При открытии интернет магазина возникла масса вопрос о том как же принимать платежи. Сначала курил мануалы банков к мерчант аккаунтам. Но здесь хорошо описан сам процесс эквайринга и препятствия на его пути. Приятного чтения.
Этой статьей я хочу пролить свет на интернет-эквайринг в целом, рассказать с чем его едят.
Цель статьи: для общего развития.
Электронная коммерция – это сфера экономики, которая включает в себя все финансовые и торговые транзакции, осуществляемые при помощи компьютерных сетей, и бизнес-процессы, связанные с проведением таких транзакций.
К электронной коммерции относят:
• Электронный обмен информацией (Electroniс Data Interchange, EDI),
• Электронное движение капитала (Electronic Funds Transfer, EFS),
• Электронную торговлю (e-trade),
• Электронные деньги (e-cash),
• Электронный маркетинг (e-marketing),
• Электронный банкинг (e-banking),
• Электронные страховые услуги (e-insurance).
Схемы ведения бизнеса:
1) B2B или бизнес-бизнес
Предприятие торгует с другим предприятием. B2B — одно из наиболее перспективных и активно развивающихся направлений электронной коммерции на сегодняшний день. Пример сделки B2B — продажа шаблонов для сайта компаниям для последующего использования в качестве основы дизайна собственного веб-ресурса компании.
2) B2C или бизнес-потребитель
В этом случае предприятие торгует уже напрямую с клиентом (не юридическим, а физическим лицом). Примеры этого вида торговли — традиционные Интернет-магазины, социальная коммерция, или сфера продаж товаров и услуг в социальных сетях.
3) С2С или потребитель-потребитель
Совершение сделок между двумя потребителями, ни один из которых не является предпринимателем в юридическом смысле слова. Как правило, коммерция по схеме С2С осуществляется на сайтах Интернет-аукционов.
Интернет эквайринг – общий термин, которым обозначается прием платежей по пластиковым картам через Интернет с использованием специально разработанного web-интерфейса. Интернет-эквайринг, как составляющая электронной коммерции, представляет собой деятельность кредитной организации (банка-эквайера), включающую в себя осуществление расчетов с организациями электронной коммерции по операциям, совершаемым с использованием банковских карт в сети Интернет. Подключение организаций электронной коммерции банком-эквайером, как правило, осуществляется при технической поддержке Cервис-провайдеров, которые обеспечивают безопасность платежей, используя протокол аутентификации 3-D Secure и SSL, и отвечают за фрод-мониторинг операций, проводимых в Интернет-магазине. Чтобы расплатиться с помощью данной системы необходимо иметь кредитную карту, счет которой предназначен специально для оплаты товаров и услуг не только в интернете, но и в реальных магазинах.
Преимущества использования:
Для организаций:
Глобальный масштаб
Сокращение издержек
Улучшение цепочек поставок
Бизнес всегда открыт (24/7/365)
Персонализация
Быстрый вывод товара на рынок
Низкая стоимость распространения цифровых продуктов
Для потребителей:
Повсеместность
Анонимность
Большой выбор товаров и услуг
Персонализация
Более дешевые продукты и услуги
Оперативная доставка
Электронная социализация
Для общества:
Широкий перечень предоставляемых услуг (например, образование, здравоохранение, коммунальное обслуживание)
Повышение уровня жизни
Повышение национальной безопасности
Уменьшение «цифрового» разрыва
Онлайн продажа/заказ товаров/услуг уменьшает автомобильный трафик и снижает загрязнение окружающей среды
Недостатки:
Для организаций:
Возможные сомнения сторон по поводу принадлежности того или иного проекта к компании (негативная анонимность)
Некоторая сложность в ведении и узаконивании деятельности предприятия в интернете
Для потребителей:
Недоверие потребителя к услугам, продаваемым посредством интернета
Невозможность «потрогать» товар руками
Ожидание доставки приобретенной продукции
Для общества:
Привлекательная платформа для мошенничества (снижение уровня сетевой безопасности)
Вытеснение с рынка коммерческих оффлайн предприятий
Для государства:
Недополучение в бюджет государства налоговых выплат при ведении «серых» схем учета
Участники рынка:
1. Покупатель — Клиент, имеющий компьютер с Web-браузером и доступом в Интернет.
