int akvПри открытии интернет магазина возникла масса вопрос о том как же принимать платежи. Сначала курил мануалы банков к мерчант аккаунтам. Но здесь хорошо описан сам процесс эквайринга и препятствия на его пути. Приятного чтения.

 

Этой статьей я хочу пролить свет на интернет-эквайринг в целом, рассказать с чем его едят.
Цель статьи: для общего развития. 

Электронная коммерция – это сфера экономики, которая включает в себя все финансовые и торговые транзакции, осуществляемые при помощи компьютерных сетей, и бизнес-процессы, связанные с проведением таких транзакций.

К электронной коммерции относят:

• Электронный обмен информацией (Electroniс Data Interchange, EDI),
• Электронное движение капитала (Electronic Funds Transfer, EFS),
• Электронную торговлю (e-trade),
• Электронные деньги (e-cash),
• Электронный маркетинг (e-marketing),
• Электронный банкинг (e-banking),
• Электронные страховые услуги (e-insurance).

Схемы ведения бизнеса:

1) B2B или бизнес-бизнес
Предприятие торгует с другим предприятием. B2B — одно из наиболее перспективных и активно развивающихся направлений электронной коммерции на сегодняшний день. Пример сделки B2B — продажа шаблонов для сайта компаниям для последующего использования в качестве основы дизайна собственного веб-ресурса компании.

2) B2C или бизнес-потребитель
В этом случае предприятие торгует уже напрямую с клиентом (не юридическим, а физическим лицом). Примеры этого вида торговли — традиционные Интернет-магазины, социальная коммерция, или сфера продаж товаров и услуг в социальных сетях.

3) С2С или потребитель-потребитель
Совершение сделок между двумя потребителями, ни один из которых не является предпринимателем в юридическом смысле слова. Как правило, коммерция по схеме С2С осуществляется на сайтах Интернет-аукционов.

Интернет эквайринг – общий термин, которым обозначается прием платежей по пластиковым картам через Интернет с использованием специально разработанного web-интерфейса. Интернет-эквайринг, как составляющая электронной коммерции, представляет собой деятельность кредитной организации (банка-эквайера), включающую в себя осуществление расчетов с организациями электронной коммерции по операциям, совершаемым с использованием банковских карт в сети Интернет. Подключение организаций электронной коммерции банком-эквайером, как правило, осуществляется при технической поддержке Cервис-провайдеров, которые обеспечивают безопасность платежей, используя протокол аутентификации 3-D Secure и SSL, и отвечают за фрод-мониторинг операций, проводимых в Интернет-магазине. Чтобы расплатиться с помощью данной системы необходимо иметь кредитную карту, счет которой предназначен специально для оплаты товаров и услуг не только в интернете, но и в реальных магазинах.

Преимущества использования:

Для организаций:
 Глобальный масштаб
 Сокращение издержек
 Улучшение цепочек поставок
 Бизнес всегда открыт (24/7/365)
 Персонализация
 Быстрый вывод товара на рынок
 Низкая стоимость распространения цифровых продуктов

Для потребителей:
 Повсеместность
 Анонимность
 Большой выбор товаров и услуг
 Персонализация
 Более дешевые продукты и услуги
 Оперативная доставка
 Электронная социализация

Для общества:
 Широкий перечень предоставляемых услуг (например, образование, здравоохранение, коммунальное обслуживание)
 Повышение уровня жизни
 Повышение национальной безопасности
 Уменьшение «цифрового» разрыва
 Онлайн продажа/заказ товаров/услуг уменьшает автомобильный трафик и снижает загрязнение окружающей среды

Недостатки:
Для организаций:
 Возможные сомнения сторон по поводу принадлежности того или иного проекта к компании (негативная анонимность)
 Некоторая сложность в ведении и узаконивании деятельности предприятия в интернете

Для потребителей:
 Недоверие потребителя к услугам, продаваемым посредством интернета
 Невозможность «потрогать» товар руками
 Ожидание доставки приобретенной продукции

Для общества:
 Привлекательная платформа для мошенничества (снижение уровня сетевой безопасности)
 Вытеснение с рынка коммерческих оффлайн предприятий 

Для государства:
 Недополучение в бюджет государства налоговых выплат при ведении «серых» схем учета

