Как стать автором
Обновить

Комментарии 256

Спасибо! Отличная статья для тех, кто только начинает разбираться в этой тематике. А про то, как работает PayPass сможете рассказать?
PayPass — это, в принципе, тот же EMV (то есть такая же чиповая транзакция, используется почти такой же EMV процесс), за несколькими отличиями в последовательности шагов процесса, выходящими из того, что с карты данные считываются в конце EMV процесса, а не в начале (карту то вы подносите уже после того, как кассир набивает данные).
А вообще, эта тема для отдельной статьи, я считаю, как, собственно, и подробное описание обычного (контактного) EMV процесса (то есть процесса с момента вставки карты до отправки пакета на хост, там много чего происходит, на самом деле)
Интересно, буду ждать новых статей.
А какая ошибка была допущена русскими банками, когда по NFC можно узнать историю транзакций PayPass?
Не только русскими, в Google Play в описании приложения был списочек из десятков банков самых разных стран :-)
банки не считают это ошибкой
Про PayWave писали, что для операций без пина требуется какая-то дополнительная фича со стороны банка, иначе терминалы всегда будут его спрашивать. Потому статья будет очень кстати!
На EMV-микросхему карты на этапе загрузки приложения заливается так называемый CVM-лист (CVM – Cardholder Verification Method). Также его можно менять в во время транзакции специальным эмитентским скриптом, направляемым с процессингового центра


А, всё-таки, нельзя ли рассказать подробнее про это?
Во время транзакции, в терминал может загружаться эмитентский скрипт. То есть, это некий скрипт, который передается с хоста в терминал эмитентом карты (как он попадает в ПЦ стороннего банка — отдельная тема) и выполняется на POS-терминале. Вообще эмитентских скриптов два, на самом деле, но в данном контексте это неважно.
Они предназначены, в частности, для смены Offline PIN-кода карты, для блокировки карты, для сброса счетчика неверно введенных PIN. Так же может заменяться CVM-лист, загружаться новые аппликации в память EMV-чипа.
То есть можно отклонить ввод пинкода и расписаться в подавляющем большинстве терминалах?
Да, если не верить кассирам о том, что «им не разрешают» ) Правда я не очень понял про офлайновые и онлайновые ПИНы, что это за ПИНы и чем они отличаются от того, который мы вводим? Правильно ли я понял, что для того, чтобы добраться до ручной подписи в примере автора, нужно будет нажать красную кнопку трижды?
usa.visa.com/download/merchants/visa-issuer-pin-security-guideline.pdf

Насколько понял, онлайн — это код, который на обороте карты из 3 цифр, оффлайн — это который имеет 4 цифры и передаётся секретно через телефон или написан на бумажке, которую предлагется уничтожить после прочтения.
Нет, вы неправильно поняли.
При выпуске (персонализации) карты на нее вшивается пин. Еще пин (в шифрованном виде) хранится в банке. При онлайн авторизации терминал (магазин) спрашивает у банка «правильный ли пин ввел клиент?». При офлайн авторизации (например на океанском лайнере, на котором нет интернета и нет связи с банком) терминал сверяет введенный пин с тем, что хранится на карте.
Это просто разные способы авторизации.
> При офлайн авторизации терминал сверяет введенный пин с тем, что хранится на карте.

Это реально так? Мне казалось что PIN на чипе карте не доступен снаружи, т.к. это стандартный крипточип. Которому подается PIN и какие-то данные, которые он либо подписывает свой ЭЦП, либо нет. Неужели это не так?
Там скорее всего хеш с солью хранится.
Т.е. чип на банковской карте даже ничего не шифрует? А какой тогда в нем смысл? Все это можно с тем-же успехом и на магнитной полосе хранить.
Магнитную полосу перезаписать — раз плюнуть. :-)
Чипу передаётся ПИН шифрованный открытым ключём, так что всё ОК.
Нет, ПИН не доступен снаружи. Имеется ввиду, что чипу скармилвается введенный ПИН и какая-то информация на подпись. Если ПИН правильный, то инфа подписывается чипом, а POS-терминал эту подпись проверяет. Если всё сошлось, то терминал делает вывод, что ПИН был верный.
Да, если упрощенно — то это так и есть.
На самом деле там испольуется перекрестное шифрование, с использованием открытых и закрытых ключей МПС, банка — эмитента и банка — эквайрера. Схема не то чтобы сложная, но, что называется, «без поллитры не разберешься».
А как тогда реализована смена ПИНа по телефону?
Да просто оператора у себя в базе меняет ПИН. Потом при следующей транзакции приходит онлайн скрипт, который меняет ПИН в памяти чип.
но ПИН оператору неизвестен. Иначе он мог бы его восстановить.
Он неизвестен сотрудникам банка. Однако очевидно, что в системе этот ПИН проскакиевает каким-то образом. Хотя бы в момент изготовления карты. Просто это всё делается автоматом.
Пин нигде не хранится, даже в шифрованном виде. Есть несколько методов проверки пина: Visa, IBM, еще какие-то?

В Visa методе проверка проходит высчитывая PVV из номера карты, PVK ключа и самого пина. Подходящих пинов для карты может быть несколько, но на живой системе никто никогда не узнает все кроме одного (А на тестовых, когда нам известны все ключи, мы высчитываем возможные пины для карт)
на визы давно уже дают задавать любой свой пин
Берется следующий PVKi и высчитывается новый PVV. Сам пин не хранится.
Если я не ошибаюсь, онлайн PIN — это когда PIN и сведения о транзакции передаются в проценнинговый центр, а оффлайн — PIN проверяется процессором карты.
Да, спасибо, я потом ещё раз перечитал и понял разницу, только вот комментарий неуспел отредактировать, теперь буду знать, что 3 минуты даётся на редактирование. =)
Да, это так.
Но не стоит путать offline проверку PIN и offline транзакцию.
Довольно часто бывает так, что PIN проверяется в offline-режиме, но транзакция уходит в online.
Т.е. проверка наличия денег на карте все равно осуществляется.

В таком случае вопрос — а каков смысл создания двух вариантов проверок — offline и online, если все равно от online никуда?

Выше еще был пример с лайнером в океане, где нет интернета — там терминалы верят на честное слово, что деньги на карте присутствуют при оплате? А если их нет, то наступает овердрафт? А если овердрафт банком не предусмотрен?
У меня получалось уйти в небольшой минус на безовердрафтовой карте Альфы будучи заграницей. После приезда через месяц меня в почтовом ящике ждало письмо «Вы потратили наши деньги, оплатите 700 рублей, иначе будет суд».
Технический овердрафт возможен и на безовердрафтных картах.
Как я понимаю — деньги блокируются на момент покупки, и списываются спустя некоторое время. Заблокировали 300 евро по курсу 57, а списали через три дня по 60.

По крайней мере мне так в сбербанке объясняли.
Чип всегда «помнит» сумму на картсчете, и синхронизирует это при каждой транзакции.
Если денег нет — то их тупо нет, вот и все.
Да ладно?
А если деньги тратятся через интернет? Чип как об этом узнает?
Чип об этом «узнает» при первой же онлайн транзакции.
В том и соль что следующая транзакция может быть уже на лайнере, где нет интернета
Лайнер прибывает в порт, и POS-терминал лайнера выполняет операцию сверки итогов (и по совместительству выгружает все оффлайновые транзакции в ПЦ)
Благодарю.
Но тогда еще вопрос: порой на заправке нет интернета и они не могут произвести транзакцию. Это я так понимаю ограничения самого терминала, что он не может выполнять offline транзакцию?
Да, зависит от настройки терминала
В случае недоступности процессингового центра проверка наличия денег не производится. Но платежная система хочет обеспечить своих клиентов возможностью расплачиваться «везде и всегда», поэтому есть STIP-лимиты. Это лимит в пределах которого платежная система разрешает клиенту расплачиваться без подтверждения от процессинга. Величину STIP-лимитов устанавливает банк. Как правило исходя из типа карты. Например для classic этот лимит может быть 10 т.р., для gold 100 т.р., а для platinum 500 т.р.
Это делается, чтобы владелец дорогой карты не остался без возможности рассчитаться. Если при этом он уходит в минус, то это будет технический овердрафт. Редко кто оспаривает такие траты. Обычно если и уходят в минус, то на незначительные суммы (все ведь знают примерно сколько у них денег на карте).
Не понятен тогда механизм транзакции, если нет интернета — как терминал узнает есть ли деньги на карте? А если интернет есть — зачем оффлайн проверка пина?
Есть такая штука как овердрафт. И в чипе по идее должна храниться последняя доступная сумма.
А насчет оффлайн проверки пина, то это дешевле, быстрее и наверное безопаснее.
Но как быть в такой ситуации:
Карта помнит, что в ней лежит 10 рублей, по паспорту с карты снял 7 рублей, на карте осталось 3. Потом в оффлайн режиме снял еще 10 (т.к. это последняя записанная на карту сумма) и остался должен 7 рублей :)
И при первой же онлайн транзакции по карте — на балансе будет минус 7 рублей. Это называется «технический овердрафт», и там процентная ставка обычно весьма высока
А смысл её хранить, если она не влияет на оффлайн покупку?
Нет. :-)
Человек спросил именно про онлайн/оффлайн проверки ПИНа, а не CVC/CCV на обратной стороне карты.
Используется ли онлайн проверка ПИНа или оффлайн решается на основании CVM листа, который автор описал в статье, и типа терминала.
Онлайн: введенный ПИН шифруется и отправляется на хост для проверки, результат проверки приходит онлайн.
Оффлайн: ПИН отправляется на EMV-чип, который проводит проверку.
Онлайн проверка совместима с большим числом карт (в том числе безчиповых), но медленная, так как нужно обращение к хосту. Оффлайн проверка обычно используется для оффлайн транзакции, но и то не факт.

