WebMoney, QIWI и им подобные.Да, местечковым PayPal назвать сложно, но по МПС он если и является, то с большойнатяжкой. Классификация тут именно стоит в том, что компания делает и в этомотношении международная практика солидарна с определением МПС, как компании,обслуживающей в первую очередь СВОЮ инфраструктуру, связанную с реальныпластиком.
Все платежи по пластиковым картам должны проходить ряд определенных процедур.
Одна из них - проверка держателя карты: CVM (Cardholder verification method). Эта обязательная процедура наряду с аутентификацией. И если в случае саутентификацией речь шла об установлении аутентичности карты (проверить ееподлинность, установить ее принадлежность к конкретному банку, платежной системе ивозможности совершения операции), то в случае с идентификацией речь пойдет сугубооб установлении легитимности платежа путем подтверждения личности холдера. Эта операция нам интересна вдвойне, так как по сути, это и есть наша сфера деятельности. И нам нужно досконально понимать какие методы идентификации возможны в принципе.
Сразу оговорюсь, что ниже рассмотрим ряд моментов, которые имеют отношение к транзакциям, где карта в наличии (не важно оригинал или дубликат). Потом будем детально разбирать работу, когда карты в наличии нету - CNP транзакция.
К нашему счастью методов идентификации не так много и как бы не бились ученые мужи, разработать эффективный, доступный и простой и не дорогой в внедрении новый метод идентификации пока что не получается. И объективно говоря, не получится еще долго. Это конечно же не значит, что такой метод не появится никогда. Просто в той финансово- технологической парадигме, в которой существует и функционирует сегодняшняя банковская система, скреативить что-то, что не будет требовать колоссальных внедренческих издержек - пока что невозможно.
Причиной тому - устаревший как морально, так и функционально технологический базис (уровень технологий), глобально используемый индустрией.
Пресловутый финтех со своими космическими решениями так же космически далек от реальности. Но об этом я возможно расскажу отдельно, если захотите.
Итак, идентификация.
Тут в первую очередь речь все так пойдет о покупках картой, а не в интернетах, как я уже сказал. Про транзакции CNP (card not present) мы поговорим чуть позже. Возможно даже отдельную лекцию сделаем, если будет “спрос”.
Чуть выше я говорил уже об архаичном уровне технологий в индустрии и ниже это продемонстрирую.
Вот смотрите. Какой вы думаете самый распространенный (а следовательно самый популярный) метод идентификации?
Ввод пин кода и подпись холдера. На дворе стоял 2019 год и мы все так же расписывались на чеках.
Прикольно, что в большинстве случаев подпись даже не сверяется (хотя правила МПС и должностная инструкция кассира обязывает это делать).
Немного улучшилась ситуация с появлением EMV карт, но глобально поменялось мало что в связи с тем, что далеко не все точки продаж смогли (или пожелали) перейти на терминалы поддерживающие расширенный функционал, позволяющий более тесно банку взаимодействовать с картой.
В свою очередь и сами EMV приложения могут отличаться друг от друга и терминалы даже поддерживающие работу с этим стандартом не всегда могут правильно обработать транзакцию. То есть при наличии казалось бы нового более безопасного стандарта, полностью перейти на него все еще не получается.
В подобных случаях терминал вынужден выбирать наиболее актуальный для конкретной ситуации метод идентификации. Для таких случаев разработаны CVM списки (ниже иллюстрация с примером такого списка, разработанного терминалом и приложением).
На этой иллюстрации мы видим возможные методы проверки личности холдера и их приоритет. Слева возможные методы, справа - выбранные по итогу.
Ситуация ухудшается тем, что и терминал и EVM приложение имеют свои собственные CVM списки.
В процессе совершения транзакции они оба вырабатывают единый лист и работают по нему. Это довольно технические детали, но я принял решение точечно их давать. Например предвидя вопрос, в каких ситуациях запрашивается PIN, спешу ответить: каждый банк сам формирует свои CVM списки (листы) для каждого конкретного продукта отдельно. Так как при совершении транзакции мы сталкиваемся с двумя CVM списками.