Участники рынка:
1. Покупатель — Клиент, имеющий компьютер с Web-браузером и доступом в Интернет.
2. Банк-эмитент. Здесь находится расчетный счет покупателя. Банк-эмитент выпускает карточки и является гарантом выполнения финансовых обязательств клиента.
3. Продавцы. Сервера Электронной Коммерции, на которых ведутся каталоги товаров и услуг и принимаются заказы клиентов на покупку.
4. Банки-эквайеры. Каждый продавец имеет единственный банк, в котором он держит свой
расчетный счет (Альфа-банк, Росбанк, ВТБ 24, Райффайзенбанк, ТрансКредитБанк).
Банк Экваер должен иметь собственный процессинг.
5. Платежная система Интернет. Электронные компоненты, являющиеся посредниками между остальными участниками.
6. Традиционная платежная система. Комплекс финансовых и технологических средств для обслуживания карт данного типа. Обеспечение использования карт как средства платежа за товары и услуги, пользование банковскими услугами, проведение взаимозачетов и т.д. (Visa Int., MasterCard WorldWide, Diners Club, Amex, JCB и China Union Pay).
7. Процессинговый центр платежной системы. Организация, обеспечивающая информационное и технологическое взаимодействие между участниками традиционной платежной системы. 
8. Расчетный банк платежной системы. Кредитная организация, осуществляющая взаиморасчеты между участниками платежной системы по поручению процессингового центра.

Схема эквайринга:

01

1. Клиент совершает покупку в Интернет-магазине.
2. При выборе оплаты заказа пластиковой картой клиент переадресуется на авторизационную страницу Провайдера и вводит платежные реквизиты.
3. Провайдер формирует аутентификационный запрос и направляет клиента в систему аутентификации банка-эмитента (ACS).
4. После проведения аутентификации Провайдер направляет информацию для авторизационного запроса Процессору.
5. Процессор направляет запрос на авторизацию операции в международную платежную систему.
6. В зависимости от результата авторизации Процессор формирует сообщение Провайдеру о совершении операции либо отказе.
7. Провайдер информирует Интернет-магазин и клиента о результатах операции. 
8. В зависимости от результата операции Интернет-магазин совершает продажу или аннулирует заказ.
9. Процессор направляет клиринговый файл для проведения расчетов в Расчетный банк.
10. Расчетный банк переводит возмещение по совершенным операциям на счет Интернет-магазина. 
11. Направление итогового Акта по результатам отчетного периода.

В рамках интернет-эквайринга Сервис провайдеры предлагают широкой
спектр услуг для предприятий электронной торговли:

— Персональный счет;
— Виртуальный терминал — Программа для авторизации платежей через сеть Интернет в режиме реального времени, которая устанавливается на компьютер интернет — магазина или оффлайнового магазина.
— Полный набор методов предотвращения мошенничества,
— Формирование авторизационного запроса или передача файла финансовых транзакций эквайеру для дальнейшего проведения взаиморасчетов;
— Формирование возвратных платежей;
— Внутренние инструменты обнаружения и защиты от мошенничества;
— Мультивалютные платежи
— Клиентская и техническая поддержка 24/7
— Конкурентоспособная политика снижения издержек
— Стандарты безопасности;
— Высокий уровень обслуживания;
— Развитие отношений с компаниями, предоставляющими дополнительные услуги, для увеличения лояльности клиентов.

Фрод

Фрод (от англ. Fraud) — вид мошенничества в области информационных технологий, в частности, несанкционированные действия и неправомочное пользование ресурсами и услугами в сетях связи.

Фрод и кредитные карты

Кардинг (от англ. Carding) — вид мошенничества, при котором производится операция с использованием платежной карты или ее реквизитов, не инициированная или не подтвержденная ее держателем. Реквизиты платежных карт, как правило, берут со взломанных серверов интернет-магазинов, платежных и расчетных систем, а также с персональных компьютеров (либо непосредственно, либо через «трояны» и «черви»). Ответственность за такой фрод ложится на продавца, если он не использует 3DSecure.

Фишинг (англ. phishing, искаженное «fishing» — «рыбалка») — создание мошенниками сайта, который будет пользоваться доверием у пользователя, например — сайт, похожий на сайт банка пользователя, через который и происходит похищение реквизитов платежных карт.

