платежные системы

CNP-транзакции рассматриваются в платежных системах как транзакции повышенного риска. В связи с этим все CNP-транзакции выполняются только в режиме реального времени (значение величины floor limit, определяющей верхний размер транзакции, которая может быть проведена в режиме off-line, для CNP-транзакций определено равным нулю).

По правилам международных платежных систем обслуживающие банки имеют право на обслуживание ТП, расположенных в его зоне Area of Use, которая определена лицензией, выданной данному банку платежной системой. При этом адрес ТП определяется по адресу, указанному в договоре между обслуживающим банком и ТП.

В соответствии с теми же правилами обслуживающие банки имеют право обслуживать торговые предприятия, расположенные вне зоны Area of Use, но только по транзакциям владельцев карт, чьи банки-эмитенты расположены в зоне Area of Use обслуживающего банка.

Рассмотрим теперь правила, определяющие ограничения по использованию дебетовых и кредитных карт, а также распределение ответственности между участниками транзакции ЭК. Эти правила на настоящий момент времени отличаются в системах VISA и Europay-MasterCard.

Начнем с системы VISA. Транзакции ЭК в этой системе разрешены как по кредитным, так и по дебетовым картам независимо от используемого протокола ЭК (еще совсем недавно транзакции ЭК по дебетовым картам разрешались только в случае применения протокола SET; ситуация изменилась летом 2000 г.). В настоящее время системой VISA в качестве надежных протоколов ЭК признаются 3D SET, 3D SSL и 3D Secure. Каждый из перечисленных протоколов однозначным образом определяет зону ответственности всех участников транзакции ЭК (все протоколы базируются на концепции трех доменов). Поэтому в случае возникновения диспута по транзакции «виновник» конфликта определяется однозначным образом. В частности, в случае возникновения самого распространенного в электронной коммерции диспута, при котором клиент утверждает, что не совершал данной транзакции ЭК, ответственность лежит на банке-эмитенте.

В настоящее время протокол 3D SET является базовым для стран Европейского Союза и Латинской Америки, 3D SSL — для США, а 3D Secure претендует на роль глобального стандарта аутентификации. Переход на стандарт 3D Secure планируется начать в октябре 2002 г., начиная со стран Азиатско-Тихоокеанского региона, США и Канады.

Кроме того, система VISA планирует ввести изменение в распределении ответственности за результат транзакции ЭК, начиная с 2003 г. В соответствии с этим изменением, если эмитент не поддерживает протоколов 3D Secure или 3D SET, а обслуживающий банк поддерживает, то при возникновении диспута по транзакции ЭК ответственность будет переложена на эмитента.

В системе Europay-MasterCard операции по дебетовым картам (Maestro) разрешаются только при использовании протоколов 3D SET и виртуальных номеров карт (Pseudo Card Number). В этом случае ответственность при возникновении диспута лежит на эмитенте за исключением единственного случая, когда покупатель не получил оплаченной услуги/товара.

Электронные покупки по кредитным картам разрешаются независимо от применяемого протокола электронной коммерции. Однако если используется протокол, отличный от 3D SET, ответственность в случае возникновения диспута ложится на обслуживающий банк.

По правилам международных платежных систем обслуживающий банк должен иметь прямое соглашение на обслуживание Интернет-магазина (агентские организации в случае ЭК не разрешаются).

Платежные системы рекомендуют обслуживающим банкам посещать Web-сайты ТП для проверки выполнения правил платежных систем. К числу таких правил относятся:

  • отсутствие дискриминации в отношении карт, обслуживаемых ТП в соответствии с договором между ТП и обслуживающим банком;
  • отображение логотипа платежной системы, участником которой является обслуживающий банк;
  • запрет использования логотипа платежной системы в целях рекламы продаваемой продукции;
  • запрет использования магазином лимитов на размер транзакции (относится как к максимальной, так и к минимальной величине транзакции);
  • ТП не имеет права ни в каком виде предоставлять третьей стороне информацию о реквизитах карты (номер карты, срок ее действия и т. п.) и деталях выполненных транзакций за исключением случая, когда эта третья сторона является агентом ТП по проведению транзакций между ТП и обслуживающим банком либо компетентным правительственным органом;
  • данные о картах, которые более не будут использоваться ТП, должны уничтожаться способом, гарантирующим невозможность их восстановления.

