забавно: написать то, что мы и так знали. а вместо решения сослаться на какие-то мифические «культура компании», «нормы и правила». что за культура? что за нормы? культурно говорить с клиентом? не врать клиентам? понятно, что речь не об этом, но все равно о неком общем, эфемерном, неизмеримом понятии.
а потом о чем статья будет? как разработать миссию компании? культуру и нормы?
считаю, что нанятый топ, в том числе, и должен это разработать и согласовать с руководителем. а не «не должен разбираться и трактовать»
просто «эффективные манагеры» как раз любят просиживать штаны, тянуть не туда лодку, успев поссориться с коллективом, потом соскакивают и идут с положительной строчкой в резюме наводить «порядок» в другой компании.
и конечно, бывают и истории, когда наняв топа но не дав ресурсов и полномочий хозяин думает, что что-то волшебным образом само поменяется. а обленившийся коллектив начинает ябедничать шефу, сопротивляться переменам. а хозяин не готов с такими расставаться (мы же с ними надцать лет назад прошли огонь и воду).
в общем, как обычно, все знают, что нужно делать, но никто не знает, как
барин не может в одиночку все делать сам, поэтому нанимает Лукьяна и перекладывает на него ту часть работу, которую Лукьян может хорошо делать. Да и Лукьян не во всем может быть хорош, и в одиночку со всем не справится и ресурсов таких нет, как у барина
вот такая зашоренность некоторых разработчиков и печалит. сродни «а булки растут на деревьях»
не люблю это слово «совок», но чувствуется, что некоторые «совок» не застали, но он в них сидит.
вот и получается еще одно определение: тот, кто занят процессом («разрабатывает») - кодер, а тот, кто занят достижением результата, которого от него хотят - разработчик
«основная задача продавщицы - подавать водку и хлеб с полки, больше она покупателю ничего не должна, тем более улыбаться, быть вежливой, предложить еще что-то или про акцию напомнить»
Думаю, понимаю, куда Вы клоните, а потому такая наивность поражает. Ущерб для банка или ПС — это ущерб, в конечном итоге, для владельцов карт. Вы думаете, кто этот ущерб возмещает? В комиссии ПС и банков закладывается это ущерб, и затраты на risk mitigation и т. п.
чтобы не засорять ветку, напишите в ЛС, пришлите инфу на API пос-терминала, на который вы ссылались выше, и как вам удалось сэмулировать банковскую карту, т. к. chameleon (на который вы ссылаетесь), насколько помню, банковские карты эмулировать не умеет (могу ошибаться).
Я в ответ пришлю инфу по аутентификации банковских карт
Вы говорите о какой-то системе, сделанной на коленке и неправильно. Как написал ниже, таких разработчиков надо гнать взашей. Если они не проводят аутентификацию карты — это значит, что они нарушили кучу требований. Но мне что-то подсказывает, что кто-то фантазирует. Или кто-то с нарушениями проводит CNP транзакции.
А кто разработчик системы в Красноярске? К ним появились вопросы.
Вероятно, Вам самим нужно вылезти из танка. Если в Вашей системе Вы ничего не проверяете — это основание для инициирования проверки на соответствие требованиям ПС.
Судя по вашему профилю, я занимаюсь платежными системами почти столько же, сколько Вам лет.
Поэтому рекомендую изучить, что такое аутентификация карты и что такое авторизация.
Кстати, на хабре много статей писали на эту тему.
А то по вашей логике, я могу взять, в любую Java карту запихнуть в EF pan в нужном формате и по ней проехать? Смешно.
Надеюсь, как изучите вопрос, Вам хватит мужества извиниться.
Всем остальным объясняю: на любой банковской карте реализован алогоритм ассиметричного шифрования (на самом деле, там сложнее, существуют разные комбинации).
При взаимодействии с терминалом карта выдает криптограмму, которую можно проверить сертификатом ПС, вернее проверить сертификат открытого ключа, который записан на саму же карту эмитентом. Это называется аутентификация карты.
Если бы все так было просто, то в оффлайне бы все левыми картами расплачивались (написав простейший java апплет с левым номером банковской карты). Не надо слишком уж плохо думать о ПС.
А вот далее, после аутентификации идет авторизация. И на транспорте она отложенная — вначале проехал, потом списание. И из-за этого и проблемы. (услугу оказали, а потом выяснилось, что на карте нет денег — кого искать потом перевозчику? эквайрер о держателе тоже ничего не знает) А если делать в онлайне — это долго (для транспорта, особенно в часы «пик»).
Поэтому все известные случаи эмуляции «левых» банковских карт — это либо уязвимости в алгоритмах аутентификации, либо relay атака (танкисты про нее не знают), либо утечка приватных ключей.
PS Еще раз — если терминал никак не аутентифицирует банковскую карту — значит это левый терминал, а не левая карта, сам он и/или его ПО не соответствует требованиям ПС и таких разработчиков надо гнать в шею.
Да, более 15 лет и участие в половине подобных проектов в России. Приведите пример проекта, где риски эквайрер берет на себя. Или только слышали звон?
В подавляющем количестве проектов все риски на перевозчике, либо заложены в комиссию, что, по сути, тоже означает риск на перевозчике.
Допускаю, что в некоторых небольших проектах может быть по-другому. Но там, например, оператор берет с перевозчика в другом месте («за обслуживание»), что только еще раз подтверждает тезис — за все платит перевозчик, и, в конечном итоге, пассажир. Все недостатки притянутых за уши технологий оплачивает потребитель. И так везде. Или для вас это новость? А банкиры они такие альтруисты, на себя риски берут? Не смешно даже.
