Когда вы вставляете карту в "чужой" POS-терминал (или в "чужой" банкомат), то транзакция по карте проходит порой довольно большой путь.
Процесс, в котором выдается решение о возможности покупки (или снятия наличности) называется авторизацией. Этот процесс может быть произведен двумя способами. Онлайн- и оффлайн. Давайте рассматривать все это на примере чиповой карты (смарт-карты, EMV-карты - это все одно и то же). У карты с манитной полосой все проще, данных меньше.
Онлайн-авторизация
Очевидный, сложный и дорогой способ, и самый надежный.
Вставляете карту СохраниБанка в POS - терминал банка ИТД-24 (кстати, POS означает Point Of Sale, точка продажи). Кассир или на самом терминале или на кассовом узле, к которому подключен терминал, вводит сумму продажи. Формируется т.н. авторизационный запрос. В этот запрос попадает масса всякой дополнительной информации, не только сумма и данные карты. Еще туда терминал добавляет информацию о себе самом. Название, местоположение, его возможности по обработке карты, дату, время, сумму. валюту и т.д. и т.п. Затем эти данные он отправляет карте (!). Карта все это подписывает своим секретным ключом (!). Получается такой вариант цифровой подписи, который называется ARQC (Authorization Request Cryptogram, криптограмма авторизационного запроса). Весь этот пакет данных вместе с ARQC возвращается терминалу.
Теперь терминал не может подменить данные. Если он подставит другую сумму, например, то состав данных изменится, и тогда ARQC не сойдется. Терминал пересылает этот пакет банку-эквайреру ИТД-24 (банковский бизнес по приему карт называется эквайрингом). Тому банку, к которому этот терминал подключен. Банк-эквайрер видит, что карта "не его" (он не является эмитентом этой карты). Но банк видит, что это карта Visa. Тогда он пересылает весь этот пакет данных в процессинговый центр Visa, с которым имеет качественное выделенное соединение.
В процессинге Visa смотрят: это карты СохраниБанка, судя по первым цифрам PAN (номера) карты. Эти номера банки выкупают у Визы, поэтому Виза точно знает, какая карта какому банку принадлежит. Процессинг Visa переправляет пакет данных эмитенту (СохраниБанку).
СохраниБанк получает пакет и проверяет подпись (ARQC). Также СохраниБанк проверяет баланс по карте, а также ряд других вещей (например, правильность PIN) и принимает решение, разрешить транзакцию. Формирует пакет ответа, в котором содержится ARPC (Authorization Response Cryptogram, криптограмма ответа). Этот пакет СохраниБанк отправляет в Визу. А сам резервирует (холдирует, hold) нужную сумму на счете.
Виза переправляет пакет в банк ИТД-24.
Банк ИТД-24 записывает транзакцию себе, помечая, что теперь он должен денег торговцу. И пересылает ответ терминалу.
Терминал бодро распечатывает чек, что все отлично, разрешена продажа. И заодно передает этот пакет карте. Потому что в ответе, который отправил СохраниБанк, много всего. Например, там могут быть т.н. скрипты, которые могут управлять картой. С помощью этих скриптов карту можно заблокировать, разблокировать, сменить PIN, изменить данные карты и много чего вообще. Расскажу в отдельном посте.
По этим транзакциям банк ИТД-24 выставляет требования об оплате в специальный банк Визы (ага, процессинг - это просто процессинг, а деньги отдельным каналом). Чтобы вообще вести все эти взаиморасчеты, банки-участники платежной сети платят немало денег Визе, и имеют немаленький депозит на счетах в специальном банке Визы. Вот в рамках этого депозита расчеты между банками и ведутся. Взаиморасчеты происходят не мгновено, а по итогам банковского дня, если это покупка. Происходит вторая фаза авторизации. В ходе этой фазы эмитент окончательно списывает деньги со счета.
С банкоматом немного иначе: там списание денег со счета происходит сразу же, хотя между банками взаиморасчеты происходят тоже по итогам банковского дня.
Поддерживать "онлайн-канал" дорого и сложно и технически, и организационно. И не всегда возможно! Например, в самолете нет необходимого канала связи, а оплату принимать надо.
Оффлайн-авторизация
В этом случае постоянной связи между терминалом и банком-эквайрером нет. Соответственно, транзакция никуда особенно не путешествует. Есть только диалог между картой и терминалом. Причем, что терминал, что карта могут отказаться от совершения сделки. Если же они все-таки договорились, то терминал фиксирует транзакцию с подписью карты (карта умеет пописывать транзакции!) у себя в журнале, а карта изменяет свои внутренние счетчики.
Когда появится связь (например, раз в день), все транзакции из журнала терминала отправляются пачкой банку-эквайреру. А банк уже через платежную систему (Visa) запрашивает требование на возмещение этих сумм с банков-эмитентов. Дальше все примерно так же, через визовский банк.
Оффлайн-авторизация - интересная и довольно сложная штука, достояная отдельного поста. Об этом как-нибудь в другой раз.
Подписывайтесь на канал "Технологии Денег" в Яндекс.Дзен и в Телеграм! У меня еще много интересного материала!
