Основные функции электронных средств платежа и процедуры обеспечения доступа к услугам платежной системы

Основные функции ЭСП:

• проведение идентификации (распознавания, установления личности) платежной системы, эмитента, пользователя ЭСП;
• предоставление доступа пользователя ЭСП к услугам платежной системы;
• формирование и передача распоряжений на перевод денежных средств в электронном виде;
  осуществление переводов денежных средств, в том числе с использованием электронных денежных средств, в соответствии с договором между клиентом и обслуживающим его оператором по переводу денежных средств;
• формирование документов по операциям в соответствии с правилами платежной системы;
• предоставление других услуг пользователю ЭСП в соответствии с договором;
• обеспечение защиты информации и безопасности переводов в соответствии с законодательством и условиями договоров.

Процедура персонализации проводится перед предоставлением клиенту ЭСП и заключается в нанесении на ЭСП идентификационной информации, предусмотренной кредитной организацией-эмитентом. Это позволяет в последующем идентифицировать (то есть распознать) платежную систему, эмитента, клиента, установить подлинность их существования при предоставлении доступа клиенту для работы в платежной системе.

Рисунок 1. Содержание процедур персонализации и предоставления доступа пользователю ЭСП к работе в платежной системе

Рисунок 2. Процедура персонализации ЭСП

Оператор платежной системы имеет право установить в правилах платежной системы дополнительные реквизиты ЭСП (например, наличие на платежной карте фотокарточки, подписи держателя и др.).

В качестве идентификатора часто используется персональный идентификационный номер (англ. – Personal Identification Number, далее – ПИН-код) – набор цифр или набор букв и цифр (от 4 до 12 знаков), известный только пользователю ЭСП и необходимый для его идентификации и аутентификации при осуществлении операций с ЭСП. Обычно ПИН-код является четырехзначным числом.

Электронная подпись (ЭП) – информация в электронной форме в виде зашифрованной последовательности символов (цифр и/или букв), которая используется для определения лица, подписывающего информацию, и позволяет подтвердить авторство электронного документа. ЭП присоединяется к другой информации в электронной форме (подписываемой информации) или с ней связана иным образом.

Распоряжения на перевод денежных средств в электронном виде должны подписываться только квалифицированной ЭП. ЭП является обязательным реквизитом электронного документа (эквивалентом подписи, проставляемой от руки), который обладает полной юридической силой, позволяет подтвердить принадлежность ЭП ее владельцу, а также зафиксировать состояние информации в электронном документе с момента его подписания. Процедура персонализации завершается персонификацией ЭСП -внесением банком-эмитентом идентификационных данных о ЭСП, пользователе ЭСП в базу данных.

ЭСП, которое содержит идентификационные данные и прошло персонификацию, называется персонифицированным. Идентификационные данные содержат в себе алфавитно-цифровую информацию, графическую информацию, а также конфиденциальную информацию (в закодированном электронном виде). Хранить закодированную информацию нужно с целью защиты ЭСП от подделок, облегчения процедуры предоставления доступа пользователям ЭСП для работы в платежной системе, автоматической обработки транзакций.

В случае получения пользователем доступа в платежную систему осуществляется передача команд по выполнению операций в платежной системе с помощью платежного устройства или банковского программного комплекса в соответствии с условиями договора между пользователем и банком-эмитентом. Идентификация пользователя ЭСП – это процедура установления личности пользователя ЭСП, которая заключается в распознавании пользователя по его идентификатору при обращении к защищенной платежной системе. Для идентификации пользователя также могут использоваться реквизиты ЭСП, нанесенные на него в графическом и электронном виде.

Рисунок 3. Процедура идентификации

В случае использования платежной карты технология сверки идентификационной информации зависит от способа записи информации на карту и соответственно вида карты (с магнитной полосой, с чипом), а также от установленной договором платежной схемы. Конфиденциальная идентификационная информация (номер карты и др.) зашифровывается и записывается при персонализации карты в виде крипто-свертки на магнитной полосе обычной платежной карты (в виде кода PVV) или в памяти смарт-карты.

Шифровальный модуль платежного устройства или банковского программного комплекса после ввода держателем карты ПИН-кода определяет так называемый ПИН-блок (сумму введенного ПИН-кода и номера карты), шифрует его с помощью транспортного ключа и передает его вместе с зашифрованной идентификационной информацией, записанной на карте, для сверки с базой данных банка-эмитента. При проверке ПИН-кода происходит дешифровка ПИН-блока из-под транспортного ключа и расчет кода переданной идентификационной информации с карты с помощью криптографического ключа (в частности, путем расчета кода PVV). В случае, если дешифрованный и рассчитанный коды совпадут, то ПИН-код введен правильно и идентификация будет успешной.

