Платежные карты: Бизнес-энциклопедия - Проект

1 — клиент на сайте торговой точки производит выбор товара и формирование корзины покупок, затем он переходит на страницу оплаты покупки; 2а — данные суммы платежа, идентификатора покупки и идентификатора торговой точки передаются через браузер клиента модулю MPI[240], который осуществляет связь между торговой точкой и платежным сервисом с DS[241], для получении информации об участии банка-эмитента и данной карты в программе 3D-Secure; 2b — В случае наличия у банка-эмитента, зарегистрированного в платежной системе, сервера ACS[242] и присутствия номера карты в таблице выделенных для участия в программе диапазонов карт, запрос передается ACS соответствующего эмитента; 2с, 2d — данные карты клиента сравниваются с данными зарегистрированных карт для проведения аутентификации клиента. Ответ передается серверу DS, а затем модулю MPI. В данном случае сервер DS служит универсальным центром, подтверждающим данные, передаваемые ACS банка-эмитента и подписывающим ответ банка-эмитента ключом платежной системы; 3а, 3b — Данные запроса на аутентификацию клиента передаются через браузер на ACS. Фактически устанавливается прямой защищенный канал между клиентом и ACS банка-эмитента; 4 — Клиент вводит данные своего пароля или секретного кода, однозначно его аутентифицирующие; 5а, 5b — Данные ответа сервера ACS передаются модулю MPI для последующего принятия решения о проведении авторизации данной транзакции; 6 —Процессинговый центр банка-эквайера проводит стандартную процедуру авторизации платежа с использованием полей, возвращаемых MPI, для указания результатов проведения аутентификации клиента.

Для решения этой задачи платежными системами VISA и MasterCard была разработана принципиально новая схема, которая позволяла бы однозначно аутентифицировать владельца карты и торговую точку в процессе проведения платежа. Таким образом, можно разделить ответственность между участниками. Также необходимо отметить, что данная схема позволила использовать различные методы аутентификации не ограниченные жесткими рамками протокола обмена между хостом и платежным сервисом. Ниже приводится краткое описание третьей схемы взаимодействия участников при проведении платежной транзакции — при использовании протокола 3D-Secure.

Программа безопасности электронных платежей в среде Интернет была запущена компанией Visa в 2003 г., она получила название Verified by VISA (VbV) и базировалась на протоколе безопасного проведения платежных операций 3D-Secure. Аналогичную программу в 2004 г. начал использовать MasterCard данная программа получила название Mastercard Secure Code, в ее основе лежит использование того же типа протокола. Общая схема взаимодействия участников в процессе использования протокола 3D-Secure показана на рис. 3.

В случае, когда банк-эмитент не участвует в программах безопасности или не поддерживает протокол 3D-Secure, шаги 2b—5b не проводятся. Банк-эквайер указывает это в отдельном поле протокола авторизации платежной транзакции.

В настоящий момент сертификация, проводимая системой VISA для банков — эквайеров стала де-факто обязательной для получения эквайринговой лицензии в области электронной коммерции. MasterCard не требует обязательной сертификации банков — эквайеров, но они, как правило, для обеспечения безопасности системы в целом по своей воле проводят полную сертификацию. Сертификация банков-эмитен-тов в области электронной коммерции в настоящий момент обязательна только в случае использования компоненты ACS и протокола 3D-Secure.

Безопасность использования платежных сервисов это один из самых важных вопросов в области электронной коммерции. Прежде всего, необходимо понять какие риски могут быть применимы к каждому из участников в процессе использования электронного платежного сервиса. Вот, далеко не полный перечень рисков, которым подвергаются участники:

• риски клиента:

• неполучение услуги или получение услуги несоответствующей требованиям качества;

• дискредитация платежного средства клиента; риски продавца:

• отказ клиента от оказанной услуги;

• Риски эквайера:

• оказание авторизационных услуг «плохому» продавцу;

• оказание авторизационных услуг «плохому» клиенту;

• Риски эмитента:

• оказание услуг авторизации лицу, не имеющему права использования данного платежного средства;