2. Банк-эмитент. Здесь находится расчетный счет покупателя. Банк-эмитент выпускает карточки и является гарантом выполнения финансовых обязательств клиента.
3. Продавцы. Сервера Электронной Коммерции, на которых ведутся каталоги товаров и услуг и принимаются заказы клиентов на покупку.
4. Банки-эквайеры. Каждый продавец имеет единственный банк, в котором он держит свой
расчетный счет (Альфа-банк, Росбанк, ВТБ 24, Райффайзенбанк, ТрансКредитБанк).
Банк Экваер должен иметь собственный процессинг.
5. Платежная система Интернет. Электронные компоненты, являющиеся посредниками между остальными участниками.
6. Традиционная платежная система. Комплекс финансовых и технологических средств для обслуживания карт данного типа. Обеспечение использования карт как средства платежа за товары и услуги, пользование банковскими услугами, проведение взаимозачетов и т.д. (Visa Int., MasterCard WorldWide, Diners Club, Amex, JCB и China Union Pay).
7. Процессинговый центр платежной системы. Организация, обеспечивающая информационное и технологическое взаимодействие между участниками традиционной платежной системы.
8. Расчетный банк платежной системы. Кредитная организация, осуществляющая взаиморасчеты между участниками платежной системы по поручению процессингового центра.
Схема эквайринга:
1. Клиент совершает покупку в Интернет-магазине.
2. При выборе оплаты заказа пластиковой картой клиент переадресуется на авторизационную страницу Провайдера и вводит платежные реквизиты.
3. Провайдер формирует аутентификационный запрос и направляет клиента в систему аутентификации банка-эмитента (ACS).
4. После проведения аутентификации Провайдер направляет информацию для авторизационного запроса Процессору.
5. Процессор направляет запрос на авторизацию операции в международную платежную систему.
6. В зависимости от результата авторизации Процессор формирует сообщение Провайдеру о совершении операции либо отказе.
7. Провайдер информирует Интернет-магазин и клиента о результатах операции.
8. В зависимости от результата операции Интернет-магазин совершает продажу или аннулирует заказ.
9. Процессор направляет клиринговый файл для проведения расчетов в Расчетный банк.
10. Расчетный банк переводит возмещение по совершенным операциям на счет Интернет-магазина.
11. Направление итогового Акта по результатам отчетного периода.
В рамках интернет-эквайринга Сервис провайдеры предлагают широкой
спектр услуг для предприятий электронной торговли:
— Персональный счет;
— Виртуальный терминал — Программа для авторизации платежей через сеть Интернет в режиме реального времени, которая устанавливается на компьютер интернет — магазина или оффлайнового магазина.
— Полный набор методов предотвращения мошенничества,
— Формирование авторизационного запроса или передача файла финансовых транзакций эквайеру для дальнейшего проведения взаиморасчетов;
— Формирование возвратных платежей;
— Внутренние инструменты обнаружения и защиты от мошенничества;
— Мультивалютные платежи
— Клиентская и техническая поддержка 24/7
— Конкурентоспособная политика снижения издержек
— Стандарты безопасности;
— Высокий уровень обслуживания;
— Развитие отношений с компаниями, предоставляющими дополнительные услуги, для увеличения лояльности клиентов.
Фрод
Фрод (от англ. Fraud) — вид мошенничества в области информационных технологий, в частности, несанкционированные действия и неправомочное пользование ресурсами и услугами в сетях связи.
Фрод и кредитные карты
Кардинг (от англ. Carding) — вид мошенничества, при котором производится операция с использованием платежной карты или ее реквизитов, не инициированная или не подтвержденная ее держателем. Реквизиты платежных карт, как правило, берут со взломанных серверов интернет-магазинов, платежных и расчетных систем, а также с персональных компьютеров (либо непосредственно, либо через «трояны» и «черви»). Ответственность за такой фрод ложится на продавца, если он не использует 3DSecure.
Фишинг (англ. phishing, искаженное «fishing» — «рыбалка») — создание мошенниками сайта, который будет пользоваться доверием у пользователя, например — сайт, похожий на сайт банка пользователя, через который и происходит похищение реквизитов платежных карт.