Я писал выше — виртуальную карту выпустить дело 1 минуты. И катайся. Да, потом обновится стоп-лист, но злоумышленник уже выпустит другую, которой в стоп-листе не будет.
эмуляции «левых» карт не существует. Или поделитесь, как сэмулировать несуществующую, а «выпущенную» хакером псевдобанковскую карту. Есть relay атака или если утекли приватные ключи. Без этого никак.
Вы уверены, что разбираетесь в том, как работают банковские карты? Вы криптограмму как собрались на эмуляторе формировать? Любой pos-терминал имеет сертификаты ПС для проверки криптограммы
забавно: написать то, что мы и так знали. а вместо решения сослаться на какие-то мифические «культура компании», «нормы и правила». что за культура? что за нормы? культурно говорить с клиентом? не врать клиентам? понятно, что речь не об этом, но все равно о неком общем, эфемерном, неизмеримом понятии.
а потом о чем статья будет? как разработать миссию компании? культуру и нормы?
считаю, что нанятый топ, в том числе, и должен это разработать и согласовать с руководителем. а не «не должен разбираться и трактовать»
просто «эффективные манагеры» как раз любят просиживать штаны, тянуть не туда лодку, успев поссориться с коллективом, потом соскакивают и идут с положительной строчкой в резюме наводить «порядок» в другой компании.
и конечно, бывают и истории, когда наняв топа но не дав ресурсов и полномочий хозяин думает, что что-то волшебным образом само поменяется. а обленившийся коллектив начинает ябедничать шефу, сопротивляться переменам. а хозяин не готов с такими расставаться (мы же с ними надцать лет назад прошли огонь и воду).
в общем, как обычно, все знают, что нужно делать, но никто не знает, как
узнавать и уточнять, что и зачем делаешь, взаимодействуя с коллегами - это проявлять инициативу?
а где в статье про границы инициативы?
а что, крепостным жалованье платили? и еще можно за добавкой приходить? а если не повысят, можно к другому барину уйти?
по той же причине, по какой барину нужен Лукьян.
барин не может в одиночку все делать сам, поэтому нанимает Лукьяна и перекладывает на него ту часть работу, которую Лукьян может хорошо делать. Да и Лукьян не во всем может быть хорош, и в одиночку со всем не справится и ресурсов таких нет, как у барина
вот такая зашоренность некоторых разработчиков и печалит. сродни «а булки растут на деревьях»
не люблю это слово «совок», но чувствуется, что некоторые «совок» не застали, но он в них сидит.
вот и получается еще одно определение: тот, кто занят процессом («разрабатывает») - кодер, а тот, кто занят достижением результата, которого от него хотят - разработчик
у вас комплексы, похоже какие-то, или личный опыт. В статье нигде не сказано про кофе начальнику или утихомиривание клиента. непонятное ёрничание.
хорошая статья. и комментарии ценные. предварительно можно понять, кто в них засветился: кодеры или разработчики
«основная задача продавщицы - подавать водку и хлеб с полки, больше она покупателю ничего не должна, тем более улыбаться, быть вежливой, предложить еще что-то или про акцию напомнить»
Я в ответ пришлю инфу по аутентификации банковских карт
А кто разработчик системы в Красноярске? К ним появились вопросы.
Судя по вашему профилю, я занимаюсь платежными системами почти столько же, сколько Вам лет.
Поэтому рекомендую изучить, что такое аутентификация карты и что такое авторизация.
Кстати, на хабре много статей писали на эту тему.
А то по вашей логике, я могу взять, в любую Java карту запихнуть в EF pan в нужном формате и по ней проехать? Смешно.
Надеюсь, как изучите вопрос, Вам хватит мужества извиниться.
Всем остальным объясняю: на любой банковской карте реализован алогоритм ассиметричного шифрования (на самом деле, там сложнее, существуют разные комбинации).
При взаимодействии с терминалом карта выдает криптограмму, которую можно проверить сертификатом ПС, вернее проверить сертификат открытого ключа, который записан на саму же карту эмитентом. Это называется аутентификация карты.
Если бы все так было просто, то в оффлайне бы все левыми картами расплачивались (написав простейший java апплет с левым номером банковской карты). Не надо слишком уж плохо думать о ПС.
А вот далее, после аутентификации идет авторизация. И на транспорте она отложенная — вначале проехал, потом списание. И из-за этого и проблемы. (услугу оказали, а потом выяснилось, что на карте нет денег — кого искать потом перевозчику? эквайрер о держателе тоже ничего не знает) А если делать в онлайне — это долго (для транспорта, особенно в часы «пик»).
Поэтому все известные случаи эмуляции «левых» банковских карт — это либо уязвимости в алгоритмах аутентификации, либо relay атака (танкисты про нее не знают), либо утечка приватных ключей.
PS Еще раз — если терминал никак не аутентифицирует банковскую карту — значит это левый терминал, а не левая карта, сам он и/или его ПО не соответствует требованиям ПС и таких разработчиков надо гнать в шею.
В подавляющем количестве проектов все риски на перевозчике, либо заложены в комиссию, что, по сути, тоже означает риск на перевозчике.
Допускаю, что в некоторых небольших проектах может быть по-другому. Но там, например, оператор берет с перевозчика в другом месте («за обслуживание»), что только еще раз подтверждает тезис — за все платит перевозчик, и, в конечном итоге, пассажир. Все недостатки притянутых за уши технологий оплачивает потребитель. И так везде. Или для вас это новость? А банкиры они такие альтруисты, на себя риски берут? Не смешно даже.