<< Предыдущая

стр. 5
(из 71 стр.)

ОГЛАВЛЕНИЕ

Следующая >>

7. В конце рабочего дня на POS-терминале формируется журнал операций за день (смену) в
виде файла финансового подтверждения проведенных операций по оплате товаров с помощью карты,
который отсылается в процессинговый центр и эквайреру.
"Рис. 2. Оплата товара/услуги по банковской карте (БК)"

8. Процессинговый центр, получив файл финансового подтверждения, сортирует его по
эмитентам и пересылает каждому эмитенту ту его часть, которая содержит номера карты этого
эмитента. Одновременно процессинговый центр передает файл финансового подтверждения
расчетному банку и банку-эквайреру.
9. Эмитент, получив от процессингового центра финансовое подтверждение, снимает блокировку
со специальных карточных счетов по тем картам, номера которых присутствуют в файле, списывает
указанные суммы с этих карточных счетов и перечисляет их в расчетный банк для зачисления на свой
счет.
10. Расчетный банк на основании полученного файла финансового подтверждения списывает
средства со счетов эмитентов и зачисляет их на счет эквайрера.
11. Эквайрер, получив выписку по своему счету в расчетном банке, зачисляет средства на счет
предприятия, через POS-терминал которого была осуществлена операция оплаты по карте.
12. Эмитент по оговоренному в договоре на обслуживание регламенту (обычно 1 раз в месяц)
предоставляет держателю платежной карты выписку по его специальному карточному счету с перечнем
всех операций за указанный период.
Приведенная выше последовательность описывает процедуру оплаты по карте и
взаимодействие участников платежной системы для самого распространенного в настоящее время
случая использования карты с магнитной полосой в торговых точках, оборудованных POS-терминалами.
Технологиями платежной системы предусматриваются и другие виды операций по карте, как
технологических (эмбоссирование, персонализация и т.п.), так и клиентских.
Из числа последних прежде всего следует отметить операции с использованием банкоматов -
это выдача наличных, запрос остатка на специальном карточном счете, оплата некоторых видов услуг,
например сотовых операторов. Принципиальное отличие при этом от описанной выше схемы
заключается в полностью автоматизированном взаимодействии держателя карты с остальными
участниками системы. При этом идентификация держателя карты осуществляется по введенному им
ПИН-коду.
Современные платежные системы поддерживают схемы оплаты и без онлайновой авторизации.
В ряде случаев это оказывается экономически выгодно. Так, например, автор этих строк был немало
удивлен, когда при оплате входного билета на выставку веб-дизайна в Лондоне в 2001 г. его
корпоративную карту "прокатали" в импринтере. А уже почти через месяц после возвращения из
командировки от менеджера выставки пришло электронное письмо с недоумением, почему банк-эмитент
отказывает в оплате. При анализе ситуации выяснилось, что, пока слип от импринтера был
инкассирован эквайрером и переслан в процессинговый центр эквайрера, там обработан и в виде файла
финансового подтверждения через региональный процессинговый центр был доставлен эмитенту,
платежный лимит на специальном карточном счете корпоративной карты был аннулирован - ведь клиент
вернулся из командировки! Пришлось восстанавливать лимит и проводить повторно транзакцию оплаты.
Как правило, в таких случаях предусматривается "голосовая" авторизация, однако ввиду сложности ее
выполнения (не всегда можно легко дозвониться до эмитента) она производится при превышении
некоторого порогового значения суммы оплаты (floor-limit), который часто называют лимитом
авторизации. Экономическая выгода здесь налицо: импринтер - это дешевое устройство, легко
переносимое в любое место, не требует подключения к коммуникационной сети, а правила платежной
системы (в данном случае это была Visa) обеспечивают гарантированное получение платежей.
Относительная задержка реального поступления средств, очевидно, не особенно заботила
организаторов выставки.
Использование в качестве платежного инструмента смарт-карт вносит свои особенности в
технологии платежной системы, значительно расширяя их функциональные возможности и
привлекательность для клиентов*(32).
Важнейшим элементом защиты прав держателей карт в любой платежной системе является
реализация механизма отказа держателя от платежа или возвратного платежа (chargeback).
Причинами возникновения ситуаций "чарджбэк" могут быть как технические сбои (что достаточно
редко при современном уровне надежности), так и ошибки, недобросовестность обслуживающего
персонала точек приема карт. Для повышения ответственности участников платежной системы в ряде
случаев предусматриваются штрафные санкции, направленные как против недобросовестных
продавцов, так и против недобросовестных покупателей. Как правило, устанавливается своеобразный
"срок давности" с момента совершения оплаты, по истечении которого заявления об отказе не
принимаются к рассмотрению. В правилах различных платежных систем и различных типов операций
(электронная коммерция, оплата услуг гостиниц, оплата в супермаркетах) этот срок варьируется в
широких пределах, максимум составляет 180 календарных дней.
Достаточно часто используется операция возврата средств держателю карты (refund). Операция
выполняется при ситуации, при которой покупатель и продавец выявили факт излишнего удержания
средств с покупателя (переплата) непосредственно при оформлении покупки, но уже после проведения
процедуры авторизации и финансового подтверждения. В таком случае операция refund также может
быть выполнена с помощью POS-терминала, финансовый результат операции аналогичен операции
чарджбэк - средства списываются со счета продавца и зачисляются на счет покупателя (специальный
карточный счет держателя карты)*(33).
Все сказанное выше описывает функционирование платежной системы и выполнение некоторых
операций с платежными картами в самых общих чертах. Как уже отмечалось выше, любая платежная
система имеет свой свод правил, регламентов, стандартов, детально специфицирующих всю
деятельность участников системы вплоть до протоколов взаимодействия технических средств. Эти
описания составляют многие тома технической и организационной документации.
Основные технологические аспекты функционирования платежной системы будут рассмотрены
ниже.