p.s. Пока писал, уже два раза ответили )
Я не совсем получил ответ на свой вопрос. Видимо криво спросил. В публикации упомянуто три способа ввода ПИНа: encipherd PIN, offlain PIN и online PIN. Я по своей простоте решил, что enciphered PIN — это то, что мы вводим обычно в 99% случаев, поэтому спросил про offline и online. Однако почитав ответы я понял, что скорее всего моё предположение не правильно. Поэтому остался вопрос: а что же такое enciphered PIN?
Если не ошибаюсь, enciphered PIN и offline plain-text PIN — разные варианты оффлайн проверки.
В первом случае ПИН перед отправкой чипу предварительно шифруется, во втором — нет.
Ой, я, кажется, сейчас завалю вас вопросами ) Но тема была всегда интересна )

1) Интересная кухня, а для чего шифровать информацию, которая передаётся внутри одного девайса (карту, вставленную в POS-терминал будем тоже считать внутри)? Неужели там возможна MITM-атака или подслушивание? Если предполагается такой сценарий, что злой хаккер залезает внутрь POS-терминала и что-то там меняет, то почему бы ему не снимать прямо нажатия клавиш терминала? Тут уже никакое шифрование ПИНа не поможет.

2) Как EMV-чип и POS-terminal договариваются о шифре и ключе?
Сам уже вряд ли всё точно вспомню, хоть и попробую. )

1. Именно ради MITM и желательно шифровать. Бывают POS терминалы, когда клавиатура и считыватель — устройство всё в одном. А бывают терминалы/банкоматы, где вообще Windows стоит, и кардридер с пин-клавиатурой — два разных девайса, подключенных по COM-порту, который легко сниффится. Тут стандарт для всех един. Где можно — шифруй, где не можешь — на свой страх и риск. А с подглядыванием ПИНа — тут уж техническими способами не решишь. Лучше всего прикрывать рукой клавиатуру, когда вводишь ПИН, но я вот сам часто об этом забываю, поэтому просто держу на счете карты суммы, которые не страшно потерять, а в случае чего просто пополняют счёт с телефона через мобильное приложение банка.

2. Вот здесь вряд ли вспомню. Выше тов. PowerMetall написал довольно справедливо на эту тему. :)
На самом деле там испольуется перекрестное шифрование, с использованием открытых и закрытых ключей МПС, банка — эмитента и банка — эквайрера. Схема не то чтобы сложная, но, что называется, «без поллитры не разберешься».
Забыл написать про считывание нажатий клавиш техническим методом.
Если вскрыть пинпад-клавиатуру, то автоматом стираются все зашитые ключи шифрования и девайс становится бесполезным. Поэтому остаётся накладка на клавитуру сверху или камера. В POS терминалах такое сложно провернуть — продавец рядом сидит. В банкоматах/терминалах — вполне возможно, так что надо глядеть в оба.
В POS-терминалах такое обычно делает как раз продавец. Его я тоже вижу в первый раз и доверять ему у меня оснований нет.
На оборотной стороне карты — это CVV (Cardholder Verification Value, не путать с PVV — PIN Verification Value). Непосредственно в расшифровке PIN кода CVV не участвует
Точнее CVV2 для Visa и CVC2 для MasterCard.
А зачем отклонять пин-код при покупке, если карта своя? Я, конечно, не имею в виду случаи с ворованными картами.
Если я оплачиваю покупку бутылки пива в полуподвальном магазинчике, терминал которого изрисован маркером и из него торчат провода (вдруг в нем скимер стоит). А сзади стоят три непонятного вида парня, которые пялятся мне через плечо пытаясь подглядеть пин-код…
Я не люблю вводить пин в незнакомых мне местах.
Не уверен, что в таких местах есть терминалы. Да и в подобных случаях лучше наличкой заплатить.
У меня частенько бывает паника из-за забытого пин-кода, потому что его спрашивают чуть чаще, чем никогда, а как спросят — начинаешь в голове крутить цифры 6 карт, что дома лежат, и других карт, которые уже давно кончились.
Обычно в нормальных банках в банкоматах есть пункт меню «изменить пин-код».

(щас на меня опять набросятся «нельзя иметь одинаковые пин-коды на разных картах, это небезопасно»)
В самых нормальных (вроде Авангарда) есть даже возможность выбрать приоритет подписи или ПИНа. Ну и сменить последний. Вот это, по идее, должен бы уметь каждый банк, но увы.
Народ не готов к таким возможностям :) Давеча на гиктаймс проскакивала статья возмущенного характера на тему «ТКС по умолчанию устанавливает приоритет подписи, спасайся кто может».
Я к тому, что не все понимают, зачем это нужно и чем подпись лучше пин-кода.
Конкретно применительно к ТКС моя версия следующая. Делается всё, чтобы ты забыл свой пин-код и не снимал деньги в банкомате ) Я один раз уже забыл, когда впервые где-то за год потребовалось снять денег )
IMO, делается так, как удобно клиенту. Не сочтите за рекламу, но в условиях работы с ТКС мне всегда видится только удобство для клиента, а не для банка.
Мне тоже так кажется. Я так себе представляю логику банка в этом случае.
Если клиент вводит пин на терминале, его легко подсмотреть. Большинство людей на кассах вообще не стараются его скрыть. Далее злоумышленнику надо завладеть картой. Это не сложно — карманная кража или грабеж. При этом клиент банка рискует лишиться вообще всех средств со своих счетов. И хотя он сам будет в этом виноват, его лояльность от этого не увеличится.
Если проводить покупки по подписи, то пин-код находится в большей безопасности. Даже если у клиента украдут карту, и купят что-то по ней в магазине, сумма потери, вполне вероятно, будет не велика. Кроме того, клиент может оспорить эту операцию и вернуть деньги. Клиент банка доволен, магазин не очень (если я правильно понимаю, банкет за его счет), но его никто не спрашивает, может сам заложить в цены компенсации на мошенничество.
Продавец в магазине при проведении операции по подписи должен сверить эту подпись с подписью на карте. И сверить данные в паспорте (подпись, фамилия-имя) с тем что видит на карте. Ну и фотографию в паспорте с лицом клиента. В случае подозрений, что перед ним НЕ владелец карты он не должен проводить операцию.
Так что «банкет за его счет» только если кассир допустил ошибку в работе.
Именно. Но кассиры эту «ошибку» допускают в подавляющем большинстве случаев.
В случае, если вы оспорите покупку и потребуете банк вернуть деньги за покупку, то банк первым делом запросит у магазина чек с вашей подписью. Если на чеке не будет «вашей» подписи (обычно кассиры ставят «хоть какую-нибудь»), то банк вернет вам деньги и спишет их с магазина.
Но если банк заподозрит мошеннический умысел в ваших действиях (вы совершили покупку, а теперь отказываетесь от нее), то он может начать разбирательство. Как минимум будут просмотрены записи камер наблюдения в магазине. В случае, если ваша вина будет доказана, вам придется возместить все расходы на проведение расследования (это очень дорого).
Так что если вы купили шоколадку в магазине и не расписались в чеке, то не спишите оспаривать операцию — это может дорого выйти.
Возместить расходы — ерунда. Это же мошенничество.
А как на счёт unembossed карт («мгновенные» карты, на которых нет информации о владельце)? :)
Да и платёжные системы запрещают требовать паспорт. Отказать в покупке можно, но есть риск нарваться на слишком дотошного покупателя, который пожалуется в платёжную систему и магазин получит штраф от банка.
Навскидку не помню, чтобы неэмбоссированные карты позволяли операции без пин-кода.
Не подскажете, где видели запрет платежных систем на «требовать паспорт»? Удивлен, что не видел этого запрета ранее.
VISA QIWI Plastic например у меня пинкод спрашивала только в банкоматах, по понятным причинам.
Навскидку не помню, чтобы неэмбоссированные карты позволяли операции без пин-кода

Несколько лет назад была подобная карта, но не могу вспомнить банк. Кажется это был FinService, карта дебетовая.

Бесплатная карта MasterCard от Билайна (начали выпускать несколько месяцев назад) такое тоже позволяет сделать. Более того — PIN код нужно заказывать отдельно (через IVR) и делать это совсем не обязательно. Активно пользуюсь более месяца, самая дорогая покупка была на 50+ т.р., PIN не просили и даже подпись не сверяли (!!).
Все карты при этом unembossed.

> Не подскажете, где видели запрет платежных систем на «требовать паспорт»?
А вот тут я неправ. Была рекоммендация не проверять документы на недорогих покупках + ничего не сказано в обязанностях покупателя о предъявлении документов.

