Пособия 

«К сожалению нет данных для вашей аутентификации» — что делать, если сообщение при оплате картой Сбербанка. К сожалению нет данных для вашей аутентификации: что это значит Что значит нет данных вашей аутентификации

В современную жизнь прочно вошла система безналичных расчетов и оплаты покупок с помощью банковской карточки. Это удобно, быстро и не требует специальных навыков. Однако новые технологии подразумевают многообразие незнакомых терминов и понятий, в которых легко запутаться. Вникнув в их суть, можно легко применять все новшества.

Что такое аутентификация

В любой программе, особенно такой серьезной, как банковская, существует защита на программном уровне. Информация, хранимая на сервере или в другой системе, имеет свой уникальный id – код и защищена с помощью идентификатора и пароля. Эта информация известна только пользователю, поэтому, прежде чем он попадет на этот сервер, произойдет две операции:

  1. Идентификация – это процесс предоставления пользователем своих личных данных.
  2. Аутентификация – проверка и принятие (или непринятие) этой информации системой.

В случаях с банковскими картами аутентификация подразумевает подтверждение принадлежности карточки держателю. Идет проверка персональных данных, указанных на лицевой и обратной стороне карточки.

Процедура аутентификации проходит быстро и, как правило, не вызывает неудобств. Здесь важно понимать, что только таким образом можно защитить свою карту. Сегодня существует огромное количество различных интернет площадок, предлагающих быстро купить товар с использованием пластиковой карточки. К сожалению, этим не могли не воспользоваться мошенники, и площадки стали для них простором для преступной деятельности. Человек, решивший совершить покупку, может быстро лишиться своих собственных средств. В целях борьбы с мошенниками была создана специальная система 3D-Secure.

Эта система – разработка компании Visa, позже ею стала пользоваться и MasterCard. Однако, несмотря на то, что система была создана давно, далеко не все банки стремятся к ней подключиться. «Сбербанк» относится к компаниям, клиенты которой подключены к этой системе. Для работы с системой 3D Secure, обязательно подключается мобильный банк – без этого пользование системой невозможно.

Суть 3D Secure – это применение индивидуальных одноразовых кодов, которые становятся известными в нужное время (в период транзакции) только владельцу карточки. Отсутствие системы 3D Secure обязует покупателя при заказах в интернет – магазинах вводить данные с карточки:

  • имя и фамилию держателя карточки;
  • длинный шестандцатизначный номер карточки;
  • срок действия карточки;
  • защитный код CCV,расположенный на обороте карточки.

3D Secure поступает гораздо проще: идет перенаправление на страницу «Сбербанка» и перед покупкой проводится быстрая процедура 3DS аутентификации. Пользователь сразу получает на привязанный номер телефона код, который вводится в указанное место на сайте. Если все сделано правильно и своевременно, оформление покупки благополучно продолжится и завершится.

3D Secure и безопасность

Использование технологии во много раз повысило безопасность переводов денежных средств. Это объясняется просто – код, получаемый человеком на телефон, доступен исключительно пользователю и сотруднику банка. Продавцы с интернет площадок не имеют доступа к этой информации. Помимо этого, каждый код имеет строгое ограничение по времени – оно составляет 10 минут и это дополнительно повышает безопасность операции. Получается, что для незаконного присвоения средств, хранящихся на карте, мошеннику нужен также телефон владельца. Ранее человек получал распечатку списка одноразовых кодов у сотрудников банка, либо в банкомате. При каждой покупке он вводил один из них. Сейчас все гораздо проще – индивидуальный код приходит в момент оформления покупки.

Держатель карточки и покупатель и не подозревает, что внедрение этой технологии – достаточно затратный проект. Затраты претерпели и сами торговые площадки – по этой причине не все из них подключены к системе 3D Secure.

Но, как и в любой самой совершенной системе, существуют лазейки, которыми пользуются мошенники. Поэтому, прежде чем что-то приобретать в интернете, убедитесь в надежности сервиса.

Для того чтобы минимизировать риск потери денежных средств, соблюдайте следующие рекомендации:

  • не разглашайте информацию по карте;
  • не оставляйте пароли и номера карт на сайтах, где производились покупки;
  • устанавливайте ограничения на расходы (это можно делать с помощью Сбербанк-онлайн);
  • не теряйте и не оставляйте без присмотра телефон, к которому привязана карта, пользуйтесь автоблокировкой телефона;
  • периодически меняйте пин-код карточки и личного кабинета Сбербанка;
  • в случае возникновения подозрительных ситуаций, заблокируйте карту и после ее перевыпуска смените пароль.

Подключение

Тем, кто пользуется пластиковыми картами «Сбербанка» недавно, нет необходимости что-то делать дополнительно – система 3D Secure автоматически подключается на все новые выпущенные карточки. Если же карта находится в обращении уже давно, активация выполняется самостоятельно. Для этого используют один из двух вариантов:

Банк тратит немалые средства на использование системы, но клиенту это ровно ничего не стоит: деньги не снимаются ни за подключение, ни за пользование.

Достоинства защитной системы

«Сбербанк» готов нести расходы ради повышения безопасности средств, и в целях привлечения новых клиентов. Чем больше народу пользуются пластиковыми картами банка, тем выше доходность финансового учреждения.