Кроме того, международные платежные системы сформулировали набор правил, которые они назвали «Best Practices to Help Electronic Commerce Merchants» и которые активно предлагаются к использованию ТП под патронажем обслуживающего банка. Этот набор правил содержит следующие требования:

  • хранение всех данных о реквизитах карт должно осуществляться в зашифрованном виде;
  • хранение всех резервных (back-up) файлов, содержащих информацию о картах, должно производиться в закрытом виде;
  • все секретные ключи, используемые для шифрования данных, должны храниться с использованием устройств Hardware Tamper-Resistant Security Module;
  • все операции шифрования должны производиться внутри Hardware Tamper-Resistant Security Module;
  • информация о ключах должна распределяться между несколькими служащими системы безопасности;
  • для шифрования данных должны использоваться ключи длиной не менее 128 битов;
  • ограничивать доступ к информации о картах только персоналом, имеющим отношение к этим данными по долгу своей службы;
  • защищать доступ к серверам ТП;
  • периодически инспектировать сервер и его приложения;
  • физически разделять сервер БД и серверы, работающие с сетью;
  • информация о картах по мере утраты необходимости ее использования должна уничтожаться.

Компания VISA разработала документы Acquirer Best Practices, Merchant Best Practices, Cardholder Best Practices, описывающие правила и рекомендации по повышению безопасности транзакций ЭК.

Для обеспечения транзакций ЭК международные платежные системы Europay и MasterCard утвердили следующие правила (в том числе ввели определенные изменения) для форматов своих сообщений (0100 — Authorization Request, 0120 — Authorization Advice, 0121 — Authorization Advice Repeat):

  • значение DE 003 (Processing Code) полагается равным «000000», что соответствует «Покупке товаров и услуг»;
  • значение DE 022 (POS Entry Mode) должно иметь вид «81х»;
  • поле Field #4 (POS Cardholder Presence Indicator) в DE 061 (POS Data) должно принимать значение «5» (Cardholder Not Present, electronic order);
  • поле Field #5 (POS Card Presence Indicator) в DE 061 (POS Data) должно принимать значение «1» (Card Not Present).

Private Data Sub-element (PDS) 42 (Security Level Indicator) в Data Element (DE) 048 (Additional Data, Private) должно принимать следующие значения в зависимости от протокола, используемого для проведения транзакции:

  • PDS 40 (Certificate Serial Numbers) в DE 048 (Additional Data, Private) должно содержать серийный номер сертификата клиента (этот элемент должен присутствовать в сообщении только, если PDS 42 в DE 048 имеет значение «05») и опционно-серийный номер сертификата ТП;
  • DE 055 должно содержать минимальный набор EMV-данных, передаваемых от ОБ банку-эмитенту

В клиринговых сообщениях подэлемент Sub Element 7 (Card Data Input Mode) в DE 022 (POS Data Code) должен принимать значение Т, если используется протокол SET с сертификатами, значение S — в остальных случаях. В соответствии с ECCSS Release 00.1 (начинает действовать с 10 июня 2000 г.) этот подэлемент должен принимать значение Т, если используется протокол SET с сертификатами, S — для протокола SET без сертификатов, значение V для случая encrypted channel и V — в остальных случаях.

Международные платежные системы не будут выделять специальные значения кодов Merchant Category Code для транзакций ЭК. Аналогичные изменения форматов авторизационных и клиринговых сообщений справедливы и для системы VISA. Для сообщений BASE I и VISA SMS имеют место следующие изменения:

  • Point of Service Condition Code — Field 25. Значение поля для транзакций электронной коммерции должно быть равно 59.
  • Electronic Commerce Indicator — Field 60, Positions 9 and 10. Аналог Security Level Indicator в сети EPS-Net. Принимает те же значения, что SLI в сообщениях Europay (см. выше).
  • SET Certificate Serial Numbers — Field 126.6/7. Поле используется для передачи серийного номера SET certificate клиента и ТП от ОБ к банку-эмитенту. Используется только для SET-транзакций.
  • XID and TranStain — Field 126.8/9. Величина XID является идентификатором транзакции, используемым для вычисления величины TransStain. Величина TranStain вычисляется с использованием XID и секрета владельца карты (случайная величина, известная только владельцу карты и его банку-эмитенту).

В сообщениях BASE II указывается значение. Положение индикатора в сообщениях BASE II указаны в таблице.

Кроме того, для уменьшения расходов эмитента платежные системы Europay/MasterCard разрешают эмитенту группировать некоторые chargeback в одну запись клирингового сообщения (single combined 1442 chargeback record). Это правило распространяется на операции, выполненные в торговых предприятиях с МСС 4816 (Computer Network Inbound Telemarketing) и 5967 (Direct Marketing/Inbound Telemarketing) и касается сообщений chargeback с двумя значениями Reason Code: 37 (ECCF 4526 «Fraudulent Transaction — No cardholder authorization») и 41 (ECCF 4544 «Cancelled Recurring Transaction»). Наконец, необходимо рассказать о программе Excessive Chargeback Programme for Electronic Merchants, предназначенной для наказания ТП (через обслуживающий банк), превышающих некоторые пороговые значения мошенничеств. Программа касается ТП с МСС 4816 и 5967 (туристические агентства, заказ такси и автомобилей, компьютерные сети и различные информационные услуги, агентства приема заказов по каталогам (mail-order houses), клубы (membership clubs)).