В Москве паспорт показывать при покупке по карте просили ОЧЕНЬ давно
Знаю, как минимум, один пример — Кукуруза. Пин-код нигде не спрашивают, кроме автоматических терминалов оплаты и почему-то заправок Лукойл.
Ещё проблема в том, что жаловаться некуда.
Например, в одном крупном магазине на кассе не принимается моя чипованная карта. Я позвонил в свой банк и сообщил, что не могу расплатиться их картой. Они ответили, что не видят транзакции, что проблема в терминале и обращаться нужно в банк, который владеет терминалом. Я обратился и туда. Там ответили, что должен обращаться представитель магазина.
Во второй раз в этом же магазине я уже требовал чтобы они позвонили в свой банк и разобрались в ситуации. Но было воскресенье.

Думаю только виза может надавать по шапке виновнику ситуации. Но у визы своей службы поддержки нет.
И сверить данные в паспорте (подпись, фамилия-имя) с тем что видит на карте.

Глупость говорите. Вы в магазин идете с картой — идентификация двумя способами — подпись или PIN код.

ЦБ РФ говорит тоже самое. Но банки обучают торговые магазины требовать документ в любом случае (причем документ может быть только паспорт). Когда разговариваешь с банком эквайером он все понимает, и магазин продает без паспорта. Но данным процесс трудоемок и занимает до 30 минут времени.

Невыполнение держателем требования о предъявлении документа, удостоверяющего личность не может служить основанием к отказу в проведение операции, т.к. законодательство не содержит условия, при котором Вы обязаны при проведении сделки с использованием банковской карты предоставлять подтверждающий документ.

И еще напоминаю — что договор оферты вы заключили когда увидели ценник на товар, а не после его оплаты. Если ценник в магазине составляет 100р., а на кассе уже 200р. — то обязаны продать по 100р. — вы уже заключили договор оферты по данной цене.

Так что «банкет за его счет» только если кассир допустил ошибку в работе.

И это тоже не так, если клиент банка докажет, что это не он проводил операцию (например его карта было скопирована в кофе и определен пин код) — то банкет будет за счет банка/торговой точки

Решения суда
Вынести новое решение по делу: признать незаконным требование сотрудников ООО «Сделай своими руками» (ОБИ), расположенного по адресу: Московская область Ленинский район Калужское шоссе 21-й км, Торговый Центр МЕГА, о предъявлении Х. паспорта гражданина РФ при осуществлении расчета за приобретаемый им товар с использованием банковской карты международных платежных систем Виза и Мастер Кард.

Второе решение



Первое решение


Почитал решение, однако так и не понял, каким образом он доказал, что с него кто-то чего-то потребовал и почему ответчик не оспаривал этот факт?
ему товар не продали — хотя он акцептовал оферту и предоставил платежное средство.
Вы, наверное, не поняли суть моего вопроса. Если бы я был на месте злого Ситилинка, то я бы сказал: «Уважаемый суд! Данный гражданин действительно оставил заказ по телефону, однако за товаром он не явился/при себе не имел денег и требовал выдать его бесплатно/имел при себе не работающую пластиковую карту», — ну или что-нибудь в таком роде. То есть я бы подставил под сомнение сам факт того, что дело дошло до истребования документа. Если бы я знал, что позиция истца не подкреплена какими-либо доказательствами. Так вот вопрос в том, как истец в данном случае задокументировал отказ принять карту из-за отсутствия паспорта?

Касательно оферты: очень часто на сайтах пишут, что наличие товара и цены не носят характера оферты, а что-то там бла-бла-бла. Это на сколько законно?
Если бы я был на месте злого Ситилинка, то я бы сказал: «Уважаемый суд! Данный гражданин действительно оставил заказ по телефону, однако за товаром он не явился/при себе не имел денег и требовал выдать его бесплатно/имел при себе не работающую пластиковую карту»


Статья 307. Заведомо ложные показание, заключение эксперта или неправильный
перевод.

Риски дачи ложных показаний стоят больше, чем штраф. Легенды легко проверить.

в административных делах лжесвидетельствование имеет административные же последствия. Т.е. пришел, сказал, что так и так, а потом оказалось, что не так. Ну и дадут тебе штраф в тыщу руб за такое.
Касательно оферты: очень часто на сайтах пишут, что наличие товара и цены не носят характера оферты, а что-то там бла-бла-бла. Это на сколько законно?

Писать не возбраняется, но и силы такая фраза не несет. Это все равно что после того, как убийца застрелил свою жертву, он положит на труп записку «это не убийство». Это все равно будет убийство.
Продавец в магазине при проведении операции по подписи должен сверить эту подпись с подписью на карте. И сверить данные в паспорте (подпись, фамилия-имя) с тем что видит на карте.

В магазине, где я закупаю продукты, продавец не берет мою карту в руки. Я сам вставляю карту в терминал (или прокатываю, если карта без чипа), после чего ввожу пин или расписываюсь стилусом по экрану терминала (если карта без чипа).
Документов за 2 года не потребовали ни разу. При этом, если сумма небольшая (точной зависимости не уловил, примерно до 1500р) терминал не просит ни пина ни подписи.
Насколько я знаю, это сделано в целях безопасности. Во-первых, чтобы продавец не запомнил данные карты, а, во-вторых, на руки продавца (там где сканер штрихкода и куда продавец кладет полученную от клиента наличку) на каждой кассе смотрит камера.
Я уж молчу о том, что в этом же магазине полтора десятка касс самообслуживания. Там вообще все делаешь сам, подтверждение продавца (их пара человек на эти полтора десятка касс) требуется только если пробиваешь алкоголь. Следят, чтобы несовершеннолетние алкоголь не покупали.

В макдаках аналогичная система вроде.

Так что, это может быть не ошибка, а политика партии. Меня, например, подобный подход очень радует. Слышал, что в буржундии есть магазины, где все товары оснащены рфид метками и достаточно просто провезти телегу с товаром через сканер, ничего не вытаскивая. Скорее бы у нас внедрили.
За рекламу счесть трудно, потому как трудно рекламировать ТКС клиенту ТКС. А вообще мой камент имел юмористический характер.
Ремарка про рекламу относилась ко всем читателям :)
Для кредиток банку как раз выгоднее снятие в банкоматах — сразу комиссия за снятие и потеря грейса )
Дело в том, что у ТКС не только кредитки, но дебетовые карты, которые выдают, когда открываешь там депозит.
Да это понятно. Но кредиток намного больше чем дебетовок, и настройки у них одинаковые по умолчанию )
В ТКС тоже можно с недавнего времени.
а можно подробнее? Облазил весь ИБ — не нашёл настроек.
По телефону через оператора
Вестимо, чтоб его никто не подглядел. Пин-код умудряются даже считывать с клавиатуры терминала с помощью инфракрасной камеры для смартфона (http://petapixel.com/2014/08/29/heres-iphone-thermal-cameras-can-used-steal-pin-codes/).
Просто интересно, сталкивался ли кто-то хоть из хабра-жителей с таким в реальности.
Я лично нет, а товарищ испытал. ПИН подсмотрели частично, а техподдержка банка пошла на встречу, когда злоумышленники дважды вводили неверный ПИН и сбрасывали счетчик (я даже не знал, что такое возможно). В итоге ПИН был подобран и деньги сняты. И тут принципиальная разница в том, что когда вы расписываетесь, то деньги на карте «морозятся» и банк ждет подтверждения, что вы действительно проводили эту оплату. А когда вводили ПИН, деньги списываются и эта операция не оспаривается. Поэтому ввод ПИНа очень нравится продавцам. Но нам-то какое до этого дело?