Услуга автоматически подключается на новые выпущенные карточки. Если же карта находится в обращении давно, активация должна выполняется самостоятельно. Для этого используют один из двух вариантов:

  1. Персональный визит в отделение банка, где пишется заявление с просьбой предоставить подключение карточки к системе.
  2. Интернет-банкинг «Сбербанка» поможет подключить эту технологию самостоятельно, не выходя из дома.

Отказ в аутентификации

Бывают ситуации, когда аутентификация вызывает затруднения. Как правило, при попытке произвести расчет с помощью карточки «Сбербанка» высвечиваются следующие слова: «к сожалению, нет данных для вашей аутентификации».

Такое случается при использовании одноразовых паролей. Практика с использованием одноразовых паролей отменена с 22.06.2016 года. Аутентификация с помощью одноразового пароля, пришедшего в сообщении на телефон, проходит без заминок.

Бывает пароль не приходит в течение положенного времени. Причиной неполадок может стать проблема с оператором сотовой связи, в частности, при доставке SMS- сообщений.
Чтобы получить одноразовый пароль еще раз, запросите его вновь, и через время он придет, если, конечно, сотовый оператор не дает сбоев.

Часто при покупках онлайн жизнь покупателю омрачают разные технические заморочки. Одна из частых ситуаций — сбои в обработке платежей с пластиковых карт, в частности статус «Ваша карта не прошла 3DS-аутентификацию, либо отклонена платежной системой». Например, такая ошибка частенько выскакивает при оплате на Авито.

Рассмотрим возможные причины такого отказа.

3Ds аутентификация — то же самое, что и 3-D Secure

Во-первых, определимся с терминологией. 3Ds аутентификация (она же 3D-secure) это по сути двухфакторная авторизация, двойное действие при подтверждении платежа.

От обычной оплаты в «один клик» 3д-секуре отличает то, что в этапах оплаты появляется еще один шаг — ввод кода на специальной странице вашего банка, который выпустил карту.

3D Secure — это когда при оплате в интернете Вам приходит SMS от Вашего банка, и Вы вводите полученный код в специальном окне.

Код может быть как постоянным, придуманным вами на этапе включения опции 3D-secure в личном кабинете или интернет-банкинге, так и одноразовым, который приходит в СМС или берется из карты кодов банка (всё это зависит от конкретной банковской сети, у разных брендов свои правила на этот счёт).

Данная опция включается при заключении договора обслуживания в банке или самостоятельно клиентом через интернет-банк. Вот как это выглядит в моём кабинете (но у каждого банка структура настроек отличается, и у вас всё может быть по-другому).

Включение 3-D- secure

Самых частых причин, по которым карта не проходит и появляется статус «карта не прошла 3D-аутентификацию, либо отклонена платежной системой», всего три:

  1. Банальная — на карте недостаточно средств
  2. Тоже распространенная — для вашей карты не активирована услуга «3ds-авторизация»
  3. И третья причина — неправильной пароль для этапа 3ds-authentication
    Дело в том, что пароль для расчетов онлайн человек обычно активирует сразу при оформлении карты, но используется редко. А вот другие пароли используются или часто, или даже ежедневно — вход в интернет-банк и т.д.

Поэтому в момент оплаты пользователь видит незнакомое (не часто используемое для 3ds-secure) окно для ввода пароля, но по привычке или не имея под рукой нужного пароля — еще раз вводит пароль для интернет-банка.
Пароль неверный, не для этого этапа, и происходит отказ в обслуживании пластиковой карты.Решения данной проблемы, исходя из вышеизложенных причин, тоже очевидны:

  • зайдите в интернет-банкинг, проверьте наличие средств на карте и заодно убедитесь, что опция 3Д-секьюре включена
  • держите пароль для 3ds-авторизации под рукой перед оплатой, и не путайте его с другими паролями (доступа в личный кабинет банка, и т.д.)

Если же решение не найдено — стоит копнуть глубже: проверить лимиты карты на выполнение суточных операций по сумме, на полный запрет интернет-транзакций или платежей в иностранных магазинах.

Лишь немногие пользователи знают, что такое 3d secure на банковской карте Сбербанка. Речь идет о новой технологии, позволяющей защитить банковский пластик от возможного хищения денег мошенниками. Несмотря на то, что клиенты нередко слышат данное название, принцип работы опции не вполне ясен.

Раньше, для подключения сервиса к сбербанковской карте, достаточно было подать стандартное заявление в отделение компании.

Сегодня таких действий выполнять не требуется, поскольку все пластики типа «классик» и выше изначально оснащены дополнительным уровнем защиты. Услуга оказывается полностью без оплаты. Рассмотрим действующий порядок пользования функции и преимущества сервиса в 2020 году.

Данная система представляет собой уникальную защитную меру, которая охраняет данные карточки от возможного копирования при совершении финансовых действий, к примеру, через Сбербанк Онлайн или на сайте торговой площадки. Для оплаты приобретений или сервиса в виртуальном шопе требуют сообщить:

  1. карточный номер, который указан непосредственно на пластике;
  2. срок действия платежного инструмента;
  3. код СVV (CVC).

Если пластик защищен еще и 3Д – секьюр, то пользователю необходимо будет выполнить еще одно действие, позволяющее получить дополнительную защиту от возможного взлома. Речь идет об одноразовом пароле, который приходит только клиенту, а вводить его необходимо на сайте Сбербанка. Только поле этого, выполняется аутентификация карты, оплата проходит, а клиент попадает на сайт продавца. В обход этого действия произвести платеж не удастся.

