CNP-транзакции рассматриваются в платежных системах как транзакции повышенного риска. В связи с этим все CNP-транзакции выполняются только в режиме реального времени (значение величины floor limit, определяющей верхний размер транзакции, которая может быть проведена в режиме off-line, для CNP-транзакций определено равным нулю).
По правилам международных платежных систем обслуживающие банки имеют право на обслуживание ТП, расположенных в его зоне Area of Use, которая определена лицензией, выданной данному банку платежной системой. При этом адрес ТП определяется по адресу, указанному в договоре между обслуживающим банком и ТП.
В соответствии с теми же правилами обслуживающие банки имеют право обслуживать торговые предприятия, расположенные вне зоны Area of Use, но только по транзакциям владельцев карт, чьи банки-эмитенты расположены в зоне Area of Use обслуживающего банка.
Рассмотрим теперь правила, определяющие ограничения по использованию дебетовых и кредитных карт, а также распределение ответственности между участниками транзакции ЭК. Эти правила на настоящий момент времени отличаются в системах VISA и Europay-MasterCard.
Начнем с системы VISA. Транзакции ЭК в этой системе разрешены как по кредитным, так и по дебетовым картам независимо от используемого протокола ЭК (еще совсем недавно транзакции ЭК по дебетовым картам разрешались только в случае применения протокола SET; ситуация изменилась летом 2000 г.). В настоящее время системой VISA в качестве надежных протоколов ЭК признаются 3D SET, 3D SSL и 3D Secure. Каждый из перечисленных протоколов однозначным образом определяет зону ответственности всех участников транзакции ЭК (все протоколы базируются на концепции трех доменов). Поэтому в случае возникновения диспута по транзакции «виновник» конфликта определяется однозначным образом. В частности, в случае возникновения самого распространенного в электронной коммерции диспута, при котором клиент утверждает, что не совершал данной транзакции ЭК, ответственность лежит на банке-эмитенте.
В настоящее время протокол 3D SET является базовым для стран Европейского Союза и Латинской Америки, 3D SSL — для США, а 3D Secure претендует на роль глобального стандарта аутентификации. Переход на стандарт 3D Secure планируется начать в октябре 2002 г., начиная со стран Азиатско-Тихоокеанского региона, США и Канады.
Кроме того, система VISA планирует ввести изменение в распределении ответственности за результат транзакции ЭК, начиная с 2003 г. В соответствии с этим изменением, если эмитент не поддерживает протоколов 3D Secure или 3D SET, а обслуживающий банк поддерживает, то при возникновении диспута по транзакции ЭК ответственность будет переложена на эмитента.
В системе Europay-MasterCard операции по дебетовым картам (Maestro) разрешаются только при использовании протоколов 3D SET и виртуальных номеров карт (Pseudo Card Number). В этом случае ответственность при возникновении диспута лежит на эмитенте за исключением единственного случая, когда покупатель не получил оплаченной услуги/товара.
Электронные покупки по кредитным картам разрешаются независимо от применяемого протокола электронной коммерции. Однако если используется протокол, отличный от 3D SET, ответственность в случае возникновения диспута ложится на обслуживающий банк.
По правилам международных платежных систем обслуживающий банк должен иметь прямое соглашение на обслуживание Интернет-магазина (агентские организации в случае ЭК не разрешаются).
Платежные системы рекомендуют обслуживающим банкам посещать Web-сайты ТП для проверки выполнения правил платежных систем. К числу таких правил относятся:
Кроме того, международные платежные системы сформулировали набор правил, которые они назвали «Best Practices to Help Electronic Commerce Merchants» и которые активно предлагаются к использованию ТП под патронажем обслуживающего банка. Этот набор правил содержит следующие требования:
Компания VISA разработала документы Acquirer Best Practices, Merchant Best Practices, Cardholder Best Practices, описывающие правила и рекомендации по повышению безопасности транзакций ЭК.
Для обеспечения транзакций ЭК международные платежные системы Europay и MasterCard утвердили следующие правила (в том числе ввели определенные изменения) для форматов своих сообщений (0100 — Authorization Request, 0120 — Authorization Advice, 0121 — Authorization Advice Repeat):
Private Data Sub-element (PDS) 42 (Security Level Indicator) в Data Element (DE) 048 (Additional Data, Private) должно принимать следующие значения в зависимости от протокола, используемого для проведения транзакции:
В клиринговых сообщениях подэлемент Sub Element 7 (Card Data Input Mode) в DE 022 (POS Data Code) должен принимать значение Т, если используется протокол SET с сертификатами, значение S — в остальных случаях. В соответствии с ECCSS Release 00.1 (начинает действовать с 10 июня 2000 г.) этот подэлемент должен принимать значение Т, если используется протокол SET с сертификатами, S — для протокола SET без сертификатов, значение V для случая encrypted channel и V — в остальных случаях.