Основные технологические аспекты функционирования платежной системы


Развитие технологий платежных систем

Платежная карта может рассматриваться с различных точек зрения: как продукт, предлагаемый
эмитентом держателю (например, как банковский продукт), как техническое изделие производителя карт
или даже как произведение прикладного искусства.
Вместе с тем такое рассмотрение карт с различных точек зрения весьма условно, поскольку все
аспекты карт тесно взаимосвязаны. Карту, выпускаемую банком, можно было бы рассматривать как
инструмент удаленного доступа к банковскому счету, допускающий совершение любых операций по
счету. Подобное рассмотрение справедливо для большинства банковских карт, но многие из них
выпускаются в рамках платежных систем, что обусловливает следование определенным правилам как
при выпуске, так и при использовании карт.
Как мы уже писали в начале книги, по одной из версий прототипом современных платежных карт
послужили появившиеся несколько десятилетий назад в США картонные карты, принимавшиеся в
оплату бензина на частных сетях автозаправок. Эти карты еще не были ни банковскими, ни
пластиковыми, их назначение состояло в том, чтобы подтверждать кредитоспособность владельца вне
банка (предъявление карты клиентом позволяло получить топливо в кредит). На картах
полиграфическим способом были изображены идентификационные данные клиента. Сравнительная
простота подобной карты не только позволила относительно быстро реализовать идею, но и послужила
причиной появления первых подделок, которые если и не подорвали доверие к новому платежному
средству, то побудили позаботиться о повышении его безопасности.
Развитие технологии в направлении повышения безопасности карты как платежного инструмента
привело к замене картона на пластик (что сделало карту более долговечной) и применению штрих-
кодов. Штрих-кодом кодировалась идентификационная информация, которая ранее наносилась
обычным полиграфическим способом. Точки приема карт стали оснащать сканерами штрих-кодов. При
совершении операции штрих-код считывался и декодировался, что позволяло идентифицировать
держателя карты.
Разумеется, осуществить подделку штрих-кода по сравнению с обычным текстом было сложнее.
Со временем применение штрих-кодов весьма расширилось, в частности они стали использоваться для
идентификации товаров, что сделало графические принтеры для нанесения их на карту доступными и,
как следствие, привело к появлению поддельных карт со штрих-кодом. Несмотря на то что штрих-коды
не обеспечивают достаточной безопасности, они до сих пор используются в качестве средства
идентификации. Сам штрих-код для предотвращения возможности прочтения иногда покрывают черной
защитной полосой, что позволяет считывать его только специальными сканерами. Однако подобные
сканеры слишком дороги, чтобы рассматривать такую технологию в качестве приемлемой для широкого
распространения.
Другим способом повышения безопасности платежных карт стало применение магнитной
полосы, на которую возможно поместить в закодированном виде достаточное количество информации,
чтобы идентифицировать держателя карты. Карты с магнитной полосой, появившиеся в 60-х гг. XX
столетия, и по сей день остаются основным видом платежных карт.
В 80-е гг. появились чиповые карты, несущие в себе встроенную микросхему (чип). Очевидно, что
чип, способный хранить (если необходимо, в защищенном виде) гораздо больше информации, нежели
магнитная полоса, и выполнять определенные команды, смог стать средством, на порядок повысившим
эффективность и безопасность применения карт. Вполне обоснованно можно было бы сказать также,
что повысилась в целом интеллектуальность процесса выполнения операции с картой (транзакции), и
это послужило причиной другого названия чиповых карт - смарт-карты ("разумные" или
"интеллектуальные" карты).
Даже приведенный выше небольшой экскурс в историю технологии платежных карт позволяет
заметить, что движущей силой развития технологии является стремление к повышению безопасности и
эффективности совершения операций.