Один в POS и один выданный TMS - Terminal Management System (сервер с ПО для конфигурации и контроля работы POS конкретного эмитента).
Во время непосредственно совершения танзакции обы листа сравниваются и выбираются методы, которые присутствуют в обоих листах.
Есть ряд устоявшихся практик, но на самом деле все зависит от эмитента: если там сидят кретины, то они могут довольно быстро сделать держателей конкретных карт очень несчастными людьми))
Объективности ради, я решил ниже осветить еще один момент, который будет полезен. Что такое холдирование?
Это то самое “замораживание” средств банком, когда совершается транзакция по платежной карте. Иными словами средства не уходят со счета, они становятся недоступными. Для простых граждан это разницы не делает, но это неплохо знать. Фактическое и полное списание средств как правило происходит на следующий день, как и говорил выше. Но этот срок может доходить и до 30 дней - это зависит от банка- эквайера через кого платеж был совершен.
На первый взгляд информация может показаться сложноватой. Но это не обычная лекция по типу "сделал то, сделал это". У нас здесь научный подход, фундаментальные знания. Название Университет кардинга взято не с потолка. В следующих лекциях рассмотрим вышеописанные вещи детальнее, а также разберем участников платежей - кто, как, зачем и почему.
В первую очередь скажем пару слов о платежах. Как можете знать, существуют оффлайн и онлайн платежи. Основной скоуп этой лекции, конечно же, онлайн и в частности платежи картой.
Чтобы обобщить (хотя это и не совсем верно с технической, академической точки зрения) оффлайн платежи, это все те платежи, которые происходят без участия платежных карт или иных электронных и автоматизированных методов обмена информации между участниками процесса, а только по старинке - кешом.
По факту, в “правильной” классификации существует и оффлайн платеж картой (это когда устройство например фиксирует данные карты, но непосредственно саму операцию проводит терминал, когда появляется физическая возможность это сделать - например в самолете, в воздухе в связи с тем, что нет инета, стюардесса продавая что-то, возьмет карту человека, проведет ее в POS-терминале, которые совершит покупку (а правильнее сказать резервирование денежных средств) лишь по прилету и подключении к инету.
Кстати по поводу резервирования. Мгновенного списание денежных средств со счета практически никогда не происходит, это так к слову. Об этом более детально поговорим ниже.
Сейчас конечно уже не редкость наличие инета на борту самолета, но суть именно такая. Для простоты же понимания на данном этапе ограничимся простым объяснением онлайн / оффлайн платежа так: онлайн это с картой, оффлайн это налом (хотя, повторюсь, “по науке” такая классификация НЕ ВЕРНА - существуют и оффлайн платежи по картам).
Потом мы будем больше разбираться в классификации и устраним эту излишнюю простоту, но пока что будем работать так, чтобы не сеять панику и хаос и не запутаться в формулировках.
Разница между оффлайн и онлайн платежами заключаются в том, как будет организован обмен информационными потоками между участниками операции: банками, покупателем и продавцом (но в первую очередь, конечно же банками).
На самом деле оффлайн платеж может происходить и без вовлечения наличных средств. Так, покупатель при предоставлении требуемых документов поручает своему банку перечислить требуемую сумму на счет в банк продавца.
Обоснованием как правило служит договор, инвойс.
Во всех нормальных странах банки жестко регулируются и подобные поручения имеют свой дедлайн по времени. Например в России этот срок составляет 3 дня.
В течении этого срока банк обязан провести платеж. Как правило на практике он делает это быстрее.
Когда продавец получает средства от покупателя он осуществляет отгрузку товара или предоставляет оплаченную услугу. Хотя, конечно же, этот момент реализуется согласно договору сторон, а условия в нем могут быть самые разнообразные.
Иногда продавец может предоставить товар или услугу покупателю при предоставлении последним доказательств о том, что банк принял от него средства. Таким образом покупатель показывая документальные подтверждения о платеже принятом банком в исполнение может получить товар или услугу до фактического получения средств продавцом.
