Комментарии 256
Не понятно почему минусят, возможно за истории про релокантов. Лично мне статья понравилась, но есть ощущение некоторой недосказанности, слишком быстро статья кончилась.
Один минус по причине "личная неприязнь к автору" (лол), а второй - "не соответствует тематике" (ну хз, вроде вполне)
Минусующие редко проставляют реальную причину.
Это вы как узнали? Мне кажется как раз наоборот, ставят реальную причину, ведь это поможет автору стать лучше. По крайне мере я так всегда делаю.
Я догадываюсь почему минусуют. Слишком много ненужных прибауток, которые не облегчают понимание текста (как, например, у RationalAnswer), а затрудняют его.
Например,
"Представьте, что релокант Иван стал радостным обладателем карты грузинского банка Х. Данное событие он решил отметить крафтовым яблочным сидром, который продает Иракли в своем магазинчике в Старом Тбилиси (помимо вина и чачи, само собой). Так вышло, что Иракли открыл бизнес-счет своего магазина в том же банке Х. Поэтому когда Иван совершил покупку, деньги просто перетекли с счета Ивана на счет Иракли внутри того же банка. Изи."
можно заменить на "счета покупателя и продавца находятся в одном банке" вообще без ущерба. А то лари, гиви.
И в первой редакции статьи было "Интересный факт. Знали ли вы, что элементы чипа (такие маленькие железочки, из которых он состоит)". Ну для хабра это, конечно, перл. Хорошо что убрали.
Дальше – лучше, но не все продрались, видимо. А статья сама по смыслу норм. Просто тут нужно чутка больше адаптации при репосте.
Да, и вот как раз про то, как элементы чипа [...] изготавливаются на разных фабриках? И только платежная система при изготовлении карты собирает их воедино мне как раз было очень интересно – как это платежная система их собирает?
На примерах всегда интереснее и лучше запоминается. Статья должна быть интересной и яркой, чтобы ее читали.
Так что, на счет "заменить вообще без ущерба" я с вами не соглашусь. Ущерб для статьи будет
Пример с напитками релокантов в данном случае имет действительно много лишних деталей. Я споткнулся об эти примеры. Несколько раз перечитывал их, чтобы отсеять лишнюю инфу и понять суть разницы.
От площадки зависит. На дзене, может, и будет.
Статья должна быть интересной и яркой, чтобы ее читали.
Cтатья должна быть интересной читателю. А на техническом ресурсе это означает - быть технически грамотной и желательно со ссылками на первоисточники.
Стилистика - это вопрос субъективный, поэтому пропущу.
А как сотрудник Payments отмечу два момента:
Не согласен с вашим разбиением interchange fee. Так же я приятно удивлен что "В России это примерно 1,5-2% от суммы транзакции". Пять лет назад, когда я работал в России, чтобы получить комиссию эквайера в 2% нужно было иметь оборот не менее 100млн. руб. И это на низкорисковых МСС - utility bills, taxes. Для сервисов без доставки товара зачастую было и 3% и даже выше.
Никто за вами не выедет, если вы опишите все детали вашей работы. Ибо они детально описаны в приложениях в самому PCI DSS. По крайней мере должны им соответствовать, что подтверждает PCI QSA при ежегодном аудите. Весь секрет - в ключах. Доступ к которым так же регламентирован. В этом и прелесть этого стандарта: выполняя его требования даже формально вы получаете надежную и защищенную среду.
Было бы здорово, если бы вы описали типы платежей: обычный, с разбиением, с предавторизацией (hold), рекуррентный. Многие не понимают этих вещей и такое знание действительно облегчит жизнь многим людям.
Слог у вас лёгкий - просто писать о сложном тоже талант.
Спасибо за хороший содержательный коммент.
По поводу 1 - там на самом деле много нюансов, но мне пришлось здесь в них не погружаться и писать примерный порядок, потому что цель этой статьи - дать общую картину. А если начну расписывать нюансы, то общая картина пострадает.
По поводу 2 - не очень понял ваш коммент.
