Авторизация банковской карты: что это, вопросы и ответы

Протокол iso 8583, основные положения

ISO 8583 – протокол, стандартизирующий онлайн-обмен финансовыми сообщениями при использовании банковских карт и иных платежных средств. Фактически, является базовым протоколом в этой области.

Поскольку протокол ISO 8583 достаточно известен, не будем останавливаться на его подробном рассмотрении, а интересующиеся могут почитать, например, вот здесь, а также поискать в Интернете.

Основные моменты следующие:

1) Идентификатор типа сообщения (Message Type Identifier (MTI)) — значение из четырех цифр. Каждая цифра функциональна, и содержит в себе информацию о версии протокола (1-я цифра), классе сообщения (2-я цифра), функциональном назначении (3-я цифра) и инициаторе операции (4-я цифра). Например, MTI=0110, где:

  • Первая цифра 0 — версия протокола 1987 г. (реально используются две версии: 0 = версия 1987 г., 1 = версия 1993 г. При этом ПС Mastercard, Visa, Union Pay и НСПК работают на версии 1987 г., ПС American Express – на версии 1993 г.).
  • Вторая цифра 1 — класс сообщения (основные возможные значения: 1 = авторизация, 2 = финансовое, 3 = действие с файлами данных, 4 = отмена, 5 = реконсиляция (выгрузка/сверка), 6 = административное, 8 = управление сетью).
  • Третья цифра 1 = ответ (основные возможные значения: 0 = запрос, 1 = ответ, 2 = эдвайс (уведомление), 3 = ответ на эдвайс).
  • Четвертая цифра 0 = обмен инициирован эквайрером (основные возможные значения: 0 = обмен инициирован эквайрером, 1 = репит от эквайрера (повторное сообщение, инициированное эквайрером), 2 = обмен инициирован эмитентом, 3 = репит от эмитента (повторное сообщение, инициированное эмитентом), 4 = обмен инициирован ПС, 5 = репит от ПС (повторное сообщение, инициированное ПС)).

2) Битовые карты (так называемые «Bitmap»). Всего их три:

3) Элементы данных. Элементы данных, т.е., поля и различные их комбинации позволяют всем участникам расчетов однозначно идентифицировать тот или иной тип сообщения. При этом одним из ключевых элементов является Поле 3 (Processing Code), а точнее, первые две его позиции (Тип транзакции, Transaction Type). Их наполнение может варьироваться в зависимости от онлайн-интерфейса (т.е. спецификации) той или иной ПС. Однако основные значения таковы:

То есть, допустим, если эмитент получил сообщение с MTI 0100, в котором первые 2 элемента Поля 3 = 00, то он идентифицирует его как Покупку; если Поле 3 = 09, то как Покупку с выдачей наличных, и т.д.

Приведенного выше должно быть достаточно для составления базового представления о принципах работы протокола ISO 8583. Структурное наполнение полей, повторим, является уникальным для каждого типа операции и для каждой ПС, и их рассмотрение выходит за рамки данного материала.

Всё о платежных картах. часть 2: что главное в карте; основные принципы работы и безопасности

В первой части нашего цикла мы кратко затронули историю платежных карт в нашей стране (и не только) и необходимые для работы подобной инфраструктуры условия. В какой-то степени это было разминкой, а теперь пора переходить к практически важным вопросам. И для понимания того, как всё это вообще работает, необходимо разобраться для начала с тем, что же собой представляет карта любой платежной системы. Как уже было упомянуто в первой части, принципиально все они одинаковы — и по механизму работы, и по внутренней организации. Но что же такое карта? Или, иными словами, что в карте самое главное?

Любые карты предназначены для безналичных расчетов в чистом виде — либо как своеобразный мостик между наличным и безналичным оборотом. Например, в любом банкомате можно получить наличные по карте, а во многих банкоматах, наоборот, внести наличные на счет карты.

