Как работает эквайринг
Объясняем, что такое обратный эквайринг, POS-терминалы, банк-эмитент и зачем бизнесу подключать оплату картами.
Кто участвует в эквайринге
Эквайринг (от англ. acquire — «приобретать, получать») — это безналичная оплата товаров и услуг картой через платёжные терминалы на кассе или у курьера.
Торговая точка — бизнес, владелец которого хочет принимать оплату картами от клиентов и инициирует заключение договора эквайринга.
Банк-эквайер предоставляет бизнесу услугу и оборудование, обслуживает расчётный счёт продавца и получает комиссию от поступлений. Он несёт ответственность за техническую сторону операций по картам в торговой точке и регистрируется в национальных и международных платёжных системах: Visa, Mastercard, American Express, «Мир» и др.
Банк-эмитент — банк, выпустивший карту, которой пользуется клиент для оплаты покупки.
Для приёма платежей используют POS-терминалы (англ. point of sale — «точка продажи»). Через них можно платить обычными и бесконтактными картами, а также другими устройствами, например смартфонами. POS-терминал распечатывает слип-чек — нефискальный документ, подтверждающий операцию.
Как устроен процесс оплаты
Покупатель вставляет банковскую карту в терминал или прикладывает к нему смартфон, и карта считывается. При оплате через интернет покупатель вводит данные карты в специальном веб-интерфейсе.
Информация о платеже направляется в процессинговый центр банка-эмитента. Это подразделение осуществляет и контролирует бесперебойное проведение операций.
Банк-эмитент проверяет сумму остатка на счёте владельца карты. Покупатель подтверждает сделку ПИН-кодом или кодом из СМС. Это дополнительный шаг защиты от мошенничества и неправомерного использования карты. Однако при бесконтактной оплате он встречается довольно редко.
Процессинговый центр банка-эмитента списывает деньги со счёта покупателя и перенаправляет в банк-эквайер.
POS- или мобильный mPOS-терминал печатает два экземпляра слипа. Вместе с ним покупатель получает кассовый чек. При оплате через интернет кассовый чек приходит клиенту на электронную почту.
Банк-эквайер переводит деньги со своего счёта на счёт продавца за вычетом комиссии. Срок обработки платежа зависит от условий договора банка и торговой точки, но не может превышать трёх рабочих дней.
Виды эквайринга
Торговый эквайринг
Такой эквайринг используют в магазинах, предприятиях общепита и сферы услуг. Когда продавец заключает договор с банком, тот устанавливает в точках продавца POS-терминалы. В Сбербанке минимальная ставка торгового эквайринга — 1,6 %.
Банк должен обучить сотрудников компании работе с устройством, обеспечить бесперебойное функционирование терминалов и круглосуточную техническую поддержку. Обязанность продавца — уплачивать банку комиссию, размер которой определяется договором.
На сумму выплат влияют оборот и сфера деятельности. Например, для продуктового магазина комиссия ниже, чем для гипермаркета бытовой техники: во втором случае вероятность возврата товара выше. Если это произойдёт, придётся проводить операцию обратного эквайринга — возвращать деньги на карту покупателя. Это дополнительные затраты для банка, которые покрывает продавец.
Интернет-эквайринг
Так называют способ оплаты в интернете картой или электронными деньгами с использованием специальных интерфейсов, которые помогают сохранить конфиденциальность персональных и платёжных данных покупателя. В качестве дополнительной защиты клиента могут попросить ввести код подтверждения оплаты, высланный в СМС или уведомлении банковского приложения.
Комиссия в интернет-эквайринге самая высокая. Она может составлять в среднем 2,3–3,5 % и взиматься не только с продавца, но и с покупателя. Это связано с тем, что при интернет-эквайринге процессинговый центр обеспечивает повышенную защиту операций: использует системы безопасности и протоколы шифрования, чтобы введенные пользователем данные нельзя было перехватить.
Мобильный эквайринг
С помощью мобильного эквайринга покупатели расплачиваются карточкой в любой торговой точке, даже мобильной. Его подключают таксисты, курьеры, в автолавках, передвижных пунктах продажи и т. п.
Платежи принимаются через установленное на смартфон или планшет приложение, к которому по блютусу или кабелем подключается mPOS-терминал (от англ. mobile point of sale — мобильная точка продажи). Его можно использовать в любом месте, где есть стабильный мобильный интернет, в отличие от стационарных POS-систем в торговом эквайринге.
ATM-эквайринг
В это понятие входит возможность оплаты услуг (ЖКХ, мобильная связь, интернет или телевидение) через платёжные банкоматы, а также выдача наличных и пополнение банковской карты.
Главный минус этой услуги с точки зрения пользователя — комиссия, которую ему приходится платить сверх основной суммы за проведение платежей или при снятии наличных с карты. Чаще всего проценты берут кредитные организации, которые не являются партнёрами банка-эмитента, выдавшего карту.
