Как ловят кардеров? — HackZona.Ru

Как ловят кардеров?

Как ловят кардеров?

Тип статьи:
Со старой ХакЗоны.
Источник:
Чтобы покупатель смог расплатиться с торговцем за приобретенные у него товары или услуги при помощи кредитной карточки, должна существовать платежная система, в рамках которой будет осуществляться такая операция. Такую систему в общем виде можно представить как совокупность субъектов, которые заключили соглашение о том, что они готовы осуществлять взаиморасчеты между собой на безналичной основе, используя определенные механизмы и соблюдая установленные правила. В этой статье я хочу подробно остановиться на субъектах платежной системы.

Итак, в платежную систему, использующую пластиковую карточку как средство оплаты, входят следующие группы субъектов:

Эмитенты пластиковых карточек (Card Issuers).
Владельцы пластиковых карточек (Cardholders or Cardmembers).
Провайдеры услуг по организации приема оплаты карточкой в торговых точках (Merchant Account Providers-MAP).
Торговые точки или торговцы, принимающие к оплате пластиковые карточки (Merchants).
Процессинговые центры (Transaction Processing Clearinghouse).

Эмитент пластиковой карточки (Card Issuer)


Эмитент кредитной карточки — это та организация, которая выпускает пластиковую карточку, то есть предоставляет ее в пользование своим клиентам. В роли эмитентов могут выступать банки, финансовые организации, крупные сети магазинов и ряд других организаций. Подавляющее большинство кредитных карточек выпускается банками, поэтому будет целесообразно в общем случае говорить о банковских карточках.

Банк, выпускающий кредитную карточку, называется банком-эмитентом (Issuing Bank). Банк-эмитент является гарантом выполнения всех платежных обязательств, возникающих в процессе использования выпущенных им карточек. Карточка на протяжении всего срока действия остается собственностью банка, а клиент банка получает карточку только в пользование и является только держателем карточки.

Перед предоставлением клиенту пластиковой карточки банк проводит проверку финансового положения и кредитоспособности клиента. В принципе процедура получения карточки сводится к процедуре открытия счета. Поэтому очень часто получить карточку в банке, где клиентом уже открыт счет, можно на льготных условиях, а иногда и бесплатно. Банковский счет, на котором проводятся все операции по карточке называется карт-счетом. Если счет в банке открыт, то выпускаемая карточка может быть привязана к нему, а может потребоваться и открытие отдельного карт-счета, на котором будут учитываться все операции с карточкой. В случае если у заказчика карточки счета в банке-эмитенте нет, обязательно требуется открытие карт-счета.

При выдаче пластиковой карточки клиенту осуществляется ее персонализация — на карточку наносится идентификационная информация (имя владельца, номер карточки, срок действия карточки и пр.) на магнитную ленту заносится закодированная идентификационная информация.

В рамках платежной системы банк-эмитент обязуется оплачивать счета торговой точки (торговца) по оплате товаров и услуг, купленных клиентом банка с использованием выданной ему данным банком карточки. В свою очередь банк-эмитент списывает соответствующую сумму с карт-счета владельца карточки.

Банк-эмитент может также периодически посылать владельцу карточки выписку с карт-счета с указанием всех операций, произведенных за отчетный период, а также сумм и сроков погашения задолженности перед банком (если таковая имеется).


Владелец банковской карточки (Cardholders or Cardmembers)


Владелец банковской карточки может использовать ее как платежный инструмент и осуществлять безналичную оплату товаров и услуг, которые предлагаются торговцами-участниками платежной системы (торговыми точками). Также владелец карточки может получить наличные в АТМ сети (сети банкоматов), работающей с карточками (поддерживающей стандарты) той системы, в рамках которой выпущена конкретная карточка. Подробнее о видах карточек и об их возможностях читайте в статье «Виды пластиковых карточек».