Смысл технологии заключается в том, что к пользователю приходит разовый код доступа, а для его ввода предоставляется только 10 минут. Кодировка выполняется из 6-ти цифр и приходит на сотовый, прикрепленный к банковскому пластику. Именно по этой причине, многие банки (такие, как: ВТБ24, Россельхозбанк, Росбанк, Тинькофф, РНКБ Банк, Уралсиб или Альфа Банк) используют ее при наличии онлай-сервиса.

Стоит дополнить, что для банка такое подключение стоит очень недешево, поэтому, многие кредиторы отказываются от защиты. Вместе с тем, использование 3d-secure не является обязательным условием, поэтому и действует опция, сегодня только в крупных финансовых учреждениях.

Преимущества функции 3d secure

В качестве недостатка функции можно отметить отсутствие стопроцентной гарантии от мошенничества, но получить максимальную защиту клиент сможет. В качестве основных плюсов стоит выделить такие факторы:

  • безопасность – пароли от кредиток доступны только владельцу карты;
  • удобство – нет необходимости запоминать разовые пароли;
  • доступность – на каждую операцию высылается смс с паролем;
  • простота – процедура не требует сложных действий и проводится максимально быстро;
  • распространенность – многие виртуальные магазины пользуются такой системой, что обеспечивает безопасность сбережений граждан.

В целом, можно заключить, что система очень комфортна для использования, не вызывает проблем у пользователей и обеспечивает безопасность платежей.

Как подключить 3d secure к банковской карте. Какие банки работают с ней?

Сегодня, такой вопрос, как подключить 3d secure Сбербанк через интернет, вводит клиентов банков в заблуждение. Дело в том, что указанные выше банки, подключают сервис автоматически, а вот в некоторых финансовых учреждениях, такая функция не предоставляется, и подключать ее требуется самостоятельно. Нередко, услуга стоит денег.

В Сбербанке данной проблемы нет, поскольку, почти все типы пластика имеют встроенную защитную функцию. Никаких действий по активации опции, производить не требуется. При выполнении оплаты в интернет-магазине идентификация карточки произойдет автоматически.

Если карта была получена недавно, но услуга на ней не работает, то придется посетить отделение банка и подать соответствующее заявление. Сотрудники активируют сервис вручную или заменят пластик. Для проверки работы защитной функции платежной системы стоит произвести любую покупку в интернете. Если разовый код успешно пришел, то никаких действий с активацией функции выполнять не требуется. Аналогичном, можно выполнить проверку и на интернет-ресурсе кредитора, предварительно выполнив авторизацию в личном кабинете.

Что делать если карта не прошла 3ds аутентификацию, либо отклонена платежной системой?

Ничто не может быть полностью надежным и стабильным. Нередко случаются и серьезные сбой и работе описываемой функции. Почему иногда случается так, что карта не прошла 3ds-аутентификацию либо была отклонена платежной системой, спрашивают многие пользователи банковского пластика. Чтобы решить вопрос отсутствия сообщения с кодом, стоит действовать следующим образом:

  1. Обратиться к опции получения кода повторно, которая находится на странице ввода пароля.
  2. Удостовериться, что телефонный номер указан правильно, а сам телефон активен. Что у симки положительный баланс и память гаджета не переполнена.

Если все указанные действия не помогли решить проблему, то потребуется связаться с оператором банка и попросить о помощи. При появлении надписи «Ошибка авторизации», важно выяснить причину произошедшего. Таковых может быть две: был введен неверных код или пароль использовался после отведенного времени (на ввод дается не больше 5-ти минут).

Для решения проблемы, достаточно проверить правильность ввода формы и использовать шифр повторно, либо заказать повторный пароль. Самым простым и дельным советом является проведения всех процедуры повторно.

Торговля через интернет становится все более популярной, как и инструменты онлайн платежей. Созданные механизмы обеспечивают надежность и безопасность проведения финансовых операций, но и в них возможны сбои. Все чаще при онлайн оплате пользователи получают сообщение “Ваша карта не прошла 3DS-аутентификацию, либо отклонена платежной системой”. Сбой возникает с картами Сбербанка, ВТБ24, Альфа банк. В статье мы расскажем что это за ошибка и почему она появляется.

Что это за аутентификация?

3DS аутентификация – специальный защитный протокол пользователей, путем ввода двухфакторной авторизации. Главное назначение разработанной технологии – повысить безопасность проведения сделки, снизить вероятность использования карты без ведома владельца путем дополнительного этапа подтверждения. Первой платежной системой, которая начала использовать эту функцию, является VISA, а остальные, оценив надежность технологии, подключили ее позднее.

Не все магазины используют 3DS Secure, позволяющую защитить пользователя, торговую точку и банк во время проведения оплаты. Об использовании технологии говорят логотипы:

  • Verified by Visa – VBV;
  • Mastercard SecureCode – MCC;
  • JCB International – J/Secure;
  • MIR Accept.

Суть технологии в том, что при оформлении покупки добавляется дополнительный этап – подтверждение кода. Стандартно, схема приобретения товара через интернет в этом случае выглядит так.