Важен ли сам физический носитель? И да, и нет. Первое время все карточные операции работали исключительно при предъявлении карты живому сотруднику, который и проводил операцию — пользуясь иногда абсолютно примитивными техническими средствами. Однако сегодня большинство операций проводится автоматически — электронными средствами. На обычной кассе в магазине есть кассир, но его работа в смысле приема оплаты заключается лишь в том, чтобы перенаправить запрос на платежный терминал и (в случае необходимости) показать клиенту, куда вставлять/прикладывать карту. С банкоматом же или киоском самообслуживания каждый встречается вообще один на один, без участия других людей. А есть еще и операции в сети, когда физическую карту просто некуда приложить и вставить. Для таких целей даже придумали специальные виртуальные карты — которых не существует. У них есть только карточные реквизиты, которые и участвуют в операции — точнее, могут только инициировать операцию, потому что простая схема обработки требует сложных систем подтверждения, и наоборот.

А схема в первом приближении действительно простая, поскольку основным минимально необходимым и достаточным реквизитом карты является ее номер, состоящий, как и следовало ожидать, из последовательности обычных десятичных цифр. По стандарту он может иметь длину от 13 до 19 цифр, но на сегодня самое частое — 16 цифр. Встречаются и отступления от этого правила: например, такие древние системы, как Diners Club или American Express, обходятся 14 и 15 цифрами, а вот на картах China Union Pay всё чаще встречаются номера из 17 цифр. Впрочем, на многие карты, предназначенные исключительно для электронной обработки, номер и вовсе не наносится (полностью или частично) — клиент получает его на отдельной бумажке вместе с картой, и он может пригодиться для операций в сети, если такие предусмотрены. А терминалы в любом случае работают с магнитной полосой или чипом. На первой номер хранится в открытом виде, со вторым не все так просто, но об этом мы поговорим отдельно.

Также стоит учитывать, что последняя цифра номера обычно самостоятельной ценности не имеет: это всего лишь контрольный разряд, высчитываемый по первым значащим. Хотя и остальные цифры не всегда можно считать значимыми, поскольку в первых цифрах номера, как правило, зашифрована платежная система, конкретный банк и некоторая другая служебная информация. Это упрощает автоматическую обработку: например, «увидев», что первая цифра номера равна 4, эквайер (банк, обслуживающий продавца — который и инициирует платежную транзакцию) понимает, что дальше ему нужно работать с Visa, а вот 5 однозначно направляет его в Mastercard. Туда же следует посылать и карты с первыми цифрами 67 — это унаследовано от Maestro и в картах этого типа применяется до сих пор.

У карт «Мир» номера начинаются с 22; 35 идентифицируют японскую JCB; 34 или 37 — American Express; 62, 63 или 68 — Union Pay, и т. д. и т. п. Во всех кодах разбираться не обязательно: банки обычно работают с ограниченным количеством платежных систем, так что, столкнувшись с чем-то незнакомым, терминал просто сообщит, что такая карта не обслуживается. И вся таблица прошита в ПО терминала, так что выбор занимает считанные микросекунды. Поэтому от ручной обработки карт давно ушли даже там, где люди остались: время — деньги. И перенастраивается всё легко. Заключила НСПК (оператор карт «Мир») соглашения о совместной работе с армянской ArCa и беларуской «Белкарт» — и сразу же (после первого же обновления ПО) все российские терминалы узнали, что́ нужно делать с их кодами, начинающимися с 9051 или 9112. А до этого — не знали. Зеркальным отражением этого стало то, что отечественные карты начали работать во всех терминалах, обслуживающих ArCa и «Белкарт», причем для этого не потребовались отдельные договоры на уровне банков-участников. В принципе, для того и нужны платежные системы — и тем удобна их интеграция на таком уровне. Хотя интеграция возможна и на более низком уровне: кобейджинговые карты «умеют» работать в двух системах, имея номер, относящийся к одной из них. Но это чуть более сложный случай, чреватый неожиданностями. Например, карты «Мир—JCB» и «Мир—Maestro», как правило, имели номера из диапазона JCB и Maestro соответственно, так что к бонусной программе «Привет, Мир!» не привязывались и в акциях не участвовали. А совместные «Мир—UnionPay» Россельхозбанка нельзя привязать, например, к Huawei Pay для бесконтактной оплаты смартфоном.