В случае использования платежной карты с магнитной полосой криптографический ключ, с помощью которого может быть прочитан ПИН-код и другая идентификационная информация, находится в банке-эмитенте. Поэтому необходимо передать в банк-эмитент защищенными каналами запрос относительно введенного держателем ПИН-кода и шифрованной идентификационной информации, считанной с карты платежным устройством или банковским программным комплексом. В случае использования платежной смарт-карты с микропроцессором вся идентификационная информация по данному ЭСП в базе данных банка-эмитента, криптографический ключ для дешифровки введенной и считанной идентификационной информации, как правило, хранится в памяти карты.

Обновление информации в памяти карты происходит каждый раз при осуществлении транзакции. Поэтому идентификация может осуществляться самой картой путем обмена шифрованной информацией между платежным устройством (банковским программным комплексом) и самой картой, а передача шифрованной идентификационной информации в банк-эмитент для сверки часто бывает не нужна. Сверка информации с базой данных банка-эмитента может не проводиться, если сумма покупок держателя не превышает сумму лимита, установленного банком-эмитентом. При наличии на смарт-карте соответствующего приложения (например, электронного кошелька) нередко становится ненужным также и введение ПИН-кода.

Аутентификация осуществляется обычно перед авторизацией (предоставлением разрешения на осуществление операций в платежной системе). При проведении аутентификации осуществляется обмен информацией между сервером авторизации банка-эмитента или операционным центром платежной системы и пользователем, который принимает активное участие в этом процессе. Обычно пользователь подтверждает свою идентификацию путем предоставления системе уникальной информации, которая неизвестна для других пользователей.

Основные этапы процедуры аутентификации и средства аутентификации представлены на рис. 4.

Рисунок 4. Процедура аутентификации

Код верификации CVV (англ. – Card Verification Value) для карт Visa, CVC (англ. – Card Verification Code) для карт MasterCard, CVР для карт «Мир» это – трехзначный код проверки действительности карты, который позволяет удостовериться, что карта находится в распоряжении конкретного держателя. Применение кода верификации обеспечивает дополнительную безопасность при дистанционном проведении транзакции без физического наличия карты, но с использованием ее реквизитов (CNP-транзакция, англ. – Card Not Present), например: в случае голосовой авторизации держателя или использования им систем удаленного доступа (интернет-банкинга, мобильного банкинга. телефонного банкинга и др.).

Код верификации записывается на магнитной полосе или в памяти чипа карты и, как правило, наносится, на обратной стороне карты на полосе для подписи держателя после последних 4 цифр номера карты способом индент-печати. Он всегда создается при выпуске карты, но может не указываться на отдельных видах карт в графическом виде. Код верификации создается с помощью специального открытого алгоритма с применением пары секретных ключей к таким параметрам карты, как ее номер и срок действия. Секретные ключи известны только эмитенту карты. Вычислить код по номеру карты и сроку ее действия, не зная секретных ключей, невозможно.

QR-код (от англ. Quick Response Code – код быстрого реагирования) – графический способ представления информации в виде многомерного штрих-кода, как правило, в виде картинки из черных квадратиков на белом фоне, которая содержит зашифрованные данные и техническую информацию для их расшифровки. QR-код содержит гораздо больше информации, чем обычный штрих-код, может считываться специальными сканерами, камерами мобильных устройств и/или специальными приложениями. QR-код работает как гиперссылка, облегчает процесс выбора продукта или услуги, поскольку в небольшом квадратике можно зашифровать до 4296 символов.

При помощи QR-кодов можно отправлять электронные письма и SMS, переходить по ссылке, узнавать координаты места и контактные данные человека. Пользователи могут создавать коды персональных страниц в соцсетях, своих проектов, блогов, телефонных номеров, почтового адреса, адреса электронной почты, зашифровать другую контактную информацию. Сегодня многие банки, страховые компании и коммунальные предприятия по всему миру отказались от документов и счетов в бумажном виде в пользу их виртуальных аналогов, успешно используя QR-коды. Применяя специальные сервисы (QR-генераторы, которые помогают зашифровать необходимую информацию и создать код), компании добавляют изображения сгенерированного QR-кода на бланки своих квитанций. Посредством сканирования QR-кодов можно снимать наличные в банкоматах, оплачивать товары и услуги, приобретать авиабилеты и совершать другие операции без физического наличия карты.

Сегодня с целью обеспечения безопасности совершения операций в системах интернет-банкинга и мобильного банкинга банков-эмитентов платежных карт широко используется технология двухфакторной аутентификации 3-D Secure (трехдоменная защита – с участием доменов платежной системы, банка-эмитента и банка-эквайра). Клиент банка, войдя в личный кабинет, оформляет операцию с платежной картой и нажимает кнопку «Оплатить».

Банк отсылает клиенту динамический (разовый) пароль (числовой код), формируемый генератором случайных чисел, на мобильный телефон в виде SMS-уведомления либо другим способом. Операция завершается только после ввода клиентом полученного числового кода в отдельное поле формы потверждения платежа на экране монитора компьютера или мобильного телефона. При неверном указании кода эмитент блокирует проведение операции. По некоторым картам в 3-D Secure используются многоразовые пароли, что является более экономичным, но менее безопасным.