Провайдер услуг по организации приема оплаты карточкой (Merchant account provider — MAP)


Сразу хочу сделать отступление и разобраться в терминологии словосочитания «Merchant account». Данный термин в английском языке может употребляться в двух значениях. В узком смысле Merchant account — это специальный счет торговой точки в банке. На этот счет зачисляются средства, снятые с кредитных карточек покупателей в качестве оплаты за купленные ими товары или услуги. И тогда на русский язык Merchant account можно перевести как счет торговца или торговый счет.

В широком смысле Merchant account означает целостный механизм по приему платежей с кредитных карточек покупателей. В этом случае понятие Merchant account включает в себя как торговый счет, так и весь комплекс услуг по приему оплаты с кредитной карточки (предоставление аппаратных средств по приему кредиток, проведение авторизации карточек, проведение расчетов с банком-эмитентом карточки, зачисление денег на торговый счет продавца и т.д.). В этом смысле понятие Merchant account не имеет сформировавшегося аналога в русском языке и поэтому чаще всего употребляется либо оригинальное название (Merchant account), либо — в русской транскрипции «Мерчант экаунт». В статье остановимся на использовании термина «Мерчант экаунт». (На нашем сайте употребляются оба варианта).

Итак, кто же является провайдерами Мерчант экаунтов. В первую очередь это, конечно, банки. В рамках платежной системы банки, в которых открывает торговый счет продавец, и которые занимаются обслуживанием торговой точки, называют банками-эквайерами (Acquiring Bank). На банки-эквайеры возлагается выполнение всего спектра услуг по обеспечению приема карточек к оплате торговыми точками.

Среди этих услуг можно отметить, уже упомянутые услуги, по предоставлению аппаратных средств и программных продуктов по приему кредиток, обработку запросов торговцев на авторизацию карточек, проведение взаиморасчетов с банком эмитентом карточки, зачисление средств на торговый счет продавца. Также это такие услуги, как распространение между своими клиентами списков карточек, по которым операции приостановлены или прекращены (рассылка стоп-листов). Это и работа с документами: получение, сортировка и рассылка документов в электронной и бумажной форме.

Надо отметить, что один банк может являться одновременно и эквайером и эмитентом. А в целом, в рамках платежной системы может существовать один или несколько расчетных банков, в котором(ых) банки-члены системы открывают корреспондентские счета. Такая схема служит для ускорения проведения взаиморасчетов между эквайерами и эмитентами.

Банки очень тщательно и придирчиво проверяют претендентов на получение Мерчант экаунт. Прежде всего, изучается кредитная история торговца. Ведь банк берет на себя ряд рисков связанных с предоставлением Мерчант экаунт. Это, например, риски связанные с не предоставлением или не полным предоставлением торговцем товаров и услуг, если они уже оплачены с кредитной карточки покупателя. Риск того, что покупатель расплатится ворованной кредитной карточкой и др. Поэтому банк должен быть уверен в надежности торговца и в том, что в случае возникших проблем, торговец сможет рассчитаться с банком.

В связи с указанными рисками банки устанавливают довольно жесткие условия для желающих иметь Мерчант экаунт и получить его не так уж просто. А для небольших компаний и особенно компаний, занимающихся продажами в Интернет, получение Мерчант экаунт в банке становится серьезной проблемой. Банки очень осторожно относятся к продажам, осуществляющимся без физического присутствия кредитных карточек (к таким видам продаж кроме торговли в Интернет относятся продажи по телефону и по почте — Mail Order and Telephone Order, MO/TO). И часто банки отказывают небольшим, недавно созданным компаниям в открытии Мерчант экаунт для приема оплаты по кредитным карточкам через Интернет и MO/TO.

Существует еще одна проблема. Безусловными лидерами в предоставлении услуг Мерчант экаунт для Интернет (также как и лидерами в Интернет торговле) являются банки и компании США и стран Западной Европы. И в банках этих стран часто не хотят связываться с иностранными компаниями.