Про типы платежей и т.д. - в статье про платежные системы можно было бы еще очень много описать, но я здесь постарался выделить то, что считаю основным для понимания принципов работы.
Но учитывая отклик аудитории, возможно придется писать еще одну статью (помимо уже запланированной про разные платежные системы стран)
Я вам тоже говорил это, но вы проигнорировали)
Про Interchange fee (IRF) большая ошибка. Платежные системы НЕ зарабатывают на IRF. На IRF зарабатывает эмитент, а для эквайера это расход. IRF получает Эмитент напрямую от Эквайера без «отщипления» комиссии ПС. Платежная система берет комиссию и с эмитента и с эквайера отдельно за проведенную транзакцию.
про типы платежей - правда интересно
Ну это же хабр, а не тг. Тут над подачей любого текста надо думать отдельно.
Я вот честно вообще не понял что статья делает на Хабре. Там вместо информации сомнительные истории уровня ЖЖ.
Из информации - там:
- Платёжная система - это посредник между банками, чтобы им самим не договариваться.
- 1.5-2% стоимость перевода (и она как-то делится)
- как именно разбивается 16-значный № карты (криво и косо - про вычисление контрольной цифры ничего)
- Существуют, и могут отличасться от системы к системе MCC-коды.
Часть - примерно 10-15% - берет себе банк-эквайер, чей терминал стоит у продавца. Остальное банк-эквайер отправляет банку-эмитенту, выпустившему карту. Это и есть интерчейндж. Частичку от этого интерчейнджа (насколько я знаю, примерно 10%) берет себе платежная система.
Сложно написано. "10-15% себе банк. Остальное другому банку. Но из этого остального еще 10% пойдет ПС". Может сразу написать: 10% банку эквайеру, 82% банку-эмитенту и 8% платежная система.
PS: Лёгкий слог, приятно читать с самой первой вашей статьи на Хабре.
Один минус по причине "личная неприязнь к автору" (лол)
Автор в подписи упоминает, что он наводит графоманию. Графоманов (заслуженно) не любят. Чем не повод для личной неприязни.
PS После прочтения статьи ощущения как раз такие. Много воды, мало полезного, шуточки ниже среднего. Про шуточки ниже уже писали тоже. Добавлю, что они прокатили бы, если бы в статье действительно было много нового. Но поскольку кроме воды там ничего нет, то за счёт шуточек статья стала похожа на креатифф с какого-то иного ресурса.
Так что не лол.
Да что угодно может быть. Может кому то нравится зайти на хабр и раздать пачку минусов просто потому что может, или потому что плохое настроение. Какая на самом деле разница? Эти плюсы минусы ничего не значили и не значат, скорее всегда носили и носят негативный характер так как задают изначальную "предвзятость".
Стать в большинстве в итоге гуглятся потом, и если они нормальные и хорошие - то они будут в поисковике - это и есть критерий, а не минусики и плюсики неизвестно кого обладающего неизвестно какой компетенций и мерой адекватности.
Пора бы уже привыкнуть к этому.
Подобные комментарии и карму также минусят потому что кто то считает что комментировать нужно сугубо статью и сугубо на тему статьи, а общение в комментариях излишне и не должно существовать в природе. А постить всякую дичь разрешено только редакторам хабра и тем кто платит (корпоративные блоги).
Если честно, несмотря на свою работу в платежной системе, я понятия не имею, как конкретно это делается.
Видимо за это. Кулхацкеры разочаровались.
Я минусю за истории про релокантов, которые не только задевают за живое, но и не имеют никакого отношения к делу - они ровно так же работают для вообще любых путешественников.
К сожалению, за шуточками-прибауточками потеряны некоторые существенные детали.
«Прокатывали» карты не с магнитной полосой, а т. н. «эмбоссированные», где имя владельца выбито выпуклым шрифтом. Буквально прокатывали валиком, проложив «копиркой». Проведение магнитной полосы по считывателю – это уже не «прокатывание».
