Всё о платежных картах. Часть 2: что главное в карте; основные принципы работы и безопасности

В первой части нашего цикла мы кратко затронули историю платежных карт в нашей стране (и не только) и необходимые для работы подобной инфраструктуры условия. В какой-то степени это было разминкой, а теперь пора переходить к практически важным вопросам. И для понимания того, как всё это вообще работает, необходимо разобраться для начала с тем, что же собой представляет карта любой платежной системы. Как уже было упомянуто в первой части, принципиально все они одинаковы — и по механизму работы, и по внутренней организации. Но что же такое карта? Или, иными словами, что в карте самое главное?

Любые карты предназначены для безналичных расчетов в чистом виде — либо как своеобразный мостик между наличным и безналичным оборотом. Например, в любом банкомате можно получить наличные по карте, а во многих банкоматах, наоборот, внести наличные на счет карты.

Важен ли сам физический носитель? И да, и нет. Первое время все карточные операции работали исключительно при предъявлении карты живому сотруднику, который и проводил операцию — пользуясь иногда абсолютно примитивными техническими средствами. Однако сегодня большинство операций проводится автоматически — электронными средствами. На обычной кассе в магазине есть кассир, но его работа в смысле приема оплаты заключается лишь в том, чтобы перенаправить запрос на платежный терминал и (в случае необходимости) показать клиенту, куда вставлять/прикладывать карту. С банкоматом же или киоском самообслуживания каждый встречается вообще один на один, без участия других людей. А есть еще и операции в сети, когда физическую карту просто некуда приложить и вставить. Для таких целей даже придумали специальные виртуальные карты — которых не существует. У них есть только карточные реквизиты, которые и участвуют в операции — точнее, могут только инициировать операцию, потому что простая схема обработки требует сложных систем подтверждения, и наоборот.

А схема в первом приближении действительно простая, поскольку основным минимально необходимым и достаточным реквизитом карты является ее номер, состоящий, как и следовало ожидать, из последовательности обычных десятичных цифр. По стандарту он может иметь длину от 13 до 19 цифр, но на сегодня самое частое — 16 цифр. Встречаются и отступления от этого правила: например, такие древние системы, как Diners Club или American Express, обходятся 14 и 15 цифрами, а вот на картах China Union Pay всё чаще встречаются номера из 17 цифр. Впрочем, на многие карты, предназначенные исключительно для электронной обработки, номер и вовсе не наносится (полностью или частично) — клиент получает его на отдельной бумажке вместе с картой, и он может пригодиться для операций в сети, если такие предусмотрены. А терминалы в любом случае работают с магнитной полосой или чипом. На первой номер хранится в открытом виде, со вторым не все так просто, но об этом мы поговорим отдельно.

Также стоит учитывать, что последняя цифра номера обычно самостоятельной ценности не имеет: это всего лишь контрольный разряд, высчитываемый по первым значащим. Хотя и остальные цифры не всегда можно считать значимыми, поскольку в первых цифрах номера, как правило, зашифрована платежная система, конкретный банк и некоторая другая служебная информация. Это упрощает автоматическую обработку: например, «увидев», что первая цифра номера равна 4, эквайер (банк, обслуживающий продавца — который и инициирует платежную транзакцию) понимает, что дальше ему нужно работать с Visa, а вот 5 однозначно направляет его в Mastercard. Туда же следует посылать и карты с первыми цифрами 67 — это унаследовано от Maestro и в картах этого типа применяется до сих пор.

Исторические 18 цифр…

и более привычные 16. Но тоже 67*

У карт «Мир» номера начинаются с 22; 35 идентифицируют японскую JCB; 34 или 37 — American Express; 62, 63 или 68 — Union Pay, и т. д. и т. п. Во всех кодах разбираться не обязательно: банки обычно работают с ограниченным количеством платежных систем, так что, столкнувшись с чем-то незнакомым, терминал просто сообщит, что такая карта не обслуживается. И вся таблица прошита в ПО терминала, так что выбор занимает считанные микросекунды. Поэтому от ручной обработки карт давно ушли даже там, где люди остались: время — деньги. И перенастраивается всё легко. Заключила НСПК (оператор карт «Мир») соглашения о совместной работе с армянской ArCa и беларуской «Белкарт» — и сразу же (после первого же обновления ПО) все российские терминалы узнали, что́ нужно делать с их кодами, начинающимися с 9051 или 9112. А до этого — не знали. Зеркальным отражением этого стало то, что отечественные карты начали работать во всех терминалах, обслуживающих ArCa и «Белкарт», причем для этого не потребовались отдельные договоры на уровне банков-участников. В принципе, для того и нужны платежные системы — и тем удобна их интеграция на таком уровне. Хотя интеграция возможна и на более низком уровне: кобейджинговые карты «умеют» работать в двух системах, имея номер, относящийся к одной из них. Но это чуть более сложный случай, чреватый неожиданностями. Например, карты «Мир—JCB» и «Мир—Maestro», как правило, имели номера из диапазона JCB и Maestro соответственно, так что к бонусной программе «Привет, Мир!» не привязывались и в акциях не участвовали. А совместные «Мир—UnionPay» Россельхозбанка по BIN (те самые первые шесть цифр) идентифицируются как «Мир», и их нельзя привязать, например, к Huawei Pay для бесконтактной оплаты смартфоном (бесконтактная оплата всё еще возможна, но только при помощи Mir Pay).