Похожее:  Что значит неуспешная авторизация тинькофф при переводе

Впрочем, это уже начались те самые тонкости, от излишнего углубления в которые на первых этапах мы обещали воздержаться. Поэтому пока на этом остановимся. Главное, что следует понимать: номер карты — это практически основной и единственный ее атрибут, целиком и полностью определяющий ее возможности. При этом номер — слишком простой реквизит. Зачастую он еще и нанесен на саму карту, так что увидеть его может любой желающий. И воспользоваться в своих целях — тоже. Может быть, правы те, кто утверждает, что использование карт очень опасно? Не совсем. Для того чтобы проблемы не возникали, необходимы и используются комплексные системы безопасности. Как положено, они тем более сложные, чем больше рисков несет в себе операция. К примеру, пополнение карты по номеру абсолютно безопасно для ее держателя — ведь это приход денежных средств, а не расход. Поэтому тут вовсе никакие схемы не нужны, достаточно одного лишь номера.

С расходными же операциями все сложнее, так что для них используются те или иные способы подтверждения транзакции держателем. Эволюция карт и технологий оплаты тоже в основном происходила по пути повышения безопасности. А кроме всего этого, для сложных ситуаций у каждой платежной системы есть огромные талмуды по правилам переноса ответственности, которые объясняют, кто именно будет крайним в спорных случаях. Иногда им оказывается продавец и его банк (эквайер), а иногда покупатель и его банк (эмитент карты). Но главное в правилах переноса ответственности — они заставляют банки внедрять все технологические обновления безопасности, дабы постараться в максимальном количестве случаев снять ответственность с себя. Касается это обеих сторон, вступающих в итоге в своеобразную гонку. Поэтому и внедряется всё очень быстро.

Чтобы разобраться с этим вопросом предметно, но без излишнего количества подробностей, рассмотрим один из примеров эволюции: переход от «полосатых» карт (снабженных только магнитной полосой) к «чиповым» (с микропроцессором). Первые активно использовались в прошлом веке и первом десятилетии нынешнего, но, несмотря на длинную историю, некоторое время назад практически полностью ушли с рынка — в первую очередь из-за отсутствия защиты. Все платежные реквизиты (и номер, и дополнительные) хранились на магнитной полосе в открытом виде. Все их считывал любой терминал, в том числе и мошеннический — попадись такой на пути пользователя. А далее на базе сохраненной информации можно сделать полноценный клон карты, записав информацию в таком же открытом виде на новую болванку. Ответственность за операции по клону всегда нес эквайер, поэтому появлялись требования защищать сами карты (всевозможные голограммы, логотипы и прочие мелкие детали), а продавцов заставляли изучать эти защитные особенности, тратя на это время. Но время — деньги. Да и живой кассир — тоже они же. Поэтому всё большее распространение начали получать автоматические кассы и прочие терминалы самообслуживания. А в них дотошно проверять карту уже некому. В интернете — тем более.

Нужно было решать проблему радикальным путем. Благо к этому моменту сильно подешевели микропроцессоры — вот они на картах и появились. Чем обработка чиповой карты отличается от полосатой? Да всем! Информация хранится уже в зашифрованном виде, причем терминалу карты передают исключительно закодированные последовательности (токены), на основании которых восстановить полные реквизиты вообще невозможно. В итоге, кроме всего прочего, полный клон чиповой карты изготовить невозможно. По крайней мере, за пару десятилетий никому еще взломать систему защиты не удалось (а когда удастся — придумают новую).

Всё идеально. За исключением нескольких нюансов, часто тормозящих внедрение новых технологий. Во-первых, сами микропроцессорные карты стоят дороже. Во-вторых, терминалы для их обработки первое время стоили намного дороже. Последнее, в частности, приводило к необходимости обеспечить совместимость новых карт со старым оборудованием. Реализовать ее было просто: на всех чиповых картах основных платежных систем долгое время присутствовала и магнитная полоса. Одна проблема: режим совместимости полностью лишал защиты против действий злоумышленников.