Международные стандарты и требования платежных систем

Технологии работы с магнитными и чиповыми картами основаны на международных стандартах.
Следование стандартам обеспечило важнейшее для успешного бизнеса свойство взаимного приема
карт (в спецификациях на продукты платежных систем - interoperability). Это свойство, очевидное на
первый взгляд, требует все-таки пояснения. Дело в том, что и сами карты, и технология выполнения
операций с ними, и их обработка четко определены в рамках каждой платежной системы (в виде
спецификаций и руководств в общепризнанных и имеющих большой опыт платежных системах и в виде
правил приема карт в сравнительно "молодых" платежных системах). Для приема карт в сети одной
платежной системы следование стандартам могло бы быть необязательным, но, поскольку всякая точка
приема карт, будь то магазин или отделение банка, заинтересована в работе по единым или хотя бы
похожим правилам, технологии разных платежных систем должны быть, по крайней мере, совместимы.
Совместимость же достигается за счет следования стандартам.
Существует ряд международных стандартов, определяющих практически все свойства карт,
начиная от физических свойств пластика, размеров карты и заканчивая содержанием информации,
размещаемой на карте тем или иным способом, среди которых заслуживают упоминания ISO 7810
"Идентификационные карты - физические характеристики", ISO 7811 "Идентификационные карты -
методы записи", ISO 7812 "Идентификационные карты - система нумерации и процедура регистрации
идентификаторов эмитентов" (5 частей), ISO 7813 - "Идентификационные карты - карты для финансовых
транзакций", ISO 4909 "Банковские карты - содержание 3-й дорожки магнитной полосы", ISO 7816
"Идентификационные карты. Карты с микросхемой с контактами" (6 частей). Существует также
российский стандарт ГОСТ Р 50809 "Нумерация и метрологическое обеспечение идентификационных
карт для финансовых расчетов".
Карты должны иметь следующие геометрические параметры: ширина - 85,595 + 0,125 мм, высота
- 53,975 + 0,055 мм, толщина - 0,76 + 0,08 мм, радиус окружности в углах - 3,18 мм.
На лицевой стороне платежных карт наносят полиграфическим способом логотип финансового
института, торговые марки платежной системы. Кроме того, обычно на карте присутствует голограмма с
определенным символом платежной системы, может присутствовать также специальный элемент,
видимый только в ультрафиолетовых лучах. На лицевой стороне чиповой карты находится микросхема,
ее расположение строго определено стандартом (ISO 7816-1).
На обратной стороне карты находятся магнитная полоса (место которой также строго
определено стандартом), панель для подписи и наносимый полиграфическим способом текст банка.
Интересным с маркетинговой точки зрения представляется решение по миниатюризации карт,
представленное Visa Europe. Новый тип мини-карты EMV - Visa Mini, несмотря на свою миниатюрность,
отвечает всем стандартам EMV. Поверхность карты Visa Mini составляет всего 57% размера обычной
банковской карты. Карту можно использовать для оплаты товаров и услуг через обычные платежные
терминалы торговых точек, карта не обслуживается банкоматами.
Карта аналогичного вида в MasterCard называется SideCard.

