Стандарты безопасности для расчетов через Интернет

Дальнейшее становится уже достаточно рутинным: если выбор был правильным, банк-спонсор и его процессинг имеют достаточный опыт в реализации подобных проектов, в течение 2-4 недель банку следует ожидать успешного исхода сертификации и назначения даты начала операций (Live Date). К сожалению, эта дата не всегда полностью зависит от банка-спонсора, есть еще одна сторона, которая влияет на процесс, - производитель пластика. Если по тем или иным причинам поставка пластика задерживается, то это может повлиять на Live Date вне зависимости от исхода прочих сертификационных работ.

Банк, вступающий в Visa, не сможет пройти сертификацию пластика, а банк, вступающий в MasterCard, - провести сертификацию пластика и так называемую финальную демонстрацию (End-To-End Demonstration).
При выполнении всех требований в рамках проекта дата начала операций назначается на дату, отстоящую примерно на две недели от даты завершения сертификации. О дате начала операций платежные системы уведомляют банк письмом. Если банк успешно прошел все описанные выше этапы, то в указанную в письме платежной системы дату первая карта с логотипом банка и выбранной им международной платежной системы увидит свет. Последний совет: банк должен опробовать первые карты на себе, а не на своих самых уважаемых клиентах.

В платежных системах существует определенная инертность, из-за которой карта может быть не принята с обидной для банка формулировкой: такого эмитента не существует. Причина - использование банком-эквайрером необновленных таблиц БИНов. Проблема эта решится без участия банка в течение 1-3 недель, и далее уже ничто не будет препятствовать использованию карт.

Стандарты безопасности международных платежных систем для расчетов через Интернет

С учетом все возрастающих объемов оплат покупок через сеть Интернет международными платежными системами были разработаны и внедрены новые стандарты Visa 3D и MasterCard Secure Code Program. С 1 апреля 2003 г. платежная система Visa обязала своих членов при осуществлении эквайринга интернет-магазинов реализовать поддержку протокола 3D-Secure и получить статус Verified by VISA (VbV) по эквайрингу.
Суть новой технологии состоит в том, что она делает более безопасными расчеты в сети. До этого основные риски по мошенничеству нес банк-эквайрер, который на свой риск проводил (или не проводил) платеж. Как только эквайрер реализует у себя протокол 3D-Secure, большинство рисков начинает нести банк - эмитент карты. В этом случае при попытке использования пластика для расчета в сети покупатель переадресовывается на сервер банка-эмитента, который и будет идентифицировать владельца, решать, принимать его карту к оплате или нет. Таким образом, именно банк - эмитент карты осуществляет проверку законности использования карты.

Проверка может проводиться путем ввода ответа на заранее известный эмитенту и держателю карты вопрос. По результатам проверки эмитентом формируется специальный код, который пересылается эквайреру в качестве подтверждения законности транзакции, причем все данные ответа подписываются секретным ключом эмитента, что делает невозможным их изменение.
Технология построена таким образом, что держатель карты вводит данные пластиковой карты непосредственно на сервере банка. Затем данные пересылаются эмитенту через закрытый домен Visa, и платеж проводится только после подтверждения его законности от эмитента, что служит гарантией защиты от несанкционированного использования карты как самим магазином, так и третьими лицами. Соответственно уменьшается число тех претензионных платежей в интернет-магазинах, от которых держатель карты отказывается - операций charge back и за которые эквайрер штрафовался.

Это позволяет платежной системе снизить материальную ответственность банков-эквайреров, которым, в свою очередь, предоставляется возможность подключать интернет-магазины с большим оборотом на более выгодных условиях.
Другой плюс новой технологии для банков-эквайреров состоит в том, что теперь они смогут на безопасном уровне работать с электронными магазинами не только через специализированные платежные системы, но и напрямую. В этом случае комиссия магазина полностью поступает банку-эквайеру.

Новую технологию безопасности электронных платежей разработала не только Visa, но и основной ее конкурент MasterCard. В своей программе MasterCard Secure Code Program компания разрешает использование протокола 3D-Secure наряду с собственным протоколом UCAF. Следует отметить, в отличие от Visa MasterCard пока не настаивает на том, чтобы банки переходили на новые технологии.