Скимминг (от англ. Skim — снимать сливки), при котором используется скиммер — инструмент злоумышленника для считывания, например, магнитной дорожки платёжной карты. При осуществлении данной мошеннической операции используется комплекс скимминговых устройств:

Скиммер — Инструмент для считывания магнитной дорожки платёжной карты — представляет собой устройство, устанавливаемое в картоприёмник, и картридер на входной двери в зону обслуживания клиентов в помещении банка. Представляет собой устройство со считывающей магнитной головкой, усилителем — преобразователем, памятью и переходником для подключения к компьютеру. Скиммеры могут быть портативными, миниатюрными. Основная идея и задача скимминга — считать необходимые данные (содержимое дорожки/трека) магнитной полосы карты для последующего воспроизведения ее на поддельной. Таким образом, при оформлении операции по поддельной карте авторизационный запрос и списание денежных средств по мошеннической транзакции будут осуществлены со счета оригинальной, «скиммированной» карты. Скиммеры могут накапливать украденную информацию о пластиковых
картах, либо дистанционно передавать ее по радиоканалу злоумышленникам, находящимся поблизости. После копирования информации с карты, мошенники изготавливают дубликат карты и, зная ПИН, снимают все деньги в пределах лимита выдачи, как в России, так и за рубежом.

Видеокамера, устанавливаемая на банкомат и направляемая на клавиатуру ввода в виде козырька банкомата либо посторонних накладок, например, рекламных материалов — используется вкупе со скиммером для получения ПИН держателя, что позволяет получать наличные в банкоматах по поддельной карте (имея данные дорожки и ПИН оригинальной). 

Данные устройства питаются от автономных источников энергии — миниатюрных батарей электропитания, и, для затруднения обнаружения, как правило, изготавливаются и маскируются под цвет и форму банкомата.

Фрод и GSM

Варианты GSM фрода

1) При подписке на какой-то контент, за условную плату клиенту в договор включают очень высокий тариф на отписку, а после делают всё возможное, чтобы клиент решил отписаться.
2) Невозвраты по SIM-картам кредитных тарифных планов.
3) Оформление SIM-карт на потерянные документы с тем, чтобы полученные SIM-карты с роумингом использовать за границей. При этом счета за разговоры местный оператор отсылает оператору, выпустившему SIM-карту, с некоторой задержкой, а пока платит за разговоры самостоятельно.
4) Откровенный обман, когда звонящий говорит, что, переводя небольшую сумму на его телефон, вы помогаете своему
родственнику, попавшему в аварию или в другую затруднительную ситуацию.
5) Возможен вариант открытия платного сервиса, со способом оплаты посредством SMS сообщений. При этом технически возможно получение отрицательного баланса на SIM-карте с дебетным тарифным планом.
6) Превышение лимита количества отправляемых SMS-запросов, обусловленный техническими возможностями платформы ОСС, приводящий к получению абонентом заказываемых услуг без фактической их оплаты.

Международная ассоциация операторов сетей GSM выработала свою классификацию для фрод-преступлений:

Access Fraud — мошеннический доступ — несанкционированное использование услуг сотовой связи за счет мышленного или неумышленного вмешательства, манипулирования или перепрограммирования номеров сотовых аппаратов ESN(Electronic Serial Number) и/или MIN (Mobile Identification Number). Способ возможен на сетях без аутентификации.

Stolen Phone Froud — несанкционированное использование украденного или потерянного стового телефона. Способ работает пока владелец не известит компанию и та не заблокирует доступ с украденного телефона.

Subscription Fraud — указание неверных данных при заключении контракта, использование услуг в кредит с намерением не оплачивать их.

Договорно-правовой аспект

Договор эквайринга — юридический документ, в соответствии с которым торгово-сервисное предприятие обязано работать как согласно действующему законодательству, так и по правилам, установленным платежными системами и банком-эквайрером. Основные требования к этому договору определены в Правилах платежных систем (например,
специализированный раздел Visa International Operating Regulations), однако эквайреры вправе изменять как форму, так и содержание подобных договоров.