Скимминг (от англ. Skim — снимать сливки), при котором используется скиммер — инструмент злоумышленника для считывания, например, магнитной дорожки платёжной карты. При осуществлении данной мошеннической операции используется комплекс скимминговых устройств:
Скиммер — Инструмент для считывания магнитной дорожки платёжной карты — представляет собой устройство, устанавливаемое в картоприёмник, и картридер на входной двери в зону обслуживания клиентов в помещении банка. Представляет собой устройство со считывающей магнитной головкой, усилителем — преобразователем, памятью и переходником для подключения к компьютеру. Скиммеры могут быть портативными, миниатюрными. Основная идея и задача скимминга — считать необходимые данные (содержимое дорожки/трека) магнитной полосы карты для последующего воспроизведения ее на поддельной. Таким образом, при оформлении операции по поддельной карте авторизационный запрос и списание денежных средств по мошеннической транзакции будут осуществлены со счета оригинальной, «скиммированной» карты. Скиммеры могут накапливать украденную информацию о пластиковых
картах, либо дистанционно передавать ее по радиоканалу злоумышленникам, находящимся поблизости. После копирования информации с карты, мошенники изготавливают дубликат карты и, зная ПИН, снимают все деньги в пределах лимита выдачи, как в России, так и за рубежом.
Видеокамера, устанавливаемая на банкомат и направляемая на клавиатуру ввода в виде козырька банкомата либо посторонних накладок, например, рекламных материалов — используется вкупе со скиммером для получения ПИН держателя, что позволяет получать наличные в банкоматах по поддельной карте (имея данные дорожки и ПИН оригинальной).
Данные устройства питаются от автономных источников энергии — миниатюрных батарей электропитания, и, для затруднения обнаружения, как правило, изготавливаются и маскируются под цвет и форму банкомата.
Фрод и GSM
Варианты GSM фрода
1) При подписке на какой-то контент, за условную плату клиенту в договор включают очень высокий тариф на отписку, а после делают всё возможное, чтобы клиент решил отписаться.
2) Невозвраты по SIM-картам кредитных тарифных планов.
3) Оформление SIM-карт на потерянные документы с тем, чтобы полученные SIM-карты с роумингом использовать за границей. При этом счета за разговоры местный оператор отсылает оператору, выпустившему SIM-карту, с некоторой задержкой, а пока платит за разговоры самостоятельно.
4) Откровенный обман, когда звонящий говорит, что, переводя небольшую сумму на его телефон, вы помогаете своему
родственнику, попавшему в аварию или в другую затруднительную ситуацию.
5) Возможен вариант открытия платного сервиса, со способом оплаты посредством SMS сообщений. При этом технически возможно получение отрицательного баланса на SIM-карте с дебетным тарифным планом.
6) Превышение лимита количества отправляемых SMS-запросов, обусловленный техническими возможностями платформы ОСС, приводящий к получению абонентом заказываемых услуг без фактической их оплаты.
Международная ассоциация операторов сетей GSM выработала свою классификацию для фрод-преступлений:
Access Fraud — мошеннический доступ — несанкционированное использование услуг сотовой связи за счет мышленного или неумышленного вмешательства, манипулирования или перепрограммирования номеров сотовых аппаратов ESN(Electronic Serial Number) и/или MIN (Mobile Identification Number). Способ возможен на сетях без аутентификации.
Stolen Phone Froud — несанкционированное использование украденного или потерянного стового телефона. Способ работает пока владелец не известит компанию и та не заблокирует доступ с украденного телефона.
Subscription Fraud — указание неверных данных при заключении контракта, использование услуг в кредит с намерением не оплачивать их.
Договорно-правовой аспект
Договор эквайринга — юридический документ, в соответствии с которым торгово-сервисное предприятие обязано работать как согласно действующему законодательству, так и по правилам, установленным платежными системами и банком-эквайрером. Основные требования к этому договору определены в Правилах платежных систем (например,
специализированный раздел Visa International Operating Regulations), однако эквайреры вправе изменять как форму, так и содержание подобных договоров.
Подключение интернет-эквайринга:
— Интернет-магазин обращается к провайдеру услуг (система электронных платежей) – Ассист, ДеньгиOnline, и пр.
— Выбрав одного из этих провайдеров, интернет-магазин регистрируется на его сайте, т.е. есть заполняет регистрационную форму и указывает, что он намерен принимать к оплате пластиковые карты и в каком банке он будет обслуживаться из предложенного перечня банков, которые предлагают данную услугу.