Что такое интернет-эквайринг и как его подключить
Интернет-эквайринг, как и другие виды эквайринга, нужен для безналичных расчетов с покупателями товаров и услуг. Но у него есть отличия, о которых мы расскажем в этой статье. Также остановимся на вариантах подключения, техническом оснащении интернет-магазинов и экономии затрат.
Особенности интернет-эквайринга
Интернет-эквайринг позволяет принимать онлайн-платежи от покупателей с пластиковых карт в интернет-магазинах и на других сайтах, например, образовательных. Также можно формировать ссылки для электронных платежей, когда сайта нет, например, для передачи их в соцсетях или по email.
В процессе оплаты владельцу карты надо в специальном окне ввести реквизиты своей банковской карты (номер, срок действия и CVC), а затем для подтверждения платежа код, который придет на телефон.
После этого деньги списываются со счета покупателя, а на электронную почту отправляется чек об оплате. Если продажи на сайте автоматизированы, статус заказа меняется на «Оплачен».
Особенности интернет-эквайринга:
Для приема платежей не нужно покупать и устанавливать специальное оборудование ─ терминал эквайринга.
Покупатель самостоятельно вводит реквизиты карты и код, поэтому может ошибиться и платеж не пройдет.
Банку или платежному сервису, которые предоставляют услугу интернет-эквайринга надо обеспечивать безопасность платежей, что сказывается на размере комиссии. Обычно она выше по сравнению с торговым эквайрингом.
Несмотря на более высокую комиссию от подключения интернет-эквайринга есть очевидные плюсы:
Вы можете использовать при расчетах только предоплату или добавить ее к оплате товаров при получении.
Покупатели будут более внимательно делать выбор до совершения платежей и количество возвратов уменьшится.
Когда между выбором товара и его оплатой проходит время, например, надо дождаться звонка менеджера и выставления счета, пользователь может отказаться от покупки. А если на сайте есть интернет-эквайринг, покупатель сразу переведет деньги и уже не передумает.
Как подключить интернет-эквайринг
Есть два варианта: через банк или платежные агрегаторы.
Только карты, доступность платежных систем зависит от банка
Карты + электронные кошельки.
У некоторых платежных агрегаторов есть оплата с баланса мобильных телефонов
Более высокая, так как это посредники между банками и клиентами
В тех бизнесах, где достаточно принимать оплату только картами
Там, где важно предоставить клиенту как можно больше разных вариантов оплаты
Банки
После того как владельцем сайта заключен договор на интернет-эквайринг, банк дает инструкцию, как подключить прием платежей в электронном виде. Обычно банки предлагают готовые платежные модули для известных CMS или API для самописных сайтов.
Комиссии за интернет-эквайринг бывают:
плавающие ─ зависят от оборота, а где-то еще и от наличия счета в банке, составляют в среднем 2,3 ─ 3%;
фиксированные ─ ставка всегда одинаковая, в среднем 2,4 ─ 2,6%.
В некоторых банках есть линейка выгодных тарифов для компаний из сферы ЖКХ, благотворительных организаций и клиентов с определенным уровнем оборота (от нескольких десятков миллионов рублей).
Платежные агрегаторы
Примеры: Robokassa, ЮKassa, Единая касса, RBK Money, Uniteller, Paykeeper. Сервисы, как и банки, предлагают готовые решения для подключения к сайтам на CMS и API для самописных ресурсов.
Комиссии обычно плавающие, зависят от оборота и способа оплаты, в среднем составляют 2,5 ─ 10%.
Некоторые платежные агрегаторы предоставляют услуги платежных агентов ─ при продаже товаров (услуг) принимают оплату на свой счет и выдают кассовые чеки покупателям от своего имени. Затем сумму за вычетом комиссии переводят на расчетный счет клиента. В этом случае предпринимателям не нужны онлайн-кассы.
Что, кроме интернет-эквайринга, требуется интернет-магазину для соблюдения законов
Чтобы не нарушать 54-ФЗ, продажи в сети Интернет надо проводить через онлайн-кассу.
Реализация товаров собственного производства самозанятыми (плательщиками налога на профессиональный доход) физлицами и ИП. Им не нужна касса, согласно ст.2 54-ФЗ.
Использование при расчетах с покупателями услуг платежных агентов, которые выдают чеки от своего имени. В роли платежных агентов могут выступать транспортные компании, Почта России, платежные агрегаторы.
Если вы продаете товары только по предоплате, достаточно облачной кассы. О том, как ее выбрать мы писали в этой статье.
В том случае, когда у вас есть свои курьеры и/или пункты самовывоза, где покупатель может рассчитываться при получении, придется позаботиться о кассовых аппаратах и терминалах эквайринга, чтобы сотрудники могли выдавать чеки и принимать оплату картами.