Персонализация карт

В процессе подготовки к выпуску карта претерпевает персонализа-цию (персонификацию) -
графическую, физическую и электрическую. Под графической персонализацией иногда понимают
нанесение полиграфическим способом на карту логотипа финансового института-эмитента, чаще же -
нанесение с помощью специальных принтеров персональной информации о держателе. В некоторых
платежных системах разрешается в определенном поле (чаще на обратной стороне карты) помещать
фото держателя. Для реализации подобной персонализации при изготовлении заготовок карт оставляют
белое прямоугольное поле. Перед выпуском карты выполняется сканирование фотографии будущего
держателя и с помощью специального графического принтера графический образ с фотографией
помещается в упомянутое поле.
Физическая персонализация служит для нанесения на карту персональных данных: номера
карты, имени и фамилии, срока действия (возможно в виде двух дат - начала и конца действия,
возможно в виде одной даты - конца действия), а также иногда некоторой дополнительной информации
(например, наименования организации, в которой работает держатель).
Для обозначения дат используются 4 цифры: 2 - для месяца, 2 - для года (например, 01/03
означает январь 2003 г.). Действие карты начинается с первого дня месяца года даты начала,
заканчивается в последний день месяца года даты конца действия.
Номер платежной карты состоит из последовательности цифр, обычно от 13 до 19, чаще всего -
16. В платежных системах банковских карт номер карты начинается с 6 цифр, обозначающих BIN*(34)
(идентификационный номер банка). Заканчивается номер карты контрольной цифрой, которая
вычисляется исходя из предыдущих цифр с помощью несложного алгоритма (называемого Luhn-
алгоритмом).
Физическая персонализация производится эмбоссированием (тиснением). Эмбоссированные
символы - выпуклые, подкрашиваются специальной краской (обычно серебряной, черной или золотой).
Эмбоссирование играет важную роль: оно необходимо не только для визуальной идентификации
персональных данных о держателе лицом, совершающим операцию со стороны точки приема
(например, кассиром), но и для переноса персональных данных с карты на первичный документ,
называемый слипом (в случае голосовой авторизации операции по карте). Слип вместе с картой
помещается в специальную прокатную машинку, называемую импринтером. После прокатывания
эмбоссированные символы переносятся на слип.
Некоторые карты, называемые обычно электронными, могут в соответствии с правилами
приниматься только в электронных устройствах (банкоматах, кассовых аппаратах, платежных
терминалах). Именно в этой связи эмбоссирование таких карт производится специальным образом - так
называемым индентированием, при котором символы получаются не выпуклыми, а как при печати на
пишущей машинке на листе бумаги - практически плоскими. Импринтер не в состоянии перенести
индентированный на карте текст на слип, что не позволяет совершать операцию без использования
электронных устройств. Иногда вместо индентирования используется печать тех же данных
графическим принтером.
При электрической персонализации кодируется магнитная полоса или осуществляется запись
информации в микросхему. Магнитная полоса содержит 3 дорожки, но на практике используются или
одна вторая дорожка, или две - первая и вторая.
В соответствии со стандартом ISO 7813 на первой дорожке записываются следующие данные:
номер карты, фамилия и имя держателя, срок истечения действия карты, сервис-код (максимальная
длина записи - 89 символов); на второй дорожке - номер карты, срок истечения действия, сервис-код
(всего до 40 символов)*(35). Сервис-код - это код из трех цифр, определяющий допустимые для данной
карты типы операций, например: первая цифра 1 - международная карта, вторая цифра 2 - операции
требуют авторизации у эмитента, третья цифра 0 - подтверждение держателя с использованием ПИНа.
Помимо определенных в стандарте величин на магнитной полосе могут записываться некоторые
другие коды, например PVV (PIN Verification Value) или CVC (Card Verification Code).
Вторая дорожка содержит номер карты, срок истечения действия карты, сервис-код (всего - до 40
символов), который представляет собой цифры, определяющие допустимые для данной карты типы
операций.
Первые две дорожки содержат полный набор идентификационных данных. На третьей дорожке в
соответствии со стандартом ISO 4909 предполагалось размещать данные об использовании карты
(такие, как сумма), доступные к авторизации, и количество доступных попыток представления ПИНа.
Однако если данные с первых двух дорожек считываются современными устройствами по приему карт,
третью дорожку, зарезервированную авторами стандарта для будущего использования, так и не стали
применять ввиду незащищенности данных на ней от фальсификации.
Физическая и электрическая персонализации выполняются обычно на специальном
оборудовании - эмбоссере.
Все этапы подготовки карт к выпуску непосредственно связаны с безопасностью. На карте есть
немало элементов, обеспечивающих безопасность: это и микротекст как элемент дизайна карт, и
голограммы, и символы, видимые в ультрафиолетовых лучах, и специальные эмбоссируемые символы.
Первым этапом подготовки карт к выпуску является их заказ. Если речь идет о картах какой-либо
платежной системы, то последняя предоставляет эмитенту список сертифицированных производителей.
Такие производители постоянно контролируются представителями платежных систем.
Доставка и хранение карт, контроль на всех этапах персонализации - также важные
составляющие комплекса мероприятий служб безопасности эмитентов.
После того как карта выдана держателю, она привязывается к некоторому банковскому счету
(часто называемому картсчетом). В любой момент времени карта имеет определенный платежный
лимит. Всякая совершаемая с картой операция уменьшает платежный лимит на сумму операции. В
зависимости от режима картсчета платежный лимит увеличивается при пополнении картсчета или
погашении задолженности, или при наступлении нового периода, например месяца.