Подключение интернет-эквайринга:

— Интернет-магазин обращается к провайдеру услуг (система электронных платежей) – Ассист, ДеньгиOnline, и пр.
— Выбрав одного из этих провайдеров, интернет-магазин регистрируется на его сайте, т.е. есть заполняет регистрационную форму и указывает, что он намерен принимать к оплате пластиковые карты и в каком банке он будет обслуживаться из предложенного перечня банков, которые предлагают данную услугу.
— Заявка на подключение направляется провайдером услуг в банк.
— Банк обрабатывает данную заявку, связывается с интернет- магазином по контактной информации, указанной в ней.
— Интернет-магазин, проходит все стадии до подписания договора.
— В итоге интернет-магазин подписывает договор на интернет-эквайринг и начинает принимать к оплате пластиковые карты через интернет.

Технологии безопасности электронных интернет-платежей по
пластиковым картам.

SSL-протокол(Secure Socket Layer) + Протокол 3D Secure

3-D Secure является XML-протоколом, который используется как дополнительный уровень безопасности для онлайн-кредитных и дебитных карт, двухфакторной аутентификации пользователя. Он был разработан Visa с целью улучшения безопасности Интернет-платежей и предложил клиентам услугу Verified by Visa (VbV). Услуги, основанные на данном протоколе также были приняты MasterCard, под названием MasterCard SecureCode (MCC), и JCB International, как J/Secure. 3-D Secure добавляет ещё один шаг аутентификации для онлайн-
платежей.

3-D Secure не следует путать с кодом CVV2, который напечатан на карте с обратной стороны.

3-D Secure является торговой маркой корпорации VISA.

Система 3х доменов:

Модель 3-D Secure реализована на основе 3х доменов, в которых происходит порождение и проверка транзакций:

Домен Эмитента, который включает в себя Держателя карты и Банк, выпускающий карты.
Домен Эквайера, который включает в себя банк-Эквайер и его клиентов (онлайновых торговцев).
Домен взаимодействия содержит элементы, которые делают возможным проведение транзакций между двумя другими домена. Он, главным образом, содержит сети и сервисы карточных ассоциаций.

Домены независимы в своих правах и являются важной частью процесса передачи информации в общей 3-D Secure-инфраструктуре. Для каждого домена определена собственная сфера ответственности в проведении
транзакций:
• В домене Эмитента банк-эмитент ответственен за аутентификацию покупателя и предоставление верной информации для проведения транзакции.
• В домене Эквайера онлайновый торговец ответственен за коммерческие отношения с покупателем, а также гарантию того, что покупатель был направлен в верный банк-эмитент для верификации. В этом же домене Эквайер несёт ответственность за согласование проведения транзакции через традиционные сети Visa или MasterCard.
• В домене взаимодействия платежная система Visa или MasterCard ответственна за сохранность информации по каждому эмитенту (банк держателя карты, интернет-адрес эмитента) и предоставление данной информации для вынесения решения в случае конфликтных ситуаций.
• Модель 3-D Secure предоставляет стандартный протокол взаимодействия между доменами для обмена и проверки транзакций. Она не вызывает необходимости изменений в отношениях между участниками одного домена:
• Торговец и Эквайер свободны в выборе любого способа проведения своих транзакций и в управлении отношениями в своих доменах.
• Эмитенты свободны в выборе любых предпочитаемых ими механизмов для аутентификации держателя карты.

В архитектуре 3-D Secure реализован набор специальных серверов для
обслуживания потока транзакций во время его жизненного цикла:

02

•В домене Эмитента Сервер Управления Доступом (Access Control Server или ACS) ответственен за управление процессами аутентификации между Покупателем и Эмитентом и гарантирует проведение платежных транзакций для Торговца.
•В домене Эквайера сервер Merchant Plug-In (или MPI) управляет потоком транзакций между инфраструктурами Visa/MasterCard, инфраструктурой держателей карты и платежной инфраструктурой, созданной Эквайером.
•В домене взаимодействия Сервер-Директорий (Directory) Visa/MasterCard ведёт информацию об участниках процесса. В этом же домене Сервер Истории Аутентификаций Visa/MasterCard (Authentication History Server или AHS) надёжно хранит информацию по всем транзакциям и гарантирует её доступность при возникновении конфликтных ситуаций.
•В доменах Эмитента и Эквайера Хостовые системы вовлечены в процесс выверки транзакций в бек-офисе банка для обеспечения клиринговых взаимозачетов между участниками с целью дальнейшей передачи денежных средств.
•В соответствии с протоколом 3-D Secure эмитенты теперь несут ответственность за аутентификацию владельцев карточек!