Как все эти проблемы удалось решить за короткий срок? Очень просто: правилами переноса ответственности. Точнее, одним из правил: за проведение с чиповой картой операции по полосе ответственность всегда лежит на продавце. В итоге банкам стала выгодна эмиссия карт с микропроцессорами: хоть они и обходятся дороже, зато снимается немалое количество проблем с мошенническими транзакциями. Но как только таких карт на рынке стало много, за новым оборудованием побежали продавцы, которых начала не устраивать презумпция виновности. В итоге буквально за несколько лет произошел полный переход на изначально более дорогие технологии — которые еще и быстро подешевели за счет массовости. А не будь такого руководящего и направляющего «подталкивания» — так и продолжали бы использоваться полосатые карты, а основной работой банков стала бы возня с опротестованием мошеннических транзакций.

И совсем уж замечательно, что технологические инновации чаще всего имеют не только основной, но и массу побочных эффектов. Например, заодно удалось решить проблему с торговыми автоматами и прочим оборудованием. В них для подтверждения операций всегда использовался PIN-код — просто не было возможности организовать другие проверки. И он же применялся в банкоматах, что делало пользование автоматами очень рискованным: купил по дороге бутылку воды, а через пару дней кто-то обналичил все средства со счета по клону карты. Но микропроцессорные модели не клонируются, что сделало такие операции безопасными и очень популярными: немного вложившись на этапе внедрения чиповых карт, торговые сети в итоге получили возможность сэкономить на кассирах и т. п. Сейчас распространенность автоматических устройств с поддержкой карт никого не удивляет, хотя совсем недавно (по историческим меркам) их практически не было.

Можно ли считать проблему фрода (т. е. мошеннических транзакций) полностью решенной? Нет. Опасность по-прежнему есть, однако теперь это требует более сложной преступной деятельности. Например, карманнику в супермаркете надо подсмотреть PIN-код (при вводе его клиентом на кассе), затем аккуратно извлечь карту из кармана владельца и бежать к ближайшему банкомату. Но техника на месте не стоит, так что подобные сценарии становятся всё более экзотическими. Скажем, добавилось использование бесконтактных технологий в паре с разрешением проводить по таким картам мелкие транзакции (на которые, тем не менее, приходится огромная часть суммарного оборота) без дополнительного подтверждения. Вследствие этого в описанной выше ситуации уже нет риска, что с карты обналичат крупную сумму: весь потенциальный «улов» преступника — это возможность сделать одну или несколько мелких покупок. Последствия для владельца карты меняются с крайне опасных на максимум неприятные. Да и уважающий себя карманник рисковать ради подобных мелочей просто не станет, так что общий уровень безопасности пользователя радикально увеличивается.

Словом, из мира физического чисто карточный фрод практически исчез. На данный момент либо можно вовсе не принимать во внимание эти риски, либо уже существуют технологии, сводящие их до нуля. А вот в виртуальном мире доля мошеннических транзакций очень велика, и в абсолютном исчислении она даже растет. Но растет она во много раз медленнее объема карточных платежей. Проще говоря, работай все до сих пор с технологиями прошлого века, нынешние обороты интернет-торговли были бы в принципе невозможны. Причем реальный и виртуальный мир в этом плане постоянно бы пересекались. Например, мелкая покупка в интернет-магазине могла бы приводить к появлению клона карты где-то за тридевять земель — со всеми вытекающими. И наоборот: чиркнул картой по платежному терминалу, а потом кто-то по ее реквизитам что-то крупное оплатил в интернете. Сейчас такое невозможно, а «чистые» интернет-транзакции подтверждаются более серьезными методами, нежели «офлайновые». Впрочем, большинство мошеннических действий давно уже тоже комплексные, а не просто «увели номер и воспользовались им». Сейчас мошенникам приходится попотеть, чтобы пользователь лично подтвердил транзакцию, так что к чисто карточным технологиям эта угроза относится лишь отчасти. К сожалению, одной лишь техникой от методов социальной инженерии защититься невозможно (а от терморектального криптоанализа — тем более).