В вышеуказанной схеме, как мы видим, ни продавец, ни покупатель не подключены к платежным системам. Сам платеж осуществляют непосредственно банки напрямую между собой. Иначе говоря, информацией о платеже банки обмениваются между собой по установленным каналам связи без привлечения третьих лиц. Все участники при этом находятся в оффлайне в классическом понимании.
Теперь же, относительно онлайн платежей.
Мы говорили про обмен информации. Так вот в случае с онлайн платежами, один из участников должен быть либо напрямую (либо через посредника) быть включен в пресловутый информационный обмен.
Как это примерно выглядит?
Покупатель оформляет заказ. Продавец в свою очередь выставляет покупателю счет.Покупатель, изучив счет, соглашается его погасить и вводит свои реквизиты (платежные данные), а также дополнительные данные, требуемые платежной системой для идентификации плательщика и аутентификации самого платежа.
После этого осуществляется запрос в банк покупателя на предмет наличия средств и непосредственно самой аутентификации (подтверждения легитимности платежа). Если средства на счете имеются в достаточном кол-ве, то требуемая сумма мгновенно резервируется и соответствующий ответ возвращается продавцу. На данном этапе продавец понимает, что деньги за продажу практически у него в кармане. Хотя, прошу заметить, транзакции как таковой (движение денег со счета на счет) еще не было.
После этого банк, зарезервировавший средства в течении 3-ех дней перечисляет их на счет продавцу. Существует также процедура сверки, которая проводится регулярно между участниками операции, но нас это пока что не очень волнует. Там точка продажи раз в день как правило отсылает в банк весь массив транзакций, чтобы тот провел расчеты. Бывают и исключения, могут затянуть с расчетами. Но как правило с этим строго - если контрагент настучит в МПС, могут быть сложности.
Сейчас все больше клиентоориентированных сервисов могут осуществить фактическое движение денежных средств на счет партнеру гораздо быстрее, чем 3 дня. Но в таких случаях как правило это посредник и оперирует он своими деньгами, создавая для себя кассовый разрыв. Тут речь как раз таки идет о платежных системах, которые сам платеж и обрабатывают, то есть по факту берут на себя риск, допустить совершение платежа или нет (в случае например CNP платежа).
В случае с онлайн платежами мы видим отсроченное реальное движение денежных средств по счетам, но мгновенный товарооборот. Операция, где кассовый разрыв и иные риски разделяют между собой банки и их партнеры - платежные системы.
Поскольку банку напрямую работать в огромным количеством продавцов технически очень непросто, появились партнеры-посредники в виде платежных сервисом и систем (что в нашем обиходе принято называть “мерчами”).
Я ранее уже говорил, что это академически неверно, но для простоты понимания и во избежание недопониманий мы намеренно сделаем такое упрощение.
Зачем знать как осуществляются платежи по картам? Чтобы у нас была общая картина и мы знали всю расстановку сил и имели в голове всю военную карту действий. Не только онлайн.
Фундаментальные знания дадут нам крепкую теоретическую базу, на основании которой мы будем строить свою уже практическую базу.
Типичные участники офлайн платежа (не интернет):
1) банк-эмитент: это тот банк, который выпустил карту и где находится обслуживаемый счет, принимающий участие в операции.
2) банк-эквайер: банк, который обслуживает точку продажи (терминал, осуществляющий платеж)
3) непосредственно девайс (платежный терминал посредством которого происходит операция).
Хотелось бы на данном этапе сначала рассказать про платежи по картам в целом и потом уже углубиться непосредственно в онлайн.
Есть два разных способа провести платежную транзакцию. Обе они по факту выполняют одну и ту же функцию.
Относительно платежей по картам, речь идет об онлайн и офлайн платеже.
Онлайн транзакция в данном случае эта та, которую банк-эмитент подтверждает сразу после запроса, в режиме реального времени. В то время как офлайн транзакция это та, которая не подтверждается инстантом, а проводится терминалом терминалом после какого-то периода времени. Я об этом уже говорил выше.
