Банк

Этап 1. Рассмотрение заявки на регистрацию электронного торгового предприятия и заключение договора.

На данном этапе банк получает от ТП комплект документов, включающий в себя:

  • нотариально заверенные копии учредительных документов и Устава, свидетельств о регистрации в МРП и постановке на учет в налоговых органах, а также лицензий/разрешений ТП на заявленные виды деятельности;
  • ксерокопии паспортов руководства ТП (директор, главный бухгалтер) и основных учредителей (в случае наличия в составе учредителей физических лиц), а также ксерокопии трудовых книжек вышеуказанных лиц;
  • бухгалтерский баланс с отметкой инспекции МНС;
  • анкету ТП, заверенную руководством ТП.

Рекомендуется, чтобы анкета ТП содержала следующие сведения:

  • торговую марку ТП;
  • название юридического лица, выполняющего функции ТП;
  • паспортные данные руководителей ТП (директор, главный бухгалтер);
  • при наличии «физического» магазина, являющегося основой для электронного бизнеса, фактический адрес ТП;
  • URLTn;
  • E-mail и контактные телефонные номера для обслуживания клиентов ТП. Контактные телефоны и E-mail ответственных менеджеров, в том числе по вопросам технического функционирования ТП и безопасности;
  • IP-адрес сервера, на котором расположен сайт ТП;
  • данные о компании-владельце хостинга и его учредителях;
  • краткую историю бизнеса ТП (в частности, необходимо указать, работало ли ранее торговое предприятие через другие банки и если да, то почему оно меняет обслуживающий банк);
  • подробный перечень предоставляемых товаров и услуг с указанием для каждой услуги или товара разброса в ценах;
  • если данное предприятие является биллинговой компанией (через нее обслуживаются несколько ТП, в иностранной литературе также используется термин merchant aggregator), то требуется указать данные по предыдущему пункту для каждого обслуживаемого биллинговой компанией ТП. В идеале банк должен заключать прямой договор на обслуживание с каждой торговой точкой;
  • если ТП уже ранее функционировало, указывается средний размер транзакции, количество транзакций, количество chargeback, процент объемов chargeback к общему объему покупок, время функционирования ТП;
  • если ТП ранее не функционировало, указываются ожидаемые значения оборотов и количества транзакций;
  • наличие (отсутствие) в ТП собственной системы безопасности, системы защиты БД карт клиентов (если таковая ведется), а также системы анализа транзакций на потенциальное мошенничество (предоставляется краткое описание архитектуры системы, используемых алгоритмов и критериев);
  • наличие в ТП собственной службы безопасности с указанием ее контактных адресов;
  • предложения по предоставлению дополнительных поручительств физических лиц либо иных структур за ТП.
  • Подтверждение факта регистрации фирмы в РФ.
  • Проверка действительности паспортных данных руководителей ТП.
  • Проверка руководства ТП на предмет наличия ликвидного имущества в личной собственности, регистрации на их имя других юридических лиц.
  • Проверка наличия претензий со стороны правоохранительных и налоговых органов к ТП либо к близким к ТП структурам.
  • Проверка наличия лицензий и разрешений на осуществляемую ТП деятельность.
  • Проверка адресов электронной почты и контактных телефонов дляобслуживания клиентов. Банк, получив анкету ТП, выполняет следующие действия:

Банк, получив вышеуказанный комплект документов, проводит проверку фирмы по следующим направлениям:

  1. Подтверждение факта регистрации фирмы в РФ.
  2. Проверка действительности паспортных данных руководителей ТП.
  3. Проверка руководства ТП на предмет наличия ликвидного имущества в личной собственности, регистрации на их имя других юридических лиц.
  4. Проверка наличия претензий со стороны правоохранительных и налоговых органов к ТП либо к близким к ТП структурам.
  5. Проверка наличия лицензий и разрешений на осуществляемую ТП деятельность.
  6. Проверка адресов электронной почты и контактных телефонов дляобслуживания клиентов.