И, кстати, где-то читал, что вводить или нет ПИН — это дело покупателя. Т.е. в правилах использования карт этот выбор закреплен за держателем карты. Поэтому когда навязывают ввод ПИНа это несколько неправильно. Возможно, на это можно пожаловаться и вредителей накажут. Но в целом если быть упрямым, то принимают без ПИНа. Единственное место, где я не смог достучаться до кассира, это Ульмарт. Но там это было достаточно по-хамски «или ПИН или пошел вон». Заводиться не было настроения. А потом я завел отдельную карту, на которую закидываю мелочь для ежедневных или запланированных покупок.
У таких магазинов как Юлмарт товар довольно дорогой и очень ликвидный. На нем выгодно отмывать кардинговые деньги. Я думаю, у них уровень мошенничества куда выше чем в каком-нибудь «Перекрестке», а в пересчете на суммы покупок так вообще. При проведении по подписи они принимают на себя этот ущерб. Поэтому раньше у них было так: либо пин, либо подпись плюс паспорт, либо иди к черту. И я их понимаю.
И, кстати, когда у меня была карта, где все покупки всегда оплачивались с подписью, меня в Юлмарте спрашивали: «Вы пин знаете?». Если я отвечал, что знаю, просили ввести пин. В первый раз я очень удивился. Если говорил, что не знаю, операцию проводили с подписью, но обязательно требовали паспорт.
А я обычно говорю, то не знаю. Что даже пин-конверт не вскрывал. И если по моей карте будет мошенническая операция, то я могу сказать, что сохранил пин-код в секрете — его никто-никто не знает. Даже я )
А как поможет «подпись плюс паспорт», если у меня на карте владельцем значится SVYAZNOYBANK.RU? Ну распишется человек на чеке и покажет свой паспорт и что? Что это — его карта это не подтвердит.
Не знаю. Может они фотографируют паспорт, а потом передают фотокарточку полиции?
Предлагаете еще и фотоаппарат держать на кассе?
Или сканер.
Я тоже раньше был свято уверен, что выбор способа авторизации лежит на клиенте и отказать в проведении операции по пину мне не могут. Могут. На это могут быть технические ограничения. Например терминал может не поддерживать такой способ авторизации (так же как некоторые терминалы не умеют работать с чиповыми картами). Кроме того сам банк (как эмитент, так и эквайер) могут запретить такой способ авторизации со своей стороны.
Но вот если и терминал, и банк выпустивший вашу карту, и банк обслуживающий данный магазин могут провести операцию и по пину, и по подписи, то да — вам предоставляется право выбора.
С чего вы взяли, что деньги «когда вы расписываетесь, то деньги на карте «морозятся» и банк ждет подтверждения»?
Мне всегда приходит СМС о покупке, а не об авторизации.
Все так и есть, так банки и работают. Запросите детализацию — увидите что дата покупки и транзакции различаются. Но предыдущий автор все-таки неправильно написал. Деньги замораживаются в обоих случаях, а реальная финансовая транзакция обычно приходит через несколько дней, но может задерживаться и месяцами.
«Ульмарт» это Юлмарт?
Несколько раз там делал покупки, последний раз — буквально пару дней назад.
PIN код никто не требовал.

Либо они изменили правила, либо вам сильно не повезло с кассиром.
вот сегодня, пару часов назад заходил в Юлмарт на пр. Науки в Питере. Оплачивал картой, от которой еще никогда и нигде (а я расплачиваюсь ей чуть ли не ежедневно в куче мест) не просили пинкод. В Юлмарте традиционный ультиматум «вводите пинкод». Даже не удивился.
Похоже у них свои требования в каждом городе. Я всегда покупал в круглосуточном магазине на Снежной 26, г. Москва.
Этот магазин заставил меня расписаться на карте и пригрозил её конфисковать. Подпись на карте была, просто уже много лет ей было и плохо видно (а полосочка тоже почти стёрлась и на пластике ручка не пишет, так что я рассчитался наличкой).
карта собственность банка. как магазин может ее конфисковать?
Чтобы не светить пин в магазине, ведь любопытных и неконтролируемых глаз там очень много, и, в отличие от зоны возле банкомата, никто даже не старается держаться на вежливом удалении.
Я не обламывюсь попросить отойти следующего покупателя. Как правило, люди не держатся на удалении, т.к. вполне себе скренне не понимают зачем это нужно делать и безграмотны чуть менее чем полностью в вопросах безопасности. Никто ни разу не отказывал.
Один раз правда, шальная бабка возмутилась, но она с самого начала бурчала, что я, по ее мнению, слишком медленно укладываю товар в пакеты. После того, как я ей спокойно объяснил, что у меня очень много свободного времени и я буду стоять хоть пол часа, пока она не отойдет, вопрос решился моментально.
Например, ПИН забыт, а есть хочется.
То самое «подавляющее большинство» банков-эквайреров настраивают CVM-лист на своих POS-терминалах одинаково: Метод верификации — PIN only, CVM-лимит — 0.
То есть как не крути — будет только PIN. Увы, почему-то у нас так уж повелось.
Метод верификации — PIN only, CVM-лимит — 0

Не соглашусь, вы уж извините. Я уже два года существую с картой ТКС, у которой, ка известно, стоит приоритет подписи. С необходимостью ввода пина в POS-терминале за всё время сталкивался раза три. Картой пользуюсь очень активно, в т.ч. и в поездках.
После прочтения статьи возникло больше вопросов, чем до
---Теперь о сути: спрашивать или не спрашивать PIN

обычно в крупных магазинах Северной Америка до сумму до 50 долларов по PayPass ввод пина разрешают не вводить, махнул картой и пошел, чтобы очереди не создавать
У меня в России при PayPass пин-код никогда не надо вводить, подпись стилусом по экрану от 1000 рублей.
Но очевидно, всё зависит опять-таки от согласования списка «подтверждение, которое может дать карта» и «подтверждение, которое готов принять банк-экваер».
Несколько разных магазинов, в Саранске, Самаре и Москве. Карты ТКС и Связного.

Дописано: хотя вру, Связной пин-код спрашивал. ТКС подпись.
в России PayPass на покупки больше ~1000 рублей или «ошибка чтения карты» или «а теперь введите PIN».
То есть, PayPass + online PIN распространенная практика даже у нас.
В Ашане при оплате через PayPass на сумму больше 1000 у меня просят подпись на терминале, пин не требуют, ТКС.
Когда в прошлом году я ездил по Испании, заехал на платную дорогу. Оплата взымалась наликом или по картам. Так вот оплата по карте вообще не требовала ни ввода пина, ни подписи. Вставляешь чипованную карту в аппарат, она тут же выплевывается; деньги списаны — поехал дальше. Полная автоматика. До сих пор, даже после прочтения статьи, не пойму, как так они могут снимать деньги. Если я правильно понял, от пина я сам должен отказаться, но все равно они обязаны затребовать подпись?
Есть транзакции
online — со связью с банком в режиме реального времени
и
offline — список транзакций периодически передается в банк в уведомительном порядке.

Оплата за платную дорогу или мост — типичная offline транзакция.
Особенности offline-транзакций:
Тот банк (или другая организация), который контроллирует ваш карт-счет, по правилам сети обязан принять такую транзакцию без оговорок. Если есть вопросы с балансом или вопросы другого рода, в любом случае транзакция оплачивается, а все разборки делаются потом между вашим банком и вами.
Этот ньюанс сильно сглаживается тем, что далеко не все типы транзакций (MCC, merchant category code) могут осуществляться offline.
Спасибо за разъяснение! Я предполагал, что зависит от типа мерчанта или транзакции, но про offline операции не знал. Теперь жить стало спокойнее :))
А как быть с таким? Еще есть понятие credit транзакция и debit транзакция. Используя credit пин код не требуется, debit — пин обязателен. Кассирши иногда спрашивали меня — «вам с пином или нет» и выбирала соотв. опцию в терминале.
Опция в терминале — это, по-видимому, управление тем же CVM, благо терминал позволяет. А credit и debit — это просто плюс и минус. Когда вы снимаете деньги в банкомате или расчитываетесь за покупки в магазине — это debit. Когда вы фрилансите и зарабатываете, а потом выводите деньги на карту — это credit.
Я позволю себе с вами не согласиться.
Насколько я понимаю, debit- и credit-транзакции по-разному снимают средства со счета покупателя: debit — за счёт собственных средств клиента, credit — за счёт кредитной линии, предоставленной банком.
То есть можно воспользоваться кредитными средствами, не трогая свои собственные.
Но, по-моему, у нас это не встречается.
Что ж, вы по-своему правы: карты бывают дебетными и кредитными. По сути, кредитная карта = дебетная карта + овердрафт.
Но это ведь другая тема. Это никак не связано с типом самой транзакции (приход/расход = credit/debit), и никак не может повлиять на метод верификации.
По сути, кредитная карта = дебетная карта + овердрафт.

Возможно, я сильно упрощаю и сам чего-то не знаю. Всё-таки за границей кредитные и дебетные карты изначально выпускаются с разными бинами (т.е. в разных диапазонах номеров). Если кто-то может пояснить, в чем еще есть разница, буду благодарен.
Кстати, в Штатах я не мог оплатить своей российской дебетовой картой, нажимая debit. А вот credit — пожалуйста
Дебитовыми картами там считается что-то типа Cirus Maestro или Visa Electron. Это отдельный тип карт. А все Visa и MasterCard считаются кредитными. А то, что тебе банк по ним кредит не даёт — это твои проблемы )
Это не так. У меня есть доступ к базе бинов, в которой очень хорошо видно, что дебетными могут быть практически любые карты, даже, к примеру, MasterCard Gold, Platinum и Quantum, Visa Gold, Platinum и Infinite.
Maestro — это практически всегда debit.
MasterCard — это обычно credit, но далеко не всегда
Вот тут немножко пролит свет на разницу. Могу ошибаться, но похоже, что овердрафт предоставляется банком (card issuer) на его условиях, а фишки credit card предоставляются сетью (VISA, MasterCard, etc.) на ее условиях. А разница в условиях описана в статье по ссылке.
Да, дебетовые и кредитные карты — это другая тема. И по-моему, это в России кредитная карта — это фактически дебет плюс овердрафт, в США по-другому. Хотя некоторые банки у нас предлагают овердрафт, так что это всё же разные вещи, видимо.
Что же касается debit/credit-транзакций, вот, например, страничка, описывающая отличия: lifehacker.com/when-should-i-use-credit-and-when-should-i-use-debit-wh-862086499
Да в США процессы протекают по другому, я хорошо знаком с Ingenico терминалами и то что происходит в США и Канаде, плюс ПО терминалов в каждой стране свое, та же Ingenico предоставляет только OS которая как бы всего ядро системы, а разработка и адаптация ПО это ответственность компании-представителя, к примеру Банкомсвязь в Украине.