Впрочем, это уже начались те самые тонкости, от излишнего углубления в которые на первых этапах мы обещали воздержаться. Поэтому пока на этом остановимся. Главное, что следует понимать: номер карты — это практически основной и единственный ее атрибут, целиком и полностью определяющий ее возможности. При этом номер — слишком простой реквизит. Зачастую он еще и нанесен на саму карту, так что увидеть его может любой желающий. И воспользоваться в своих целях — тоже. Может быть, правы те, кто утверждает, что использование карт очень опасно? Не совсем. Для того чтобы проблемы не возникали, необходимы и используются комплексные системы безопасности. Как положено, они тем более сложные, чем больше рисков несет в себе операция. К примеру, пополнение карты по номеру абсолютно безопасно для ее держателя — ведь это приход денежных средств, а не расход. Поэтому тут вовсе никакие схемы не нужны, достаточно одного лишь номера.

С расходными же операциями все сложнее, так что для них используются те или иные способы подтверждения транзакции держателем. Эволюция карт и технологий оплаты тоже в основном происходила по пути повышения безопасности. А кроме всего этого, для сложных ситуаций у каждой платежной системы есть огромные талмуды по правилам переноса ответственности, которые объясняют, кто именно будет крайним в спорных случаях. Иногда им оказывается продавец и его банк (эквайер), а иногда покупатель и его банк (эмитент карты). Но главное в правилах переноса ответственности — они заставляют банки внедрять все технологические обновления безопасности, дабы постараться в максимальном количестве случаев снять ответственность с себя. Касается это обеих сторон, вступающих в итоге в своеобразную гонку. Поэтому и внедряется всё очень быстро.

В США полосатые карты жили немного дольше

В других регионах к тому моменту почти исчезли

Чтобы разобраться с этим вопросом предметно, но без излишнего количества подробностей, рассмотрим один из примеров эволюции: переход от «полосатых» карт (снабженных только магнитной полосой) к «чиповым» (с микропроцессором). Первые активно использовались в прошлом веке и первом десятилетии нынешнего, но, несмотря на длинную историю, некоторое время назад практически полностью ушли с рынка — в первую очередь из-за отсутствия защиты. Все платежные реквизиты (и номер, и дополнительные) хранились на магнитной полосе в открытом виде. Все их считывал любой терминал, в том числе и мошеннический — попадись такой на пути пользователя. А далее на базе сохраненной информации можно сделать полноценный клон карты, записав информацию в таком же открытом виде на новую болванку. Ответственность за операции по клону всегда нес эквайер, поэтому появлялись требования защищать сами карты (всевозможные голограммы, логотипы и прочие мелкие детали), а продавцов заставляли изучать эти защитные особенности, тратя на это время. Но время — деньги. Да и живой кассир — тоже они же. Поэтому всё большее распространение начали получать автоматические кассы и прочие терминалы самообслуживания. А в них дотошно проверять карту уже некому. В интернете — тем более.

Нужно было решать проблему радикальным путем. Благо к этому моменту сильно подешевели микропроцессоры — вот они на картах и появились. Чем обработка чиповой карты отличается от полосатой? Да всем! Информация хранится уже в зашифрованном виде, причем терминалу карты передают исключительно закодированные последовательности (токены), на основании которых восстановить полные реквизиты вообще невозможно. В итоге, кроме всего прочего, полный клон чиповой карты изготовить невозможно. По крайней мере, за пару десятилетий никому еще взломать систему защиты не удалось (а когда удастся — придумают новую).