Для оснащения курьеров лучше выбирать среди мобильных касс и мобильных терминалов. Такое же оборудование можно использовать и в пунктах самовывоза.
При выборе кассы ориентируйтесь не только на компактные размеры и способность работать от аккумулятора, есть и другие параметры, которые надо учесть. О них читайте в статье «10 важных критериев для выбора онлайн-кассы».
А про мобильный эквайринг и терминалы мы рассказывали здесь.
Если сложить стоимость терминалов и касс для всех курьеров и пунктов самовывоза, сумма получится внушительная. Но есть и более выгодные решения.
Бюджетные решения для интернет-магазинов с пунктами выдачи и собственной курьерской доставкой
Вариант 1 ─ только офлайн-точка
Давайте начнем с тех онлайн-магазинов, у которых один пункт самовывоза.
Для такого бизнеса оптимальным решением будет онлайн-касса, которую можно подключить к сайту и платежному агрегатору. Это позволит выдавать чеки как в интернет-магазине, так и в офлайн-точке. Такая возможность есть у любой МТС Кассы.
Экономия очевидна ─ не нужно тратиться на две кассы, например, облачную для сайта и обычную для пункта самовывоза, достаточно только одной.
Прием безналичной оплаты на сайте будет через платежный сервис, а в пункте самовывоза ─ через терминал эквайринга.
Вариант 2 ─ курьеры
Когда у интернет-магазина несколько курьеров, одной кассой уже не обойтись. Но и для таких случаев есть решения, которые помогают сэкономить.
Например, мы предлагаем такой подход ─ одна касса, которая подключается к сайту, она может быть и виртуальной, плюс бесплатное приложение для смартфонов курьеров.
При передаче товаров покупателям курьеры не будут выдавать бумажные кассовые чеки, а отправят их на телефон или email. Такой вариант вполне соответствует 54-ФЗ.
Подробнее о решении читайте в статье «Как быстро и недорого перевести торговлю в интернет». А материал «Как настроить доставку и сэкономить» поможет вам организовать передачу товаров покупателям.
Что касается приема оплаты, на сайте она будет проходить через платежный агрегатор, а курьерам нужны терминалы.
Как сэкономить на эквайринге
Прежде всего внимательно читайте договоры с банками и платежными сервисами, обращайте внимание на такие условия:
нужно ли открывать счет в определенном банке;
от чего зависит размер комиссии и какой он;
есть ли необходимость покупки дополнительных услуг, например, установки платежного модуля на сайт.
Если оплату вы будете принимать не только на сайте, но и курьерами или в офлайн-точке, вам понадобится как интернет-эквайринг, так и торговый. Поэтому внимательно отнеситесь к выбору каждого.
Второй способ экономии ─ использование СБП (системы быстрых платежей), банковская комиссия за которую 0,4 ─ 0,7%. Такой вариант возможен, когда онлайн-касса поддерживает прием оплаты через СБП. Больше информации в этой статье.
Выводы
Интернет-эквайринг подходит только для приема платежей в интернете. Такой тип эквайринга не требует терминала. Для подключения нужно обратиться в банки или к платежным сервисам.
Комиссия за интернет-эквайринг выше, чем за торговый, так как надо обеспечивать безопасность передаваемых данных о покупателях, их картах и электронных кошельках.
Интернет-магазинам обязательно нужна онлайн-касса. А при наличии курьеров и/или пункта самовывоза даже несколько плюс терминалы эквайринга.
При этом необязательно покупать кассу каждому курьеру, есть и более экономичные варианты, например, решение от МТС Кассы для интернет-торговли.
Если у вас есть вопросы, заполните форму обратной связи. Наши специалисты свяжутся с вами.
Дата публикации: 17.12.2020
Что такое интернет-эквайринг?
Интернет-эквайринг – это популярная услуга банков по приему платежей и переводу денежных средств продавцу онлайн, через сайт. Операция может осуществляться любыми видами безналичных платежей: с пластиковых и виртуальных карт, с электронных кошельков, через интернет-банк.
Этот вид эквайринга используется для реализации товаров и услуг через интернет. Покупатель сможет производить оплату за несколько секунд. Операторы банка-эквайера строго следят за безопасностью платежей и защитой платёжных данных клиента. Поэтому этот способ платежей вызывает больше доверия у клиентов, чем переводы на карту.
Особенности интернет-эквайринга
В отличие от других видов безналичных расчетов картами, интернет-эквайринг работает для всех категорий бизнеса: ООО, ОАО, ИП, самозанятых.
Как выбрать интернет-экваринг
Критерии выбора выгодного интернет-эквайринга:
Преимущества и недостатки интернет-эквайринга
Главные преимущества интернет-эквайринга:
Покупателей привлекает возможность получить кешбэк, поэтому они предпочитают онлайн-способы оплаты товаров.