Пример в США, делаю оплату простой не EMV картой, (у них терминалы повернуты к покупателю и делаешь подпись на экране), терминал предлагает Debit or Credit, честно нажимаю Debit ввожу пин — transaction failed, жму Credit без пина — transaction success, по сути я никогда не вводил пин на территории США.
Спасибо, годная статья. Теперь всё становится на свои места, и уже понятно, что имел в виду svdesign. Я с этими особенностями процессинга раньше не сталкивался.
К сожалению, всё, что касается процессинга и эквайринга, приходится собирать в интернете по крупицам. Видимо, поэтому этой статьёй так заинтересовались. Спасибо автору!
В США дебит карты умеют «притворяться» кредитными. То бишь дебитная карта при этом действует как кредитная Visa/MasterCard (и ещё и Platinum и вся из себя) — можно покупать с подписью, без пина, или вообще в онлайне где магазин будет «не в курсе» что карта дебитная. Деньги снимут с того-же счёта, но «проходит» всё через обычную визу/мастеркард.

При проведении дебитных транзакций с пином, где можно, например, попросить доп-наличность «сдачей» в магазине (купить продуктов на 50 баксов, на кассе сказать "$20 cashback please" и провести полную дебитную транзакцию на 70 баксов, кассирша даст 20 баксов) всё проводится через «АТМ/Банкомат» сеть.

В общем случае банки раньше рекомендовали нажимать кнопочку «кредитная» карта вместо «дебитной». В дозапамятные времена за мухлёж с дебитными картами обычно платил клиент банка (то бишь неожиданно «купленный» вором номера/пина телевизор вычитается из счёта до окончания расследования, и даже потом могли вернуть лишь часть суммы, а с кредитной транзакцией потери не более 50 баксов — в наши дни и там и там обычно дают zero liability, то бишь деньги вернут, но если подсмотрели пин и сняли наличку по поддельной чисто магнитной карте то мороки удет больше)
Разве offline-транзакция мешает запросить offline-PIN?
Не мешает, но в общем случае не требует. Бывает ведь чистый offline с отпечатком карты на бумаге, для чего собственно надписи на карте и выдавливаются так, чтобы быть выпуклыми. Сейчас это уже скорее история, но когда-то вашу карту запросто могли просто «откатать» на листе, а потом этот лист (вероятно, с вашей подписью) отправить в банк среди прочих подобных листов.
Что касается конкретно платных дорог и мостов, судите сами: поток людей большой, а суммы транзакций маленькие (2-5 евро). Не имеет смысла не только пин спрашивать, но даже на online-общение с банком время тратить.
Я был очень удивлен, но все еще не история.

Буквально этим летом, в центре Вены, в кафе меня спросили «А у вас карта классическая?» — а потом достали древнюю «машинку» и прокатали слип. Храню как раритет :)
чем отличаются offline-транзакции по карте от CNP (Card not present, только по номеру карты)?
Способ проведения транзакции (online/offline) и наличие/отсутствие карты — это несвязанные вещи, т.е. бывают любые комбинации.
В последнее время у меня часто не требуют ни пина, ни подписи в Ленте. Сбербанк не требует никакой авторизации в этих магазинах при чеке меньше 1000 рублей. Считают, что такие покупки выходят за зону риска.
Аналогично в Окее, Карусели и многих других сетях.
Возможно кстати это связано что там везде теперь терминалы с PayPass, а по нему аналогично покупки до 1000р без ввода пина.
В магазине, где я покупаю продукты (в подмосковье) терминал не просит ни пина ни подписи при суммах менее 1500р (примерно, точной суммы не знаю).
А как насчет терминалов, которые вообще не запрашивают код? Получается — это возможность карты — работать без пинкода? Можно ли, обратившись в банк, закрыть возможность оплаты с карты не вводя пинкод?
Такая хрень есть у ТКС банка. Я пробовал обращаться, сказали, что так сделать нельзя. Однако, вероятно, лукавят, просто нет такого бизнес-процесса)
Один раз всё-таки спросили код TCS карты, остался без еды просто.
Вероятно это как раз тот случай, когда POS-терминал не содержал в своем CVM-листе способ Signature. А у крат TCS, видимо, в CVM-листе Signature имеет больший приоритет чем ПИН. Поэтому в основном идет по Signature.
вроде бы до 1000 рублей у них можно не расписываться и не вводить код.
Теперь уже можно, с начала ноября вроде. Они делали анонс в своих пабликах в соцсетях. Но делается по звонку туда, не в интернет-банке.

Но помните, что не вводить пин безопаснее, чем вводить.
Проблема со страхами, связанным с PayPass — там до 1000 рублей ни подпись, ни ПИН не нужен вроде как.
Лучше пусть украдут 999 рублей (которые можно вернуть), чем украдут пин-код. Пин-код вводить вообще небезопасно.

Операции с пин-кодом опротестовать сложнее и дольше.
А вообще возможно успешно опротестовать пиновую операцию?? Были прецеденты?
В ТКС уже давно можно поменять приоритет с подписи на пин.
Но вообще вопрос выше был про настройки терминала, а не карты )
А вот мне сыкотно я боюсь вводить пин при оплате в магазине, не хочу светить его всем любопытным людям в очереди и кассиру (они частенько взягляд не отводят в сторону). Пользуюсь картой с авторизацией по подписи. Имхо, это безопаснее. Если карту украдут и проведут транзакцию, проще будет доказать, что это не я проводил транзакцию (экспертиза подписи на чеке у кассира).
Если банк поддерживает операцию смены CVM-листа карты через эмитентский скрипт — то запросто.
Для отдельно взятой карты такое сделать нельзя. Список возможных видов авторизации записывается на карту в момент персонализации (выпуска). Если банк согласиться выпустить вашу карту не такой как «все остальные», то это очень-очень клиентоориентированный банк и я заранее хочу стать его клиентом.
Как сюда вписывается ситуация, когда на чеке так и написано — «подпись клиента не требуется» (применяется для мелких сумм).
Интересно узнать как и кто конфигурирует понятие «маленькая сумма».
Заранее спасибо!
Все просто
При заливке терминала с TMS, в него так же заливается т. н. CVM limit (указывается на этапе составления конфигурации). Это как раз то пороговое значение, начиная с которого данная верификация применяется. К примеру, для бесконтактных карт зачастую выставляют 1000 — 1500 рублей, дабы вы могли на кассе просто поднести карту к ридеру и тем самым подтвердить транзакцию. Если транзакция выше этого лимита — то применяется другая верификация (опять же задается в TMS), к примеру, PIN.
К примеру, можно указать что по контактной Visa Classic на данном терминале до 100 рублей — нет верификации, далее PIN, а при отказе от ввода PIN — подпись.
Спасибо за подробный ответ!
Если не секрет, в каких единицах указывается СVM limit?
Копейки/центы.
Да, обычно это так.
В общем же случае, «курс» этой минимальной единицы можжно указывать в TMS при составлении конфигурации терминала. К примеру, для «виртуальных» валют (бонусные внутренние спецпроекты для крупных организаций) выставляется обычно 1 рубль.
А когда требуют после ввода PIN еще и поставить подпись на чеке кассира — это что? И зачем? Получается, абсолютно лишняя операция от которой можно всегда отказываться?
Как бы еще кассиров обучить приему PayPass… а то терминалы почти везде уже заменили, а кассиров не обучают — карты из рук выхватывают и чипом запихивают :(
Последовательность действий кассира на большинстве терминалов отличается при использовании PayPass.
Приходится показывать карту и говорить «PayPass!».
По идее, обозначение PayPass могло бы быть на лицевой стороне, но у меня его нет (у друга на Visa PayWave есть).
Они не понимают и выхватывают карту, засовывают ее чипом.
А если PayPass вообще не на карте, а на наклейке или в смартфоне — боюсь вообще не поймут желаний покупателя )
Иногда на терминалах есть надпись «для бесконтактной оплаты нажмите Enter».
Спасибо за статью.
Расскажите пожалуйста про типы блокировок, почему например нельзя снять наличные в ATM, а заплатить картой можно. И как работают блокировки по странам
В EMV-чипе, кроме того, записано, в каких устройствах какая верификация может применяться (CVM Condition Code).
К примеру, если указано, что все методы проверки работают только «If manual cash» и «If purchase with cashback», то в банкоматах работать она не будет.
А можете подсказать, где официально прописано, что подпись на карте является обязательным условием для её приёма в торговой точке? Я отказываюсь принимать карты без подписи у своих клиентов, потому что точно знаю, что это незаконно. Но вот почему?
А что должно быть в подписи, если карта корпоративная? То есть привязана к р/с предприятия, а не к конкретному человеку?
Вот уж не знаю. Меня конкретно личные карты интересуют.
Но что вы будете делать, если ваш клиент придет с корпоративной картой?
Так вроде же все равно в таком случае на карте указывается ФИ сотрудника, который может пользоваться картой (а также название самой организации)? Соответственно, подпись этого сотрудника и стоять должна.
Правильно делаете, что отказываетесь. В России Центробанк требует от кассира обязательно взять карту в руки и визуально убедиться в ее подлинности, проверить наличие всех необходимых элементов. Поэтому мне лично не совсем понятно как это вяжется с PayPass…
Вы можете запросить требования по работе с терминалом и обслуживанию клиентов у вашего банка-эквайера. Если не получится, напишите мне в личку, попробую у коллег узнать точный номер письма ЦБ.
Знаю, что Макдоналдс своим кассирам запрещает брать в руки карту, клиент должен проводить операцию сам. Даже если у клиента что-то не получается, ему надо объяснять на словах. Пойманных кассиров с картами в руках — штрафуют.
интересно. В Трудовом законодательстве России нет такого наказания, как штраф. Как штрафуют кассиров? Или в Макдональдсе зарплаты в конверте?
Премии?
премия является хитрой штукой. Ее наличие требует обоснования. Ее отсутствие требует обоснования. Разумеется, если мы говорим об официальной оплате труда. По этой причине если вы потрогали карту клиента, а руководство решило на этом основании не давать вам премию, то это будет странно выглядеть как мотив и даже досудебная претензия решит дело.
Обычно все прописывается в трудовом договоре:
1. Выплата премий в конце месяца по результатам выполнения требованиям трудового договора (иными словами, если не опаздывал и не прогуливал, то получай премию)
2. лишении премии в случае нарушения трудового договора (а в нем прописано, что карту брать нельзя).

