Що потрібно знати про оплату банківськими картками через інтернет - 14 Березня 2011

Мій сайт

Головна » 2011 » Березень » 14 » Що потрібно знати про оплату банківськими картками через інтернет

22:28 Що потрібно знати про оплату банківськими картками через інтернет
Прочитавши ось цей топік, я побачив, що дуже багато хабралюді (у тому числі й автор топіка) не уявляють собі, як працює оплата банківськими картками в інтернеті. Керуючись домислами і припущеннями, а не фактами, автор робить висновок, нібито карти Ощадбанку найбільш уразливі для шахрайства в інтернеті. Тому я вирішив розповісти про те, як насправді влаштована оплата банківськими картками в інтернеті, щоб хабралюді на підставі фактів, а не домислів, уявляли собі, як це працює, і де їх можуть чекати реальні, а не уявні, небезпеки. Disclaimer: Я працюю в Ощадбанку Росії. Моя робота пов'язана з допомогою клієнтам, а не з картками, проте раніше я працював у галузі e-commerce, і дуже добре знаю, як працює схема оплати картками в інтернеті. 1. Отже, автор вищезгаданого топіка дорікнув Ощадбанк у тому, ніби він, показуючи при перекладі на картку через термінал або «Ощадбанк Онлайн» ім'я клієнта, полегшує таким чином роботу картковим шахраям. Це твердження не відповідає дійсності, і ось чому: При оплаті в інтернеті карткою, випущеної американським банком, банк-еквайєр (так називається банк, який обслуговує платежі за картками інтернет-магазину) здатний перевірити та ім'я власника картки, і його billing address (це адреса, куди банк, що випустив картку, надсилає щомісячну виписку по цій карті). Це відбувається, якщо банк-еквайєр або платіжний шлюз, через який проходить платіж, використовує послугу під назвою AVS (Address Verification System). Ця послуга надається, як правило, незалежними від банків компаніями, які роблять запит в бюро кредитних історій, чи відповідає даним номером картки введене ім'я та білінговий адресу, і отримують звідти відповідь «так» чи «ні». Крім США такою послугою банки-еквайєри або самі Інтернет-магазини можуть користуватися в Канаді, Австралії, Великої Британії та Нової Зеландії. В інших країнах, в тому числі і в Росії, AVS не існує, тому ні російські, ні зарубіжні інтернет-магазини не можуть перевірити, чи дійсно карта з таким-то номером належить людині з таким-то ім'ям і прізвищем. Таким чином, висновок, нібито показ імені власника картки, створює загрозу шахрайства з картою, не відповідає дійсності. Знаючи реквізити карти (а це не тільки номер картки), шахраї можуть використовувати для покупок в інтернет-магазинах будь-які ім'я та прізвище, і магазин, а також його банк-еквайєр, ніяк не зможуть це перевірити. Це системний баг міжнародних платіжних систем, пов'язаний з їх принципово застарілої архітектурою, основи якої були закладені на початку другої половини минулого століття, і не були розраховані ні на поява інтернету, ні на появу терміналів, що дозволяють у режимі реального часу авторізовивать карту в офлайні. 2. Автор даного топіка нарікає Ощадбанку на те, нібито той придумав робити перекази між картами, тоді як можна було б використовувати для цих цілей номер рахунку. Однак не Сбербанк придумав перекази між картами, а міжнародні платіжні системи. Ось опис такої послуги від міжнародної платіжної системи Visa. Світити реквізити своєї карти в інтернеті (навіть нехай і не повні реквізити) - не найкраща ідея, однак це робить не банк, а самі люди. 3. Автор стверджує, ніби-то в Амазоне можливо підібрати термін закінчення дії картки, і, на підставі цього робить висновок, що номера картки достатньо для вчинення шахрайських операцій по картах. Я не знайомий з тим, як влаштована боротьба з шахрайством конкретно в Амазоне, проте запевняю вас, що цей інтернет-магазин уже давним давно б загнувся, якщо б не боровся з такими елементарними видами шахрайства, як підбір номера картки і терміну закінчення її дії. Думаю, що їх автоматична система боротьби з шахрайством збільшує оцінку ризику для неї з кожним разом, коли неправильно вводиться термін закінчення дії картки. Тому твердження, що для здійснення платежу на Амазоне потрібно «всього лише» перебрати «не більше 36 варіантів», є не більше, ніж плодом розгулялася фантазії. 