Минусов у услуги практически нет:
Как работает интернет-эквайринг
Порядок работы интернет-эквайринга следующий:
На практике операция совершается за несколько минут.
Обеспечение безопасности платежей
Платежи через интернет-эквайринг полностью безопасны. Это гарантируется протоколами безопасности PCIDSS. Политика банков и платежных сервисов предусматривает строгое соответствие всех операций стандартам 3d Secure. Операции подтверждаются одноразовыми паролями, поступающими в виде смс-сообщений или push-уведомлений.
Как подключить интернет-эквайринг
Подключить интернет-эквайринг можно через банк или платежный сервис (ЮKassa, КИВИ, Robokassa, Единая касса, Paykeeper).
Проверку работы нужно сделать со всех рабочих устройств: с сайта, мобильного приложения. Подключиться можно самостоятельно или вызвать специалистов, которые профессионально произведут все предварительные работы на вашем оборудовании.
Тарифы интернет-эквайринга
Стоимость интернет-эквайринга зависит от банка или платежного сервиса, набора предоставляемых услуг.
Комиссия банка находится в диапазоне 1,0–4,0% с операции. При оплате через платежные агрегаторы стоимость услуги может составлять до 10,0%.
Величина комиссии зависит от сферы деятельности бизнеса, величине оборота, региона осуществления деятельности.
Когда выгодно открыть мерчант-аккаунт за рубежом
Мерчант-аккаунт может быть открыт как в российском, так и в зарубежном банке. Большинство представителей бизнеса открывают счета в наших банках.
Открытие мерчант-счета за границей может быть выгодно для компаний, осуществляющих поставку товаров или услуг за рубеж. Такими счетами часто пользуются представители электронного бизнеса (игровые сайты, онлайн-казино, форекс-брокеры). Операции не подлежат валютному контролю, денежные средства на счет поступают мгновенно, уменьшаются налоговые расходы.
Как открыть мерчант-счет в зарубежном банке
Чтобы открыть мерчант-счет в зарубежном банке, сначала сравните условия, предлагаемые кредитными компаниями. Изучите тарифы, от чего они зависят, какие есть возможности их снижения, какие потребуются документы.
После выбора банка отправьте в него заявление на открытие счета вместе с необходимыми документами. Далее заключается договор и производится настройка сайта.
Часто задаваемые вопросы
Интернет эквайринг – что это такое простыми словами?
Простыми словами – это услуга, по подключению к оплате за покупку на сайте онлайн, которую предоставляют бизнесу банки или платежные сервисы. Оплачивать на сайте можно не только банковскими картами, но и другими безналичными способами.
Что такое мерчант-аккаунт?
Мерчант-аккаунт представляет собой счет компании в банке-эквайрере, куда поступают деньги при оплате картами через интернет. Он является промежуточным, с него невозможно производить операции, пока деньги не потупят на основной счет получателя. Он открывается для того, чтобы проверить, что плательщик точно не откажется от покупки. Срок блокировки денег на счете составляет от 2 до 14 дней.
Что значит холдирование денежных средств?
Это временная блокировка средств на карте до поступления информации от банка-эквайера. Такая услуга бывает необходима, например, чтобы проверить фактическое наличие товара у продавца. После его подтверждения, средства «размораживаются» и уходят получателю.
Интернет-эквайринг «для чайников»
Доброго времени суток, хабравчане!
Этой статьей я хочу пролить свет на интернет-эквайринг в целом, рассказать с чем его едят.
Цель статьи: для общего развития.
Электронная коммерция – это сфера экономики, которая включает в себя все финансовые и торговые транзакции, осуществляемые при помощи компьютерных сетей, и бизнес-процессы, связанные с проведением таких транзакций.
К электронной коммерции относят:
• Электронный обмен информацией (Electroniс Data Interchange, EDI),
• Электронное движение капитала (Electronic Funds Transfer, EFS),
• Электронную торговлю (e-trade),
• Электронные деньги (e-cash),
• Электронный маркетинг (e-marketing),
• Электронный банкинг (e-banking),
• Электронные страховые услуги (e-insurance).
Схемы ведения бизнеса:
1) B2B или бизнес-бизнес
Предприятие торгует с другим предприятием. B2B — одно из наиболее перспективных и активно развивающихся направлений электронной коммерции на сегодняшний день. Пример сделки B2B — продажа шаблонов для сайта компаниям для последующего использования в качестве основы дизайна собственного веб-ресурса компании.
2) B2C или бизнес-потребитель
В этом случае предприятие торгует уже напрямую с клиентом (не юридическим, а физическим лицом). Примеры этого вида торговли — традиционные Интернет-магазины, социальная коммерция, или сфера продаж товаров и услуг в социальных сетях.