Всё проще, чем кажется.
это только кажется. Премия является стимулирующей часть заработной платы, поэтому ее невыплата – нарушение законодательства, так как трудовой кодекс обязывает руководителя предприятия выплачивать работникам зарплату в полном размере. Это первое. А вот второе. Трудовой кодекс не содержит норм, по которым работодатель может лишить сотрудника премии. Т.е. если мы откроем статью 191 ТК, то увидим, за что премию платят. И это все.
Нельзя приравнять невыплату сотруднику премии к штрафным санкциям, так как правовая природа этих категорий очень разная.

Премии выплачиваются не согласно договора, а согласно положению о премировании (есть такой документ) и если вам официально платят премию, то при ее лишении вас должны письменно ознакомить с мотивом под роспись. Плюс должны быть документальные свидетельства нарушения.

Ну и последнее: любое положение договора, которое противоречит закону, является ничтожным. Я сильно сомневаюсь, что есть какие-либо условия, запрещающие продавцу (работающему по закону о торговле) брать в руки платежные карты покупателя. Макдональдс подчиняется общему положению правил торговли места с общим доступом и не имеет права вводить ограничения по своему усмотрению.

Подобные ситуации имеют место исключительно из-за низкой правовой информированности людей. Иначе давным давно всякие фейс контроли в клубах или «мы имеем право отказать вам в обслуживании» в магазинах благополучно исчезли.
Я сильно сомневаюсь, что есть какие-либо условия, запрещающие продавцу (работающему по закону о торговле) брать в руки платежные карты покупателя.

Кроме положения о премировании есть положение о трудовой дисциплине. Где, например, может быть оговорен дресс-код, фразы, которыми продавец должен приветствовать покупателя, брать или не брать карты в руки и т.д.

Далее, касательно положения о премировании. Смотрим статью 191 ТК, на которую вы ссылаетесь.
Работодатель поощряет работников, добросовестно исполняющих трудовые обязанности (объявляет благодарность, выдает премию, награждает ценным подарком, почетной грамотой, представляет к званию лучшего по профессии).
Другие виды поощрений работников за труд определяются коллективным договором или правилами внутреннего трудового распорядка, а также уставами и положениями о дисциплине.

Так что, не выплатить премию на законных основаниях работодатель может по миллиону поводов. Естественно, все должно быть грамотно оформлено.

Иначе давным давно всякие фейс контроли в клубах

Фейс-контроль в клубе также может не пустить вас не нарушая закон. Если вы не трезвый, например. В остальных случаях, фейс контроль, если не дураки, говорит, мол, извините, клуб переполнен, по правилам пожарной безопасности мы не можем пускать больше людей. А то что вот тот товарищ прошел, так у него заранее столик забронирован. Конечно, это все отмазки, но, тем не менее, с точки зрения закона, не прикопаешься.

«мы имеем право отказать вам в обслуживании» в магазинах благополучно исчезли.

Про такое, если честно, первый раз слышу.
попробуйте внимательно прочитать современную редакцию статьи 191, а не старую. Это первое. Второе, упомянутый вами дресс-код не относится к дисциплинарным нарушениям. Две эти грубые ошибки ставят под сомнение вашу компетентность.
Ночной клуб относится к месту общего пользования. Никто не имеет права ограничивать туда доступ. Нравится это кому или нет. Если посетитель пьяный, его могут попросить уйти. Если он не уходит, то могут вызвать милицию. Это все, что допустимо с точки зрения закона, статья 426.1 ГК РФ.

Не надо спорить в вещах, в которых вы слабо разбираетесь. И про миллион поводов тоже не надо. Все это произвол и его достаточно просто пресечь даже в нашем государстве.
попробуйте внимательно прочитать современную редакцию статьи 191, а не старую.

Сайт консультанта уверяет, что я цитирую действующую редакцию. Брешут?

Две эти грубые ошибки ставят под сомнение вашу компетентность.

Вы что-то перепутали. Я не письками с вами померяться решил, а обсудить интересующий меня вопрос. Вы никогда не ошибаетесь?

Второе, упомянутый вами дресс-код не относится к дисциплинарным нарушениям.

Тут я лопухнулся, признаю. Сам никогда с дресс-кодом не сталкивался, поэтому глубоко этут тему не копал.

Ночной клуб относится к месту общего пользования. Никто не имеет права ограничивать туда доступ.

Значит ли это, что меня обязаны обслужить в ресторане, даже если все столики заняты? Как закон предлагает это сделать на практике? Еще с театром вопрос интересный, а то в проходах полно мест, а меня не пускают, говорят, билеты кончились. Это произвол?

Не надо спорить в вещах, в которых вы слабо разбираетесь.

С удовольствием послушаю вас и поучусь. Только тон смените.

И про миллион поводов тоже не надо. Все это произвол и его достаточно просто пресечь даже в нашем государстве.

Я не пойму, по-вашему, получается, работодатель, один раз выплатив премию, обязан ее всегда платить? Поощрение — это право, а не обязанность работодателя. Какой закон, например, запрещает работодателя пообщать работников, соблюдающих дресс-код и не поощрять не соблюдающих?
В общем, все сводится к Положению о премировании. Право может и право, но если в положении о премировании сказано, что сотрудники получают премию при успешном завершении квартала, полугодия, года, то если человек пришел на работу в сопли пьяный, набил морду руководителю и голый бегал по коридорам, но отчетный период окончился успешно, премию ему выдать обязаны. Да, за подобные выходки могут уволить по статье, но с премией.
Спасибо. Правильно ли я понял, что том же положении о премировании (или ином документе, на который это положение ссылается) никто не запрещает прописать, например, поощрение продавцу, если он будет встречать клиента улыбкой. Никто никого не заставляет, но если будешь улыбаться, получишь премию.

По поводу ресторана с клубом, если не трудно, прокоментируйте. Про театр, конечно, была шутка, но, в целом вопрос серьезный. Вроде как все же может ресторан или клуб отказать в обслуживании, если свободных мест нет. Наверняка для того же клуба оговорена максимальная вместимость.
Теоретически можно. Но тут возникает вопрос что такое улыбка и кто за этим будет следить. И премируются ли другие сотрудники по этому основанию. И если да, то давайте сравним как они улыбаются и как часто. Есть ли видео или свидетели, которые готовы подтвердить, что они улыбаются всегда и всем за весь отчетный период? Но изначально говорилось, что если сотрудник макдональдса возьмет карту, его оштрафуют. Это не так. А за то, что он не берет карту в руки начислять премию прописать нельзя, т.к. это не запрещено законодательством. Плюс я уверен на 99.9%, что у работников принимающих оплату есть право убедиться, что их не дурят. В общем, такой пункт нелеп.

Про переполненный клуб все просто. Вас не могут принять, если мест нет. Но, как мы видим из закона, это применяется ко всем. Т.е. если не пускать, то больше никого. Не допускается избирательность при прочих равных. Написали «магазин» или «ночной клуб» — обязаны пускать. Это вывеска и вы заключили публичную оферту с тем, кто ее прочитал. Возможны нюансы, если на входе висит уведомление, что в клуб входят только в бальных платьях и на этом основании девушку в джинсах не пропустили. Но если этого нет, а просто написано, что сегодня у нас бальная вечеринка, то никаких «вы не так выглядите» не допускается.
Я где-то читал, что клуб — это не публичная оферта. Клуб может впускать только членов клуба, имеющих клубную карту или членский билет. Думаю, что будет очень сложно доказать, что фейс контроль впустил кого-то без клубной карты, а вас не впустил.
верно, если клуб закрытый и об этом явно указано. А если это просто ночной развлекательный клуб, куда доступ для всех, то ничего доказывать не надо. Все прописано в уставных документах организации.
Про переполненный клуб все просто. Вас не могут принять, если мест нет. Но, как мы видим из закона, это применяется ко всем. Т.е. если не пускать, то больше никого.

