Карты с магнитной полосой и технология работы
В платежных системах банковских карт номер карты начинается с 6 цифр, обозначающих BIN*(34)
(идентификационный номер банка). Заканчивается номер карты контрольной цифрой, которая вычисляется исходя из предыдущих цифр с помощью несложного алгоритма (называемого Luhn-алгоритмом).
Физическая персонализация производится эмбоссированием (тиснением). Эмбоссированные символы - выпуклые, подкрашиваются специальной краской (обычно серебряной, черной или золотой). Эмбоссирование играет важную роль: оно необходимо не только для визуальной идентификации персональных данных о держателе лицом, совершающим операцию со стороны точки приема (например, кассиром), но и для переноса персональных данных с карты на первичный документ, называемый слипом (в случае голосовой авторизации операции по карте).
Слип вместе с картой помещается в специальную прокатную машинку, называемую импринтером. После прокатывания эмбоссированные символы переносятся на слип.
Некоторые карты, называемые обычно электронными, могут в соответствии с правилами приниматься только в электронных устройствах (банкоматах, кассовых аппаратах, платежных терминалах). Именно в этой связи эмбоссирование таких карт производится специальным образом - так называемым индентированием, при котором символы получаются не выпуклыми, а как при печати на пишущей машинке на листе бумаги - практически плоскими. Импринтер не в состоянии перенести индентированный на карте текст на слип, что не позволяет совершать операцию без использования электронных устройств.
Иногда вместо индентирования используется печать тех же данных графическим принтером.
При электрической персонализации кодируется магнитная полоса или осуществляется запись информации в микросхему. Магнитная полоса содержит 3 дорожки, но на практике используются или одна вторая дорожка, или две - первая и вторая.
В соответствии со стандартом ISO 7813 на первой дорожке записываются следующие данные: номер карты, фамилия и имя держателя, срок истечения действия карты, сервис-код (максимальная длина записи - 89 символов); на второй дорожке - номер карты, срок истечения действия, сервис-код (всего до 40 символов)*(35). Сервис-код - это код из трех цифр, определяющий допустимые для данной карты типы операций, например: первая цифра 1 - международная карта, вторая цифра 2 - операции требуют авторизации у эмитента, третья цифра 0 - подтверждение держателя с использованием ПИНа.
Помимо определенных в стандарте величин на магнитной полосе могут записываться некоторые другие коды, например PVV (PIN Verification Value) или CVC (Card Verification Code).
Вторая дорожка содержит номер карты, срок истечения действия карты, сервис-код (всего - до 40 символов), который представляет собой цифры, определяющие допустимые для данной карты типы операций.
Первые две дорожки содержат полный набор идентификационных данных. На третьей дорожке в соответствии со стандартом ISO 4909 предполагалось размещать данные об использовании карты (такие, как сумма), доступные к авторизации, и количество доступных попыток представления ПИНа. Однако если данные с первых двух дорожек считываются современными устройствами по приему карт, третью дорожку, зарезервированную авторами стандарта для будущего использования, так и не стали применять ввиду незащищенности данных на ней от фальсификации.
Физическая и электрическая персонализации выполняются обычно на специальном оборудовании - эмбоссере.
Все этапы подготовки карт к выпуску непосредственно связаны с безопасностью. На карте есть немало элементов, обеспечивающих безопасность: это и микротекст как элемент дизайна карт, и голограммы, и символы, видимые в ультрафиолетовых лучах, и специальные эмбоссируемые символы. Первым этапом подготовки карт к выпуску является их заказ. Если речь идет о картах какой-либо платежной системы, то последняя предоставляет эмитенту список сертифицированных производителей.
Такие производители постоянно контролируются представителями платежных систем.
Доставка и хранение карт, контроль на всех этапах персонализации - также важные составляющие комплекса мероприятий служб безопасности эмитентов.
После того как карта выдана держателю, она привязывается к некоторому банковскому счету (часто называемому картсчетом). В любой момент времени карта имеет определенный платежный лимит. Всякая совершаемая с картой операция уменьшает платежный лимит на сумму операции.
В зависимости от режима картсчета платежный лимит увеличивается при пополнении картсчета или погашении задолженности, или при наступлении нового периода, например месяца.