• оказание услуг авторизации «плохому» клиенту;

«Плохой клиент» — это не только клиент, который отказался от услуги и требует возврата денег (как правило, такие инциденты решаются силами продавца или поставщика услуг). Данный термин, скорее, относится к мошенникам или, выражаясь юридически, — людям, целенаправленно использующим не принадлежащие им средства платежа (в общем случае неважно, что это за средство платежа — карта или любое другое средство доступа к счету). Проблема «плохого клиента», как известно, не нова, появление таких клиентов провоцируют два фактора: анонимность и относительная безнаказанность (далеко не всякого карточного мошенника имеет смысл ловить). Решение этой проблемы может лежать в создании четкой системы обеспечения безопасности электронной коммерции, которая должна включать в себя:

• правила оценки и ограничения возможности нелегитимного использования платежных средств (фрод-мониторинг и аутентификация);

• создание экономической базы защиты анонимных платежей.

Экономическая база защиты анонимных платежей предусматривает ограничение возможности клиента совершения платежа в анонимном режиме. Это означает, что клиент может совершить ограниченное число попыток такого платежа на небольшую сумму. Таким образом, использование анонимных платежей для кардеров становится просто невыгодным, а значит малоинтересным (именно поэтому большинство систем электронных платежей стремятся максимально ограничить возможности анонимных клиентов).

Фрод-мониторинг, безусловно, важная часть систем электронной коммерции. В основе систем фрод-мониторинга лежат два механизма: (1) статические фильтры и (2) анализ данных накопленных транзакций с целью поиска платежей с высоким риском фрода. Статические фильтры — это наиболее простой метод снижения риска платежных операций. Как правило, фильтры являются частью политики безопасности, согласованной торговой точкой и платежным сервисом. Анализ данных накопленных транзакций может выявить последовательность транзакций «плохого клиента», которая вызывает опасения (например, использование карт нескольких стран одновременно).

Аутентификация клиента обеспечивает легитимность использования платежного средства.

Классическим методом, используемым для аутентификации клиента, до сих пор является сочетание данных уникального имени, в качестве которого, как правило, используется номер карты и пароля, указываемого клиентом в момент регистрации в системе электронных платежей. К сожалению, данный метод не является достаточно безопасным для использования его в качестве универсального метода аутентификации в сервисах электронной коммерции в целом. В последнее время все более широкое развитие получают методы формирования уникального одноразового пароля, к таким методам относятся алгоритмы One Time Password (OTP). Методы OTP относятся к методам двух-факторной аутентификации. В основе данных методов лежит алгоритм формирования криптограммы на основе секретного ключа, который расположен на безопасном носителе (например смарт-карта) — 1 фактор, а также ПИН кода клиента, для доступа к данным носителя — 2 фактор, и последующего представления этой криптограммы в виде так называемого «токена» — набора десятичных либо символьных знаков (слов). Токен необходим для возможности быстрого и безошибочного ввода данных пароля в системах аутентификации.

В настоящий момент наибольший интерес при использовании карт международных платежных систем в качестве средства платежа, может представлять реализация OTP в виде отдельного приложения на карте. Для получения одноразового пароля достаточно воспользоваться картой, обладающей таким приложением и специального устройства в виде брелка, которое осуществляет проверку PIN-кода карты и отображение одноразового пароля на жидкокристаллическом экране (как правило, это 6–8 значные десятичные числа).

Платежные системы VISA и MasterCard обладают собственными реализациями такого приложения, построенного на базе стандарта Chip Authentication Program (CAP) MasterCard, для платежной системы Visa такое приложение носит название Dynamic Passcode Authentication (DPA). Данное приложение построено на базе стандарта EMV и может быть размещено на платежной карте совместно с основным платежным приложением, что дает возможность банку-эмитенту использовать карту и как платежное средство и как средство аутентификации клиента для доступа к сервисам, требующим строгой аутентификации. Таким образом, смарт-карта является действительно универсальным средством доступа к счету клиента. Изменение схемы взаимодействия клиента с ACS в платежных системах, использующих протокол 3D-Secure, показано на рис. 4.