Система лишь рекомендовала переходить на них с 1 июля 2004 г., однако ввела значительные штрафы за превышение показателей по платежам в Интернете, которые будут заявлены клиентами как chargeback.
Внедрение новых технологий снимет один из основных барьеров развития интернет-коммерции: обезопасит платежи, снизит бремя материальной ответственности банков-эквайреров, что, в свою очередь, даст возможность подключать интернет-магазины с большим оборотом на более выгодных условиях.
Практика банков, освоивших данную технологию, показывает, что расходы на сертификацию по эквайрингу окупаются в пределах полугода.
Для лучшего понимания основных положений стандартов рассмотрим типичную последовательность операций при проведении платежа.
При проведении электронного платежа картодержатель обычно совершает несколько последовательных шагов:
1. Выбор товара (Shaping) - как правило, осуществляется на сервере электронного магазина. В результате операций формируются корзина покупателя или карта услуг.
2. Формирование счета (Checkout) - осуществляется с использованием информации корзины покупателя, а также дополнительных данных, которые покупатель предоставляет электронному магазину (адрес, имя и т.д.). Магазины также могут применять методы регистрации покупателей, информация о покупателе сохраняется на сервере магазина и в последующих случаях может быть использована для подтверждения покупателем.
3. Оплата (Online Payment) - владелец карты осуществляет платеж путем указания данных карты на специальной платежной странице.
Для проведения онлайн-платежа магазины могут использовать несколько решений:
собственное программное обеспечение - магазин имеет собственное программное обеспечение для обмена данными с процессинговым центром и страницу для ввода клиентом данных своей карты. В этом случае данные карты клиента могут сохраняться на сервере магазина;
использование программного обеспечения банка-эквайрера - в данном случае используется платежный механизм, предоставляемый банком-эквайрером. Клиент использует платежную страницу банка, которая уже содержит данные счета покупателя, предварительно переданные магазином;
использование программного обеспечения платежной системы - случай аналогичен использованию программного обеспечения банка-эквайрера, но для платежа используется программное обеспечение платежной системы, т.н. Payment Service Provider (PSP).
Для продвижения вперед программ электронной коммерции, компания Visa разработала программу Secure e-Commerce Initiative. Основная цель программы - увеличение числа электронных транзакций, обеспечение безопасности и увеличение числа участников электронной торговли.
Одной из частей данной программы является программа аутентификации платежей Visa Authenticated Payment Program, которая осуществляет аутентификацию клиента в соответствии с моделью 3D (Three Domain Model)
Протокол 3D-Secure был разработан компанией Visa в целях повышения безопасности платежей, проводимых в сетях Интернет, и мобильной коммерции. 3D-Secure - это технология аутентификации клиента, которая использует протокол SSL (Secure Sockets Layer) для защиты данных, передаваемых по открытым каналам, и модуль Merchant Plug-in (MPI), который осуществляет:
- передачу данных между поставщиком услуг и участниками системы;
- защиту конфиденциальных данных картодержателя (номер карты и т.д.).
Протокол использует в сети Интернет структуру следующих трех доменов:
домен эмитента;
домен эквайрера;
общий домен.
Домен эмитента используется для обслуживания запросов картодержателей к сервису аутентификации. Данный процесс включает в себя:
- идентификацию пользователя в процессе обращения к сервису (т.е. пользователь должен ввести данные, которые однозначно определяют его в базе данных эмитента);


1. Аутентификация владельца карты в соответствии с моделью 3D

- аутентификацию в процессе платежа, т.е. клиент должен подтвердить разрешение на проведение платежной операции по своей карте путем ввода секретного кода (аутентификация может быть проведена несколькими способами: ввод секретного кода, использование смарт-карты для формирования криптограммы и т.д.).
Домен эквайрера используется для обслуживания торговых точек:
- обеспечивает процедуры для функционирования торговых точек в соответствии с протоколами, установленными стандартом;
- осуществляет процессинг транзакций, прошедших аутентификацию.
Общий домен обеспечивает взаимодействие двух других доменов путем предоставления средств передачи данных запросов и общих протоколов взаимодействия.

Интересные записи

• Прохождение платежной транзакции
• Национальные особенности карточного рынка и бизнеса
• Законодательство, нормативная база, надзор
• Зачем банку эмитировать карты
• Определение продуктового ряда

Содержание раздела

---