3) С2С или потребитель-потребитель
Совершение сделок между двумя потребителями, ни один из которых не является предпринимателем в юридическом смысле слова. Как правило, коммерция по схеме С2С осуществляется на сайтах Интернет-аукционов.
Интернет эквайринг – общий термин, которым обозначается прием платежей по пластиковым картам через Интернет с использованием специально разработанного web-интерфейса. Интернет-эквайринг, как составляющая электронной коммерции, представляет собой деятельность кредитной организации (банка-эквайера), включающую в себя осуществление расчетов с организациями электронной коммерции по операциям, совершаемым с использованием банковских карт в сети Интернет. Подключение организаций электронной коммерции банком-эквайером, как правило, осуществляется при технической поддержке Cервис-провайдеров, которые обеспечивают безопасность платежей, используя протокол аутентификации 3-D Secure и SSL, и отвечают за фрод-мониторинг операций, проводимых в Интернет-магазине. Чтобы расплатиться с помощью данной системы необходимо иметь кредитную карту, счет которой предназначен специально для оплаты товаров и услуг не только в интернете, но и в реальных магазинах.
Для организаций:
Глобальный масштаб
Сокращение издержек
Улучшение цепочек поставок
Бизнес всегда открыт (24/7/365)
Персонализация
Быстрый вывод товара на рынок
Низкая стоимость распространения цифровых продуктов
Для потребителей:
Повсеместность
Анонимность
Большой выбор товаров и услуг
Персонализация
Более дешевые продукты и услуги
Оперативная доставка
Электронная социализация
Для общества:
Широкий перечень предоставляемых услуг (например, образование, здравоохранение, коммунальное обслуживание)
Повышение уровня жизни
Повышение национальной безопасности
Уменьшение «цифрового» разрыва
Онлайн продажа/заказ товаров/услуг уменьшает автомобильный трафик и снижает загрязнение окружающей среды
Недостатки:
Для организаций:
Возможные сомнения сторон по поводу принадлежности того или иного проекта к компании (негативная анонимность)
Некоторая сложность в ведении и узаконивании деятельности предприятия в интернете
Для потребителей:
Недоверие потребителя к услугам, продаваемым посредством интернета
Невозможность «потрогать» товар руками
Ожидание доставки приобретенной продукции
Для общества:
Привлекательная платформа для мошенничества (снижение уровня сетевой безопасности)
Вытеснение с рынка коммерческих оффлайн предприятий
Для государства:
Недополучение в бюджет государства налоговых выплат при ведении «серых» схем учета
Участники рынка:
1. Покупатель — Клиент, имеющий компьютер с Web-браузером и доступом в Интернет.
2. Банк-эмитент. Здесь находится расчетный счет покупателя. Банк-эмитент выпускает карточки и является гарантом выполнения финансовых обязательств клиента.
3. Продавцы. Сервера Электронной Коммерции, на которых ведутся каталоги товаров и услуг и принимаются заказы клиентов на покупку.
4. Банки-эквайеры. Каждый продавец имеет единственный банк, в котором он держит свой
расчетный счет (Альфа-банк, Росбанк, ВТБ 24, Райффайзенбанк, ТрансКредитБанк).
Банк Экваер должен иметь собственный процессинг.
5. Платежная система Интернет. Электронные компоненты, являющиеся посредниками между остальными участниками.
6. Традиционная платежная система. Комплекс финансовых и технологических средств для обслуживания карт данного типа. Обеспечение использования карт как средства платежа за товары и услуги, пользование банковскими услугами, проведение взаимозачетов и т.д. (Visa Int., MasterCard WorldWide, Diners Club, Amex, JCB и China Union Pay).
7. Процессинговый центр платежной системы. Организация, обеспечивающая информационное и технологическое взаимодействие между участниками традиционной платежной системы.
8. Расчетный банк платежной системы. Кредитная организация, осуществляющая взаиморасчеты между участниками платежной системы по поручению процессингового центра.
1. Клиент совершает покупку в Интернет-магазине.
2. При выборе оплаты заказа пластиковой картой клиент переадресуется на авторизационную страницу Провайдера и вводит платежные реквизиты.
3. Провайдер формирует аутентификационный запрос и направляет клиента в систему аутентификации банка-эмитента (ACS).
4. После проведения аутентификации Провайдер направляет информацию для авторизационного запроса Процессору.
5. Процессор направляет запрос на авторизацию операции в международную платежную систему.
6. В зависимости от результата авторизации Процессор формирует сообщение Провайдеру о совершении операции либо отказе.
7. Провайдер информирует Интернет-магазин и клиента о результатах операции.
8. В зависимости от результата операции Интернет-магазин совершает продажу или аннулирует заказ.
9. Процессор направляет клиринговый файл для проведения расчетов в Расчетный банк.