Авторизация – процедура получения разрешения на проведение операции с использованием ЭСП в платежной системе. Код авторизации – набор цифр или букв и цифр, который формируется и предоставляется по результатам авторизации банком-эмитентом (его центром авторизации) или уполномоченным платежной системой процессинговым центром в случае подтверждения запроса на авторизацию. Запрос на авторизацию содержит запрос о возможности осуществления пользователем ЭСП платежной операции (другой операции) и поступает от платежного устройства или банковского программного комплекса. В процессе авторизации обязательно осуществляется проверка наличия средств на счете у пользователя и его финансовых возможностей для осуществления платежной операции. Технология авторизации зависит, в частности от типа платежной карты, технологической схемы выполнения операции, технологической оснащенности точки обслуживания торговца.

Онлайн авторизация предусматривает во время выполнения платежной операции наличие непрерывной телекоммуникационной связи в режиме реального времени между платежным устройством (банковским программным комплексом), на котором выполняется эта операция, эквайром и банком-эмитентом. Такая авторизация осуществляется центром авторизации банка-эмитента, который ведет собственную базу данных держателей ЭСП и лимитов остатков средств на их счетах (рис. 5).

Рисунок 5. Процедура онлайн авторизации

После обращения пользователя ЭСП (операция 1) к платежному устройству (банкомату, терминалу) или программному комплексу банка последний (2) формирует запрос на авторизацию и отсылает его в операционный центр (операция 2.1). В этом случае операционный центр (3) не исполняет непосредственно запрос на авторизацию, а пересылает его в центр авторизации банка-эмитента (операция 3.1).

После проверки центр авторизации банка-эмитента (4) исполняет запрос на авторизацию. По ее результатам ответ пересылается от центра авторизации в банк-эмитент (операция 4.1), в операционный центр (операция 4.2), а операционный центр (5) отсылает ответ банку-эквайру (операция 5.2) и платежному устройству или комплексу (операция 5.1). Если эмитент и/или эквайр не зарегистрированы в базе данных операционный центра, то операционный центр осуществляет последующую маршрутизацию запроса (операция 5.3). В случае присвоения кода авторизации пользователю ЭСП осуществляется доставка информации о транзакциях от банкоматной или терминальной сети, или банковского программного комплекса (6) к операционному центру по защищенным каналам телекоммуникационной или сотовой связи (операция 6.1).

На основании накопленных за день протоколов транзакций операционный центр (7) готовит и рассылает в расчетный центр итоговые данные для проведения взаиморасчетов между банками (операция 7.1), а также формирует и рассылает банкам-эквайрам стоп-листы (7.2). Расчетный центр, в котором банки-участники платежной системы открывают корреспондентские счета, осуществляет оперативное проведение взаиморасчетов между банками-эквайрами и банками-эмитентами (8). При этом сумма платежа списывается со счета пользователя ЭСП в момент совершения им платежной операции, но не перечисляется немедленно на счет получателя средств в банке-эквайре, а блокируется до окончания проверки. Банк-эквайер в течение 1-3 дней переводит сумму платежа на счет продавца со своего специального счета и отсылает документы банку-эмитенту для проверки. После проверки эмитент возмещает эквайру сумма платежа.

Стоп-лист – список ЭСП, по которым приостановлено проведение операций, составленный по определенным реквизитам ЭСП. В зависимости от правил платежной системы стоп-лист может быть электронным и/или бумажным. Офлайн авторизация не нуждается в непрерывной телекоммуникационной связи в режиме реального времени между платежным устройством или банковским программным комплексом, эквайром и банком-эмитентом (рис. 6).

В случае офлайн авторизации операционный центр, кроме предоставления информационных услуг поставщикам платежных услуг, выполняет функции центра авторизации – хранит данные о лимитах счетов пользователей и исполняет запросы на авторизацию (на основании результатов обращения к банку-эмитенту для проверки наличия у пользователя средств на счете для осуществления операций) или их последующую маршрутизацию, а также осуществляет обработку запросов на авторизацию и транзакций, рассылку банкам-эквайрам стоп-листов.

Рисунок 6. Процедура офлайн авторизации

Офлайн авторизация также может осуществляться в случае использования пользователем ЭСП смарт-карты с соответствующими платежными приложениями (электронный кошелек) и нефинансовыми приложениями. Такая смарт-карта содержит в зашифрованном виде идентификационную информацию и информацию об остатках на счетах, что позволяет обеспечивать обмен информацией непосредственно между картой и платежным устройством (банковским программным комплексом) и осуществлять транзакции без запросов на авторизацию.

Типы платежных схем, по которым осуществляются операции с использованием ЭСП:

• дебетовая: операции осуществляются в пределах остатка средств на счете пользователя ЭСП;
• кредитная: операции – за счет средств, предоставленных пользователю ЭСП банком в кредит или в пределах лимита кредитной линии;
• дебетово-кредитная: операции – в пределах остатка средств на счете пользователя ЭСП, а в случае их недостатка или отсутствия – за счет предоставленного банком кредита.