  1. Ввод информации карты.
  2. Сайт магазина перенаправляет пользователя на страничку банка-эмитента для прохождения 3DS аутентификации.
  3. Завершение сделки.

Обратите внимание, что магазины не получают полные данные о карте, имея доступ лишь к части информации.

3DS Secure представлена отправкой защитного кода со стороны держателя карты. Он имеет несколько вариантов:

  • СМС-оповещение;
  • карточка разового кода;
  • фиксированный держателем код.

Таким образом, для проведения операции требуется карта, мобильный телефон, но если кодовое число выбрано владельцем пластикового носителя, то использование мобильного не требуется. Опция активируется в момент привязки данных карты и оплаты с нее.

Причины ошибки “Карта не прошла 3DS-аутентификацию”

Существует несколько основных факторов, которые приводят к появлению оповещения о неудачной транзакции:

  • не подключенная функция;
  • неправильный код;
  • истечение срока годности кода (не более 10 минут);
  • неполадки на линии банка, задержки на сервере;
  • неподдерживаемая платежная система или проблемы с настройкой системы в магазине;
  • Встречаются случаи, когда ошибка появлялась при недостаточной сумме на счету.

Как исправить?

Начать нужно с проверки счета, если с этим не возникло проблем, то наиболее простой и оперативный способ решения – позвонить на горячую линию вашего банка. Например, в случае со звоните на 900, либо +7 495 500-55-50. Сотрудник кол-центра проверит настройки и подскажет, как решить проблему и вероятные причины возникновения. Если речь идет не о неполадках со стороны банка или платежной системы, то с помощью оператора решение проблемы займет 5-10 минут. Нет возможности разговаривать по телефону – все современные банковские структуры имеют штат онлайн-консультантов, с которыми можно связаться через форму чата на сайте.

Звонок оператору поддержки – самый оптимальный вариант

Если же вы хотите решить проблему самостоятельно, то начать нужно с проверки подключения функции. Для этого нужно сделать следующее.

  1. Зайти в личный кабинет в банке.
  2. Открыть список имеющихся карт.
  3. Изучить подключенные услуги. Если 3DS аутентификации нет в списке – подключить в режиме онлайн или через оператора.

Для подключения 3DS аутентификации оператор попросит предоставить:

  • кодовое слово – заведенное вами при регистрации;
  • 4 цифры в конце номера проблемной карты.

Подключение занимает не более 1-2 суток. Услуга 3DS аутентификации в большинстве случаев платная, но есть банки, предлагающие бесплатное подключение.

Подведем итоги

3DS Secure – дополнительная мера защиты для повышения безопасности онлайн платежей. Пройти ее без наличия карты, владельца и номера телефона крайне проблематично, что снижает вероятность мошенничества. В обычных условиях этот этап включается в схему оплаты покупок от 3000 рублей и выше. Если карта не проходит 3DS-аутентификацию – обязательно проверьте активные опции у себя в кабинете, либо прозвоните оператору за прояснением.

Однако не стоит надеяться, что защитный протокол обеспечит 100% гарантию безопасности. Еще есть много магазинов, которые работают без этой технологии. Таким образом можно сказать, что эта функция полезна в комплексе с другими защитными средствами.

(3 оценок, среднее: 4,67 из 5)

Об авторе: Вячеслав Орман

Администратор и автор сайта сайт. Стараюсь отыскать максимально полезную информацию при решении сложных ситуаций, с которыми сталкивается читатель. Имею большой опыт в анализе и написании статей в финансовых тематиках. Являюсь экспертом в области борьбы с интернет мошенничеством и защитой данных.

    Похожие записи

Удаленный доступ клиента к своему банковскому счету (счетам) для выполнения расчетов с предприятием торговли (сервиса) при совершении безналичной покупки или с целью получения наличных в банкомате (отделении банка) или с какой-либо иной целью невозможен без надежной аутентификации клиента его банком. Любое лицо, запрашивающее доступ к банковскому счету с целью выполнения финансовой операции и (или) для получения информации о статусе счета, на момент запроса доступа к счету является для банка, в котором открыт счет, только лицом, совершающим операцию (ЛСО). Первоочередная задача банка состоит в том, чтобы в момент обращения ЛСО к банковскому счету X проверить права ЛСО на доступ к счету X с целью его использования для совершения различных операций. Другими словами, банк должен проверить справедливость равенства "ЛСО = Клиент банка A, имеющий право на доступ к счету X". Проверка этого равенства состоит из двух частей: 1) проверки того, что ЛСО = Клиент банка A, и 2) проверки того, что клиент A имеет право на доступ к счету X. Проверка выполнения первой части и есть не что иное, как решение задачи аутентификации банком ЛСО. Проверка второй части производится на основе данных учетной записи клиента в информационной системе банка, определяющей, к каким ресурсам и с какими правами клиент имеет доступ.

Существуют различные средства и связанные с ними технологии аутентификации ЛСО. является апробированным и широко используемым средством идентификации (аутентификации) лица, совершающего операцию. Пластиковая карта позволяет банку идентифицировать счет X, к которому обращается ЛСО, а также с хорошей достоверностью (как показывает практика, с вероятностью не ниже 99,92%) решить задачу проверки равенства "ЛСО = Клиент банка, имеющий доступ к счету X". Значение 99,92% выводится из того факта, что на сегодняшний день средний уровень карточного мошенничества в мире не превышает 8 б. п.