Похожее:  Личный кабинет СпидиЛайн: вход, регистрация, официальный сайт

Что же касается технологий обработки карт, то с ними в первом приближении все достаточно просто. В общем случае в транзакции участвуют пятеро: продавец, банк-эквайер (тот, кто обслуживает продавца), платежная система, банк-эмитент (который выпустил карту) и держатель карты (условный покупатель — который своими деньгами и распоряжается). Задача продавца очень простая: обеспечить эквайеру техническую возможность обработать карту и сообщить ему нужную сумму операции. Задача эквайера — обратиться к соответствующей платежной системе (определить ее легко) с запросом на списание указанной суммы. Платежная система переадресует запрос к банку-эмитенту, который, исходя из платежного баланса конкретной карты, сообщает, возможна она или нет. Если нет — то на нет и суда нет. Если да, то происходит авторизация: эквайер запрашивает у держателя подтверждение и готовит необходимые документы, а эмитент снижает баланс на нужную сумму. В современных условиях все эти процедуры могут занять всего несколько секунд, но на деле это лишь первый этап. На втором этапе, который может занимать несколько дней, уже не участвуют ни продавец, ни держатель — просто подтверждающие документы проходят свой путь от эквайера до эмитента, а затем в обратный путь направляются деньги. На третьем же этапе продавец получает от «своего» банка нужную сумму на счет, а у держателя возникает задача расплатиться со «своим» банком. Последнее, если карта дебетовая, выполняется автоматически: нужная сумма физически списывается со счета. Считается, что она там гарантированно есть — ведь нужное количество денежных средств было заблокировано на первом этапе. Правда, в случае мультивалютных операций за время, прошедшее между авторизацией и списанием, могли измениться курсы валют, так что списать потребуется больше денег, чем заблокировано (если меньше, то проблем, естественно, не возникает). Однако дебетовые карты — лишь один из возможных вариантов, хотя и наиболее популярный в нашей стране несмотря на то, что дебетовые карты появились гораздо позже кредитных. С кредитными же — своя история, тоже важная для комфорта и отсутствия подводных камней.

Таким сложным и многоэтапным является общий случай. Есть и специальные виды транзакций. Например, при получении денег в банкомате выполнить полный цикл невозможно: деньги нужны сразу. В итоге банк (владелец банкомата) фактически кредитует держателя карты под гарантии платежной системы — которая, в свою очередь, «уверена» в получении нужной суммы от эмитента. Но иногда всё идет не так начиная с этапа авторизации — когда нет связи с эмитентом, а то и вообще с платежной системой. Для части карт это приводит к невозможности проведения операции. Другие же всё равно позволяют ее выполнить, если сумма ниже заданного лимита. Как эквайер должен разделять эти ситуации? По BIN карты — мы недаром выше упоминали, что в него заложена информация не только о платежной системе и банке-эмитенте, но и некоторые служебные данные. Для держателя же такие операции несут определенный риск: раз нет авторизации, значит нет и проверки платежного баланса (к эмитенту могут прийти уже готовые документы на списание), так что можно потратить больше доступного. И с этим позднее придется разбираться.

Есть и еще один частный (но тоже частый) случай редуцированного процесса: блокировка. Блокировка используется, например, когда клиент заселяется в гостиницу: при выезде он расплатится за номер и потребленные по факту дополнительные услуги, но подготовиться к этому процессу желательно заранее — чтоб потом не оказалось, что денег не хватает ни на оплату номера, ни на оплату мини-бара. Для этого выполняется авторизация на сумму с запасом, но документы никуда отправлять не нужно и физического списания не будет никогда. Правда, некоторые отели забывают перед оплатой отменить гарантийную авторизацию, если она и последующая оплата вписываются в платежный баланс вместе — а держатель карты потом с месяц лишен доступа к своим деньгам. Казалось бы, придумано для минимизации количества грабель. Но на деле проблемы минимизируются для гостиницы, а пользователю остается только учитывать этот нюанс — и быть готовым при необходимости напомнить о своих интересах.