— Заявка на подключение направляется провайдером услуг в банк.
— Банк обрабатывает данную заявку, связывается с интернет- магазином по контактной информации, указанной в ней.
— Интернет-магазин, проходит все стадии до подписания договора.
— В итоге интернет-магазин подписывает договор на интернет-эквайринг и начинает принимать к оплате пластиковые карты через интернет.
Технологии безопасности электронных интернет-платежей по
пластиковым картам.
SSL-протокол(Secure Socket Layer) + Протокол 3D Secure
3-D Secure является XML-протоколом, который используется как дополнительный уровень безопасности для онлайн-кредитных и дебитных карт, двухфакторной аутентификации пользователя. Он был разработан Visa с целью улучшения безопасности Интернет-платежей и предложил клиентам услугу Verified by Visa (VbV). Услуги, основанные на данном протоколе также были приняты MasterCard, под названием MasterCard SecureCode (MCC), и JCB International, как J/Secure. 3-D Secure добавляет ещё один шаг аутентификации для онлайн-
платежей.
3-D Secure не следует путать с кодом CVV2, который напечатан на карте с обратной стороны.
3-D Secure является торговой маркой корпорации VISA.
Система 3х доменов:
Модель 3-D Secure реализована на основе 3х доменов, в которых происходит порождение и проверка транзакций:
Домен Эмитента, который включает в себя Держателя карты и Банк, выпускающий карты.
Домен Эквайера, который включает в себя банк-Эквайер и его клиентов (онлайновых торговцев).
Домен взаимодействия содержит элементы, которые делают возможным проведение транзакций между двумя другими домена. Он, главным образом, содержит сети и сервисы карточных ассоциаций.
Домены независимы в своих правах и являются важной частью процесса передачи информации в общей 3-D Secure-инфраструктуре. Для каждого домена определена собственная сфера ответственности в проведении
транзакций:
• В домене Эмитента банк-эмитент ответственен за аутентификацию покупателя и предоставление верной информации для проведения транзакции.
• В домене Эквайера онлайновый торговец ответственен за коммерческие отношения с покупателем, а также гарантию того, что покупатель был направлен в верный банк-эмитент для верификации. В этом же домене Эквайер несёт ответственность за согласование проведения транзакции через традиционные сети Visa или MasterCard.
• В домене взаимодействия платежная система Visa или MasterCard ответственна за сохранность информации по каждому эмитенту (банк держателя карты, интернет-адрес эмитента) и предоставление данной информации для вынесения решения в случае конфликтных ситуаций.
• Модель 3-D Secure предоставляет стандартный протокол взаимодействия между доменами для обмена и проверки транзакций. Она не вызывает необходимости изменений в отношениях между участниками одного домена:
• Торговец и Эквайер свободны в выборе любого способа проведения своих транзакций и в управлении отношениями в своих доменах.
• Эмитенты свободны в выборе любых предпочитаемых ими механизмов для аутентификации держателя карты.
В архитектуре 3-D Secure реализован набор специальных серверов для
обслуживания потока транзакций во время его жизненного цикла:
•В домене Эмитента Сервер Управления Доступом (Access Control Server или ACS) ответственен за управление процессами аутентификации между Покупателем и Эмитентом и гарантирует проведение платежных транзакций для Торговца.
•В домене Эквайера сервер Merchant Plug-In (или MPI) управляет потоком транзакций между инфраструктурами Visa/MasterCard, инфраструктурой держателей карты и платежной инфраструктурой, созданной Эквайером.
•В домене взаимодействия Сервер-Директорий (Directory) Visa/MasterCard ведёт информацию об участниках процесса. В этом же домене Сервер Истории Аутентификаций Visa/MasterCard (Authentication History Server или AHS) надёжно хранит информацию по всем транзакциям и гарантирует её доступность при возникновении конфликтных ситуаций.
•В доменах Эмитента и Эквайера Хостовые системы вовлечены в процесс выверки транзакций в бек-офисе банка для обеспечения клиринговых взаимозачетов между участниками с целью дальнейшей передачи денежных средств.
•В соответствии с протоколом 3-D Secure эмитенты теперь несут ответственность за аутентификацию владельцев карточек!