10. Расчетный банк переводит возмещение по совершенным операциям на счет Интернет-магазина.
11. Направление итогового Акта по результатам отчетного периода.
В рамках интернет-эквайринга Сервис провайдеры предлагают широкой
спектр услуг для предприятий электронной торговли:
— Персональный счет;
— Виртуальный терминал — Программа для авторизации платежей через сеть Интернет в режиме реального времени, которая устанавливается на компьютер интернет — магазина или оффлайнового магазина.
— Полный набор методов предотвращения мошенничества,
— Формирование авторизационного запроса или передача файла финансовых транзакций эквайеру для дальнейшего проведения взаиморасчетов;
— Формирование возвратных платежей;
— Внутренние инструменты обнаружения и защиты от мошенничества;
— Мультивалютные платежи
— Клиентская и техническая поддержка 24/7
— Конкурентоспособная политика снижения издержек
— Стандарты безопасности;
— Высокий уровень обслуживания;
— Развитие отношений с компаниями, предоставляющими дополнительные услуги, для увеличения лояльности клиентов.
Фрод (от англ. Fraud) — вид мошенничества в области информационных технологий, в частности, несанкционированные действия и неправомочное пользование ресурсами и услугами в сетях связи.
Фрод и кредитные карты
Кардинг (от англ. Carding) — вид мошенничества, при котором производится операция с использованием платежной карты или ее реквизитов, не инициированная или не подтвержденная ее держателем. Реквизиты платежных карт, как правило, берут со взломанных серверов интернет-магазинов, платежных и расчетных систем, а также с персональных компьютеров (либо непосредственно, либо через «трояны» и «черви»). Ответственность за такой фрод ложится на продавца, если он не использует 3DSecure.
Фишинг (англ. phishing, искаженное «fishing» — «рыбалка») — создание мошенниками сайта, который будет пользоваться доверием у пользователя, например — сайт, похожий на сайт банка пользователя, через который и происходит похищение реквизитов платежных карт.
Скимминг (от англ. Skim — снимать сливки), при котором используется скиммер — инструмент злоумышленника для считывания, например, магнитной дорожки платёжной карты. При осуществлении данной мошеннической операции используется комплекс скимминговых устройств:
Скиммер — Инструмент для считывания магнитной дорожки платёжной карты — представляет собой устройство, устанавливаемое в картоприёмник, и картридер на входной двери в зону обслуживания клиентов в помещении банка. Представляет собой устройство со считывающей магнитной головкой, усилителем — преобразователем, памятью и переходником для подключения к компьютеру. Скиммеры могут быть портативными, миниатюрными. Основная идея и задача скимминга — считать необходимые данные (содержимое дорожки/трека) магнитной полосы карты для последующего воспроизведения ее на поддельной. Таким образом, при оформлении операции по поддельной карте авторизационный запрос и списание денежных средств по мошеннической транзакции будут осуществлены со счета оригинальной, «скиммированной» карты. Скиммеры могут накапливать украденную информацию о пластиковых
картах, либо дистанционно передавать ее по радиоканалу злоумышленникам, находящимся поблизости. После копирования информации с карты, мошенники изготавливают дубликат карты и, зная ПИН, снимают все деньги в пределах лимита выдачи, как в России, так и за рубежом.
Видеокамера, устанавливаемая на банкомат и направляемая на клавиатуру ввода в виде козырька банкомата либо посторонних накладок, например, рекламных материалов — используется вкупе со скиммером для получения ПИН держателя, что позволяет получать наличные в банкоматах по поддельной карте (имея данные дорожки и ПИН оригинальной).
Данные устройства питаются от автономных источников энергии — миниатюрных батарей электропитания, и, для затруднения обнаружения, как правило, изготавливаются и маскируются под цвет и форму банкомата.
Варианты GSM фрода
1) При подписке на какой-то контент, за условную плату клиенту в договор включают очень высокий тариф на отписку, а после делают всё возможное, чтобы клиент решил отписаться.
2) Невозвраты по SIM-картам кредитных тарифных планов.
3) Оформление SIM-карт на потерянные документы с тем, чтобы полученные SIM-карты с роумингом использовать за границей. При этом счета за разговоры местный оператор отсылает оператору, выпустившему SIM-карту, с некоторой задержкой, а пока платит за разговоры самостоятельно.
4) Откровенный обман, когда звонящий говорит, что, переводя небольшую сумму на его телефон, вы помогаете своему
родственнику, попавшему в аварию или в другую затруднительную ситуацию.
5) Возможен вариант открытия платного сервиса, со способом оплаты посредством SMS сообщений. При этом технически возможно получение отрицательного баланса на SIM-карте с дебетным тарифным планом.
