касательно кредиток это не так — очень удобно все таки пользоваться бесплатными заемными средствами (соблюдая грейс).
касательно интернет покупок (виртуальные товары) это не так — гораздо больше охват визы/мастера нежели палки.
касательно покупок в магазинах это не так — не надо ждать и мучаться со сдачей, париться что кеша с собой не хватит.
касательно аренды авто за границей — в большинстве мест уже даже тачку на прокат не дадут без кредитки.
разрывы в ATC это нормально — любая оффлайн операция счетчик втихую от процессинга инкрементирует, а вот по проваленной валидации могут в принципе начать срабатывать правила (если они конечно настроены)
вообще довольно странная атака получается,
вы пытаетесь атаковать через какое-то странное комбо MST и обычной магнитки, при том что MST это токенизированная операция, то есть валидацию проводит платежная система а не эмитент в первую очередь и только потом мпс детокенизирует операцию для отправки эмитенту.
очень не обязательно такие сроки, в целом ограничивается договором с торговой точкой и настройкой в процессинге для тсп. для разных групп обслуживание может быть от 2 до 5 дней (вкупе с прочими факторами: насколько точка VIP, ведет ли РКО в том же банке, сумма оборотов среднемесячная, какая комиссия за операцию и т.д.)
12 лет в сидячей профессии и лет 15 назад сорвана спина (за грыжу межпозвоночную не помню уже, но вроде она всегда в довесок идет), очень спасает хобби — водный спорт (гребля — байдарки/пакрафты) — при распашной гребле хорошо забивается мышечная поддержка спины и поясницы и в итоге даже в полу-пешие маршруты начал ходить не боясь (правда вес лодки благодаря современным ТПУ материалам всего пару кг).
При перерыве в где-то 3-4 года возобновились боли в спине, но после опять прошли. Это не регулярные конечно тренировки, спортивный врач может рассказать наверное и поболее и программу разработать, но в год у меня получается примерно 7 дней в мае, 14 дней летом и 6-8 дней по выходным и вообщем-то о спине не вспоминаю.
да, в процессингах ведутся свои счетчики чиповых транзакций, которые и участвуют в отправке запроса на HSM при валидации ARQC, два подряд одинаковых ARQC <> два корректных ARQC (за исключением запросов информации — баланса/выписки и т.д.)
и зря :) пин/подпись/ничего (CVM лист) это не только настройка карты, но и терминала, большинство банков сейчас позволяют клиенту самостоятельно выставлять приоритет пин/подпись на чипе, а холивары на тему того — что же лучше длятся уже десятилетиями на профильных форумах и победителей не видно. Но если терминал например вообще не оборудован ПИН-падом, то операция все равно пойдет по подписи/без всего.
Если считаете что с ПИНом вам спится крепче — пожалуйста, пользуйтесь теми картами у которых ПИН в приоритете. Я напротив не хочу ни где и никогда палить свой ПИН потому что операции с ПИН вообще потом отбить нельзя.
На счет работы с физ лицами не скажу, но маленькие партии на пробу лет 7-9 назад продавали. но это карточные топы в рф, вероятно должны быть и ребята поменьше (тот же Ситроникс раньше сам ходил искал — кому бы карты свои продать)
не гарантированно один — токен генерируется на уровне платежной системы (визы/мастера), к нему создаются Limited Usage Keys — ограничители активности токена, которыми опять же таки управляет платежная система.
Токенов под карту можно привязать сколько хочешь, но в общем случае даже привязка старой банковской карты к новому устройству породит новый токен.
Про RRN улыбнуло :) «это же ежу понятно»… после 10+ лет в этой сфере :)
Хотя в спеках платежных систем (visa например) это описывается достаточно подробно — весь lifecycle полей, какие данные полей из запроса должны перелечь в ответ без изменений, как должны заполняться данные для stip, reversal, partial reversal и т.д.
По российским реалиям точно так же могу сказать, что люди на местах(т.е. в банке например) не особо понимают, как эта волшебная коробочка делает так, что оплата картой проходит. Обычно это купленное проприетарное решение, на поддержке которого сидит человек, который может его рестартануть, обновить, собрать логи и открыть тикет в поддержке вендора. Больше он вряд ли способен сделать ввиду закрытости приложения и отсутствия необходимых навыков.