С этим я не спорю. Но, возвращаясь к примеру с рестораном, вам могут отказать в обслужиавнии, даже если пару столов не заняты, т.к. они заранее забронированы. А следующих за вами посетителей пустят, т.к. именно они бронировали один из не занятых сейчас столиков.
Если аналогичную причину назовет охранник клуба, оспорить это будет весьма затруднительно, т.к. поселителю, которого не пустили, будет весьма проблематично доказать, что охрана врет.

Плюс я уверен на 99.9%, что у работников принимающих оплату есть право убедиться, что их не дурят.

Выше я писал, что в магазине, где я закупаюсь продуктами, кассиры также не берут карты в руки. Все операции с картой проделывает сам покупатель, даже расписывается стилусом на экране терминала. Плюс, в этом магазине имеются кассы самообслуживания.

Возможно запрет обусловлен не ТК, а тем, что на местом кассира установлена камера. Скорее всего для видеофиксации опериций с наличностью. И, теоретически, на эту камеру могут быть зафиксированы все данные карты, которые позволят потом расплатиться ей в интернете.
еще интереснее как это вяжется с Картой Билайн (где можно платить телефоном с NFC)
и Alfa Watch от от альфа-банка где просто часики подносить надо к терминалу
что в этом случае кассир смотреть будет?
Как минимум прямо на обороте карты это обычно указано — not valid unless signed )
Поясните пожалуйста пару вопросов, если не сложно

1. Периодически сталкиваюсь в магазине с терминалом, который после ввода PIN-а печатает чек с местом для подписи клиента. Т.е. выглядит все как требование PIN и подписи одновременно. Почему такое возможно?

2. Другой терминал всегда отказывается принимать карточку по PayPass. Т.е. сначала что-то думает активно а потом пишет «используйте чип». Сумма копеечная, в других местах по PayPass она проходит без пина.

Карта VISA, оплата используя чип.
По первому вопросу: не скажу за всю Одессу, но во всех случаях, когда я обращал на это внимание, там под местом подписи написано, что это место подписи кассира. Неоднократно кассиры меня просили дополнительно расписаться в их копии чека при авторизации по ПИНу, и были посланы.
По первому вопросу: банку-эквайеру было лень настроить внешний вид чека для операций данного типа. Можете не расписываться, а в случае требования подписи после пина — ругаться, топать ножками и звать генерального.

По второму вопросу: банк-эквайер может запретить операции подобного типа (PayPass) не только по сумме, но и по другим факторам: например в группу риска попадают операции покупки ювелирки, оплата мобильных (каждый банк сам выбирает рискованные операции и применяет к ним разные ограничения).
Спасибо.
А как всея эта схема работает для карточек без чипа?
Предполагаю вы о магнитной ленте говорите (А ведь можно еще и про зип-зап машины вспомнить, но в России вы их не встретите).

На магнитной ленте все проще, на ней записан сервис код — трехзначное число:
Первая цифра — можно ли пользоваться картой заграницей;
Вторая — можно ли платить оффлайн;
Третья — где можно пользоваться (pos/atm) и нужен ли пин;

На карточках без чипа так же может быть пин код (можно встретить в америках, на дебетовых картах), но естественно его проверка может пройти только онлайн.
В прошлом декабре оплачивал билеты в Пулково-2 с помощью снятия отпечатка карты. Это зип-зап? ) А говорите, в России не встречается. Вы, наверное, из Москвы )
В Москве как раз машинок для слипов больше было, чем в регионах, т.к. прием карт там стал внедряться намного раньше…
а в регионах сразу уже электронные терминалы пошли )
Думаю, что такая машинка несет повышенный риск для продавца, да и гемора больше с ней. Мне кажется, что в Москве уже должны были поменять. Я видел всего два раза в жизни такой девайс. Один раз, когда оплачивал билеты, второй раз в импровизированной русской деревне «Верхние Мандроги». Там видимо много интуристов пасется, а с интернетом там как в Древней Руси и с электричеством, видимо, отношения сложные. В общем хорошо, что карта не unembosed была
На самом деле наличие импринтера в некоторых случаях очень хорошо! В свое время в гостинице за границей только это и спасло — наличных не было, интернет выключился (а может даже и электричество, не помню) — у отельера оказался в шкафу импринтер, расплатился.

Платеж, к слову, списался с карты через три (!!!) месяца, видимо эта технология уже почти в историю ушла)
Ещё ситуация: если оплачивать покупку в одного продавца с небольшим интервалом времени (5-10 минут), то первый раз требуют подпись, а второй раз — пин.
Может у Вас просто суммы отличались? ;)
Первый раз меньше 1000р, второй раз больше.
А тут уже вступает система безопасности банка. Если вы сделаете еще и третью покупку (или пятую — все настраивают как хотят), то вам вообще позвонят из банка и попросят подтвердить платеж.
Может быть Вы сможете ответить на вопрос: почему при оплате российской банковской карточкой в Сербии постоянно выскакивает сообщение 'PIN blocked'? В банке утверждают, что с картой всё в порядке.
Случайно не вводили неправильный пин 3 раза?
Вводил, в Италии. Но в банкоматах он проходит. И вроде бы после того случая где-то на терминале вводил, но не уверен.
Попросите свой банк сбросить счетчик неправильно введенных пинов. Мне помогло: карточка работала во всех банкоматах, но все POS ее отклоняли сразу же, как вставлял.
Странно, что мне этого не предлагали. Спасибо за совет!
Хм. Сказали, что не могут сбросить, потому что стоит ноль попыток. Посоветовали в случае очередной ошибки отказаться от транзакции, и тогда они получат какие-то полезные данные. Завтра попробую.
с моей картой было все в порядке, после сообщения «PIN blocked» сразу вылазил чек с местом под подпись.
кассиры иногда немного пугались, но быстро приходили в себя и просили расписаться :)
Круто, спасибо за статью. Тот редкий случай, когда ставлю плюс даже не за сам топик, а за ответы на вопросы. Очень многое стало понятным.
Для жены один раз было большим удивлением когда она заблокированной картой расплатилась пэйпасом в старбаксе, тогда я впервые узнал что бывают offline транзакции:)
А как прошла эта транзакция в итоге, не могли бы рассказать? (Собственно, почему карта была заблокирована, списали ли в итоге сумму и т.д.)
Всё было скучно, транзакция прошла успешно, потому что старбакс осуществляет отложенные транзакции, как правило, на следующий день. А к этому моменту карта уже была разблокирована, так что старбакс не испытал совершенно никаких проблем при списании денег.
В принципе, можно поэкспериментировать, у старбакса оно стабильно в офлайне делается если расплачиваться пэйпасом. Но у меня ни времени, ни желания особо нет.
Эх :( Действительно скучно, рассчитывал на интересную многоходовую историю))

На самом деле ведь интересная ситуация, если человек (пусть и истинный владелец карты) попытается в магазине расплатиться своей заблокированной картой, а терминал напишет, например, — «STOLEN», как в фильме «Один дома 2» :))

Еще интересный вопрос, и может его осветит автор поста:
В какой срок должна быть проведена offline операция? По закону ведь у клиента есть сутки на оспаривание транзакции, а что-то мне подсказывает, что offline операция вполне может и дольше идти.
Что касается сроков, то у меня был опыт езды по платным дорогам во Франции, где за пару недель моя карточка запускалась в терминал оплаты раз 15. Никаких смсок о списании денег я не получал и искренне не понимал как оно работает. Развязка произошла в конце месяца, недели через две, когда все нужные средства списались за один раз. По чекам проверил, всё сошлось вплоть до цента, было это года 4 назад.
В России отложенные транзакции дольше суток ни разу не видел. Откровенно говоря, я их вообще мало видел — старбакс да некоторые подмосковные бипи при оплате пэйпасом.
В Кэролс Джуниор такие оплаты. Платишь картой и никаких СМС не приходит. И деньги на счету остаются. Я тут задумался, что не помню, когда списывают. Может вообще не списывают? Пойду, поем
Наверное, это маркетинговый ход, чтобы оставалось ощущение бесплатного обеда :-D
Даже при онлайн оплате, финансовая (она же клиринговая) транзакция может придти через год.

Что получится:
Вы оплатите что-то своей картой, вам в банк придет авторизация и заблокирует средства, вы сразу же получите смску о покупке на эту сумму. Чтобы инициировать финансовую транзакцию, банку обслуживающему терминал нужно чтобы этот терминал провел реконсиляцию с банком. Обычно банк устанавливает правила, что терминалы реконсилируются в конце рабочего дня (наверное вы замечали как продавцы вечером распечатывают огромный чек — это оно и есть), но бывает что терминалы с очень маленьким оборотом реконсилируются только набрав определенную сумму, что может занять очень много времени.