Достоверность аутентификации лица, совершающего операцию с использованием пластиковой карты, является краеугольным камнем технологии пластиковых карт. От того, насколько технология позволяет банку - эмитенту карты быть уверенным в том, что операция выполнена с использованием его (банка-эмитента) карты и операция совершается законным держателем карты - клиентом банка-эмитента, которому карта была выдана банком на основе договора банка с клиентом, зависит жизнеспособность карточной технологии в целом. Именно поэтому платежные системы и банки уделяют так много внимания вопросам карточной безопасности и выделяют колоссальные средства на обеспечение высокого уровня безопасности карточных операций. Главным образом в результате осознания того факта, что технология аутентификации ЛСО при использовании карт с магнитной полосой уже не обеспечивает необходимый уровень достоверности, сегодня происходит массовая миграция банков на существенно более безопасную технологию, в основе которой лежат .

При использовании карт аутентификация ЛСО является в общем случае распределенной процедурой, в которой заняты все участники операции: торговое предприятие, обслуживающий торговое предприятие банк, платежная сеть и, наконец, банк, к счету клиента в котором обращаются для проведения оплаты. Роли каждого участника процедуры аутентификации ЛСО важны (например, сеть аутентифицирует обслуживающий банк, обслуживающий банк, в свою очередь, аутентифицирует торговое предприятие, последнее выполняет важные функции для аутентификации ЛСО, делегированные ему эмитентом (платежной системой)). Однако окончательное решающее слово - заключение по поводу справедливости равенства "ЛСО = Клиент банка, имеющий доступ к счету" - произносится банком - эмитентом карты, а потому и ответственность за принятое решение в большинстве случаев (исключение составляют CNP-транзакции, не использующие протокол 3D-secure, и карты с магнитной полосой, обслуживаемые в терминалах, умеющих работать по чипу) несет эмитент карты.

Примечание. CNP - Card Not Present - тип транзакций по платежным картам, совершаемых в отсутствие держателя карты, т.е. без физического предъявления карты продавцу (как правило, при покупках через Интернет).

Многофакторная модель аутентификации ЛСО

Когда речь идет о картах, для аутентификации ЛСО банком в общем случае используется трехфакторная модель аутентификации.

Фактор 1. Проверка чего-то, что имеется у ЛСО и что указывает на его связь с банком. В нашем случае это проверка наличия у ЛСО пластиковой карты и подтверждение того факта, что карта была эмитирована банком.

Фактор 2. Проверка чего-то, что должно знать только ЛСО и может быть проверено банком (возможно, опосредованно, с использованием других участников операции, в рамках которой производится аутентификация ЛСО). В нашем случае это PIN-код, известный только ЛСО (может быть проверен банком-эмитентом, возможно с использованием карты эмитента, если карта является микропроцессорной и эмитент делегировал ей эту функцию), и (или) подпись ЛСО (подпись клиента изначально удостоверяется банком при выдаче карты клиенту и проверяется эмитентом опосредованно, через торговую точку). Для соответствия законодательству некоторых стран при использовании микропроцессорных карт иногда одновременно применяется проверка PIN-кода и подписи клиента.

Фактор 3. Проверка чего-то, что присуще только клиенту банка (физически не может быть передано иному лицу) и связано с выданной ему картой. В случае безналичных расчетов - это биометрическая информация клиента банка, записанная для хранения в чипе карты. Проверяется соответствие биометрической информации клиента банка, записанной в чипе карты, биометрической информации, относящейся к ЛСО.

Сегодня, как правило, используется двухфакторная модель (факторы 1 и 2). Биометрические методы верификации только начинают внедряться для держателей микропроцессорных карт.

Отметим, что логика многофакторной модели аутентификации очевидна. В первую очередь банк должен понять, что карта, по которой собираются выполнить операцию, действительно его карта, т.е. карта была эмитирована банком (фактор 1). Поскольку реквизиты карты определяют ее держателя, то, очевидно, следующий вопрос, на который должен ответить эмитент, - моя карта находится в руках моего клиента, которому я выдал карту для обеспечения удаленного доступа клиента к своему счету? Для ответа на этот вопрос используется фактор 2.

Проверка наличия у ЛСО карты, выданной банком (фактор 1), выполняется в несколько этапов с помощью:

  • осмотра продавцом торгового предприятия внешнего вида карты (проверка логотипов банка и платежной системы, голограммы, специальной микропечати, нанесенной на карту, тисненных секретных символов (сегодня практически не используются) и т.п.), а также в случае микропроцессорной карты - с помощью офлайновой динамической аутентификации карты;
  • проверки обслуживающим банком того факта, что торговое предприятие, в котором совершается операция, действительно обслуживается этим банком (банк имеет с торговым предприятием договор на обслуживание карты, предъявленной к оплате);
  • проверки эмитентом номера карты, ее срока действия, секретных величин CVC/CVV (CVC2/CVV2), а в случае микропроцессорной карты - выполнение онлайновой динамической аутентификации карты.

Безусловно, динамическая аутентификация микропроцессорной карты (офлайновая и (или) онлайновая) подняла уровень достоверности аутентификации ЛСО по фактору 1 (и, как следствие, аутентификации ЛСО в целом) на качественно новый, гораздо более высокий уровень. Подделка микропроцессорной карты, поддерживающей процедуры динамической аутентификации, является весьма дорогостоящим мероприятием.