Так что при всей кажущейся простоте деталей много. Обыденная операция «достал карту и приложил к терминалу» на деле запускает целую цепочку событий. Нужно ли знать все эти детали в совершенстве? Конечно нет! Будь это необходимо, карты ни за что не сумели бы занять свое сегодняшнее место в жизни, поскольку для их максимального распространения как раз и нужна та самая внешняя простота. Но немного разбираться в том, когда, что и как происходит, все-таки полезно. Это сделает процесс более комфортным и позволит избежать (в той степени, в которой это зависит от пользователя) ряда потенциальных проблем. Принцип «меньше знаешь — крепче спишь» работает далеко не всегда и чреват неприятным пробуждением. Поэтому спать мы не будем, а продолжим изучение затронутых вопросов в следующих частях — как обычно, от простого к сложному.

Часть 3: продолжаем разговор о карточных реквизитах и их исторической миссии →

P2h (pos to host)

Информационные обмен между POS-терминалом и ПЦ. Именно он инициирует всю информационную цепочку в рамках эквайринга.

P2H может выполнятся как по внутренним протоколам конкретного эквайрингового хоста, так и базироваться на протоколе ISO 8583. В этом случае подразумевается кастомизация данного протокола, одной из характерных особенностей которой является использование отсутствующего в спецификациях ПС Поля 24 (Код функции, Function Code), анализируя которое хост «понимает», как именно следует обработать данный-конкретный запрос. Заполнение Поля 24 зависит от спецификации вендора (разрабочика/поставщика) того или иного ПЦ, поэтому опишем лишь общий принцип.

Допустим, POS отправил сообщение 0200, в котором Поле 3 = 00x и Поле 24 = 200. Хост «поймет», что это операция Покупки и отправит его на обработку в соответствии с прочими условиями, такими как принадлежность карты (On-Us/Off-Us, т.е. карта «наша» (On-Us) либо стороннего эмитента(Off-Us)), ПС и т.д.

Другой пример: POS прислал сообщение 0200, в котором Поле 3 = 20x и Поле 24 = 200. Хост идентифицирует данную операцию как Возврат.

Либо: POS прислал сообщение 0400, Поле 3 = 00x, Поле 24 = 400 – это Reversal (Отмена) на полную сумму покупки. Если 0400 Поле 3 = 00x, Поле 24 = 401 – это Reversal на часть суммы покупки. Несмотря на условность приведенных данных, полагаем что сам принцип понятен.

Другой характерной особенностью является кастомизация ряда полей протокола ISO 8583, например ранее упоминавшегося Поля 3, в котором становится допустимым использование других значений, отличающихся от таковых на онлайн-интерфейсах ПС. Тоже самое может касаться и Полей 47 и/или 48, использование которых в рамках P2H несет иную функциональность, нежели чем в спецификациях ПС. Аналогичное справедливо и относительно ряда других полей протокола ISO 8583.

Таким образом, важный момент, который следует принять во внимание, заключается в том что P2H-диалект протокола ISO 8583 НЕ ОБЯЗАН быть тождественным диалекту той или иной ПС. То есть, допустим, при обработке POS-терминалом карты Visa набор элементов в p2h-сообщении совершенно не обязательно будет соответствовать спецификации ПС Visa. При этом обмен данными с ПС в рамках Host to Host обязан выполнятся в точном соответствии с требованиями той или иной Платежной системы.

Похожее:  МосОблЕИРЦ - официальный сайт

Основные типы сообщений, которые так или иначе используются всеми ПЦ, базирующимися на ISO 8583, версии 1987 г.:

Основные типы сообщений, которые так или иначе используются всеми ПЦ, базирующимися на ISO 8583, версии 1987 г.:

Rrn платежа, код авторизации и другие параметры карточной операции — возможности банка открытие

RRN платежа.
RRN (Reference Retrieval Number) – это уникальный идентификатор банковской транзакции, который назначается банком Эквайрером при инициализации платежа. RRN принимает цифробуквенное значение, состоящее из 12 символов (цифры и буквы латинского алфавита). RRN может быть запрошен при необходимости Торгово-сервисным предприятием (ТСП) у банка Эквайрера. Также этот параметр, помимо прочих, можно найти в свойствах платежа в личном кабинете PayKeeper, перейдя на вкладку «Параметры операции» или «Параметры запроса».