«Платёжная система должна выдерживать много транзакций» – а никаких проблем здесь нет. Проблема возникает, когда надо авторизовать транзакцию, то есть ответить, владелец ли это (например, правильно ли введён пин-код) и достаточно ли у него денег. Вот тут начинается шардирование, борьба за скорость ответа и т. д. Платёжная система занимается всего лишь маршрутизацией, а эта задача параллелится без проблем.
PSI DSS накладывает ограничения не только на правила шифрования данных, но и на многое другое, включая положение рабочих станций, где работают с картами. Аудит действительно регулярно проходит, но если ты не выполняешь всех требований, то это не значит, что тебя немедленно отлучат от платёжной системы. Погрозят пальчиком, попросят написать плат улучшения и запланируют очередной аудит. К слову, UnionPay, например, не требует соответствия PCI DSS.
Что касается конвертации, её может делать не только эквайрер, но и эмитент. Так вот, пока не началось, гораздо выгоднее было платить с российской рублёвой карточки долларами и евро, то есть доверить обмен валют именно эмитенту.
Ну то есть статья уровня какого-нибудь «Форбса», но не Хабра.
А релоканты – ну что ж, это тоже часть жизни. Хотя зачем они в технической статье, не очень понятно.
Отличная статья, спасибо вам!
Сама по себе платежная система очень простая штука, условно, ее может написать любой школьник. Но с "любым школьником" не будут иметь дела банки и поэтому у школьника эта штука не заработает. Поэтому лбая карточная ПС это 0.01% кода и 99.99% умения договорится с банками и навязать им свои условия/услуги.
Я когда то очень глубоко разбирался в устройстве визы и мастеркарта и вообще банковской системы. У меня возникло впечатление что автор статьи сам плохо представляет себе общую картину, и вообще не представляет себе как все это глобально устроено. Он выхватил знания о каком то маленьком кусочке и о нем рассказывает, даже не задумываясь о картине в целом.
По сути банк дает ПС полный доступ к счетам клиентов, и возможность полностью ими распоряжатся. ПС просто отправляет банку указания - с кого сколько денег списать. Это сейчас все идет через компьютеры , а когда ПС начинали все вообще работало только на том что банк полностью и безраздельно доверял ПС. ПС просто передавали банкам бумажные списки, без всяких компьютеров.
Интересно было бы услышать как все это глобально устроено, какие договоренности и условия существуют между банками и ПС. Как они взаимодействуют между собой. А уже потом опускатья до частностей- куда какие байтики гоняются и что чем шифруется.
А можете пояснить, почему конкретно у вас сложилось впечатление, что автор не раз разбирается в сути предмета? То что вы написали не идёт в разрез с написанным мной в статье.
Не скажу за товарища @HEXFFFFFFFF, но у вас КРАЙНЕ мало деталей. Статью можно было бы вообще сократить до "платёжные карты - это кусочки пластика, и когда релокант Вася прикладывает такой кусочек к терминалу, терминал бибикает, и бармен Гиви поит его вкусным кофеем", ничего б не поменялось.
Хорошая техническая статья должна быть с деталями и отсылками на какие-то дополнительные материалы, а не вот это вот всё.
Минус не ставил, если вам это важно.
Тут дело в том, что это и не техническая статья)
Тут дело в том, что это же хабр, а не Пикабу или дзен) тут сидят в основном технари и если уж есть статья про то как устроены платежные системы, то хотелось бы побольше технических подробностей, а не кучу воды, которую можно сократить до фразы "платежные системы позволяют банкам быстро и надёжно обмениваться информацией об операциях" с исторической справкой и примерами про релокантов размерами в целый абзац текста
а на кой писать не тех.статью???
У меня сложилось впечатления, в .т.ч после общения с вами на вашем ТГ канале, что вы просто хотите нагнать трафика, срубить бабки с рекламы и свалить в закат.
Насчёт денег вроде желание нормальное, любой труд должен быть оплачен, но вот ваш труд какого-то низкого качества.
Очень надеюсь, что в след. статье вы учётете всё ,что вам здесь и там написали. И не будете прикрываться NDA, вотермарками и прочим барахлом.
Ну очень часто банки являются совладельцами ПС или вообще имеют их у себя, а не как отдельную организацию.