Так вот, если финансовая транзакция не придет в определенный вашим банком срок (обычно пару недель), то авторизация, заблокировавшая ваши средства, будет отменена вашим банком, и средства снова станут вам доступны. И лишь когда терминал проведет реконсиляцию, вам уже придет финансовая транзакция которая окончательно спишет у вас средства со счета. Если же, к тому моменту вы перестали обслуживаться в этом банке — для вас это была бесплатная покупка.
Банк должен вас информировать о списаниях с вашего счета. Не о блокировках, а о списаниях. Списались деньги через год, значит и сутки начнутся только через год.
Клиенту обычно совсем не интересно знать о каких-то там блокировках. Большинство о них и не знает. Важно одно — денег, которые можно потратить стало меньше. И блокировка следует сразу за операцией, это важная информация для безопасности.
У меня другое несколько раз было: оплачиваю с подписью, смска о снятии приходит сразу. Через месяц приходит вторая смска о снятии. А между ними оказывается был возврат этой суммы.
Гостиница может сначала брать депозит, а потом проводить еще одну транзакцию с фактическими расходами, а депозит частично или полностью возвращать.
Ну или оператор терминала что-то напутал и ему пришлось повторно провести операцию.
Подозреваю что просто доказательства в банк не передали и мне просто снимали блокировку с суммы (магазин то был, вроде в одном и том же такое было).
Наткнулся на забавный случай, когда при вводе пина карточка его отклонила оба раза (при том что пин точно был правильный). Как такая ситуация могла возникнуть технически?
Периодически случается что онлайн и оффлайн пин рассинхронизировались, если вы недавно меняли пин код и он по каким-то причинам не смог обновится на карте. В банкоматах всегда используется только онлайн, тут проблем не будет, но терминалы обычно сначала проверяют оффлайн, который остался старым.

Еще бывает что неправильный ключ для передачи пина на какой-то стороне. А они разные на всем пути: от терминала до банка, от банка до платежки, от платежки до вашего банка.
Еще бывает что сбивается счетчик пина или счетчик количества проведенных авторизаций. Но все это банк может поправить удаленно, и при следующей попытке вам на карту придет скрипт который задаст правильные значения.
А не подскажете название банка, в котором это произошло? Можно в личку, если не хотите светить/рекламировать.
Банк эмитент — ирландский, а чей терминал был я уже и не помню. Но так там зафейлились обе мои кредитки, хотя сейчас они продолжают работать как ни в чем не бывало.
НЛО прилетело и опубликовало эту надпись здесь
А как будет произведено списание с карты в конце её срока работы. Например 31-го я использовал карту при покупке чего-либо, средства заблокировались. Списание через 3-5 дней, когда карта уже будет считаться просроченной.
Ден. средства списываются не с карты а с картсчет а. Карта — всего лишь ключ доступа к счету
Карта — это лишь ключ к Вашему банковскому счету. Заблокировалась карта (просрочилась, потерялась и т.д.) — заблокировался только ключ, сам счет остался работать, по нему возможно проведение расходно-приходных операций.

//пока писал ответ, на вопрос уже ответили =)
Т.е. получается, что если у меня увели данные карты, то могут ей воспользоваться и после окончания срока действия?
Я чего то не понимаю, ключ заблокировался, как по этому ключу может быть произведен доступ к счёту?
наверное, лучше так: карта это ключ к замку к квартире, где деньги лежат. Так вот счет — это квартира. Только с протухшей картой вы в нее попасть не можете. Но личный визит в банк позволяет по заявлению проводить манипуляции со своим счетом даже при условии, что ваша карта поломалась. Возможно, это можно сделать и через интернет банкинг, но, например, в ВТБ24 у меня не получилось. Приходилось заглядывать на огонек, т.с.
Вы описали ситуацию, что 31 числа использовали карту, а 1 числа карточка, например, просрочилась.

Т.к. сама операция была совершена в момент, когда карточка еще работала — операция доступа к банковскому счету была проведена успешно. Если бы попробовали совершить операцию 1 числа — в операции был бы отказ, т.к. карточка больше не работает (замки в двери сменили, и ключ больше не подходит).
Аналогично и с блокировкой карты в случае утери.
Т.е. 31 числа, используя карту, Вы дали распоряжение Банку снять с Вашего счета деньги и перевести их продавцу. Карточка выступает в роли ключа к счету.

Вне зависимости от того, валидна карта или нет, привязанный к ней банковский счет продолжает работать — и при обращении в Банк, через Интернет-банк, и другими способами, этим счетом можно управлять — снимать и класть деньги, осуществлять платежи и т.д.
Нельзя только пользоваться конкретной просроченной/заблокированной карточкой для доступа к этому счету — т.к. «замок сменен, ключ больше не подходит»…
Ага, т.е. в момент проведения операции фактически запоминается номер моего счёта и карта как таковая в дальнейшей транзакции не нужна?
Нужна, но банк-то не удалит данные вашей карты как только кончится срок ее действия, вы лишь не сможете инициировать новые авторизации по ней. Плюс в финансовой транзакции указана дата оригинальной операции.
А вообще, банк вам вышлет новую карту еще до того как закончится действие старой, а старую заблокируют (обычно, как только воспользуетесь новой).
Да это то все понятно, карт и счетов вагон и что из них с чем связано я понимаю, вопрос был только в этом нюансе. Мне его пояснили, всем спасибо.
Примерно выражаясь — не нужна (на самом деле для платежной системы еще нужна, но для клиента это уже не важно).

Клиенту важно (и то не всегда на самом деле), что фактическая дата списания будет через несколько дней после самой операции. Важно это может быть в двух случаях — при использовании кредитных карт (чтобы операция в грейс вошла) и при оплате в другой валюте и последующей конвертации (сумма спишется по курсу на момент фактического списания).
а вот такой вопрос — как-то платил на заправке, visa classic чипованая сберовская, вставил чипом — аппарат подумал и попросил прокатать полосой. какой банк обслуживал терминал уже не помню, но до сих пор интересно — нафига?
Возможно, не удалось считать чип (либо терминал решил что ридер сломался) и терминал сделал фолбэк. В авторизации в этом случае даже будет указан метод ввода магнитной картой на чиповом терминале и проставится флаг что не удалось считать чип. Фолбэк авторизации всегда проходят онлайн (кроме терминалов 3 категории — только оффлайн, лимитированная сумма)
хм, возможно. у той карты и правда чип пару раз глюкал до этого (ей 2 месяца до конца срока оставалось)
А может банк просто не умеет работать с чиповыми картами. Терминал может, а банк нет.
2 раза сталкивался с такой ситуацией. Пытаюсь расплатиться нечипованной картой (только магнитная полоса), а POS запрашивает PIN. Я отказываюсь вводить — транзакция отклоняется (вариант с подписью не предлагается).

Как объяснить такое?
По магнитке транзакция отличается от чиповой, описанной в статье.
Магнитку скопировать — раз плюнуть, отсюда требование ПИНа.
Вы осветили вопрос с пин-кодом с технической точки зрения, но технику настраивают люди. Поэтому вопрос «почему иногда требуется пин-код, а иногда нет» на самом деле сводится к тому, «зачем магазин настроил терминал таким образом, чтобы пин-код требовался (или не требовался)». Какими соображениями они руководствуются? Можете об этом вкратце?
Например, я своей картой везде расплачиваюсь по подписи, но на заправках Лукойл почему-то требуется пин-код, что вызывает у меня панику — я его забываю из-за исчезающе редкого использования.
У меня когда-то была карта, которая спрашивала PIN при каждой покупке.
Потом однажды я случайно отказался его ввести, и с тех пор она перестала спрашивать PIN.
Может ли CVM в карте меняться таким образом?
В теории да, хост может послать скрипт карте на перенастройку CVM листа. Другой вопрос — зачем? :-)
Прошу прощения если не по теме. Вы не могли бы пояснить что такое ТИД (TID). Спасибо
Если вы про terminal id — то это идентификатор терминала аквайера (ISO8583, 41 поле).
Да, видимо я о нем. А можно подробней, зачем он, как это работает и все такое. Кроме того есть кто-то кто может мне подсказать общий алгоритм работы библиотечки pilot nt, в частности что есть файл pinpad.ini, и что в нем за параметры. Ну и собственно как эта библиотечка общается с пинпадом и с банками?

Опишу в вкратце проблему. Мы занимаемся миграцией магазинов с одной ПОС системы на другую. Вторая система ожидает наличия пинпада на определенном COM порту. В виду не понимания как работает эта часть системы конфигурирование превращается в танцы с бубном.

Спасибо!
Это просто поле, по которому хост различает терминалы. Надо же их как-то обозвать.
А что непонятно по пинпаду? Конкретно с этой библиотекой не работал, но с общением с пинпадами по COM знаком.
Проблема вот в чем. Изначально я не знаю куда подключен пинпад. Не знаю даже какой он USB или COM. Но я хочу найти его и понять, живой он или нет. Причем хочу я это сделать посредством командной строки или powershell. Это нужно для автоматизации перехода. У нас везде для работы с пинпад и банком используется эта библиотека. Там есь еще какие-то фалйики типа loadparm и *.tlv, но внятно никто не може мне пояснить что оно такое и как работает. Куда бежать за документацией хотя бы.

Спасибо!
Прежде всего, нужно узнать модель пинпада. Потом, скачать документацию. Пинпады не универсальные устройства, пока нужную команду на COM-порт не отправишь — не ответят, а у каждого устройства команды свои.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории