Здравствуйте, уважаемые читатели. Вы знали о том, что каждая банковская транзакция уникальна? Именно об этом сегодняшняя статья. Предыдущие публикации по финансовым технологиям вы можете найти здесь.
"Сначала у точки продаж должен быть цифровой сертификат от платежной системы, подтверждающий возможность приема оплат с помощью токена. Это как «цифровой пропуск», без которого касса POS «не сможет понять», что платеж выполняется с помощью токена.
Затем перед оплатой вы открываете платежное приложение ApplePay или GooglePay, которое запрашивает пароль или считывает вашу биометрию, например, через FaceId, таким образом выполняется аутентификация и авторизация пользователя через его секрет. Проверка, что платит именно владелец устройства.
После проверки, устройство отправляет в pos-терминал через платежный радио-интерфейс nfc или бесконтактный mst (для нас пока это все происходит при касании устройства терминала).
DPAN (Device Primary Account Number) — токенизированный номер карты («суррогатный» номер карты, заменяющий реальный номер карты PAN), временную динамическую криптограмму, динамический CVV (аналог 3 цифр на обороте карты).
Крипотограмма уникальна для каждой транзакции, она передаётся от устройства через терминал. Банк-эквайер в неизменном виде точка продаж и эквайер не умеют её проверять и не знают, как она устроена. Если зловред вдруг все это перехватит, то ему эти данные ничего не дадут – криптограмма и DCVV будут сформированы уже заново в следующем платеже. То есть постоянный тут только токен DPAN, а остальные элементы –переменные, это придает каждому платежу уникальность и одноразовость, как если бы вы выдали кому-то одноразовый пропуск.
Затем все эти данные + транзакция от терминала отправляются в платежный шлюз, например, stripe, cloudpayments и др., который переправляет все эти данные в банк-эквайер.
Эквайер пересылает все эти данные в платежную систему (ПС). ПС определяет, что это токен, а не PAN, так как токен имеет свой отличный от карты BIN, чтобы узнать, куда дальше направить транзакцию.
ПС направляет запрос к провайдеру TSP, в ряде случаев сама ПС может выполнять функции такого провайдера. TSP проверяет токен, формат, активность, ограничения, криптограмму, которую получил вместе с токеном. Если все хорошо, выполняет «детокенизацию»: находит соответствующий токену PAN и возвращает его в ПС. ПС направляет PAN и данные транзакции (операции) банку-эмитенту карты (которого уже знает по «обычному» BIN карты – первым 6-8 цифрам).
Банк-эмитент проверяет существование карты, параметры авторизационного запроса-транзакции: выполняет все проверки, аналогичные тем, что при платеже картой: ограничения на карте или соответствующего ей счета, достаточность электронных денег на счете, подозрительность операции, ПОД/ФТ («признаки отмыва и др.»)
Эмитент направляет авторизационный ответ о результатах проверки в ПС, платежная система (ПС) заменяет PAN на токен и в обратном порядке по той же направляет ответ в банк-эквайер, шлюз и торговую точку: если все нормально, то терминал напечатает вам чек. Тут номер карты PAN не покидает доверенные зоны – защищенную аппаратную среду устройства пользователя и защищенный контур платежной сети: ПС-TSP-эмитент.
Ни продавец, ни банк-эквайер, ни любое третье лицо не имеют доступа к номеру карты PAN, что снижает риск мошенничества".
******
Если вам нравятся наши публикации, то вы можете поддержать канал донатом.
У нас есть много полезных и интересных публикаций.
Наш клуб 800Million совместно с Центром психологической безопасности (ЦПБ)
регулярно проводит финансовые курсы. В этой подборке собрана информация о курсах, отзывы о них, а также рассказано о преподавателе.
А это пост, в котором рассказано обо всех наших технологиях.
Здесь - наши статьи.
Здесь подборка с нашими рассказами о 800Million.
Кроме того, у нашего клуба есть своя картинная галерея нейроживописи.
Стиль - супрематизм. Картины созданы нашим мастером. Любую из работ вы можете заказать для приобретения.