Какой же существует выход? Ведь большинство компаний желающих (и уже торгующих) в сети являются средними и мелкими компаниями, а использовать возможности всемирной паутины и продавать по каналам Интернет товары и услуги по всему миру хотят и компании, зарегистрированные за пределами стран-лидеров сетевой торговли.

Как известно, спрос рождает предложение. И в сети можно найти сотни сайтов, на которых готовы предложить виртуальным торговцам услуги по организации Мерчант экаунт. Эти сайты принадлежат еще одному типу провайдеров Мерчант экаунт, отличному от банков. Чаще всего в информационных источниках по тематике связанной с Мерчант экаунт можно встретить следующее обобщенное название таких компаний — Independent Service (Sales) Organizations (ISOs) — независимые сервисные (торговые) организации. Также встречается и такое название: Merchant Credit Card Brokers — брокеры по предоставлению Мерчант экаунт для приема кредитных карточек. На нашем сайте мы их называем «посредниками Мерчант экаунт».

Посредники в предоставлении Мерчант экаунт за более высокую стоимость услуг и ряд налагаемых на торговца ограничений готовы решить проблемы связанные с торговлей в Интернет, с «нерезидентным» происхождением компаний, с продажей, так называемых, товаров и услуг повышенного риска (high-risk) и другие.

По механизму работы посредников Мерчант экаунт можно разделить на два вида. Первый вид — это посредники, которые заключают соглашения с рядом банков и являются представителями этих банков по предоставлению услуг Мерчант экаунт. Такой посредник сводит торговца с таким банком, который готов иметь дело с небольшими компаниями (с разной кредитной историей) и «нормально» относится к торговле в Интернет. Для банка посредник выступает в качестве агента по поиску клиентов (Finder).

Получив определенный процент за свою деятельность, посредник «уходит со сцены» и торговец дальше работает непосредственно с банком. Часть платы за услуги посредника перекладывается на торговца в качестве более высокой платы за аппаратные средства и программные продукты по приему кредитных карточек на сайте торговца. Также в этих целях может взиматься специальная плата — application fee (что-то вроде, платы за заключения договора) или какие-либо другие отчисления.

При работе со вторым типом посредников от торговца не требуется открывать свой Мерчант экаунт. Посредник проводит все операции по оплате карточкой через имеющийся у него (открытый на его имя) Мерчант экаунт. Прежде всего, надо отметить, что такая схема используется только в Интернет торговле. И именно данный вид посредников может предложить услуги для неамериканских компаний и готов работать с торговцами, занимающимися продажей товаров и услуг повышенного риска (adult, casino и т. д.). Но при этом ужесточаются требования, формируются рисковые фонды, задерживается перевод денег.

В общих чертах процедура оплаты товаров в Интернет через посредника происходит так:

интернет-торговец размещает на своих веб-страницах кнопки, к примеру, с надписью «Оплатить»;
если посетитель такой страницы решает приобрести, описанный на веб-странице товар, он нажимает на эту кнопку;
ссылка, расположенная в HTML коде кнопки переносит клиента на сервер посредника, на расположенную там специально созданную посредником страницу интернет-торговца;
клиент заносит данные своей карточки в специальные поля (заполняет форму), и после нажатия кнопки о подтверждении оплаты, автоматически возвращается на сайт интернет-торговца;
используя специальные программные продукты, посредник, во-первых, обеспечивает безопасность данных клиента на своем сервере, а во-вторых, определяет, от какого интернет-торовца пришел клиент;
используя полученные данные и имеющийся Мерчант экаунт, посредник требует у банка-эквайера зачислить на свой торговый счет определенную сумму денег;
получив деньги на свой торговый счет, посредник переводит деньги на банковский счет интернет-торговца, клиент которого произвел оплату.
При этом торговец НЕ ИМЕЕТ доступа к данным карточек клиента!

Более подробно услуги всех посредников Мерчант экаунт мы опишем в наших будущих статьях. Следите за рассылкой!