Авторизация банковской карты: что это, вопросы и ответы

RRN может потребоваться, например, для уточнения корректности произведенной транзакции по платежу – в этом случае организация делает запрос в банк, указывая идентификатор транзакции. Также RRN удобно использовать для поиска платежа в личном кабинете PayKeeper.

Авторизация банковской карты: что это, вопросы и ответы

Код авторизации.
При проведении карточной операции ей присваивается код авторизации. Последний назначается банком Эмитентом, является результатом успешно пройденной процедуры авторизации и может служить, в том числе, идентификатором проведенного платежа.
Код авторизации представляет собой строку, состоящую из 6 цифр и букв латинского алфавита. Пример кода авторизации: 95F69T. Код авторизации, в большинстве случаев, может быть найден в личном кабинете интернет-банкинга плательщика среди параметров платежа. Также код авторизации может быть запрошен в банке Эмитенте.
В личном кабинете PayKeeper код авторизации можно найти на вкладке «Параметры операции». В открывшемся окне среди прочих параметров платежа код авторизации может обозначаться по-разному, в зависимости от того, каким образом он транслируется в инфраструктуре Эквайрера: AuthCode (Промсвязьбанк, Московский Кредитный банк), APPROVAL_CODE (Русский стандарт), APPROVAL (ВТБ24), approvalCode (Cбербанк, РосЕвроБанк, Банк Открытие).

Авторизация банковской карты: что это, вопросы и ответы

В общем случае, два вышеописанных параметра – RRN транзакции и код авторизации платежа – позволяют однозначно идентифицировать карточную операцию в инфраструктурах Эмитента и Эквайрера. Один из распространенных случаев, когда могут понадобиться RRN и Код авторизации – уточнение в банке Эмитенте статуса возврата денежных средств по произведенному платежу. Операции возврата также могут назначаются оба параметра. Плательщик имеет возможность предоставить в банк, выпустивший его карту, данные RRN и Кода аторизации возврата и получить по последнему точную информацию.

Результат авторизации 3D-Secure.
В некоторых случаях частью проведения карточной операции может являться процедура проверки кода 3D-Secure. Последняя является дополнительно мерой безопасности, созданная для того, чтобы исключить возможность мошеннических операций с картами.
Результатом проверки 3D-Secure могут быть следующие ответы Эмитента:
NOT PARTICIPATED – данный статус означает, что банковская карта не участвует в программе 3D-Secure. В основном, такими картами в настоящее время являются карты иностранных банков Эмитентов, выпускавших свои карты еще до введения 3D-Secure авторизации (например, некоторые карты AmericanExpress). В настоящее время поддержка 3D-Secure картами, выпущенными на территории РФ, является обязательной.
ATTEMPTED – данный статус присваивается результату проверки в том случае, если карта включена в программу 3D-Secure только номинально. По факту же операция проверки кода 3D-Secure в этом случае лишь эмулируется. Подобные карты могут выпускаться банками Эмитентами для того, чтобы они соответствовали современным стандартам безопасности интернет-эквайринга. В большинстве случаев эмиссия таких карт означает, что в банке Эмитенте только частично реализована поддержка 3D-Secure, или некоторые аспекты реализации программы 3D-Secure находятся в тестовом режиме.
AUTHENTICATED – статус присваивается результату проверки кода 3D-Secure, если авторизация прошла успешно.
DECLINED – статус означает, что авторизация 3D-Secure прошла неуспешно. Например, был неверно введен код авторизации либо плательщик отменил операцию проверки принудительно, нажав на ссылку отмены или закрыв страницу ACS (Access Control Server) банка Эмитента.
В личном кабинете PayKeeper результат авторизации 3D-Secure отображается на вкладке «Параметры операции» и отмечен тегом «3DSECURE».