Всё идеально. За исключением нескольких нюансов, часто тормозящих внедрение новых технологий. Во-первых, сами микропроцессорные карты стоят дороже. Во-вторых, терминалы для их обработки первое время стоили намного дороже. Последнее, в частности, приводило к необходимости обеспечить совместимость новых карт со старым оборудованием. Реализовать ее было просто: на всех чиповых картах основных платежных систем долгое время присутствовала и магнитная полоса. Одна проблема: режим совместимости полностью лишал защиты против действий злоумышленников.

Как все эти проблемы удалось решить за короткий срок? Очень просто: правилами переноса ответственности. Точнее, одним из правил: за проведение с чиповой картой операции по полосе ответственность всегда лежит на продавце. В итоге банкам стала выгодна эмиссия карт с микропроцессорами: хоть они и обходятся дороже, зато снимается немалое количество проблем с мошенническими транзакциями. Но как только таких карт на рынке стало много, за новым оборудованием побежали продавцы, которых начала не устраивать презумпция виновности. В итоге буквально за несколько лет произошел полный переход на изначально более дорогие технологии — которые еще и быстро подешевели за счет массовости. А не будь такого руководящего и направляющего «подталкивания» — так и продолжали бы использоваться полосатые карты, а основной работой банков стала бы возня с опротестованием мошеннических транзакций.

И совсем уж замечательно, что технологические инновации чаще всего имеют не только основной, но и массу побочных эффектов. Например, заодно удалось решить проблему с торговыми автоматами и прочим оборудованием. В них для подтверждения операций всегда использовался PIN-код — просто не было возможности организовать другие проверки. И он же применялся в банкоматах, что делало пользование автоматами очень рискованным: купил по дороге бутылку воды, а через пару дней кто-то обналичил все средства со счета по клону карты. Но микропроцессорные модели не клонируются, что сделало такие операции безопасными и очень популярными: немного вложившись на этапе внедрения чиповых карт, торговые сети в итоге получили возможность сэкономить на кассирах и т. п. Сейчас распространенность автоматических устройств с поддержкой карт никого не удивляет, хотя совсем недавно (по историческим меркам) их практически не было.

Можно ли считать проблему фрода (т. е. мошеннических транзакций) полностью решенной? Нет. Опасность по-прежнему есть, однако теперь это требует более сложной преступной деятельности. Например, карманнику в супермаркете надо подсмотреть PIN-код (при вводе его клиентом на кассе), затем аккуратно извлечь карту из кармана владельца и бежать к ближайшему банкомату. Но техника на месте не стоит, так что подобные сценарии становятся всё более экзотическими. Скажем, добавилось использование бесконтактных технологий в паре с разрешением проводить по таким картам мелкие транзакции (на которые, тем не менее, приходится огромная часть суммарного оборота) без дополнительного подтверждения. Вследствие этого в описанной выше ситуации уже нет риска, что с карты обналичат крупную сумму: весь потенциальный «улов» преступника — это возможность сделать одну или несколько мелких покупок. Последствия для владельца карты меняются с крайне опасных на максимум неприятные. Да и уважающий себя карманник рисковать ради подобных мелочей просто не станет, так что общий уровень безопасности пользователя радикально увеличивается.

Словом, из мира физического чисто карточный фрод практически исчез. На данный момент либо можно вовсе не принимать во внимание эти риски, либо уже существуют технологии, сводящие их до нуля. А вот в виртуальном мире доля мошеннических транзакций очень велика, и в абсолютном исчислении она даже растет. Но растет она во много раз медленнее объема карточных платежей. Проще говоря, работай все до сих пор с технологиями прошлого века, нынешние обороты интернет-торговли были бы в принципе невозможны. Причем реальный и виртуальный мир в этом плане постоянно бы пересекались. Например, мелкая покупка в интернет-магазине могла бы приводить к появлению клона карты где-то за тридевять земель — со всеми вытекающими. И наоборот: чиркнул картой по платежному терминалу, а потом кто-то по ее реквизитам что-то крупное оплатил в интернете. Сейчас такое невозможно, а «чистые» интернет-транзакции подтверждаются более серьезными методами, нежели «офлайновые». Впрочем, большинство мошеннических действий давно уже тоже комплексные, а не просто «увели номер и воспользовались им». Сейчас мошенникам приходится попотеть, чтобы пользователь лично подтвердил транзакцию, так что к чисто карточным технологиям эта угроза относится лишь отчасти. К сожалению, одной лишь техникой от методов социальной инженерии защититься невозможно (а от терморектального криптоанализа — тем более).