На сегодняшний день наиболее надежным и универсальным способом аутентификации ЛСО в соответствии с фактором 2 является проверка PIN-кода. Это связано с тем, что PIN-код является самым труднодоступным для мошенников секретом среди всех реквизитов карты с магнитной полосой, поскольку он на карте не хранится. Потому применение PIN-кода - наиболее надежное средство безопасности операций, выполняемых с использованием карт с магнитной полосой. В общем случае PIN-код представляет собой последовательность десятичных цифр, вводимых ЛСО во время совершения операции по карте. Размер PIN-кода варьируется от 4 до 12 цифр (на практике в большинстве случаев - четыре цифры). PIN-код вводится с помощью специального криптографического модуля, входящего в состав терминального устройства (банкомата, POS-терминала и т.п.), - PIN-Pad или PIN Entry Device (PED), - и должен быть передан на хост эмитента, где он проверяется. Знание ЛСО секрета, известного держателю карты, по которой производится транзакция, является веским основанием считать, что ЛСО и держатель карты являются одним лицом.

Платежные системы предъявляют жесткие требования к процедурам управления и передачи PIN-кода (требования PIN Security Requirements), а также к устройствам ввода PIN-кода, сформулированные в стандарте PCI PTS (Payment Card Industry PIN Transaction Security).

Пластиковая карта как средство идентификации (аутентификации) ЛСО

Пластиковая карта является носителем информации, которая:

  • идентифицирует платежную систему (ассоциацию банков, к которой принадлежит эмитент карты), эмитента карты, карточный продукт, держателя карты - клиента банка;
  • определяет условия применения карты (онлайновый (офлайновый) режим обработки транзакции, необходимость выполнения транзакции только с использованием электронного терминала, необходимость ввода PIN-кода, география приема, срок действия карты и т.п.);
  • содержит элементы защиты карты от подделки и информацию, используемую для аутентификации карты и ее держателя (логотип и голограмму платежной системы, логотип эмитента карты, фотографию держателя карты, специальные проверочные значения CVV/CVC, CVV2/CVC2, обеспечивающие целостность данных карты, подпись держателя карты и т.п., в микропроцессорных картах - секретные ключи и, возможно, PIN-код держателя карты). Следует отметить, что многие ранее использовавшиеся для визуальной проверки в торговом предприятии реквизиты карты больше не применяются. К таким утратившим действие реквизитам относятся, например, эмбоссируемые секретные символы платежной системы, микропечать и т.п. Это связано с невысокой эффективностью названных элементов защиты карты и миграцией карточной технологии на новые электронные средства обработки операций, в которых роль продавца торгового предприятия в процессе аутентификации держателя карты снижается до минимума.

Карта содержит логотипы платежной системы и банка-эмитента, а также информацию, называемую реквизитами карты: номер карты, срок действия карты, код обслуживания, имя держателя, специальную информацию, генерируемую эмитентом и используемую им для удаленной проверки подлинности карты. Часть этой информации наносится на пластик карты с помощью специальной печати или тиснения и считывается в процессе совершения транзакции визуально и осязательно. Эта информация используется продавцом торгового предприятия для проведения так называемой голосовой авторизации, при которой торговое предприятие связывается по телефону со службой голосовой авторизации банка и сообщает ей информацию о реквизитах торгового предприятия, карты, держателя карты и совершаемой операции. Сегодня голосовая авторизация используется крайне редко и в мире преобладают электронные средства приема карт. Для точек приема карт, в которых совершается всего несколько операций в месяц, в качестве альтернативы достаточно дорогим электронным POS-терминалам появились мобильные терминалы (mobile POS, или mPOS), представляющие собой ридер, подключенный к сотовому телефону, на котором устанавливается программа, управляющая обменом данных между таким терминалом и хостом его обслуживающего банка.

Часть информации наносится на магнитную полосу и (или) в микропроцессор (чип), расположенные на карте. Информация с магнитной полосы или чипа считывается с помощью специальных устройств, называемых считывателями карты, или картридерами. Электронные терминалы в торговом предприятии (так называемые POS-терминалы), а также автоматические устройства выдачи наличных (банкоматы) оснащены подобными картридерами, или просто ридерами.

Примечание. POS - Point of Sale, букв. - точка продажи.

Обслуживающий банк обеспечивает поддержку инфраструктуры приема пластиковых карт, к которой в общем случае относятся банкоматы, пункты выдачи наличных и предприятия торговли и сервиса. Обслуживающий банк заключает договоры с торговыми предприятиями на обслуживание в них пластиковых карт, гарантируя торговому предприятию возврат средств за операции, совершенные в нем по картам любого банка - участника платежной системы.

Некоторые платежные системы (например, VISA и MasterCard) дополнительно гарантируют торговому предприятию возмещение средств по транзакциям, выполненным с использованием карт этой платежной системы. Дополнительная гарантия выдается на случай финансового краха обслуживающего банка и его неспособности возместить торговому предприятию средства по покупкам, совершенным с использованием пластиковых карт. В этом случае платежная система рассчитывается с торговым предприятием по выполненным в нем карточным операциям вместо потерпевшего крах банка. Гарантия платежной системы повышает уверенность торгового предприятия в возмещении ему средств по безналичной покупке. Эта уверенность лежит в основе технологии расчетов с использованием пластиковых карт.