Банк, получив анкету ТП, выполняет следующие действия:

  1. Проверяет соответствие URL и IP-адреса хоста.
  2. Устанавливает юридическое лицо, на которое зарегистрировано доменное имя и IP-адрес сервера для сайта магазина (по БД РосНИИРоса).
  3. Если ТП торгует физическими товарами, проверяет наличие физического офиса ТП.
  4. Если ТП использует услугу хостинга для организации своего Webсайта, производится проверка информации о компании-владельце хостинга.
  5. Проверяет наличие криптографической защиты соединения между владельцем карты и ТП во время ввода данных о реквизитах карты, а также данных о реквизитах карт (требования к защите информации указаны ниже при описании необходимых разделов в договоре банка и ТП).
  6. Сравнивает списки продаваемых услуг или товаров из анкеты ТП и по электронной витрине ТП.
  7. Классифицирует ТП на предмет его степени риска. К высоко рискованным предприятиям априори относятся Adult Entertainment (развлечения для взрослых), игры в реальном масштабе времени/ лотереи (gambling/lottery), магазины, торгующие информацией и ПО, магазины, работающие по схеме ребиллинга (то есть магазины, безакцептно дебетующие на регулярной основе счета своих клиентов, например некоторые биллинговые компании, ISP-провайдеры), предприятия, торгующие дорогостоящей аудио- и видеоаппаратурой и другими товарами, легко реализуемыми мошенниками в реальном мире за наличные, предприятия, оказывающие услуги со значительной задержкой от момента совершения оплаты (например, подписка на различные услуги). По данным исследования компании Gartner Group вероятность возникновения chargeback в таких ТП в среднем составляет 15 %, достигая в отдельных электронных магазинах 30 %. Наоборот, к низкорискованным ТП относятся продажа билетов, книг, CD/DVD-дисков и т. п.
  8. Проверяет информацию о ТП по БД международных платежных систем MATCH и NMAS (данные БД содержат информацию о мошеннических и подозрительных ТП).
  9. Проверяет наличие на сайте ТП ссылок на «подозрительные» сайты (например, на сайты Adult Entertainment).
  10. Проверяет полноту описания потребительских характеристик продаваемых продуктов с тем, чтобы недостаток описания товара/ услуги не мог стать причиной для chargeback (например, при описании электротоваров рекомендуется указывать, какие значения напряжения требуются для работы данного товара).
  11. Проверяет, ясны ли покупателю процедуры заказа товаров и их оплаты по карточкам. Проверяет наличие на Web-сайте ТП ясной информации о сроках доставки товара.
  12. Проверяет наличие на сайте описания процедур возврата покупателю товаров/денежных средств, контактных данных ТП (адрес электронной почты, телефона) для покупателя, описания способов доставки товаров, экспортных ограничений и страны регистрации ТП.
  13. Проверяет наличие на сайте ТП информации, объясняющей покупателю процедуры безопасного хранения частной информации о покупателе, а также процедуры, гарантирующие покупателю невозможность компрометации данных его карты при проведении транзакции.
  14. Проводит пробную транзакцию для оценки времени доставки товара и проверки содержимого электронного чека, предоставляемого владельцу карты в качестве подтверждения выполнения транзакции. В электронном чеке должны присутствовать номер заказа, ясный для покупателя идентификатор ТП (это очень важно, поскольку практика показывает, что частой причиной отказа клиента от транзакции является неузнаваемость имени магазина на электронном чеке и в стейтменте о транзакциях), совпадающий с именем сайта ТП, имя покупателя, дата транзакции, размер транзакции и код валюты, код авторизации (Approval Code), контактные телефоны и адреса электронной почты для обращения клиента в случае возникновения вопросов, перечень покупаемых товаров и услуг, тип транзакции (покупка). Требования к электронному чеку хорошо изложены в VISA International Operating Regulations, Volume 1 — General Rules, Exhibit 71 «Electronic Transaction Receipt».

На основе полученных результатов банк принимает одно из следующих решений:

  • отказать на запрос торгового предприятия по его обслуживанию в банке;
  • разрешить ТП работу с банком с указанием схемы проведения транзакции (ограничений на способ выполнения транзакции) в зависимости от размера транзакции (см. далее) и определением схемы поддержания страхового депозита ТП в банке (в зависимости от степени риска данного ТП).