Торговая точка, торговец (Merchant)


Торговая точка (торговец) — это торговая или сервисная компания, которая присоединилась к платежной системе с целью предоставить возможность своим клиентам осуществлять оплату кредитной карточкой. Как уже упоминалось для того, чтобы получить возможность принимать оплату кредитками, торговец должен либо открыть в банке Мерчант экаунт, либо воспользоваться услугами посредника без открытия своего Мерчант экаунт.

Получив свой Мерчант экаунт, торговец получает право принимать к оплате за свои товары и услуги кредитные карточки данной системы. Торговец может предъявлять банку-эквайеру документально подтвержденные требования зачислить на свой торговый счет средства за проданные по кредитным карточкам товары. На торговца распространяется обязанность в обусловленных соглашением случаях проводить авторизацию карточек (через банк-эквайер или через процессинговый центр) и обязанность хранить в тайне информацию о кредитных карточках клиентов. Остальные права и обязанности торговца четко оговариваются в договоре на открытие Мерчант экаунт.


Процессинговый центр (Transaction Processing Clearinghouse).


В крупных платежных системах банки-эквайеры часто заключают соглашения и передают выполнение большинства технических функций специально созданным банками или банковскими объединениями сервисным организациям — процессинговым центрам.
На процессинговый центр возлагается выполнение круглосуточной авторизации платежей по карточкам. Также на него может быть возложена функция по подготовке итоговых данных для проведения взаиморасчетов между банками, членами платежной системы, а также функция составления и рассылки стоп-листов для торговцев торговцам.

Для выполнения указанных функций процессинговый центр ведет свою базу данных о владельцах карточек и о членах платежной системы. В крупных платежных системах может быть создано несколько процессинговых центров, обычно по региональному принципу.
Механизм оплаты кредитными карточками в реальном магазине (brick-and-mortar store — магазин из кирпича и бетона) и в электронном магазине, размещенном на веб-страницах, многими представляется как один и тот же процесс. Однако, существуют хотя и немногочисленные, но существенные различия, которые требуют отдельного рассмотрения механизмов приема карточек в виртуальном и в «реальном» магазине. Начнем с «магазина из кирпича и бетона».

Для магазина весь процесс приема оплаты кредиткой (от момента, когда покупатель достает свою пластиковую карточку, чтобы расплатиться за товар или услугу до момента, когда торговая точка получает на свой банковский счет деньги) можно разложить на несколько взаимосвязанных этапов:

визуальная проверка карточки на ее принадлежность покупателю;
обработка карточки и снятие с нее данных;
проведение процесса авторизации;
в случае успешной авторизации оформление торгового чека;
выдача оригинала торгового чека покупателю;
предоставление копии чека в банк-эквайер.
После того, как торговцем будут пройдены все эти этапы банк-эквайер, используя банковский механизм, зачисляет средства на счет торговца, а с банка-эмитента, на основании торговых чеков, требует возмещения своих затрат. Рассмотрим более подробно все указанные выше этапы.

При приеме оплаты по кредитной карточке продавец обязан проверить, соответствует ли подпись на карточке подписи покупателя. Если на карточке имеется фотография владельца, то по ней можно проверить принадлежность карточки покупателю. Проверить, является ли покупатель владельцем карточки, можно также по удостоверению личности покупателя.

Для унификации документооборота все торговцы-члены платежной системы снабжаются банками-эквайерами стандартизированными торговыми чеками (так называемыми слипами — slips или драфтами — drafts). Торговый чек представляет собой сложенные вместе два бланка для заполнения, между которыми проложена копировальная бумага. Все чеки пронумерованы и являются документами строгой отчетности. При проведении оплаты пластиковой карточкой, карточка покупателя обрабатывается на специальном оборудовании, имеющемся в распоряжении торговой точки, и необходимые данные с нее заносятся на торговый чек. Покупатель ставит свою подпись на первом экземпляре чека, через копирку подпись отпечатывается на втором. Своей подписью покупатель подтверждает согласие на проведение операции по списанию средств с его карт-счета. Первый экземпляр чека покупатель забирает себе и может использовать его в случае возникновения спорных ситуаций, второй экземпляр остается у торговца. Этот экземпляр торговцем направляется баку-эквайеру и на основании его происходит зачисление денег на банковский счет торговой точки.