Авторизация банковской карты: что это, вопросы и ответы

Номер карты, имя держателя, срок действия.
Информация о карточной операции обязательно включает в себя основные характеристики самой карты, с помощью которой эта операция производится: номер карты, имя держателя карты и срок действия. Перечисленные параметры и код CVN/CVC (Card Verification Number/Card Verification Code) обычно требуется указать на платежной странице банка. Указанная плательщиком информация в дальнейшем сохраняется в качестве свойств карточной операции после завершения процедуры оплаты.
В личном кабинете PayKeeper эту информацию можно найти на вкладках «Параметры операции» и «Параметры запроса».
Например, если банком Эквайрером является Сбербанк, то срок действия карты будет отображаться на вкладке «Параметры запроса» под названием «CardAuthInfo/expiration». Первые четыре цифры будут относиться к году, последние две – к месяцу.

Авторизация банковской карты: что это, вопросы и ответы

Если торговая точка проводит свои платежи через ВТБ24, то имя держателя карты, по которой была произведена банковская операция, можно найти на вкладке «Параметры операции» под тегом «CARD_HOLDER».

Авторизация банковской карты: что это, вопросы и ответы

Номер карты в личном кабинете PayKeeper также отображается на вкладке «Параметры операции» под тегом «CARD_NUMBER»

Авторизация банковской карты: что это, вопросы и ответы

Авторизация банковской карты

Авторизация банковской карты – это разрешение банка-эмитента на проведение операции по ней. Процедура необходима, если сумма платежа превышает установленный платежной системой или банком лимит – сумму транзакции, при которой может быть совершена без авторизации. Независимо от счета клиента, банк обеспечивает торгово-сервисному предприятию возврат средств в пределах неавторизованного лимита.

Авторизация также требуется при применении карты с магнитной полосой, так как данные о счете она не хранит.

Авторизация проводится двумя способами:

  • Голосовая. Сейчас такой метод почти не используется. Он требует звонка в процессинговый центром по телефону и дальнейшей передачи данных вручную при помощи импринтера. Этот прибор переносит информацию о карте на бумажный носитель, создавая оттиск (слип)
  • Автоматическая. Для отправки запроса используется POS-терминал, который соединяется онлайн с процессинговым центром, передает информацию и получает подтверждение операции в режиме реального времени

Результатом процедуры является буквенно-цифровой авторизационный код. Он печатается на чеке и подтверждает проведенную авторизацию.

Не всегда авторизация проходит успешно – банк может отказать, и клиент не сможет совершить платеж. Причины могут быть следующие:

  1. Недостаток средств на счете – сумма запрашиваемой операции превышает текущий баланс
  2. Блокировка карты – она непригодна для использования
  3. Холдирование – на карте временно заморожена сумма предыдущей покупки, а остатка недостаточно для совершения нового платежа
  4. Истекший срок действия карты
  5. Превышение суммой транзакции установленного лимита

Авторизация банковской карты необходима не только для получения одобрения на проведение операции, но и для защиты денег клиента от мошеннических действий. Именно поэтому банкомат или POS-терминал просит введения PIN-кода, а покупки в интернете подтверждаются одноразовыми SMS-паролями.

Источники

Сроки авторизации и перевода

В основном срок выполнения авторизации не превышает несколько секунд. Однако бывают случаи, когда процесс значительно затягивается, заставляя клиента ожидать целый день. Здесь все зависит от банковского терминала.

Транзакция считается более затяжной процедурой и в среднем занимает от 1 до 5 рабочих дней, но есть организации, способные действовать куда быстрее.

Одной из таких является Тинькофф банк, который использует особую технологию. Благодаря ей операции обрабатываются в момент проведения авторизации и занимают примерно полчаса. Кроме этого ускоряется конвертация валют, а кэшбэк рассчитывается без промедлений.

На скорость обработки платежей влияют следующие факторы:

  1. Время. В период с 05:00 до 21:00 по московскому времени финансовая компания может ускорить обработку платежных операций.
  2. Покупки клиента. Если клиент оплачивает покупки в таких категориях, как аренда машины, турагентства, отели, транспорт авиабилеты, переводы и снятия наличных, а также заправки, обработка может продлиться до 5 рабочих дней.

Обработка покупок из других категорий займет всего полчаса.

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (1 оценок, среднее: 4,00 из 5)
Загрузка...

Добавить комментарий

Ваш адрес email не будет опубликован.

Adblock
detector