Упрощенно платеж по протоколу 3D Secure выглядит так:

03

— Покупатель, выбрав в интернет-магазине товар, нажимает кнопку «Оплатить».
— Браузер покупателя перенаправляется на страничку платежной системы, где покупатель вводит реквизиты карты.
— Сервер платежной системы проверяет, учавствует ли данная карта в платежах по протоколу 3D Secure, если участвует то браузер покупателя перенаправляется на сайт банка-эмитента данной пластиковой карты. Если не участвует в 3D Secure, то платеж может проходить по протоколу MIA SET. 
— Допустим, что карта участвует в 3D Secure. Покупатель, попав на сайт банка-эмитента, проходит аутентификацию, способ аутентификации определяет банк-эмитент.
— В случае успешной аутентификации банк-эмитент возвращает платежной системе, подписанное подписью сообщение, что банк-эмитент верит данному покупателю и не возражает против операции по данной пластиковой карте.
— Далее платеж проходит как MIA SET.

SET
Стандарт SET (Secure Electronic Transaction) — технология, разработанная платежными системами Visa и MasterCard для обеспечения безопасных платежей с помощью пластиковых карт через открытую сеть.

Идентификация сторон при расчетах в сети производится путем обмена цифровыми сертификатами, удостоверяющими право участников сделки принимать или использовать пластиковые карты. SET-сертификат магазина содержит идентификационные параметры торговой точки. SET-сертификат владельца карты несет в зашифрованном виде информацию об основных параметрах карты. Проведение оплаты с использованием SET-сертификата не требует от клиента ввода параметров его карты и не предусматривает получение интернет-магазином данной конфиденциальной информации.

SET — Secure Electronic Transaction — проведение операции в сети, при которой покупатель и продавец могут однозначно идентифицировать друг друга при совершении сделки, обменявшись цифровыми сертификатами. Это позволяет обеим сторонам удостовериться в правомерности осуществления операции другой стороной.

SET — сертификат on-line магазина — набор данных в электронном формате, содержащий параметры Предприятия (название, и др.) и копию открытого ключа Предприятия, который сертифицирован в Центре Сертификации Банка в соответствии со стандартной процедурой (стандарт SET). Секретный ключ Предприятия хранится на платежном сервере. Сертификат предназначен для идентификации Предприятия в системе платежей, а также для осуществления возможности проводить платежи по картам в полном или усеченном стандарте в SET, в зависимости от типа Сертификата.

SET — сертификат держателя карты — набор данных в электронном формате, содержащий параметры карты (номер карты, Ф.И.О. держателя и др.) и копию открытого ключа держателя, который сертифицирован уполномоченным Центром Сертификации в соответствии с технологией SET.

MIA SET

Система также позволяет осуществлять платежи с помощью пластиковых карт и без использования SET — сертификатов клиента, в случае, если клиенты такими сертификатами не располагают. В этом случае используется технология MIA SET (Merchant Initiated Authorization). Для обеспечения безопасности платежей по технологии MIA SET, платежная система RBS предоставляет мощные возможности отсечения мошеннических транзакций. Подсистема борьбы с мошенническими операциями дает возможность клиентам — торгово-сервисным предприятиям — самостоятельно настраивать ее под собственные нужды, выбирая соответствующие антифродовые критерии.

Таким образом, в случае платежа по протоколу 3D Secure интернет- магазин не несет ответственности за мошенническое использование пластиковой карты. Решение о том, что является ли данная операция по пластиковой карте законной или нет, принимает банк-эмитент. В итоге в результате столь серьезных изменений в области безопасности онлайновых платежей и ситуации с карточным фродом в целом ведущие платежные системы с трудом находят общий язык с эмитентами, эквайрерами, виртуальными акцептантами и процессорами транзакций
при попытках заставить их устанавливать дорогостоящие системы и решения по проверке аутентичности держателей.

В данной статье я не считаю нужным описывать сертификацию и стандарты PCI DSS, о них подробно написано здесь: http://habrahabr.ru/post/130652/ 

Дополнительно можно почитать:

http://habrahabr.ru/post/30321/
http://habrahabr.ru/post/49254/ — Обзор эквайеров Украины 
http://habrahabr.ru/post/124668/ — Подключение эквайринга

автор 

источник