Верификация держателя банковской карты при совершении транзакции в торговой точке

Правила работы транзакционного рынка, а именно, выпуска и обслуживания платежных карт и их эмуляторов, правила приема платежных карт и их эмуляторов к оплате, обеспечивают платежные системы, которые широко представлены на нашем рынке: Visa; MasterCard; China UnionPay; JCB; American Express; МИР и другие [1, с. 131].

В соответствии со стандартами международных платежных систем, есть пять способов, которыми держатель банковской карты верифицирует свою личность при совершении платежа. Далее, Card Verification Method или CVM.

• 1.    Зашифрованный offline-PIN – наиболее современный и защищенный способ верификации . Терминал для приема банковских карт к оплате (далее, POS-терминал) запрашивает PIN-код банковской карты, а держатель банковской карты набирает его на PIN-клавиатуре. Полученный PIN-код зашифровывается в POS-терминале с помощью встроенного криптографического чипа в POS-терминале и передается в чип банковской карты на проверку. Такая верификация происходит быстро, а PIN-код достаточно надежно защищен от кражи. Данный метод работает только при проведении платежа по чипу банковской карты и требует наличия криптографического чипа в терминале. Данный метод не подходит для банковских карт с магнитной полосой.

• 2.    Незашифрованный offline-PIN – работает аналогично, зашифрованному offline-PIN, за исключением того, что PIN-код передается в чип банковской карты в открытом виде. Соответственно, криптографический чип POS-терминалу не требуется, но риск компрометации PIN-кода техническими средствами (например, в случае если POS-терминал заражен вредоносным обеспечением) возрастает.

• 3.    Online-PIN – этот метод является наиболее частым способом верификации с использованием PIN-кода. В этом способе верификации держатель банковской карты набирает на клавиатуре POS-терминала PIN-код, в POS-терминала из PIN-кода и номера карты формируется PIN-блок. Далее PIN-блок зашифровывается и передается для проверки в процессинговый центр банка-эмитента . Банк-эмитент хранит вычисленное на основе PIN-кода и номера карты проверочное значение, которое и сравнивает с проверочным значением полученного PIN-блока от POS-терминала. Следует учесть, что банк-эмитент не обладает PIN-кодами выпущенных им карт.

• 4.    Проверка подписи – данный метод верификации пользователя банковской карты заключается в визуальном сравнении подписи на банковской карте и подписи на чеке. В данном методе верификации сравнение выполняет сотрудник торговой точки, как правило кассир или продавец. Среди плюсов данного метода стоит выделить отсутствие необходимости подключения POS-терминала к банку-эмитенту , а также в данном методе возникает дополнительный защитный фактор для злоушмленников – необходимо качественно подделать подпись держателя банковской карты , во избежание отказа от проведения операции сотрудником торговой точки. Однако, данный метод на сегодняшний день теряет актуальность и приобретает рудиментарные свойства на фоне вышеизложенных методов верификации держателя банковской карты , а кроме того, является не удобным для сотрудников торговых точек в связи с необходимостью долгосрочного хранения чеков с подписями клиентов. Также следует отметить, что на практике, сотрудники торговой точки не всегда сверяют подпись на чеке с образцом подписи на карте.

• 5.    Без верификации – отсутствие верификации используется, когда сумма транзакции невысока и необходимости запрашивать верификацию . Чаще всего он применяется для бесконтактных платежей при сумме менее 1 000 рублей.

PIN-блок по дороге к банку-эмитенту проходит множество промежуточных в сети интернет, на каждом из которых он потенциально может быть скомпрометирован. Скорость выполнения этого метода верификации относительно невысока и сильно зависит от способа подключения POS- терминала к процессинговому центру банка-эквайера. Естественно, online-PIN не работает в случае, когда у POS-терминала нет подключения к банку-эмитенту. Для проверки PIN-кода карты без чипа может использоваться только этот способ.

Этот способ верификации позволяет оперативно опротестовать транзакцию, в отличие от методов с использованием PIN-кода: если подпись на чеке не совпадет с подписью держателя банковской карты, банк-эмитент будет вынужден вернуть деньги держателю банковской карты. Стоит учесть, что в условиях невнимательности сотрудников торговых точек, это оставляет широкие возможности для мошенничества со стороны держателей банковских карт. В связи с этим большинство бан-ков-эмитентом и банков-эквайеров де-приоритезируют данный метод верификации держателей банковских карт пе- ред более инновационными методами верификации.

Разберем данные метод верификации держателя банковской карты более подробно. При проведении операции с использованием чипа на POS-терминалах существует техническая возможность настройки отказа от ввода PIN-кода, при этом все риски Банк-эквайер и торговая точка. Эта настройка актуальна в торговых точках с большой проходимостью. Например: в супермаркете, для того, чтобы ускорить процесс обслуживания клиентов и сократить очереди на кассах. Таким образом, настроенный терминал, позволяет произвести расчет с клиентом без использования связи с банком, выпустившим карту. В то же время, настройки обязательно предусматривают максимально допустимый порог сделки, при превышении которого терминал потребует ввода PIN-кода. Также следует иметь введу, что банк-эквайер и банк-эмитент используют процессинговые центры для работы с авторотационными запросами по потоку транзакций в автономном режиме. С учетом возможности наличия разных банков у потребителя и продавца, процессинговые центры обслуживающие данные банки также могут быть различными [2].

Платежная система обязует банка-эквайера присваивать каждой торговой точке код торговой отрасли для классификации торговых точек по роду деятельности [3, 64 стр.], например, в торговых точках относящихся к типу «Супермаркеты» разрешается проводить операции оплаты покупок картой на сумму до 1 тыс. руб. с упрощенным методом верификации держателя банковской карты (подпись не требуется, чек можно не печатать).

Данная технология была внедрена на рынок розничной торговли в 2014 году в ряде супермаркетов страны получив название «Быстрая покупка»/Small Ticket (Quick Payment Service в платежной системе MasterCard и VISA Easy Payment Service в платежной системе VISA).

Из преимуществ данной технологии можно выделить удобство для покупа- теля, за счет увеличения скорости совершения операции. Недостатки также связаны с безопасностью в части мошенничества в случае утери или кражи карты.

Заключение

В данной статье исследованы технологии предложенные международными зации держателя банковских карт: зашифрованный offline-PIN, незашифрованный offline-PIN, online-PIN, проверка подписи и без верификации. Раскрыта проблема верификации в целом и специфика каждого из рассмотренных методов в частности. Резюмируя выше- изложенное, можно отметить, что верификация держателей банковских карт является развивающимся направлением транзакционной сферы деятельности и уже в ближайшем будущем предложит держателям банковских карт новые инструменты подтверждения транзакций, например, на базе биометрических платежными системами в части автори-   данных.