6) Превышение лимита количества отправляемых SMS-запросов, обусловленный техническими возможностями платформы ОСС, приводящий к получению абонентом заказываемых услуг без фактической их оплаты.
Международная ассоциация операторов сетей GSM выработала свою классификацию для фрод-преступлений:
Access Fraud — мошеннический доступ — несанкционированное использование услуг сотовой связи за счет мышленного или неумышленного вмешательства, манипулирования или перепрограммирования номеров сотовых аппаратов ESN(Electronic Serial Number) и/или MIN (Mobile Identification Number). Способ возможен на сетях без аутентификации.
Stolen Phone Froud — несанкционированное использование украденного или потерянного стового телефона. Способ работает пока владелец не известит компанию и та не заблокирует доступ с украденного телефона.
Subscription Fraud — указание неверных данных при заключении контракта, использование услуг в кредит с намерением не оплачивать их.
Договор эквайринга — юридический документ, в соответствии с которым торгово-сервисное предприятие обязано работать как согласно действующему законодательству, так и по правилам, установленным платежными системами и банком-эквайрером. Основные требования к этому договору определены в Правилах платежных систем (например,
специализированный раздел Visa International Operating Regulations), однако эквайреры вправе изменять как форму, так и содержание подобных договоров.
— Интернет-магазин обращается к провайдеру услуг (система электронных платежей) – Ассист, ДеньгиOnline, и пр.
— Выбрав одного из этих провайдеров, интернет-магазин регистрируется на его сайте, т.е. есть заполняет регистрационную форму и указывает, что он намерен принимать к оплате пластиковые карты и в каком банке он будет обслуживаться из предложенного перечня банков, которые предлагают данную услугу.
— Заявка на подключение направляется провайдером услуг в банк.
— Банк обрабатывает данную заявку, связывается с интернет- магазином по контактной информации, указанной в ней.
— Интернет-магазин, проходит все стадии до подписания договора.
— В итоге интернет-магазин подписывает договор на интернет-эквайринг и начинает принимать к оплате пластиковые карты через интернет.
Технологии безопасности электронных интернет-платежей по
пластиковым картам.
SSL-протокол(Secure Socket Layer) + Протокол 3D Secure
3-D Secure является XML-протоколом, который используется как дополнительный уровень безопасности для онлайн-кредитных и дебитных карт, двухфакторной аутентификации пользователя. Он был разработан Visa с целью улучшения безопасности Интернет-платежей и предложил клиентам услугу Verified by Visa (VbV). Услуги, основанные на данном протоколе также были приняты MasterCard, под названием MasterCard SecureCode (MCC), и JCB International, как J/Secure. 3-D Secure добавляет ещё один шаг аутентификации для онлайн-
платежей.
3-D Secure не следует путать с кодом CVV2, который напечатан на карте с обратной стороны.
3-D Secure является торговой маркой корпорации VISA.
Система 3х доменов:
Модель 3-D Secure реализована на основе 3х доменов, в которых происходит порождение и проверка транзакций:
Домен Эмитента, который включает в себя Держателя карты и Банк, выпускающий карты.
Домен Эквайера, который включает в себя банк-Эквайер и его клиентов (онлайновых торговцев).
Домен взаимодействия содержит элементы, которые делают возможным проведение транзакций между двумя другими домена. Он, главным образом, содержит сети и сервисы карточных ассоциаций.
Домены независимы в своих правах и являются важной частью процесса передачи информации в общей 3-D Secure-инфраструктуре. Для каждого домена определена собственная сфера ответственности в проведении
транзакций:
• В домене Эмитента банк-эмитент ответственен за аутентификацию покупателя и предоставление верной информации для проведения транзакции.
• В домене Эквайера онлайновый торговец ответственен за коммерческие отношения с покупателем, а также гарантию того, что покупатель был направлен в верный банк-эмитент для верификации. В этом же домене Эквайер несёт ответственность за согласование проведения транзакции через традиционные сети Visa или MasterCard.
• В домене взаимодействия платежная система Visa или MasterCard ответственна за сохранность информации по каждому эмитенту (банк держателя карты, интернет-адрес эмитента) и предоставление данной информации для вынесения решения в случае конфликтных ситуаций.
• Модель 3-D Secure предоставляет стандартный протокол взаимодействия между доменами для обмена и проверки транзакций. Она не вызывает необходимости изменений в отношениях между участниками одного домена:
• Торговец и Эквайер свободны в выборе любого способа проведения своих транзакций и в управлении отношениями в своих доменах.
• Эмитенты свободны в выборе любых предпочитаемых ими механизмов для аутентификации держателя карты.
В архитектуре 3-D Secure реализован набор специальных серверов для
обслуживания потока транзакций во время его жизненного цикла:
•В домене Эмитента Сервер Управления Доступом (Access Control Server или ACS) ответственен за управление процессами аутентификации между Покупателем и Эмитентом и гарантирует проведение платежных транзакций для Торговца.