Карты с магнитной полосой и технология работы
Перед совершением операции с платежной картой осуществляется авторизация - получение разрешения на операцию. При использовании традиционной технологии минимально необходимыми данными для авторизации операции являются номер карты, срок действия (истечения действия) и сумма операции. Авторизацию по поручению точки приема карты запрашивает банк-эквайрер.
Ответом на запрос авторизации, который дает эмитент, являются или положительный код авторизации, или сообщение об отказе (возможно, вместе с командой об изъятии карты). В случае положительного ответа на запрос авторизации выполняется собственно сама операция с картой. Ее результатом является первичный документ: либо полностью заполненный и подписанный слип, либо чек электронного кассового устройства или платежного терминала (POS-терминала*(36)), или банкомата*(37).
Основным видом авторизации является онлайновая авторизация, требующая связи кассира с центром авторизации.
В локальных платежных системах все операции относятся к типу on us*(38). В межрегиональных и международных платежных системах обычно только в небольшой части операции, принимаемые эквайрером, являются локальными. Система авторизации операций, как правило, имеет трехуровневую иерархическую структуру (на 1 и 2
показаны структуры информационных сетей на примере региональной и международной платежных систем соответственно).
В региональной платежной системе операция инициируется в точке приема, запрос принимается региональным процессинговым центром. Если операция не локальная, запрос направляется по телекоммуникационной сети в головной процессинговый центр. В случае если карта выпущена банком, обслуживаемым данным центром, он дает авторизацию.
Если же карта выпущена банком, обслуживаемым другим региональным процессинговым центром, запрос направляется туда.
В международной платежной системе операция также инициируется на нижнем уровне иерерахии. Запрос формируется в точке приема, передается эквайреру. Эквайрер через свой коммуникационный шлюз передает запрос в систему (специальный коммуникационный сервер). Шлюз эквайрера связывается со шлюзом, обслуживающим эмитента.
Ответ на запрос авторизации перемещается в обратной последовательности.
1. Структура системы авторизации в региональной платежной системе
2. Структура системы авторизации в международной платежной системе
Исторически первым (и широко распространенным до сих пор) способом авторизации является так называемая голосовая авторизация. При ее осуществлении кассир магазина звонит в банк или процессинговый центр банка и сообщает уже указанные выше номер и срок действия карты, идентифицирующие ее, сумму операции и номер точки приема (присвоенный банком-эквайрером перед началом обслуживания точки приема). Оператор центра авторизации (подразделение банка или процессингового центра) вводит запрос в систему и, получив от нее ответ, сообщает его кассиру.
Описанный способ авторизации является простейшим. Его достоинство - экономичность. К недостаткам можно отнести низкую эффективность и меньшую безопасность по сравнению с электронной авторизацией, о которой речь пойдет ниже.
Эффективность низка (а время выполнения операции соответственно велико) вследствие необходимости дозвониться в центр авторизации и получить по телефону ответ. Обратим внимание читателя на то, что данные о платежной операции вводятся дважды: кассир по телефону сообщает номер и срок действия карты и сумму операции (которую, заметим, он ранее получил на кассовом аппарате), оператор центра авторизации вводит те же данные с клавиатуры компьютера в систему. Дублирование ввода (при котором повышается вероятность случайной ошибки), естественные временные задержки на соединение, передачу данных и получение ответа и обусловливают сравнительно низкую эффективность выполнения операции, что в ряде случаев делает просто неприемлемым прием карт в оплату.
Особенно досадна низкая эффективность голосовой авторизации при выполнении операций со сравнительно малыми суммами (вряд ли с точки зрения магазина приемлема ситуация, когда из-за долгой авторизации операции на небольшую сумму создается очередь и клиенты, желающие выполнить покупки на гораздо более высокие суммы, отказываются от стояния в очереди и уходят, не сделав покупок).
Механизмом, направленным на преодоление подобного противоречия, стала офлайновая авторизация долимитных операций, при которой связь с центром авторизации для получения разрешения на операции с суммой ниже лимита авторизации (floor limit), определенного для данной торговой точки, не осуществляется.
Интересные записи
- Бесконтактные карты
- Спецификации EMV
- Подмножество спецификаций EMV
- Схема функционирования карт с электронными неналичными
- Российские платежные системы