Каждая торговая точка, принимающая к оплате карточки, оснащена специальным аппаратным оборудованием. Это оборудование предназначено для обработки карточки покупателя, снятия с нее информации, проведения процесса авторизации, оформления на основании полученной информации платежных документов.

По способу обработки карточек торговые точки можно разделить на торговые точки с механической обработкой карточек и торговые точки с электронной обработкой карточек. Первые оснащены специальным устройством — импринтером. Эта устройство предназначена для того, чтобы вносить на торговые чеки информацию, нанесенную рельефным шрифтом на карточке. Импринтер методом «прокатывания» карточки заносит на чек номер карточки, срок окончания ее действия, имя владельца карточки, также при помощи импринтера в чек вносится специальный номер торговой точки, где производилась оплата карточкой. Надо отметить, что в торговых точках, использующих в качестве обработки карточки импринтер, к оплате могут приниматься только эмбоссированные карточки.

Для электронной обработки карточки торговая точка должна быть оснащена специальным торговым терминалом — POS-терминалом (от английского Point Of Sale — точка продажи). POS-терминал обычно оснащен модемом, устройством считывания информации с магнитной полосы карточки (могут быть оснащены и устройством чтения информации со смарт карты), имеет порты для подключения кассового аппарата, принтера, специальной клавиатуры для набора PIN-кода. При обработке карточки с использованием POS-терминала информация с карточки считывается, и торговый чек печатается автоматически на принтере.

Одним из ключевых процессов в механизме проведения расчетов по кредитной карточке является авторизация. Об авторизации в общем случае можно говорить, как о процессе получения разрешения от банка-эмитента на проведение операций с карточкой. Дав такое разрешение, банк-эмитент берет на себя обязательства выполнить документально подтвержденные требования банка, обслуживающего торговца (банка-эквайера). Эмитент обязывается выполнить требования, возникшие на основании операций, проведенных торговцем и эквайером в связи с использованием покупателем карточки.

Авторизация проходит по следующей схеме. Чаще всего запрос на авторизацию направляется торговцем в процессинговый центр (авторизация может также проходить через банк-эквайер). В запросе на авторизацию указываются следующие данные: — идентификационный номер торговой точки (код торговца в рамках платежной системы); — данные кредитной карточки покупателя (номер кредитной карточки, срок окончания действия карточки, имя держателя карточки); — сумму, которую должен уплатить покупатель; — валюту платежа; — номер заказа (товара).

Процессинговый центр проверяет данные торговца — наличие в системе торговца с указанным кодом, соответствие требованиям системы операции, проводимой торговцем. Проверку данных карточки покупателя процессинговый центр может проводить самостоятельно, если он уполномочен на это банком-эмитентом карточки. В противном случае данные карточки для авторизации передаются непосредственно банку-эмитенту.

Если авторизация прошла успешно, то процессинговый центр сообщает об этом торговцу вместе со специальным кодом — номером авторизации. Этот номер также заносится на торговый чек и служит дополнительным средством обеспечения безопасности для операций с карточками. Торговые точки, принимающие к оплате карточки с использованием импринтера, авторизацию проводят по телефону. POS-терминал позволяет значительно ускорить процесс авторизации, который проходит автоматически в онлайновом режиме.

Механизм по приему кредитных карточек в Интернет во многом похож на механизм, применяемый в «оффлайновой» торговле. Однако физическое отсутствие кредитной карточки при оплате, невозможность личного присутствия покупателя в момент оплаты вносит в механизм работы с карточкой в Интернет ряд существенных особенностей.

