CC BY
38
ВЕРИФИКАЦИЯ ДЕРЖАТЕЛЯ БАНКОВСКОЙ КАРТЫ ПРИ СОВЕРШЕНИИ
ТРАНЗАКЦИИ В ТОРГОВОЙ ТОЧКЕ
Е.Л. Екимов, аспирант
Московский финансово-промышленный университет «Синергия» (Россия, г. Москва)
Аннотация. В статье рассматриваются методы верификации держателя банковской карты при совершении сделки купли-продажи в торговой точке. Исследуются технологии предложенные международными платежными системами: зашифрованный offline-PIN, незашифрованный offline-PIN, online-PIN, проверка подписи и без верификации. Раскрывается проблематика верификации в целом и специфика каждого из рассмотренных методов в частности.
Ключевые слова: верификация, держатель банковской карты, банк-эмитент, банк-эквайер.
Правила работы транзакционного рынка, а именно, выпуска и обслуживания платежных карт и их эмуляторов, правила приема платежных карт и их эмуляторов к оплате, обеспечивают платежные системы, которые широко представлены на нашем рынке: Visa; MasterCard; China UnionPay; JCB; American Express; МИР и другие [1, с. 131].
В соответствии со стандартами международных платежных систем, есть пять способов, которыми держатель банковской карты верифицирует свою личность при совершении платежа. Далее, Card Verification Method или CVM.
1. Зашифрованный offline-PIN -наиболее современный и защищенный способ верификации. Терминал для приема банковских карт к оплате (далее, POS-терминал) запрашивает PIN-код банковской карты, а держатель банковской карты набирает его на PIN-клавиатуре. Полученный PIN -код зашифровывается в POS-терминале с помощью встроенного криптографического чипа в POS-терминале и передается в чип банковской карты на проверку. Такая верификация происходит быстро, а PIN-код достаточно надежно защищен от кражи. Данный метод работает только при проведении платежа по чипу банковской карты и требует наличия криптографического чипа в терминале. Данный метод не подходит для банковских карт с магнитной полосой.
2. Незашифрованный offline-PIN -работает аналогично, зашифрованному offline-PIN, за исключением того, что PIN-код передается в чип банковской карты в открытом виде. Соответственно, криптографический чип POS-терминалу не требуется, но риск компрометации PIN-кода техническими средствами (например, в случае если POS-терминал заражен вредоносным обеспечением) возрастает.
3. Online-PIN - этот метод является наиболее частым способом верификации с использованием PIN-кода. В этом способе верификации держатель банковской карты набирает на клавиатуре POS-терминала PIN-код, в POS-терминала из PIN-кода и номера карты формируется PIN-блок. Далее PIN-блок зашифровывается и передается для проверки в процессинговый центр банка-эмитента. Банк-эмитент хранит вычисленное на основе PIN-кода и номера карты проверочное значение, которое и сравнивает с проверочным значением полученного PIN-блока от POS-терминала. Следует учесть, что банк-эмитент не обладает PIN-кодами выпущенных им карт.
PIN-блок по дороге к банку-эмитенту проходит множество промежуточных в сети интернет, на каждом из которых он потенциально может быть скомпрометирован. Скорость выполнения этого метода верификации относительно невысока и сильно зависит от способа подключения POS-
терминала к процессинговому центру банка-эквайера. Естественно, опНпе-РШ не работает в случае, когда у РОБ-терминала нет подключения к банку-эмитенту. Для проверки РГЫ-кода карты без чипа может использоваться только этот способ.
4. Проверка подписи - данный метод верификации пользователя банковской карты заключается в визуальном сравнении подписи на банковской карте и подписи на чеке. В данном методе верификации сравнение выполняет сотрудник торговой точки, как правило кассир или продавец. Среди плюсов данного метода стоит выделить отсутствие необходимости подключения РОБ-терминала к банку-эмитенту, а также в данном методе возникает дополнительный защитный фактор для злоушмленников - необходимо качественно подделать подпись держателя банковской карты, во избежание отказа от проведения операции сотрудником торговой точки. Однако, данный метод на сегодняшний день теряет актуальность и приобретает рудиментарные свойства на фоне вышеизложенных методов верификации держателя банковской карты, а кроме того, является не удобным для сотрудников торговых точек в связи с необходимостью долгосрочного хранения чеков с подписями клиентов. Также следует отметить, что на практике, сотрудники торговой точки не всегда сверяют подпись на чеке с образцом подписи на карте.
