Здравствуйте, уважаемые читатели. Вы когда-нибудь задумывались о том, что происходит, когда вы платите картой в сети Интернет? Об этом сейчас расскажет наш ученик.
Предыдущие публикации по финансовым технологиям вы можете найти здесь.
"Теперь рассмотрим процесс онлайн-операций (Card Not Present). Это когда вы платите картой в Интернете, например на сайте какого-то магазина. Главное отличие – карта физически не используется, вводятся реквизиты карты.
1. Клиент вводит данные вручную номер карты(PAN), срок действия, CVV на сайте магазина.
2. Дальше процесс знаком – мы рассматривали ранее при оплате картой в POS-терминале: магазин передает данные в платежный шлюз, шлюз отправляет запрос в банк-эквайер(он обслуживает торговые точки и обрабатывает платежи от их имени). Эквайер, если карта не его, направляет запрос в платежную систему (ПС), платежная система определяет банк-эмитент по номеру карты и направляет запрос ему. Эмитент проверяет доступный остаток, ограничения и возвращает ответ обратно по той же цепочке.
Два ключевых отличия от офлайн: операции «вживую» с картой, выше риски мошенничества. В онлайне легче перехватить данные карты и/или подделать их.
Для снижения рисков используется 3-D Secure — протокол дополнительной аутентификации, подтверждающий личность владельца карты, это когда вы вводите код из смс или push. Он связан с эмитентом, который подтверждает, что платит именно владелец карты. 3-D Sec используется в большинстве онлайн-платежей, но не является обязательным для каждой транзакции (возможны исключения, низкорисковые операции, доверенные сайты и т. д.).
2 отличие – это PCI DSS (стандарт безопасности данных, требования к защите информации о картах) и токенизация (процесс замены данных карты на безопасные токены). По этим стандартам магазины стараются не хранить номера карт клиентов в своих базах. Стараются, но не все. И такое часто – вместо сохранения хотя бы хэша от карты хранятся данные карты в чистом виде. Даже у «великого Яндекса» на момент утечки 2022 все хранилось в открытом виде.
Те, кто не хранит, используют функционал платежного шлюза для платежей. Чаще вместо номера карты (PAN) используется сетевой токен от visa, mastercard или мир. Ранее мы рассматривали токены для устройств. Network tokens (Visa / Mastercard Network Tokenization) – это сетевые токены, без привязки к устройству. Сетевые токены — это безопасная замена PAN, которую выпускают сами платежные системы.
В отличие от токенов Apple/Google Pay, которые создаются на устройстве по инициативе пользователя, сетевые токены выпускаются по инициативе магазина (мерчанта) или его платежного провайдера (шлюза, эквайера).
Как проходит процесс. Когда клиент впервые вводит карту на сайте или в приложении, PAN попадает в платежный шлюз (Stripe, Adyen, Braintree и др.) в защищённом PCI-совместимом соединении (окружении).
После успешной первой транзакции шлюз может отправить в платежную систему запрос: «Создайте, пожалуйста, сетевой токен для этой карты для магазина X». Платежные системы генерируют токен и возвращают его шлюзу вместе с необходимыми атрибутами (идентификаторы, криптографические параметры, правила обновления). После этого магазин хранит не PAN, а токен. И все дальнейшие списания — подписки, регулярные платежи, другие операции — проходят по нему.
Зачем мерчанту это? Безопасность: PAN не хранится у мерчанта, риск утечки значительно ниже. Стабильность: токен автоматически обновляется при перевыпуске карты (Account Updater). Более высокий авторизационный процент: токены чаще проходят проверки 3DS. Меньше фрода (мошенничества) и чарджбеков: сеть знает, кто и как использует токен.
Итого: Токены Apple/Google Pay → создаются устройством, после верификации карты пользователем. Сетевые токены Visa/MC → создаются по запросу магазина, чтобы уменьшить фрод".
*****
Если вам нравятся наши публикации, то вы можете поддержать канал донатом.
У нас есть много полезных и интересных публикаций.
Наш клуб 800Million совместно с Центром психологической безопасности (ЦПБ)
регулярно проводит финансовые курсы. В этой подборке собрана информация о курсах, отзывы о них, а также рассказано о преподавателе.
А это пост, в котором рассказано обо всех наших технологиях.
Здесь - наши статьи.
Здесь подборка с нашими рассказами о 800Million.
Кроме того, у нашего клуба есть своя картинная галерея нейроживописи.
Стиль - супрематизм. Картины созданы нашим мастером. Любую из работ вы можете заказать для приобретения.