В соответствии с правилами Europay/MasterCard ТП, для которых в течение двух календарных месяцев зафиксировано одно из двух:

  • количество chargeback составляет не менее 1% от всех операций покупки;
  • объем операций, по которым были сгенерированы chargeback, составляет не менее 2,5 % от всего объема продаж ТП, объявляются excessive chargeback merchant и могут подвергнуться штрафу в размере:
  1. $25,000 в месяц в течение 3-5 месяцев;
  2. $50,000 в месяц в течение 6-7 месяцев;
  3. $75,000 в месяц в течение 8-9 месяцев;
  4. $100,000 в месяц, начиная с 10-го месяца.

Обслуживающий банк имеет возможность прекратить договор с ТП в случае превышения указанных выше порогов. Кроме того, в соответствии с программой Excessive Chargeback Programme

for Electronic Merchants банки-эмитенты могут собирать с обслуживающих банков компенсационные платы (Recovery Fee) за каждую транзакцию, по которой был сгенерирован chargeback, в размере:

  • $25 за транзакцию в течение 3-5 месяцев;
  • $50 за транзакцию в течение 6-7 месяцев;
  • $75 за транзакцию, начиная с 8-го месяца.

Помимо этого, за нарушение правил, связанных с обработкой транзакций ЭК торговыми предприятиями, платежные системы дополнительно наказывают обслуживающие их банки. В частности, за отображение торговым предприятием на своем сайте знака MasterCard Mark или логотипа MasterCard с целью повышения статуса ТП, за взимание до
полнительных плат с клиента, использование ограничений на размер транзакции, система MasterCard может сделать соответствующему обслуживающему банку предупреждение, потребовав от него исправления ситуации в течение 30 дней и наложив штраф в размере до $2 тысяч.

Если в течение 12 месяцев с момента первого предупреждения будет отмечено второе аналогичное нарушение, обслуживающий банк наказывается штрафом до $5 тыс. Наконец, если в рамках все того же 12-месячного периода будет отмечено третье нарушение, обслуживающий банк наказывается штрафом до $25 тыс. и MasterCard требует прекращения работы такого ТП в своей системе.

Еще более жесткие правила применяются системой MasterCard к обслуживающему банку за нарушения, связанные с передачей ТП информации о реквизитах карты и деталях транзакций. В частности, при первом предупреждении платежная система может наказать ОБ на сумму до $5 тыс., а в случае повторного нарушения в течение следующих с момента предупреждения 12 месяцев — штрафом в размере до $45 тыс.

Если переданная ТП информация привела к компрометации карт, обслуживающий банк должен предоставить в платежную систему всю имеющуюся у него информацию и в дальнейшем пройти процедуру сертификации по безопасности для обслуживаемой им сети ТП в системе MasterCard.

В соответствии с правилами VISA, определенными в Global Merchant Chargeback Monitoring Program, ТП объявляется excessive chargeback merchant, если зафиксировано одновременное выполнение двух условий:

  • количество международных chargeback (отказы по транзакциям, выполненным по картам иностранного банка-эмитента) по этому ТП за месяц составляет не менее 100 сообщений;
  • количество операций, по которым были сгенерированы международные chargeback, составляет не менее 5 % от всего количества международных продаж ТП.

Торговое предприятие, признанное excessive chargeback merchant, подвергаются штрафу в размере $100 за каждый chargeback. Из них $30 остаются в системе VISA, a $70 передаются банку-эмитенту для покрытия расходов на формирование отказа от платежа.

В соответствии с Global Merchant Chargeback Monitoring Program еще более жесткие правила применяются к высокорискованным ТП (МСС 5962,5966,5967,7995). Для таких Интернет-магазинов ТП объявляется excessive chargeback merchant, если зафиксировано одновременное выполнение трех условий:

  • количество chargeback по ТП за месяц составляет не менее 100;
  • количество международных электронных покупок по ТП за месяц составляет не менее 100;
  • отношение общего количества chargeback к количеству международных продаж превышает 2,5 %.

Высокорискованнное торговое предприятие, признанное excessive charge-back merchant, подвергаются штрафу:

  • в размере $100 за каждый chargeback с 1-го по 3-й месяцы работы ($70 передаются эмитенту, остальные остаются в платежной системе);
  • в размере $150 за каждый chargeback с 4-го по 6-й месяцы работы ($120 передаются эмитенту, остальные остаются в платежной системе).

После 6 месяцев система VISA может дисквалифицировать ТП и запретить ему прием карт этой платежной системы.