•В домене Эквайера сервер Merchant Plug-In (или MPI) управляет потоком транзакций между инфраструктурами Visa/MasterCard, инфраструктурой держателей карты и платежной инфраструктурой, созданной Эквайером.
•В домене взаимодействия Сервер-Директорий (Directory) Visa/MasterCard ведёт информацию об участниках процесса. В этом же домене Сервер Истории Аутентификаций Visa/MasterCard (Authentication History Server или AHS) надёжно хранит информацию по всем транзакциям и гарантирует её доступность при возникновении конфликтных ситуаций.
•В доменах Эмитента и Эквайера Хостовые системы вовлечены в процесс выверки транзакций в бек-офисе банка для обеспечения клиринговых взаимозачетов между участниками с целью дальнейшей передачи денежных средств.
•В соответствии с протоколом 3-D Secure эмитенты теперь несут ответственность за аутентификацию владельцев карточек!
Упрощенно платеж по протоколу 3D Secure выглядит так:
— Покупатель, выбрав в интернет-магазине товар, нажимает кнопку «Оплатить».
— Браузер покупателя перенаправляется на страничку платежной системы, где покупатель вводит реквизиты карты.
— Сервер платежной системы проверяет, учавствует ли данная карта в платежах по протоколу 3D Secure, если участвует то браузер покупателя перенаправляется на сайт банка-эмитента данной пластиковой карты. Если не участвует в 3D Secure, то платеж может проходить по протоколу MIA SET.
— Допустим, что карта участвует в 3D Secure. Покупатель, попав на сайт банка-эмитента, проходит аутентификацию, способ аутентификации определяет банк-эмитент.
— В случае успешной аутентификации банк-эмитент возвращает платежной системе, подписанное подписью сообщение, что банк-эмитент верит данному покупателю и не возражает против операции по данной пластиковой карте.
— Далее платеж проходит как MIA SET.
SET
Стандарт SET (Secure Electronic Transaction) — технология, разработанная платежными системами Visa и MasterCard для обеспечения безопасных платежей с помощью пластиковых карт через открытую сеть.
Идентификация сторон при расчетах в сети производится путем обмена цифровыми сертификатами, удостоверяющими право участников сделки принимать или использовать пластиковые карты. SET-сертификат магазина содержит идентификационные параметры торговой точки. SET-сертификат владельца карты несет в зашифрованном виде информацию об основных параметрах карты. Проведение оплаты с использованием SET-сертификата не требует от клиента ввода параметров его карты и не предусматривает получение интернет-магазином данной конфиденциальной информации.
SET — Secure Electronic Transaction — проведение операции в сети, при которой покупатель и продавец могут однозначно идентифицировать друг друга при совершении сделки, обменявшись цифровыми сертификатами. Это позволяет обеим сторонам удостовериться в правомерности осуществления операции другой стороной.
SET — сертификат on-line магазина — набор данных в электронном формате, содержащий параметры Предприятия (название, и др.) и копию открытого ключа Предприятия, который сертифицирован в Центре Сертификации Банка в соответствии со стандартной процедурой (стандарт SET). Секретный ключ Предприятия хранится на платежном сервере. Сертификат предназначен для идентификации Предприятия в системе платежей, а также для осуществления возможности проводить платежи по картам в полном или усеченном стандарте в SET, в зависимости от типа Сертификата.
SET — сертификат держателя карты — набор данных в электронном формате, содержащий параметры карты (номер карты, Ф.И.О. держателя и др.) и копию открытого ключа держателя, который сертифицирован уполномоченным Центром Сертификации в соответствии с технологией SET.
Система также позволяет осуществлять платежи с помощью пластиковых карт и без использования SET — сертификатов клиента, в случае, если клиенты такими сертификатами не располагают. В этом случае используется технология MIA SET (Merchant Initiated Authorization). Для обеспечения безопасности платежей по технологии MIA SET, платежная система RBS предоставляет мощные возможности отсечения мошеннических транзакций. Подсистема борьбы с мошенническими операциями дает возможность клиентам — торгово-сервисным предприятиям — самостоятельно настраивать ее под собственные нужды, выбирая соответствующие антифродовые критерии.
Таким образом, в случае платежа по протоколу 3D Secure интернет- магазин не несет ответственности за мошенническое использование пластиковой карты. Решение о том, что является ли данная операция по пластиковой карте законной или нет, принимает банк-эмитент. В итоге в результате столь серьезных изменений в области безопасности онлайновых платежей и ситуации с карточным фродом в целом ведущие платежные системы с трудом находят общий язык с эмитентами, эквайрерами, виртуальными акцептантами и процессорами транзакций
при попытках заставить их устанавливать дорогостоящие системы и решения по проверке аутентичности держателей.