Возможно применение различных схем проведения транзакций. Ниже в порядке убывания степени защиты от мошенничества приведены возможные схемы проведения транзакции ЭК:

  • Транзакция с реализацией надежной процедуры аутентификации владельца карты, принятой в банке-эмитенте карты. Схема, очевидно, может использоваться только для карт, эмитированных банками, реализующими надежные протоколы ЭК.
  • Транзакция, совершаемая в отложенном режиме (то есть в режиме off-line), с проверкой следующих данных: номера карты, срока действия карты, имени владельца карты, CVV2, номера паспорта. Транзакция считается успешной, если эмитент по отдельности подтверждает правильность представленных в запросе обслуживающего банка данных. В противном случае, даже если эмитент присылает общее подтверждение, транзакция отвергается. В запросе должна специально оговариваться необходимость предоставить результат проверки по каждому элементу реквизитов транзакции. Запрос в банк-эмитент может передаваться разными способами, например с помощью принятой в международных платежных системах так называемой телексной авторизации.
  • Транзакция с обязательной проверкой CVV2/CVC2.
  • Транзакция с переходом на отложенную авторизацию и обязательным подтверждением номера карты, срока ее действия и имени клиента (проверка CVV2/CVC2 запрашивается, если карта содержит этот параметр, но наличие результата проверки необязательно; в то же время, если в ответе эмитента утверждается, что значение CVV2 неверно, транзакция отклоняется).
  • Транзакции с обязательной проверкой только номера карты и срока ее действия.

Для каждого ТП на основании «профиля» торгового предприятия определяются значения Х1 Х2, Х3, Х4, суть которых состоит в следующем:

  • если размер транзакции превышает значение Х4, то обязательным является проверка по схеме 1;
  • если размер транзакции лежит в диапазоне (X3,X4, то минимально возможный уровень защиты — схема 2;
  • если размер транзакции лежит в диапазоне (Х2,Х3], то минимально возможный уровень защиты — схема 3;
  • если размер транзакции лежит в диапазоне (Х1Х2], то минимально возможный уровень защиты — схема 4;
  • если размер транзакции меньше X1, то возможно использовать любой способ (схему) проведения транзакции.

В договоре банка с ТП необходимо отразить следующие аспекты:

Должен быть указан профиль магазина (виды продаваемых товаров и услуг). Оформляется в виде приложения к договору, являющемуся его неотъемлемой частью. Должна предусматриваться возможность оперативного удаленного доступа сотрудников обслуживающего банка к БД товаров или описанию номенклатуры предлагаемых товаров и услуг.
Обязательство ТП предупреждать обслуживающий банк об изменении «профиля» магазина (появление принципиально отличаю
щихся по цене и видам товаров). Всякое такое изменение должно оформляться в виде дополнительного приложения к договору.