4. Всім, хто платить карткою в інтернеті, слід твердо знати одне: у всіх суперечках між банком-емітентом (так називається банк, який видав картку) і банком-еквайєром щодо інтернет-транзакцій вирішуються на користь банку-емітента (а значить, на користь держателя картки). Виняток з цього правила одне - про нього піде мова в наступному пункті. Неважливо - ввели чи шахраї правильне ім'я власника картки, або навіть правильний CVC / CVV - правила платіжних систем при card not present транзакціях завжди стоять на стороні власника карти. Збитки по спірних транзакцій лягають на банк-еквайєр, який перекладає їх на інтернет-магазин. Більше того - за кожну опротестований операцію на інтернет-магазин міжнародними платіжними системами накладається штраф. Тому тому набагато вигідніше самому швидше повернути гроші власнику картки, якщо той звернувся в інтернет-магазин з вимогою повернути гроші по транзакції, яку не скоював, ніж в 100% випадків зробити це після офіційного опротестування трансакції, але вже з додатковим штрафом на користь платіжної системи . 5. Єдине виключення - це транзакції з використанням 3D Secure (так ця технологія називається у Visa) і MasterCard SecureCode (думаю, зрозуміло, що це технологія міжнародної платіжної системи MasterCard). На схемі роботи цієї технології варто зупинитися докладніше. Коли і банк-емітент, і банк-еквайєр (обов'язково обидва!) Проводять інтернет-транзакції з використанням однієї з цих технологій, власник карти, здійснюючи покупку, після введення реквізитів картки, бачить віконце від свого банку, який видав йому картку, з проханням ввести пароль, який знають тільки він і його банк. Введення цього пароля є аналогом введення ПІН-коду при оффлайнових транзакціях, і ці технології були покликані дати додатковий захист інтернет-магазинах. Однак цей план міжнародних платіжних систем не спрацював, і ось чому. Справа в тому, що описана вище схема працює тільки в тому випадку, якщо і банк-еквайєр, і банк-емітент сертифіковані за цими технологіями. У випадку, якщо тільки один з них використовує ці технології, то той банк, який їх не використовує, при спірних транзакціях виявляється в явно програшній ситуації. Через це банки-емітенти, коли бачили, що їм від банку-еквайра приходить запит на авторизацію з застосуванням Visa 3D Secure або MasterCard SecureCode, просто відмовляли в авторизації, щоб не «потрапляти» у разі спірних операцій. А магазини, побачивши, що через це кількість успішних авторизацій у них зменшується, вирішили, що вигідніше буде «потрапляти» на частину оспорюваних транзакцій, ніж недоотримувати прибуток через те, що банки-емітенти дають «отлуп» (можете самі подивитися, скільки банків у Росії сертифіковано за MasterCard SecureCode). Але це теорія, а на практиці вам слід знати наступне: якщо ви використовуєте кредитку Ощадбанку, який сертифікований і по Visa 3D Secure, і по MasterCard SecureCode, то незалежно від того, чи використовує банк-еквайєр, що обслуговує той чи інший інтернет-магазин, цю технологію, ваші транзакції повністю захищені. Сподіваюся, що цей пост допоміг усім розібратися в тому, чого потрібно побоюватися в мережі, а що є домислами і міфами.
1 2 3 4 5 Переглядів: 1186 \| Додав: w1zard \| Рейтинг: 0.0/0