Последнее время ПС не допускается к щхетам напрямую. ПС как правило занимается защитойи криптацией а операции проводит банк
Интересно было бы услышать как все это глобально устроено,
Это не поместится в одну статью, существуют так называемые books (https://www.emvco.com/specifications/) для каждой системы где прописаны технические детали и в каком порядке происжодит проверка данных.
Сама по себе платежная система очень простая штука, условно, ее может написать любой школьник.
Не совсем.
Нужно уметь поддерживать аптайм. и "ой извините у нас первого января все упало но мы честно пофиксим за спринт, чего вы хотите то — у нас аджайл" — не допустимо.
Нужно уметь высокие нагрузки поддерживать.
Нужно контролировать технологии.
Нужно учитывать что на клиентском устройстве может не быть интернета (дыра в покрытии или клиентская устройство — это смарткарта где отродясь не было).
Желательно учесть что у мерчанта тоже может не быть интернета (ну или потерять как мерчантов например общественный транспорт).
Нужно чтобы все с чем взаимодействуют
Привет SberPay'ю который (в инкарнации оплаты по NFC) сдох в марте 2022 и вернулся в ноябре 2022.
Привет MirPay'ю который регулярно ложился в конце февраля и марте 2022 (в том числе и от перегрузок внезапных)
Нужно убедить другие банки что оно им надо (ну или привлечь мерчантов на обслуживание к себе и убедить что оно им надо).
Привет Tinkoff Pay'ю (и СБП, к которому аж три раза точно-точно подключались обслуживающие физиков банки)
Нужно учесть вопросы безопасности чтобы с одной стороны — не задолбать клиентов а с другой стороны — у них не воровали деньги.
Привет СБП с "работающими" диспутами.
И привет куча сайтов где спокойно проходит оплата по данным на лицевой стороне карты (речь даже не о 3DSecure) и при этом все как то работает без особых проблем.
…
…
...
Ключевой фактор - репутация.
Потому от МИР некоторые люди и воротили нос (и до сих пор так делают).
а некоторые особенно ушлые товарищи еще и интересуются условиями
программы лояльности (не банковской, а именно той, которую предлагает
платежная система).
Вот это не раскрыли.
А как сейчас карточки визы и МК работают у нас?
Их НСПК в свой контур взял и процессит теперь
Не "взял", а уже давно обрабатывает. Платежи внутри страны процессятся сначала через него, и потом батчами оттуда шел синк с глобальными МС/виза.
Ну так это ж важный и интересный факт - что Visa/MC не стали окончательной тыквой не из-за пластика Мир, а из-за НСПК, что не одно и то же.
Смотрите, в банке стоит софт, который знает куда посылать данные по номеру карты.
Раньше бысо скорее всего так -> что не знаю, посылаю в визу мастеркард, пусть сами разбираются. Теперь эти "роутинги" поменяли и наружу ничего не идет.
Интересен момент, как сделали клиринг (взаиморасчеты) между банками. Этим раньше занимались виза с мастеркардом. они зачисляли банкам суммы в соотвествии сбалансом операции
А как это сделано? Я предполагал, что на карте чип отвечает за идентификацию и идет обмен данными между платежной системой и чипом в зашифрованном канале. И собственно тогда отключение от платежной системы сделало бы карты полностью не рабочими. Но это не так. А как тогда? И почему тогда перестали работать бесконтактные платежи как они были завязаны на платежную систему?
Обмен данными идет между чипом и банком-эмитентом. ПС тут только среда передачи. Если карта выпущена российским банком и эквайер тоже российский — чего бы ей не обрабатываться.
Бесконтактные платежи имеют особенности в передачи сообщений, может в НСПК или в некоторых банках их не для всех допилили еще.