Карты с магнитной полосой и технология работы

Перед совершением операции с платежной картой осуществляется авторизация - получение
разрешения на операцию. При использовании традиционной технологии минимально необходимыми
данными для авторизации операции являются номер карты, срок действия (истечения действия) и сумма
операции. Авторизацию по поручению точки приема карты запрашивает банк-эквайрер. Ответом на
запрос авторизации, который дает эмитент, являются или положительный код авторизации, или
сообщение об отказе (возможно, вместе с командой об изъятии карты). В случае положительного ответа
на запрос авторизации выполняется собственно сама операция с картой. Ее результатом является
первичный документ: либо полностью заполненный и подписанный слип, либо чек электронного
кассового устройства или платежного терминала (POS-терминала*(36)), или банкомата*(37).
Основным видом авторизации является онлайновая авторизация, требующая связи кассира с
центром авторизации.
В локальных платежных системах все операции относятся к типу on us*(38). В межрегиональных
и международных платежных системах обычно только в небольшой части операции, принимаемые
эквайрером, являются локальными. Система авторизации операций, как правило, имеет трехуровневую
иерархическую структуру (на рис. 1 и 2 показаны структуры информационных сетей на примере
региональной и международной платежных систем соответственно).
В региональной платежной системе операция инициируется в точке приема, запрос принимается
региональным процессинговым центром. Если операция не локальная, запрос направляется по
телекоммуникационной сети в головной процессинговый центр. В случае если карта выпущена банком,
обслуживаемым данным центром, он дает авторизацию. Если же карта выпущена банком,
обслуживаемым другим региональным процессинговым центром, запрос направляется туда.
В международной платежной системе операция также инициируется на нижнем уровне
иерерахии. Запрос формируется в точке приема, передается эквайреру. Эквайрер через свой

<< Предыдущая

стр. 5
(из 71 стр.)

ОГЛАВЛЕНИЕ

Следующая >>