  1. Должна иметься статья, указывающая на то, что ТП обязано проводить любую транзакцию ЭК в режиме реального времени (Floor Limit=0).
  2. Должны быть оговорены персональные гарантии учредителей ТП с одновременным заключением отдельного договора поручительства для покрытия расходов, связанных с мошенничествами по ЭК.
  3. Должна быть четко оговорена схема поддержания страхового депозита для данного ТП. В соответствующей статье договора должны быть слова о том, что если финансовые потери превышают размер страхового депозита, то банк оставляет за собой возможность замораживания средств из текущих поступлений на счет магазина даже в случае банкротства ТП.
  4. Должна оговариваться возможность для банка разрыва договора в одностороннем порядке в случае превышения порога мошеннических операций, совершенных в ТП.
  5. В договоре или приложении к нему должен быть указан МСС ТП.
  6. В отдельном пункте договора должна оговариваться полная ответственность ТП за хранение реквизитов карт.
  7. Должно быть отмечено, что для хранения данных о реквизитах карт могут использоваться симметричные алгоритмы шифрования с длиной ключа не менее 128 битов и/или асимметричные алгоритмы с длиной ключа не менее 1024 битов. Сервер, хранящий данные о картах, может быть подключен к Интернету только через специальные средства защиты сетевого доступа Firewall.
  8. Должна быть оговорена процедура защиты данных карты при их передаче между ТП и хостом банка. Необходимо потребовать, чтобы сервер ТП при вводе данных о реквизитах карты поддерживал с покупателем защищенную сессию, организуемую с применением симметричного шифрования с длиной ключа не менее 128 битов; в случае использования для защиты реквизитов карты SSL-сессии ТП должно контролировать размер ключа, поддерживаемого браузером покупателя, и, если последняя меньше 128 битов, отказывать покупателю в проведении транзакции, указывая ему адрес сервера, с помощью которого он может модернизировать свой браузер, обеспечив поддержку симметричного шифрования на ключе длиной не менее 128 битов. При использовании асимметричных алгоритмов шифрования длина ключа должны быть не менее 1024 битов.
  9. Должно быть предъявлено требование, чтобы на сайте ТП имелись четкие разъяснения для покупателя по процедурам безопасного хранения частной информации о покупателе, а также процедурам, гарантирующим покупателю невозможность компрометации данных его карты при проведении транзакции. По правилам системы VISA этот пункт должен быть включен во все договоры обслуживающего банка с его Интернет-магазинами до 1 января 2002 г.
  10. Должен оговариваться режим регулярных инспекций ТП со стороны обслуживающего банка и всяческая помощь банку в осуществлении таких проверок со стороны ТП.
  11. Должны быть определены сроки и механизм предоставления дополнительной информации о проведенных транзакциях по запросу обслуживающего банка.
  12. Должна предусматриваться возможность инициализации торговым предприятием расследования по подозрительным с точки зрения ТП транзакциям.
  13. Должна быть предусмотрена оплата услуг по мониторингу транзакций ТП. Технология мониторинга должна сообщаться ТП.
  14. Должна быть оговорена возможность замораживания средств ТП (задержки платежей в сторону ТП) по транзакциям, находящимся в состоянии проверки специалистами обслуживающего банка.

В договоре или приложении к нему должны быть указаны имена и контактные телефоны (адреса электронной почты) ответственных менеджеров, в том числе по вопросам технического функционирования ТП и безопасности.

Этап 2. Контроль функционирования ТП

I. В целях осуществления контроля за деятельностью ТП необходимо проводить регулярные инспекции ТП специалистами банка.

Содержание инспекции:

  1. Проверка ассортимента предоставляемых ТП услуг и товаров с использованием ранее сохраненных электронных копий (HTML Source) страниц сайта данного ТП, связанных с описанием продаваемых товаров-услуг.
  2. Проведение специалистами банка контрольных покупок в ТП с целью оценки уровня качества предоставляемых услуг (соответствие описания товара его реальному качеству, сроков поставки товаров, стоимость товара и дополнительных услуг и т. п.), а также проверки использования торговым предприятием методов защиты данных о карточке во время выполнения транзакции.
  3. Создание электронных копий (HTML Source) для новых страниц сайта ТП, содержащих описание продаваемых товаров, услуг.
  4. Проверка наличия средств защиты БД карточек ТП и обеспечения защищенности соединений между ТП и владельцем карты.

Результаты инспекции оформляются в виде акта с перечислением нарушенных ТП требований банка и используются банком для осуществления акций, предусмотренных договором с ТП (предупреждение, штраф, разрыв договора и т. п.), либо для получения официальных письменных объяснений руководства ТП.

II.  Мониторинг транзакций ЭК на предмет выявления подозрительных транзакций и ТП. По подозрительным случаям банк инициирует и проводит специальные расследования.

III. Подготовка еженедельных статистических данных, необходимых для анализа функционирования ТП (как минимум, количество и объемы операций с разбивкой по платежным системам, уровень chargeback). Ведение негатив-файла (файла исключений) по картам и некоторым другим данным владельцев карт (телефон, e-mail, адрес), для которых имели место сообщения chargeback с Reason Code 83, 79 (VISA) и 37 (Europay).

IV. Ведение БД ТП, с которыми была приостановлена работа, с указанием причины расторжения договора и реквизитов, которые могут быть полезны для распознавания ТП при попытке повторного заключения договора (IP-адрес, URL сайта, Ф.И.О. директоров и учредителей и т. п.). Проведение расследования по подозрительным транзакциям.