1) терминалы подключены к банку-эквайеру, и им совершенно плевать откуда и чего там отключили из-за бугра
2) банк эквайер может передавать данные о транзакции или сразу в платежную систему (если нет прямых договоров между банком эмитентом или банк зарубежный, далее там роутит уже сама платежная система) или сразу в банк-эмитент
3) НСПК воткнули в центр этой схемы и данные теперь всегда передаются в НСПК и уже она пересылает их или в другую ПС или напрямую в банки… и поэтому когда "другие ПС" пропали, никто ничего не заметил… ведь все банки РФ имеют связь с НСПК… и НСПК просто продолжила пересылать транзакции не отправляя их в "материнские ПС"
4) бесконтактные платежи на телефонах, это не МПС, это отдельные платежные системы, в нашем случае это ApplePay и GooglePay и расчеты у них производятся не по номерам карт, а по токенам которые генерятся этими платежными системами, и исчезновение связи источником и валидатором токенов, делает их сразу нерабочими независимо от наличия НСПК которая просто физически не может процессить эти токены просто потому что не видит привязки к картам… и до этого она просто их пересылала в эти ПС… а ПС генерировали транзакции по привязанным к ней картам.
по этому эти штуки окуклились полностью
И правильно я понимаю, что в простом случае, терминал читает айди карты, добавляет данные о транзакции и что-то в виде соли, далее чип карты это подписывает и этот пакет идет в банк эмитент, где операция авторизируется по подписи и выполняется? Ну и поверх всего этого идет шифрование информации между терминалом и банком эквайером, далее шифрование между банком и платежной системой?
4 - не совсем так. при добавлении карты в *pay генерится токен который фактически тоже номер карты и генрируется и хранится в том же банке что и родная карта. т.е. валидацию осуществяет одна и та же организация
Каким образом вы проверете что токен не заболокирован? скомпрометирован и т.п.? если источник токена более недоступен
Как привязывать новые токены? отвязывать старые?
то что он "похож" на номер карты — это чтобы он работал на инфраструктуре МПС как "родной", но по факту он даже и близко не тоже самое
Он не похож он и есть номер карты. Когда выдобавляете карту в *Пей, *Пей обращатся в банк эмиттент и забирает виртуальный номер карты-токен. В месседже между устройством и ПС вместо реального номера карты подставляется этот токен. И идет в систему банка эмитента.
только без возможности управления привязкой токенов(вирт.карт), в нем нет смысла
вы сейчас вдаетесь в технические подробности, но суть в том что без внешней ПС, смысла в таких картах-токенах нет
не суть важно как они там видятся внутри системы (это понятно что они эмулируют обычные карты чтобы ничего не дописывать специально для их поддержки), вы просто не можете ими управлять...
Ну по сути, без внешних ПС вообше у карт смысла нет. На чипах можно хранить тоько мелкие операции на жвачку, и недолго.
ну для обычных ПС смысл есть, потому что картами управляют банки, а не ПС (которая только роутинг обеспечивает по факту)
а вот *Pay управляют независимые от банков сервисы
а вот *Pay управляют независимые от банков сервисы
Не так. Была статья даже на хабре что *Пей системы отданы на обрабботку тем же банкам. Ближе аналогия такого типа что ApplePay выпустил новый тип чипа, и уговорил банки принимать этот чип в своих терминалах. А клиентам предлагают бонусы и экосистему.
Если бы Вы были правыв ApplePay не надо было бы вводить номер карты.
ApplePay и GooglePay - не отдельные платежные системы. Они действительно используют токены, но только токены они не сами генерят. За них это делают те же Мастер Кард и Виза. Токен -это просто виртуальная карта.
По большому счетам банкам не обязательно знать что платеж инициирован Google Pay. Для банков транзакция ничем не отличается от пластика.
По большому счетам банкам не обязательно знать что платеж инициирован Google Pay. Для банков транзакция ничем не отличается от пластика.
тем не менее в системе эти платежи всегда делятся отдельными потоками
Где?
Эквайрер ничего особенного не делает. По крайней мере я не понимаю как они вообще могут понять что это Pay.
В платежной системе, про которую я знаю, ничего не делится. ПС "понимает" что это токен, смотрит PAN, и делает необходимые проверки.