Одна из важнейших задач любой платежной системы состоит в создании широкой географически распределенной инфраструктуры приема карт. Подобная инфраструктура приема карт делает применение карты привлекательным для ее держателя и эмитента. Именно для создания развитой инфраструктуры приема карт и требуются усилия многих банков - участников платежной системы.

Примечание. Очевидно, что задача создания инфраструктуры приема карт в математической терминологии является обратной задаче эмиссии карт. Чем больше карт циркулирует в платежной системе, тем интереснее торговому предприятию принимать карты этой платежной системы и, следовательно, тем проще создавать инфраструктуру приема карт. Наоборот, чем более развита инфраструктура приема карт, тем легче банкам привлекать своих клиентов эмиссией карт платежной системы.

Аутентификация ЛСО на примере операции покупки с помощью платежной карты

Уже отмечалось, что в карточной технологии аутентификация ЛСО в общем случае имеет распределенный характер. В аутентификации ЛСО принимают участие все участники обработки транзакции, включая торговое предприятие, обслуживающий банк, эмитента карты и, наконец, самого держателя карты. Проиллюстрируем это на примере операции безналичной покупки по карте в торговом предприятии.

Когда клиент банка A для оплаты покупки предъявляет пластиковую карту в торговом предприятии обслуживающего банка B, то торговое предприятие в первую очередь должно убедиться в том, что в соответствии с договором с обслуживающим банком B операция по предъявляемой для оплаты карте будет возмещена - магазин получит от обслуживающего банка деньги за совершенную клиентом банка A покупку. Другими словами, торговое предприятие должно убедиться в том, что эмитент A и обслуживающий банк B являются участниками одной платежной системы. Визуально это устанавливается по логотипу платежной системы, нанесенному на пластиковой карте клиента.

Процесс оплаты услуги в общем случае состоит из двух частей. Первая часть - авторизация транзакции (рис. 1).

Покупка с помощью пластиковой карты

Кассир торгового предприятия в первую очередь визуально осматривает предъявляемую для оплаты карту, проверяя наличие на ней чипа и обязательных атрибутов карты (логотипа и голограммы системы, номера карты, срока ее действия и т.п.). Далее с пластиковой карты считывается необходимая для авторизации операции информация (с помощью ридера POS-терминала или визуально, если речь идет о голосовой авторизации), а также, возможно, у клиента запрашивается дополнительная аутентифицирующая его информация (персональный идентификационный номер (подпись) клиента, имя клиента, другая верифицирующая его информация). К полученной информации кассир добавляет информацию о покупке - размер и валюта операции, иногда ее тип.

На основе собранной информации торговое предприятие принимает решение о технологии выполнения операции (по магнитной полосе или чипу), а также о режиме авторизации транзакции - онлайновом или офлайновом. При офлайновом режиме решение о разрешении или отклонении операции принимается только терминалом в случае карты с магнитной полосой или терминалом и картой (эмитент определяет в приложении карты свои правила принятия решения) в случае микропроцессорной карты. В онлайновом режиме такое решение принимается эмитентом карты на основе данных, полученных от терминала, обслуживающего банка и карты.

Торговое предприятие также проверяет наличие карты в стоп-листе, загружаемом обслуживающим банком на терминал, способный работать в офлайновом режиме. Иногда для повышения скорости проверки эта функция выполняется торговым предприятием вместе с обслуживающим банком в распределенном режиме.

В случае онлайновой авторизации полученная от клиента и считанная с карты информация, а также информация о покупке и торговом предприятии (идентификаторы торгового предприятия и устройства приема карты, способ ввода информации карты в платежную сеть, описание возможностей терминала по обработке транзакции и т.п.) передаются торговым предприятием своему обслуживающему банку в форме авторизационного запроса. С помощью авторизационного запроса торговое предприятие спрашивает у обслуживающего банка, может ли оно предоставить данному клиенту запрашиваемую им услугу. Обслуживающий банк должен проверить полученные в запросе данные:

  • существование торгового предприятия с указанными в запросе реквизитами и его авторизацию на выполнение запрашиваемой операции;
  • целостность полученных от терминала данных;
  • наличие карты в стоп-листах платежной системы;
  • ограничения на обработку операции (например, карта предназначена только для выполнения внутристрановых покупок, карта должна использоваться с обязательной проверкой PIN-кода ее держателя, операция должна быть обслужена в режиме реального времени и т.п.), установленные эмитентом карты; ограничения записываются эмитентом во время персонализации карты на магнитной полосе в элементе данных "Код обслуживания" и в приложении чипа карты (элементы данных Application Usage Control, CVM List и т.п.), если карта микропроцессорная.

В случае онлайновой авторизации обслуживающий банк обращается за разрешением на оказание услуги по пластиковой карте к банку-эмитенту A. При этом банки A и B обмениваются сообщениями в соответствии с правилами, установленными платежной системой, поэтому синтаксис и семантика сообщений понятны обоим банкам.