Международные платежные системы не будут выделять специальные значения кодов Merchant Category Code для транзакций ЭК. Аналогичные изменения форматов авторизационных и клиринговых сообщений справедливы и для системы VISA. Для сообщений BASE I и VISA SMS имеют место следующие изменения:
В сообщениях BASE II указывается значение. Положение индикатора в сообщениях BASE II указаны в таблице.
Кроме того, для уменьшения расходов эмитента платежные системы Europay/MasterCard разрешают эмитенту группировать некоторые chargeback в одну запись клирингового сообщения (single combined 1442 chargeback record). Это правило распространяется на операции, выполненные в торговых предприятиях с МСС 4816 (Computer Network Inbound Telemarketing) и 5967 (Direct Marketing/Inbound Telemarketing) и касается сообщений chargeback с двумя значениями Reason Code: 37 (ECCF 4526 «Fraudulent Transaction — No cardholder authorization») и 41 (ECCF 4544 «Cancelled Recurring Transaction»). Наконец, необходимо рассказать о программе Excessive Chargeback Programme for Electronic Merchants, предназначенной для наказания ТП (через обслуживающий банк), превышающих некоторые пороговые значения мошенничеств. Программа касается ТП с МСС 4816 и 5967 (туристические агентства, заказ такси и автомобилей, компьютерные сети и различные информационные услуги, агентства приема заказов по каталогам (mail-order houses), клубы (membership clubs)).
В соответствии с правилами Europay/MasterCard ТП, для которых в течение двух календарных месяцев зафиксировано одно из двух:
Обслуживающий банк имеет возможность прекратить договор с ТП в случае превышения указанных выше порогов. Кроме того, в соответствии с программой Excessive Chargeback Programme
for Electronic Merchants банки-эмитенты могут собирать с обслуживающих банков компенсационные платы (Recovery Fee) за каждую транзакцию, по которой был сгенерирован chargeback, в размере:
Помимо этого, за нарушение правил, связанных с обработкой транзакций ЭК торговыми предприятиями, платежные системы дополнительно наказывают обслуживающие их банки. В частности, за отображение торговым предприятием на своем сайте знака MasterCard Mark или логотипа MasterCard с целью повышения статуса ТП, за взимание до
полнительных плат с клиента, использование ограничений на размер транзакции, система MasterCard может сделать соответствующему обслуживающему банку предупреждение, потребовав от него исправления ситуации в течение 30 дней и наложив штраф в размере до $2 тысяч.
Если в течение 12 месяцев с момента первого предупреждения будет отмечено второе аналогичное нарушение, обслуживающий банк наказывается штрафом до $5 тыс. Наконец, если в рамках все того же 12-месячного периода будет отмечено третье нарушение, обслуживающий банк наказывается штрафом до $25 тыс. и MasterCard требует прекращения работы такого ТП в своей системе.
Еще более жесткие правила применяются системой MasterCard к обслуживающему банку за нарушения, связанные с передачей ТП информации о реквизитах карты и деталях транзакций. В частности, при первом предупреждении платежная система может наказать ОБ на сумму до $5 тыс., а в случае повторного нарушения в течение следующих с момента предупреждения 12 месяцев — штрафом в размере до $45 тыс.
Если переданная ТП информация привела к компрометации карт, обслуживающий банк должен предоставить в платежную систему всю имеющуюся у него информацию и в дальнейшем пройти процедуру сертификации по безопасности для обслуживаемой им сети ТП в системе MasterCard.
В соответствии с правилами VISA, определенными в Global Merchant Chargeback Monitoring Program, ТП объявляется excessive chargeback merchant, если зафиксировано одновременное выполнение двух условий:
Торговое предприятие, признанное excessive chargeback merchant, подвергаются штрафу в размере $100 за каждый chargeback. Из них $30 остаются в системе VISA, a $70 передаются банку-эмитенту для покрытия расходов на формирование отказа от платежа.
В соответствии с Global Merchant Chargeback Monitoring Program еще более жесткие правила применяются к высокорискованным ТП (МСС 5962,5966,5967,7995). Для таких Интернет-магазинов ТП объявляется excessive chargeback merchant, если зафиксировано одновременное выполнение трех условий:
Высокорискованнное торговое предприятие, признанное excessive charge-back merchant, подвергаются штрафу:
После 6 месяцев система VISA может дисквалифицировать ТП и запретить ему прием карт этой платежной системы.