Ну под спецификациями я и подразумевал спецификации конкретной имплементации диалекта 8583 от конкретного вендора/шлюза/платежной системы.
Почти в любое текстовое поле так и норовят засунуть данные в TLV формате (tag/length/value) и сделать их мандатными или ключевыми для определения типа сообщения.
Тут либо нужен инсайд, либо покупать спеку и права на интеграцию у вендора с той стороны, сам клиент вам вряд ли сможет помочь, а его заход к поставщику будет встречен предложением купить этот функционал у них или дорого-дорого купить спеку.
ISO 8583 без спецификации действительно ад :) но в РФ все к счастью в платежном бизнесе сильно лучше, чем описывает автор, и с точки зрения установки отношений и с точки зрения безопастности.
Еще лет 10 назад знакомый коллега в этой «банановой республике» производство платежного пластика запускал (печать и персонализация банковских карт) — так вот по его рассказам кроме как в сопровождении пары вооруженных автоматами человек вообще «светлым» людям нельзя было на воздух выходить — похищали всех без разбору, так что имейте в виду при планировании поездки туда :)
касательно интернет покупок (виртуальные товары) это не так — гораздо больше охват визы/мастера нежели палки.
касательно покупок в магазинах это не так — не надо ждать и мучаться со сдачей, париться что кеша с собой не хватит.
касательно аренды авто за границей — в большинстве мест уже даже тачку на прокат не дадут без кредитки.
Например
И в плане безопасности палка ни раз себя компрометировала, не стоит об этом забывать.
вы пытаетесь атаковать через какое-то странное комбо MST и обычной магнитки, при том что MST это токенизированная операция, то есть валидацию проводит платежная система а не эмитент в первую очередь и только потом мпс детокенизирует операцию для отправки эмитенту.
Господин tezcatlipoc как раз не может воспользоваться Android Pay/Samsung Pay потому что его банк не поддерживает такую опцию.
на самом деле плохо, потому что не только вы сможете склонировать свою карту, но и мошенники.
При перерыве в где-то 3-4 года возобновились боли в спине, но после опять прошли. Это не регулярные конечно тренировки, спортивный врач может рассказать наверное и поболее и программу разработать, но в год у меня получается примерно 7 дней в мае, 14 дней летом и 6-8 дней по выходным и вообщем-то о спине не вспоминаю.
Если считаете что с ПИНом вам спится крепче — пожалуйста, пользуйтесь теми картами у которых ПИН в приоритете. Я напротив не хочу ни где и никогда палить свой ПИН потому что операции с ПИН вообще потом отбить нельзя.
Токенов под карту можно привязать сколько хочешь, но в общем случае даже привязка старой банковской карты к новому устройству породит новый токен.
Хотя в спеках платежных систем (visa например) это описывается достаточно подробно — весь lifecycle полей, какие данные полей из запроса должны перелечь в ответ без изменений, как должны заполняться данные для stip, reversal, partial reversal и т.д.
По российским реалиям точно так же могу сказать, что люди на местах(т.е. в банке например) не особо понимают, как эта волшебная коробочка делает так, что оплата картой проходит. Обычно это купленное проприетарное решение, на поддержке которого сидит человек, который может его рестартануть, обновить, собрать логи и открыть тикет в поддержке вендора. Больше он вряд ли способен сделать ввиду закрытости приложения и отсутствия необходимых навыков.
Почти в любое текстовое поле так и норовят засунуть данные в TLV формате (tag/length/value) и сделать их мандатными или ключевыми для определения типа сообщения.
Тут либо нужен инсайд, либо покупать спеку и права на интеграцию у вендора с той стороны, сам клиент вам вряд ли сможет помочь, а его заход к поставщику будет встречен предложением купить этот функционал у них или дорого-дорого купить спеку.
Еще лет 10 назад знакомый коллега в этой «банановой республике» производство платежного пластика запускал (печать и персонализация банковских карт) — так вот по его рассказам кроме как в сопровождении пары вооруженных автоматами человек вообще «светлым» людям нельзя было на воздух выходить — похищали всех без разбору, так что имейте в виду при планировании поездки туда :)