Эмитент A, получив запрос от обслуживающего банка B, проверяет достоверность информации о карте и ее держателе: правильность реквизитов карты и идентификатора держателя карты, статус карты в системе эмитента (активная или заблокированная), ограничения на использование карты, PIN-код, если он представлен в транзакции, величины CVC/CVV (Chip CVC/iCVV в случае микропроцессорной карты или CVC3/dCVV в случае бесконтактной карты), криптограмму ARQC для аутентификации микропроцессорной карты и т.п. После этого банк A определяет достаточность средств на счете клиента для оплаты запрашиваемой им услуги. Если все проверки завершились успешно, банк A отвечает на запрос банка B разрешением на совершение покупки, предварительно списав со счета клиента (или только "заморозив" на счете) размер покупки, возможно вместе с некоторыми установленными им комиссиями (в случае операции покупки снятие комиссии со счета держателя карты обычно запрещено правилами платежных систем. В последнее время наблюдается отход от данного правила).

Поскольку разрешение банка A по правилам любой платежной системы является гарантией возмещения средств банку B от банка A, обслуживающий банк, в свою очередь, разрешает операцию покупки своему торговому предприятию, тем самым гарантируя последнему возмещение средств за выполненную с использованием карточки операцию. В большинстве случаев, если обслуживающий банк представил эмитенту достоверную и достаточную (по правилам системы) для авторизации информацию, ответственность за транзакцию в случае возникновения спора (диспута) ложится на эмитента.

  • технология микропроцессорной карты (МПК);
  • технология карты с магнитной полосой;
  • технология CNP (Card Not Present) операций.

В платежных системах принято правило: если технология, поддерживаемая терминалом, менее надежна в сравнении с технологией, поддерживаемой картой, то ответственность за мошенничество возлагается на обслуживающий банк. Это правило еще называется сдвигом ответственности. Во всех случаях, когда торговое предприятие обеспечивает максимально надежную технологию обработки операции, поддерживаемую эмитентом карты, вся ответственность за результат авторизации операции лежится на эмитента карты. Сегодня платежные системы поддерживают сдвиги ответственности для операций по микропроцессорным картам (Chip Liability Shift, Chip & PIN Liability Shift) и электронной коммерции (Merchant Only Liability Shift).

Вторая часть безналичной оплаты товаров (услуг) заключается в расчетах между всеми участниками транзакции. Как уже отмечалось, торговое предприятие получает возмещение за операцию покупки от своего обслуживающего банка. Обслуживающий банк, в свою очередь, получает возмещение с банка-эмитента. Гарантом расчетов между банками выступает платежная система, и в этом состоит ее важнейшая функция. Расчеты, как правило, производятся безакцептно (т.е. без получения специального разрешения их участников) через специальные счета, открываемые банками в расчетных банках платежной системы.

Наконец, банк-эмитент списывает средства по операции со счета своего клиента. Таким образом, при участии и гарантии платежной системы реализуется передача средств со счета клиента на счет торгового предприятия.

Основанием для расчетов между участниками транзакции могут быть авторизационные сообщения, которыми обменялись в процессе совершения транзакции обслуживающий банк и банк-эмитент. В этом случае по окончании бизнес-дня платежная система на основании имеющейся у нее информации осуществляет расчеты за прошедший бизнес-день между всеми своими банками-участниками. Системы, в которых расчеты производятся на основании авторизационного трафика, называются Single Message System (SMS).

Иногда правила платежной системы таковы, что для инициализации расчетов между участниками транзакции обслуживающий банк должен отправить в платежную систему специальное финансовое сообщение, которое далее передается банку-эмитенту. Только на основании этого сообщения платежная система осуществит расчеты между своими банками-участниками по выполненной операции. Специальное сообщение называется "презентментом" (presentment), а системы, производящие расчеты на основе презентментов, - Dual Message System (DMS).

Сегодня международные платежные системы поддерживают оба типа систем расчетов - SMS и DMS, отдавая предпочтение в расчетах по безналичным покупкам системам DMS.

В платежной системе время от времени по различным причинам, связанным с техническими проблемами при выполнении отдельных транзакций (например, дублирование обслуживающим банком авторизационного запроса) или совершением мошенничеств, могут возникать споры (диспуты) между банком-эмитентом и обслуживающим банком. Например, держатель карты может утверждать, что никогда не совершал транзакции, за которую с его счета были списаны деньги, или совершал транзакцию, но на другую сумму. Жизнь многогранна, и подобных "или" может быть много. Для разрешения возникающих споров платежные системы разрабатывают правила, предусматривающие использование специальных сообщений, которыми в случае возникновения диспутов обмениваются банки - участники системы.

В частности, если банк-эмитент в результате проведенного расследования, инициированного держателем карты, приходит к выводу о том, что некоторая транзакция, выполненная по карте этого клиента, является по установленным им причинам некорректной, эмитент направляет обслуживающему банку специальное сообщение, называемое chargeback (отказ от платежа), с указанием причины отказа от платежа. На основании этого сообщения платежная сеть переводит денежные средства, связанные с операцией, по которой произошел отказ, с корреспондентского счета обслуживающего банка на счет банка-эмитента. Возвращенные деньги эмитент далее переводит на счет клиента.

Обычно в соответствии с правилами платежной системы, если обслуживающий банк не согласен с мнением эмитента, он может направить ему повторный презентмент. В этом случае эмитент понимает, что его следующий повторный отказ от платежа будет означать начало арбитражного процесса между банками - участниками транзакции. Арбитром по возникшему диспуту, как правило, является администратор платежной системы. Банк может пытаться опротестовать и решение администратора системы, обратившись для этого в суд.