Такие транзакции характерны для операций, где существует низкий уровень риска (или в том случае, когда банально нет связи с банком-эмитентом.
И в данном случае, говоря “онлайн” я как раз имею в виду осуществление покупок в интернетах.
Для этих разных видов платежей соответственно предусмотрены два разных вида аутентификации.
Если речь идет об онлайн транзе, то соответственно выполняется онлайн аутентификация при участии эмитента, в то время как офлайн аутентификация подтверждается просто платежным терминалом.
Ниже привожу иллюстрацию демонстрирующую схему и логику аутентификации транзакции. Вникать в нее не обязательно, достаточно просто понять масштаб бедствия.
Добавлю, что во время онлайн транзакции технологически существует возможность произвести как олнайн так и офлайн аутентификацию ОДНОВРЕМЕННО - и карта и терминал должны позволять совершить такую процедуру.
Более того, непосредственно на этапе аутентификации не всегда ясно в каком режиме будет происходить транзакция.
Это довольно углубленные технические детали и скорее всего в нашей непосредственной работе они нам не понадобятся, но они довольно любопытны, как мне показалось и я их включил в нашу лекцию.
Тут хотелось бы сказать пару слов о типах карт с технологической точки зрения. Более детально об этом мы будем говорить в отдельной специально отведенной для этой темы лекции.
Глобально, с технологической точки зрения карты делятся на 2 категории: магнитные и с чипом (EMV).
Первые имеют магнитные полосы, вторые микрочип (микропроцессорные карты). Нередко (я бы даже сказал, часто) эти две технологии совмещаются. Чипы появились тогда, когда магнитная полоса начала себя изживать и перестала обеспечивать надлежащий уровень безопасности.
Потом, к слову, появился и NFC стандарт, но я бы не выделял их как отдельный тип, так как они а редким исключением не являются единственной технологией для отдельно взятой карты.
Главная задача банка, выпустившего карту (в офлайн платеже) - это аутентификация карты (не путать с идентификацией!).
Аутентификация здесь - чисто технический процесс, который призван подтвердить факт того, что карта выпущена банком, который имеет авторизацию на это действие со стороны соответствующей международной платежной системы (далее МПС).
Чисто технически это выглядит так: данные платежной карты отправляются терминалом в банк эмитент через банк экваер и платежную систему.
Эмитент получив эти данные или подтверждает транзакцию или не пропускает ее.На данном моменте как раз и есть весь краеугольный камень безопасности платежей покартам: гарантией целостности карты выступает CVV (Card Verification Value) или CVC(Card Verification Code) код, который модифицировать или подделать невозможно. Затоданные карты можно просто сфоткать с двух сторон или тупо переписать данные.
Теперь хотелось бы углубиться немного в тему именно онлайн платежей, так как для насони наиболее близки и являются по сути нашим фокусом.К вышеперечисленным участникам платежа добавляются еще несколько игроков:платежная система и платежный агрегатор. Платежная система (у нас принято называть МПС - международная платежная система)осуществляют перевод денежных средств. Все просто.МПС - это де факто совокупность технической инфраструктуры, определенных правил ипроцедур, которые используются для передачи денежных средств от одного участника платежа другому.
Выражаясь канцелярским языком, МПС - это утвержденный свод правил и порядков,отношений, методик и методов расчета, которые определяют и осуществляют движениеденежных средств среди участников экономики.МПС это бизнес, соответственно они ставят перед собой цели бесперебой работы ипоступления новых и новых операций, которые они проводят.
Соответственно, для того, чтобы эта штука вся работала как им надо, они вынуждены поддерживать систему жизнеспособной и на максимально высоком уровне: безопасность, бесперебойность, масштабирование, надежность, эффективность и так далее.