Этот способ верификации позволяет оперативно опротестовать транзакцию, в отличие от методов с использованием РГЫ-кода: если подпись на чеке не совпадет с подписью держателя банковской карты, банк-эмитент будет вынужден вернуть деньги держателю банковской карты. Стоит учесть, что в условиях невнимательности сотрудников торговых точек, это оставляет широкие возможности для мошенничества со стороны держателей банковских карт. В связи с этим большинство бан-ков-эмитентом и банков-эквайеров де-приоритезируют данный метод верификации держателей банковских карт пе-
ред более инновационными методами верификации.
5. Без верификации - отсутствие верификации используется, когда сумма транзакции невысока и необходимости запрашивать верификацию. Чаще всего он применяется для бесконтактных платежей при сумме менее 1 000 рублей.
Разберем данные метод верификации держателя банковской карты более подробно. При проведении операции с использованием чипа на POS-терминалах существует техническая возможность настройки отказа от ввода PIN-кода, при этом все риски Банк-эквайер и торговая точка. Эта настройка актуальна в торговых точках с большой проходимостью. Например: в супермаркете, для того, чтобы ускорить процесс обслуживания клиентов и сократить очереди на кассах. Таким образом, настроенный терминал, позволяет произвести расчет с клиентом без использования связи с банком, выпустившим карту. В то же время, настройки обязательно предусматривают максимально допустимый порог сделки, при превышении которого терминал потребует ввода PIN-кода. Также следует иметь введу, что банк-эквайер и банк-эмитент используют процессинговые центры для работы с авторотационными запросами по потоку транзакций в автономном режиме. С учетом возможности наличия разных банков у потребителя и продавца, процессинговые центры обслуживающие данные банки также могут быть различными [2].
Платежная система обязует банка-эквайера присваивать каждой торговой точке код торговой отрасли для классификации торговых точек по роду деятельности [3, 64 стр.], например, в торговых точках относящихся к типу «Супермаркеты» разрешается проводить операции оплаты покупок картой на сумму до 1 тыс. руб. с упрощенным методом верификации держателя банковской карты (подпись не требуется, чек можно не печатать).
Данная технология была внедрена на рынок розничной торговли в 2014 году в ряде супермаркетов страны получив
название «Быстрая покупка»/Small Ticket (Quick Payment Service в платежной системе MasterCard и VISA Easy Payment Service в платежной системе VISA).
Из преимуществ данной технологии можно выделить удобство для покупателя, за счет увеличения скорости совершения операции. Недостатки также связаны с безопасностью в части мошенничества в случае утери или кражи карты.
Заключение
В данной статье исследованы технологии предложенные международными платежными системами в части автори-
зации держателя банковских карт: зашифрованный offline-PIN, незашифрованный offline-PIN, online-PIN, проверка подписи и без верификации. Раскрыта проблема верификации в целом и специфика каждого из рассмотренных методов в частности. Резюмируя вышеизложенное, можно отметить, что верификация держателей банковских карт является развивающимся направлением транзакционной сферы деятельности и уже в ближайшем будущем предложит держателям банковских карт новые инструменты подтверждения транзакций, например, на базе биометрических данных.
Библиографический список
1. Хабаров В.И., Екимов Е.Л. Исследование рынка эквайринга в розничной торговле Российской Федерации // Научное обозрение. 2017. - №3.
2. Екимов Е.Л. Участники сделки купли-продажи при использовании электронных денег // XV Международная научно-практическая конференция «Научный диалог: Экономика и менеджмент» (08.06.2018). г. Санкт-Петербург
3. Екимов Е.Л. Межбанковская комиссия во взаиморасчетах между банком-эмитентом и банком-эквайером // Вестник Академии. 2017. №4.
VERIFICATION OF THE BANK CARD HOLDER AT THE TRANSACTION IN A
TRADING POINT
E.L. Ekimov, postgraduate
Moscow financial-industrial university "Synergy" (Russia, Moscow)
Abstract. The article examines the methods of verification of the holder of a bank card when making a purchase and sale transaction at a retail outlet. The technologies offered by international payment systems are examined: encrypted offline-PIN, unencrypted offline-PIN, online-PIN, verification of signature and without verification. The problem of verification in general and the specifics of each of the methods considered in particular are disclosed.
Keywords: verification, holder of a bank card, issuing bank, acquiring bank.