Упрощенно платеж по протоколу 3D Secure выглядит так:
— Покупатель, выбрав в интернет-магазине товар, нажимает кнопку «Оплатить».
— Браузер покупателя перенаправляется на страничку платежной системы, где покупатель вводит реквизиты карты.
— Сервер платежной системы проверяет, учавствует ли данная карта в платежах по протоколу 3D Secure, если участвует то браузер покупателя перенаправляется на сайт банка-эмитента данной пластиковой карты. Если не участвует в 3D Secure, то платеж может проходить по протоколу MIA SET.
— Допустим, что карта участвует в 3D Secure. Покупатель, попав на сайт банка-эмитента, проходит аутентификацию, способ аутентификации определяет банк-эмитент.
— В случае успешной аутентификации банк-эмитент возвращает платежной системе, подписанное подписью сообщение, что банк-эмитент верит данному покупателю и не возражает против операции по данной пластиковой карте.
— Далее платеж проходит как MIA SET.
SET
Стандарт SET (Secure Electronic Transaction) — технология, разработанная платежными системами Visa и MasterCard для обеспечения безопасных платежей с помощью пластиковых карт через открытую сеть.
Идентификация сторон при расчетах в сети производится путем обмена цифровыми сертификатами, удостоверяющими право участников сделки принимать или использовать пластиковые карты. SET-сертификат магазина содержит идентификационные параметры торговой точки. SET-сертификат владельца карты несет в зашифрованном виде информацию об основных параметрах карты. Проведение оплаты с использованием SET-сертификата не требует от клиента ввода параметров его карты и не предусматривает получение интернет-магазином данной конфиденциальной информации.
SET — Secure Electronic Transaction — проведение операции в сети, при которой покупатель и продавец могут однозначно идентифицировать друг друга при совершении сделки, обменявшись цифровыми сертификатами. Это позволяет обеим сторонам удостовериться в правомерности осуществления операции другой стороной.
SET — сертификат on-line магазина — набор данных в электронном формате, содержащий параметры Предприятия (название, и др.) и копию открытого ключа Предприятия, который сертифицирован в Центре Сертификации Банка в соответствии со стандартной процедурой (стандарт SET). Секретный ключ Предприятия хранится на платежном сервере. Сертификат предназначен для идентификации Предприятия в системе платежей, а также для осуществления возможности проводить платежи по картам в полном или усеченном стандарте в SET, в зависимости от типа Сертификата.
SET — сертификат держателя карты — набор данных в электронном формате, содержащий параметры карты (номер карты, Ф.И.О. держателя и др.) и копию открытого ключа держателя, который сертифицирован уполномоченным Центром Сертификации в соответствии с технологией SET.
MIA SET
Система также позволяет осуществлять платежи с помощью пластиковых карт и без использования SET — сертификатов клиента, в случае, если клиенты такими сертификатами не располагают. В этом случае используется технология MIA SET (Merchant Initiated Authorization). Для обеспечения безопасности платежей по технологии MIA SET, платежная система RBS предоставляет мощные возможности отсечения мошеннических транзакций. Подсистема борьбы с мошенническими операциями дает возможность клиентам — торгово-сервисным предприятиям — самостоятельно настраивать ее под собственные нужды, выбирая соответствующие антифродовые критерии.
Таким образом, в случае платежа по протоколу 3D Secure интернет- магазин не несет ответственности за мошенническое использование пластиковой карты. Решение о том, что является ли данная операция по пластиковой карте законной или нет, принимает банк-эмитент. В итоге в результате столь серьезных изменений в области безопасности онлайновых платежей и ситуации с карточным фродом в целом ведущие платежные системы с трудом находят общий язык с эмитентами, эквайрерами, виртуальными акцептантами и процессорами транзакций
при попытках заставить их устанавливать дорогостоящие системы и решения по проверке аутентичности держателей.
В данной статье я не считаю нужным описывать сертификацию и стандарты PCI DSS, о них подробно написано здесь: http://habrahabr.ru/post/130652/
Дополнительно можно почитать:
http://habrahabr.ru/post/30321/
http://habrahabr.ru/post/49254/ — Обзор эквайеров Украины
http://habrahabr.ru/post/124668/ — Подключение эквайринга
автор covectb_cobaka