Если для нас МСП это всего лишь инфраструктура, через которую проходят какие-то платежи, то для реального мира это целые институты позволяющие осуществлять банкам их кредитно-финансовую политику, управлять своей ликвидностью и самое главное сильно упрощающие формирование кредитных и финансовых программ в банках и иных финансовых учреждениях.
С появлением и бурным развитием финтех отрасли, конечно многое будет меняться, но пока что банки доминируют над всеми МПС их во многом помогают.
Типичная МПС может состоять из следующих составляющих: организации (подразделения) осуществляющие платежи, ПО осуществляющий внутренние и внешние операции и нормативно-правовая база, регламентирующая работу вышеперечисленного. МПС на то и международная, что работает на всем шарике и предоставляет свои услуги всем желающим практически вне зависимости от географического расположения (за небольшими но конкретными исключениями).
Задача МПС - оперативно (читай: быстро) проводить взаиморасчеты между участниками рынка.
Наиболее известные МПС это VISA, MasterCard, AmEx тот же, Diners Club и так далее. Эти чуваки по сути определяют и задают тренды и политику “хождения” денег. Зарабатывают тем, что обилечивают подключенных к ним клиентов. Клиенты в данном случае это финансовые организации (как правило банки).
Последнии отчисляют первым фиксированный %, который зависит от объемаосуществленных платежей.МПС как некий главенствующий (но при этом коммерческий!) орган выдает лицензиибанкам на изготовление карт с логотипом МПС и тщательно следит за соблюдением всехвнутренних регламентов.
Следующий товарищ - платежный агрегатор и платежный шлюз. Что это такое? Чтоделают? Зачем нужны?С логической точки зрения и те и другие делаю одну и ту же вещь: осуществляютинтернет платеж (онлайн покупку).
Тогда вопрос: почему их два?
Разница лишь в том, что шлюз это просто технологичекий партнер, которыймаршрутизирует платеж, не взаимодействую со средствами клиентов, в то время какагрегатор средства аккумулирукет у себя. Степень риска у тех и других соответствующая(у одного его практически нет, у другого он очень большой). Об этом гораздо болеедетально будем говорить в следующей лекции.
Хочу также обратить внимание на неочевидные различия таких понятий как Международная Платежная Система и просто Платежная Система.Важно понимать, что в первом случае мы имеем дело с финансовым гигантом, который
Важно понимать, что в первом случае мы имеем дело с финансовым гигантом, которыобслуживает банковскую инфраструктуру, создавший свой стандарт и активно егоподдерживающий (это как правило такие товарищи как VISA и MasteCard).
В то время как во втором случае, речь идет о местечковых решениях, как правилодовольно узконаправленным (осуществляющих интернет эквайринг например). Кпоследним можно отнести PayPal, WebMoney, QIWI и им подобные.Да, местечковым PayPal назвать сложно, но по МПС он если и является, то с большойнатяжкой. Классификация тут именно стоит в том, что компания делает и в этомотношении международная практика солидарна с определением МПС, как компании,обслуживающей в первую очередь СВОЮ инфраструктуру, связанную с реальныпластиком.
Все платежи по пластиковым картам должны проходить ряд определенных процедур.
Одна из них - проверка держателя карты: CVM (Cardholder verification method). Эта обязательная процедура наряду с аутентификацией. И если в случае саутентификацией речь шла об установлении аутентичности карты (проверить ееподлинность, установить ее принадлежность к конкретному банку, платежной системе ивозможности совершения операции), то в случае с идентификацией речь пойдет сугубооб установлении легитимности платежа путем подтверждения личности холдера. Эта операция нам интересна вдвойне, так как по сути, это и есть наша сфера деятельности. И нам нужно досконально понимать какие методы идентификации возможны в принципе.
Сразу оговорюсь, что ниже рассмотрим ряд моментов, которые имеют отношение к транзакциям, где карта в наличии (не важно оригинал или дубликат). Потом будем детально разбирать работу, когда карты в наличии нету - CNP транзакция.