Но это имеет про токен, а не про Pay. С другими типами токенов логика такая же
Эмитенты, конечно, могут иметь какие-то правила для риска в этом случае, но явно далеко не все из них это делают. И , самое главное, никто их не обязывает что-то делать
Эквайрер ничего особенного не делает. По крайней мере я не понимаю как они вообще могут понять что это Pay.
технические подробности я уже не вспомню, но я занимался тем что программил систему которая вела учет транзакций в разрезе платежных систем и считала комиссии потранзакционно по ним и делала отчеты и для эквайров и для МПС и для всех заинтересованных сторон.
Pay прозрачен для системы концептуально (и действительпо подразумевает что все должно работать прозрачно), но технически их транзакции всёравно выделены и требуют донастроек терминалов и систем через которых они проходят, у нас были отдельные большие проекты по внедрению их поддержки в процессинге, отдельно по гуглу, отдельно по эпплу, отдельно очень большой проект по онлайнплатежам эпплпей
и довольно долгое время, это кстати можно было заметить, оплата nfc телефонами работала довольно нестабильно, несмотря на то что карточки с nfc принимались отлично
Там кто-то должен выпустить токен для карты. "виртуальный" номер которым идет оплата. Похоже никто не подумал что кому то может потребоватся чтобы адрес сервера токенизации у конкретных банков/страны был свой. Ну не могло же случится что найдутся желающие рвать связность?
Беспроводная оплата работает… МИР'ом. Потому что у НСПК сервер токенизации конечно же свой.
Кстати Visa/MC через SamsungPay… тоже работает если терминал офлайновый. Просто потом не спишется ничего — связи то нет, а токен в бан-лист улетит.
А теперь тоже самое, но по-русски, пожалуйста :)
У них ещё в 2015 году внутренние платежи по России перевели на НСПК, то есть уже с тех пор это внутри страны технически были карты Мир. Соответственно, когда они ушли из России, для внутренних платежей ничего не изменилось.
SWIFT больше похож на обычную почту. Т.е. это не финансовая организация, а почта для финансовых сообщений. Где SWIFT код BOFAUS3N это аналог ZIP кода. И поле :59F: будет указывать счет и данные получателя. При этом сама SWIFT корреспондентские счета не предоставляет.
Про банковские карты пропущен шаг почему цифры были выпуклыми и сзади карты был образец подписи. И оплата не должна быть мгновенной, на передачу информации между банками дается большой период времени (30-ть дней)
на передачу информации между банками дается большой период времени
Не совсем на передачу данных (она очень быстрая (хотя еще есть варианты как-бы оффлайн платежей, когда терминал оффлайн и, скажем, в конце дня синкает транзакции)), а на, грубо говоря, подбивку балансов, ожидание возвратов и т.п.
ну вообще на передачу данных тоже, она там не очень быстрая, пресловутые файлики с транзакциями которые там через ftp пересылают могут и через неделю и через две недели только до конца цепочки доползти в некоторых случаях
быстро там только инфа об операции передается и то не по всей цепочке, а только факт что транзакция будет исполнена (загнав через месяц клиента в тех.овердрафт хехехе… когда файлики доползут)
p.s. файлики и ftp, с-современные технологии, я помню угорал над этим еще в конце нулевых, особенно с фразы "ой, случайно писят файликов дропнули… ну ниче завтра может быть переотправятся"
Это вот как раз и есть та самая "подбивка балансов, ожидание возвратов и т.п.". Ну или оффлайн транзакции.
Обычные онлайн транзакции максимум минуты идут куда надо (деньги фактически при этом могут еще не переводиться, но все записи и холд денег уже есть).
На передачу данных обычно отводится 60 секунд. Да и вы дольше на кассе не будете ждать - пойдете в магазин через дорогу. Принцип прост: терминал запрашивает проведение платежа на сумму X по карте Y. И получает ответ: approved / declined.
То о чем вы пишете - это клиринг. Взаиморасчеты между участниками ПС.
30 дней - это вообще третье. Есть платежи с предварительной авторизацией: сумма не списывается, а сначала замораживается (hold). В течении 30 дней мерчант должен завершить платеж или отменить. Если он этого не сделает, через 30 дней hold снимается и средства становятся доступными для клиента.
p.s. И даже около нулевых в РФ были банки с технологиями опережавшими время: Инком, Гута.