Что же касается технологий обработки карт, то с ними в первом приближении все достаточно просто. В общем случае в транзакции участвуют пятеро: продавец, банк-эквайер (тот, кто обслуживает продавца), платежная система, банк-эмитент (который выпустил карту) и держатель карты (условный покупатель — который своими деньгами и распоряжается). Задача продавца очень простая: обеспечить эквайеру техническую возможность обработать карту и сообщить ему нужную сумму операции. Задача эквайера — обратиться к соответствующей платежной системе (определить ее легко) с запросом на списание указанной суммы. Платежная система переадресует запрос к банку-эмитенту, который, исходя из платежного баланса конкретной карты, сообщает, возможна она или нет. Если нет — то на нет и суда нет. Если да, то происходит авторизация: эквайер запрашивает у держателя подтверждение и готовит необходимые документы, а эмитент снижает баланс на нужную сумму. В современных условиях все эти процедуры могут занять всего несколько секунд, но на деле это лишь первый этап. На втором этапе, который может занимать несколько дней, уже не участвуют ни продавец, ни держатель — просто подтверждающие документы проходят свой путь от эквайера до эмитента, а затем в обратный путь направляются деньги. На третьем же этапе продавец получает от «своего» банка нужную сумму на счет, а у держателя возникает задача расплатиться со «своим» банком. Последнее, если карта дебетовая, выполняется автоматически: нужная сумма физически списывается со счета. Считается, что она там гарантированно есть — ведь нужное количество денежных средств было заблокировано на первом этапе. Правда, в случае мультивалютных операций за время, прошедшее между авторизацией и списанием, могли измениться курсы валют, так что списать потребуется больше денег, чем заблокировано (если меньше, то проблем, естественно, не возникает). Однако дебетовые карты — лишь один из возможных вариантов, хотя и наиболее популярный в нашей стране несмотря на то, что дебетовые карты появились гораздо позже кредитных. С кредитными же — своя история, тоже важная для комфорта и отсутствия подводных камней.

Таким сложным и многоэтапным является общий случай. Есть и специальные виды транзакций. Например, при получении денег в банкомате выполнить полный цикл невозможно: деньги нужны сразу. В итоге банк (владелец банкомата) фактически кредитует держателя карты под гарантии платежной системы — которая, в свою очередь, «уверена» в получении нужной суммы от эмитента. Но иногда всё идет не так начиная с этапа авторизации — когда нет связи с эмитентом, а то и вообще с платежной системой. Для части карт это приводит к невозможности проведения операции. Другие же всё равно позволяют ее выполнить, если сумма ниже заданного лимита. Как эквайер должен разделять эти ситуации? По BIN карты — мы недаром выше упоминали, что в него заложена информация не только о платежной системе и банке-эмитенте, но и некоторые служебные данные. Для держателя же такие операции несут определенный риск: раз нет авторизации, значит нет и проверки платежного баланса (к эмитенту могут прийти уже готовые документы на списание), так что можно потратить больше доступного. И с этим позднее придется разбираться.

Есть и еще один частный (но тоже частый) случай редуцированного процесса: блокировка. Блокировка используется, например, когда клиент заселяется в гостиницу: при выезде он расплатится за номер и потребленные по факту дополнительные услуги, но подготовиться к этому процессу желательно заранее — чтоб потом не оказалось, что денег не хватает ни на оплату номера, ни на оплату мини-бара. Для этого выполняется авторизация на сумму с запасом, но документы никуда отправлять не нужно и физического списания не будет никогда. Правда, некоторые отели забывают перед оплатой отменить гарантийную авторизацию, если она и последующая оплата вписываются в платежный баланс вместе —, а держатель карты потом с месяц лишен доступа к своим деньгам. Казалось бы, придумано для минимизации количества грабель. Но на деле проблемы минимизируются для гостиницы, а пользователю остается только учитывать этот нюанс — и быть готовым при необходимости напомнить о своих интересах.

Так что при всей кажущейся простоте деталей много. Обыденная операция «достал карту и приложил к терминалу» на деле запускает целую цепочку событий. Нужно ли знать все эти детали в совершенстве? Конечно нет! Будь это необходимо, карты ни за что не сумели бы занять свое сегодняшнее место в жизни, поскольку для их максимального распространения как раз и нужна та самая внешняя простота. Но немного разбираться в том, когда, что и как происходит, все-таки полезно. Это сделает процесс более комфортным и позволит избежать (в той степени, в которой это зависит от пользователя) ряда потенциальных проблем. Принцип «меньше знаешь — крепче спишь» работает далеко не всегда и чреват неприятным пробуждением. Поэтому спать мы не будем, а продолжим изучение затронутых вопросов в следующих частях — как обычно, от простого к сложному.

Полный текст статьи читайте на iXBT