К нашему счастью методов идентификации не так много и как бы не бились ученые мужи, разработать эффективный, доступный и простой и не дорогой в внедрении новый метод идентификации пока что не получается. И объективно говоря, не получится еще долго. Это конечно же не значит, что такой метод не появится никогда. Просто в той финансово- технологической парадигме, в которой существует и функционирует сегодняшняя банковская система, скреативить что-то, что не будет требовать колоссальных внедренческих издержек - пока что невозможно.
Причиной тому - устаревший как морально, так и функционально технологический базис (уровень технологий), глобально используемый индустрией.
Пресловутый финтех со своими космическими решениями так же космически далек от реальности. Но об этом я возможно расскажу отдельно, если захотите.
Итак, идентификация.
Тут в первую очередь речь все так пойдет о покупках картой, а не в интернетах, как я уже сказал. Про транзакции CNP (card not present) мы поговорим чуть позже. Возможно даже отдельную лекцию сделаем, если будет “спрос”.
Чуть выше я говорил уже об архаичном уровне технологий в индустрии и ниже это продемонстрирую.
Вот смотрите. Какой вы думаете самый распространенный (а следовательно самый популярный) метод идентификации?
Ввод пин кода и подпись холдера. На дворе стоял 2019 год и мы все так же расписывались на чеках.
Прикольно, что в большинстве случаев подпись даже не сверяется (хотя правила МПС и должностная инструкция кассира обязывает это делать).
Немного улучшилась ситуация с появлением EMV карт, но глобально поменялось мало что в связи с тем, что далеко не все точки продаж смогли (или пожелали) перейти на терминалы поддерживающие расширенный функционал, позволяющий более тесно банку взаимодействовать с картой.
В свою очередь и сами EMV приложения могут отличаться друг от друга и терминалы даже поддерживающие работу с этим стандартом не всегда могут правильно обработать транзакцию. То есть при наличии казалось бы нового более безопасного стандарта, полностью перейти на него все еще не получается.
В подобных случаях терминал вынужден выбирать наиболее актуальный для конкретной ситуации метод идентификации. Для таких случаев разработаны CVM списки (ниже иллюстрация с примером такого списка, разработанного терминалом и приложением).
На этой иллюстрации мы видим возможные методы проверки личности холдера и их приоритет. Слева возможные методы, справа - выбранные по итогу.
Ситуация ухудшается тем, что и терминал и EVM приложение имеют свои собственные CVM списки.
В процессе совершения транзакции они оба вырабатывают единый лист и работают по нему. Это довольно технические детали, но я принял решение точечно их давать. Например предвидя вопрос, в каких ситуациях запрашивается PIN, спешу ответить: каждый банк сам формирует свои CVM списки (листы) для каждого конкретного продукта отдельно. Так как при совершении транзакции мы сталкиваемся с двумя CVM списками.
Один в POS и один выданный TMS - Terminal Management System (сервер с ПО для конфигурации и контроля работы POS конкретного эмитента).
Во время непосредственно совершения танзакции обы листа сравниваются и выбираются методы, которые присутствуют в обоих листах.
Есть ряд устоявшихся практик, но на самом деле все зависит от эмитента: если там сидят кретины, то они могут довольно быстро сделать держателей конкретных карт очень несчастными людьми))
Объективности ради, я решил ниже осветить еще один момент, который будет полезен. Что такое холдирование?
Это то самое “замораживание” средств банком, когда совершается транзакция по платежной карте. Иными словами средства не уходят со счета, они становятся недоступными. Для простых граждан это разницы не делает, но это неплохо знать. Фактическое и полное списание средств как правило происходит на следующий день, как и говорил выше. Но этот срок может доходить и до 30 дней - это зависит от банка- эквайера через кого платеж был совершен.
На первый взгляд информация может показаться сложноватой. Но это не обычная лекция по типу "сделал то, сделал это". У нас здесь научный подход, фундаментальные знания. Название Университет кардинга взято не с потолка. В следующих лекциях рассмотрим вышеописанные вещи детальнее, а также разберем участников платежей - кто, как, зачем и почему.