То о чем вы пишете — это клиринг. Взаиморасчеты между участниками ПС.
да, я именно про это и пишу, а передача данных про которую вы говориет вообще связана только с валидацией карты платежной системой, и проверки возможности проведения транзакции
p.s. И даже около нулевых в РФ были банки с технологиями опережавшими время: Инком, Гута.
они не то что были, долгие годы, начиная чутьли не с 80х годов, Россия была впереди планеты все в плане развития платежных систем (пусть и недоступных тогда большинству населения)… поскольку наши не опирались на легаси, а писали первые процессинги самостоятельно и не опирались на существующее уже тогда легаси…
довелось поковырятся в одной такой софтине из 90х… адовый агрегат конечно, при мне его на яву переписывали, я даже чуть чуть руку к этом приложил… очень клевый опыт… много всякого исторического мне рассказывали коллеги
да-да, про оффлановые транзакции было бы интересно почитать, помню в молодости работая в банке писал утилитку для разгребания оффлайновых транзакций. Славное было время. Интернет по модему, аська пятизначная :-)
Про банковские карты пропущен шаг почему цифры были выпуклыми и сзади карты был образец подписи
Электронные устроиства типа поса и банкомата пришли потом. изначально для проведения операции звонили в процессинг центр, диктовали номер карты и сумму, делали отпечаток карты (поэтому номер выпуклый был) заполняли бланк и сдавали его вместе с инкассацией.
И подпись была нужна чтобымагазин мог сравнить.
Та еще процедурка была я вам скажу.
спасибо за статью! после работы с блокчейнами, невольно задалась вопросом, а как же тогда работают обычные ПС. очень рада, что есть такое понятное и достаточно подробное объяснение ?
Спасибо за статью, плюсы прожал.
Вопрос: а чем в этой системе являются Yandex Pay, Samsung Pay и подобные Pay-сервисы? Их тоже называют платёжными системами, но они, очевидно, суть что-то иное.
Это уже следующий слой пирога. Они подключают к себе карты платежный систем и по сути дублируют их на мобильных устройствах (это про Samsung Pay и Apple Pay), Yandex Pay это еще третья другая история
Не дублируют, а токенизируют.
TAN формируется новый при каждой токенизации (т.е. если карта токенизирована на двух разных устройствах, то будет два уникальных TAN). Требования к нему идентичны требованиям к PAN, так как он передаётся вместо PAN в транзакции.
Для контроля уникальности исходной карты есть тег содержащий PAR, который уникален для одной и той же карты и не меняется независимо от количества токенизаций.
Это позволяет на транспорте (в случае отложенной авторизации) блокировать фрод (токенизировал карту без денег, прошел, а авторизация не прошла в итоге).
Если в платежном приложении персонализирован тэг 9F24 (PAR), который передается при обмене данными между платежным приложением и терминалом, то это означает, что Клиентом используется мобильное устройство.
В платежном приложении ПС МИР 9f24 ВСЕГДА персонализирован не зависимо от форм-фактора устройства и используемого oem pay (samsung pay, mir pay, apple pay and etc)
В статье я не увидел этого, хотя схема довольно простая - есть банк эмитент (кто выпустил карту), если платежная система (процессинговый центр, к которому подключаются банки), есть банк эквайер (это банк, который обслуживает терминал в магазине. К ним также относятся все pay-сервисы, которые предоставляют онлайн шлюз до банка эквайера. Например, Yandex Pay является шлюзом до банка Яндекс Банк), и есть пользователь, который владеет картой.
Т.е. платежная система связывает банк эквайер и банк эмитент, чтобы вы могли пользоваться картой банка Х в магазине, у которого терминал обслуживается банком Y. Платежные системы Visa, MasterCard, American Express, JCB и Discover как-то собрались и создали консорциум, что установило единый стандарт для всех нюансов платежного тракта и позволило единообразно проводить транзакции.