V. Расследование инициируется либо по результатам анализа клиринговых файлов международных платежных систем (chargeback), статистических данных по ТП, данных мониторинга транзакций ЭК, либо по запросу ТП.
Причины, по которым может инициироваться расследование:

  1. Карта эмитирована иностранным банком, и ее владелец делает покупку в российском ТП, используя российский IP-адрес.
  2. Большое количество транзакций по одной карте в день.
  3. Большой размер транзакции по отношению к ценовому ассортименту ТП.
  4. Маленький размер транзакции по отношению к ценовому ассортименту ТП.
  5. Большое количество транзакций по данному префиксу.
  6. Слишком высокая активность ТП в терминах количества транзакций.
  7. Слишком высокая активность ТП в терминах объема операций.
  8. Слишком высокий процент отвергнутых эмитентами транзакций от общего количества транзакций, совершенных в ТП.
  9. Высокий уровень chargeback по ТП.

По причинам 1-5:

  • банк предупреждает ТП о начале расследования по некоторым транзакциям (если это еще возможно, ТП по этим транзакциям приостанавливает выполнение заказа) и запрашивает у ТП дополнительную информацию для выполнения расследования (имя клиента, адрес доставки, IP-адрес, с которого делалась транзакция); кроме того, банк инициирует обращение ТП к клиенту с извинениями по факту задержки доставки товара;
  • банк «замораживает» средства на страховом депозите ТП, если презентмент по транзакции уже был отправлен в сеть; в противном случае — временно задерживает отправку презентмента до окончания расследования;
  • банк формирует запрос в банк-эмитент с данными о транзакции (включая полученные от ТП имя клиента, номер карты, размер транзакции и идентификатор ТП, адрес доставки) и просьбой связаться с клиентом для подтверждения правильности транзакции в ограниченные сроки (как правило, не более 10 дней со дня отправки запроса).

По причинам 6-9 банк предпринимает следующие действия:

  • выясняет причины роста трафика (банк обращается за разъяснениями в ТП — возможно, ТП запустило новую услугу, пользующуюся спросом, и таким образом рост транзакционного трафика объясним);
  • принимает решение по ужесточению схемы проведения транзакции (уменьшение параметров, для которых минимально обязательными становятся более защищенные методы авторизации);
  • изменяет страховой депозит ТП и замораживает средства ТП для формирования нового значения страхового депозита.

Расследование может дать следующие результаты:

  • банк-эмитент подтверждает факт проведения транзакции его клиентом. В этом случае банк оповещает ТП о возможности выполнения заказа, если он еще не был выполнен, и размораживает сумму транзакции на страховом депозите ТП, если эта сумма ранее была заморожена;
  • банк-эмитент отрицает факт проведения транзакции его клиентом. В этом случае банк оповещает ТП о невозможности выполнения заказа, если он ранее не был выполнен. Если презентмент уже был отправлен в сеть, банк подготавливает кредитовый презентмент на сумму транзакции;
  • банк не получает ответа от банка-эмитента в пределах отведенного для этого времени. В этом случае, если размер транзакции больше некоторой величины Z, банк принимает решение отвергнуть транзакцию. Об этом оповещается ТП. В случае необходимости банк выполняет действия по формирования кредитового презентмента.

Если размер транзакции меньше величины Z, но больше Y, решение по результату выполнения операции перекладывается на ТП, но при обязательном «замораживании» суммы транзакции на страховом депозите ТП на срок 120 дней (срок, в течение которого эмитент может отправить банку chargeback).

Если размер транзакции меньше величины Y, то решение перекладывается на ТП без замораживания суммы транзакции. Значения Z и Y определяются банком на стадии подключения ТП к системе ЭК.

VI. Вычисление на регулярной основе новых значений страховых депозитов по каждому ТП на основе последних статистических данных о функционировании ТП.

VII. Обновление критериев анализа статистических данных по электронной коммерции на основе информации о текущих требованиях международных платежных систем к деятельности ТП.

Этап 3. Прекращение договора с ТП

Если банк принимает решение о прекращении договора между банком и ТП, то он должен выполнить следующие мероприятия:

  • внести ТП в базу данных торговых предприятий, с которыми были разорваны договорные отношения;
  • изменить значения параметров в программе мониторинга ТП;
  • в случае необходимости сообщить о разрыве договорных отношений с ТП в международную платежную систему.