Процесс совершения покупки и оплаты покупки кредитной карточкой происходит следующим образом. Покупатель по каналам Интернет попадает на веб-сайт электронного магазина (торговца). Там он обычно получает возможность ознакомиться с описанием предлагаемых товаров или услуг и условиями их оплаты и доставки (или предоставления, если речь идет об услугах). Также покупатель имеет возможность сформировать корзину товаров (корзину покупок).

Далее если покупатель выбирает форму оплаты — кредитной карточкой, то происходят следующие взаимодействия в рамках платежной системы. С сервера интернет магазина покупатель переправляется на сервер платежной системы, обычно это специальный авторизационный сервер, предназначенный для приема и проверки (авторизации) данных о товаре (услуге) и данных кредитной карточки покупателя. Переправляя покупателя на авторизационный сервер, интернет магазин также сообщает серверу идентификационный код торговца, номер заказа и его сумму. Уже на сервере покупатель вводит данные своей карточки — номер карточки, срок окончания действия карточки, имя владельца карточки. Таким образом, магазин не имеет доступа к информации о карточке покупателя.

Авторизационный сервер производит предварительную обработку полученных данных и передает их в банк-эквайер. Банк по коду торговца проводит идентификацию магазина и проверяет соответствие проводимой им операции установленным правилам. Если банк не может идентифицировать магазин или магазин не имеет право на проводимую им операцию, банк сообщает на сервер о запрете на проведение авторизации в рамках платежной системы. Авторизационный сервер передает запрет магазину (с описанием причин), а также сообщает покупателю о невозможности проведения расчетной операции с описанием причин.

В случае разрешения авторизации банк-эквайер передает запрос на авторизацию в процессинговый центр или непосредственно банку-эмитенту карточки (зависит от условий платежной системы).

При получении отказа в авторизации от процессингового центра (банка-эмитента) банк-эквайер сообщает об этом на авторизационный сервер. Авторизационный сервер передает отказ магазину с номером заказа, а покупателю — отказ с описанием причины. Причиной отказа в авторизации может быть, например, использование покупателем карточки, действие которой приостановлено, или оплата покупки, сумма которой превышает установленный лимит использования средств на карт-счету, а также по ряд других обстоятельств.

В случае положительного результата авторизации, банку-эквайеру отправляется подтверждение авторизации, а в рамках платежной системы происходит зачисление денег на счет банка-эквайера и списание суммы со счета покупателя. Банк-эквайер передает авторизационному серверу положительный результат авторизации, а сервер, в свою очередь, возвращает магазину положительный результат авторизации с номером заказа и покупателю подтверждение о совершении им оплаты заказа вместе с номером заказа. В последующем, согласно условиям договора между банком-эквайером и магазином, осуществляет зачисление средств на торговый счет магазина.

В процессе приема карточек к оплате в Интернет могут применяться (и чаще всего применяются) дополнительные способы проверки карточки на ее принадлежность покупателю. В этих целях от покупателя может потребоваться предоставить дополнительные данные о себе. Например, может применяться процесс проверки адреса владельца карточки (Address Verification). Тогда от покупателя требуют указать свой адрес, который сверяется с адресом владельца карточки (эти данные имеются у банка-эмитента). Все это делается для предотвращения мошенничества с карточками.

Конечно описанные схемы проведения расчетов с кредитными карточками, как в «реальном», так и в интернет магазине являются в значительной мере обобщенными и упрощенными схемами. Но в этой статье мы ставили перед собой задачу дать нашим читателям общее представление о схеме расчета карточкой. Более подробно о приеме к оплате кредитных карточек и, главным образом, в интернет торговле мы расскажем в наших будущих статьях.
Нравится
Не нравится

2 комментария

01:51
загаловок "как ловятса кардеры", а информация о том как идет оплата с карточки,так как же всетаки ловятса эти кардеры?
00:38
хм, отличная статья о структуре оплаты с использованием карт, но в заголовке сказано "Как ловят кардеров?". =

P.S. Статья все же нормаль