Шифрование тоже довольно просто устроено и это никакой не секрет. Шифрование транзакций многослойное и зависит от того, на каких этапах идет передача транзакции. Это все подробно описано в стандарте. Для шифрования используются железки, соответствующие стандарту PCI HSM и выбор тут небольшой, де-факто монополию держит компания Thales.
Собственно, на ранних этапах в точках продаж не было поддержи сразу Visa и Matercard, потому что банки могли не иметь соглашения со всеми платежными системами сразу. Как, например, сейчас не у всех есть соглашение с UnionPay или JBC.
А протоколы у платежных систем плюс-минус одинаковые и определяются компанией-монополистом Openway.
Еще стоит отметить, что транзакция резервирует средства, но не списывает их со счета. Фактические взаиморасчеты (commit) происходят позже и это может быть неприятно при сильных скачках курса, если валюта карты и валюта покупки отличаются, когда покупку сделали в пятницу, а деньги фактически сконвертировались и списались в понедельник. При этом по карте может быть совершен овердрафт, т.е. можно уйти в минус даже с дебетовой картой. Если прочитать условия обслуживание, то там всегда есть конский процент по таким вынужденно кредитным средствам.
Наверное, можно еще какие-то детали про платежные системы рассказать...
а как узнать по какому курсу пройдет моя операция когда я делаю оплату в пятницу в валюте отличной от валюты карты???
Никак, т.к. это будет ясно по результатам валютных торгов на бирже, а там заявки на сделки выполняются на второй банковский день. Если упрощенно, то банк для вас купит валюту, возможно по кросскурсам, и добавит свою комиссию.
Для каких-то гарантий можно воспользоваться курсом банка эквайера (если онлайн, то в шлюзе paypal, например, можно выбрать валюту платежа) и в магазине попросить выбрать валюту вашей карты в терминале оплаты, хотя не каждый продавец поймет что вы хотите. Тогда курс будет известен заранее, но заметно выше биржевого, тк банк за вас хеджирует риски скачков курса, а это тоже стоит денег, ну и плюс комиссия банка еще и за это.
Все гораздо хуже. Конвертацию сделает виза мастеркад и курс вас также удивит.
Плюс банку зачислится евро или доллар. К примеру, покупая товар за польские злоты происгодит двойная конвертация.
Банк в своих тарифаж учитывает эти нюансы, поэтому конечный курс иногда вызывает недоумение.
почему двойная? если карта у меня в евро?
Тут на самом деле куча нюансов. Евро если не основная валюта на карте, тут уже от банка зависит. При желании он все равно сделает конвертацию. Если немного есть совести (у банка, ага) спишет евро. Если основная, то локальные платежи могут разорить вас. И вообще лучше иметь карту для дома и для загран поздок
Никак, но лучше всегда платить в местной валюте. Или воспользоваться сервисами где можно на лету сразу иметь несколько валют на карте типа Wise.
Банки в частности очень любят скрытые комиссионные, как например курс обмены валют, который может существенно отличаться от центробанка.
А протоколы у платежных систем плюс-минус одинаковые и определяются компанией-монополистом Openway.
забавно что корни опенвея, Российские, из Питера
p.s. ну опенвей не совсем монополист, хотя и популярен
Thales не держит монополию. Есть, как минимум, Futurex. В РФ сейчас крутой HSM у СПБ.
железка в реальности выдаёт существенно больше указанных в табличке нескромных 40 000 tps (цифра приведена для перешифрования пинблоков CA/CC, и для этого режима указана, как минимальная). При этом, по факту, внутренняя производительность криптоядра разрабатывалась как высокопроизводительный 10GbE шифратор, (исходя из требований по загрузке интерфейса 10GbE который на борту железа). И при потребности, может быть значительно увеличена. Значительно.
Кастаельно openway, это всего-лишь один из вендоров процессинговых решений. Есть TIETO, 3CARD, Compass, ACI, BPC. У каждого есть реализованные pos-протоколы, и межхостовые.
У каждого банка стоит Thales в боевом контуре, тоже самое и в НСПК. Также этих железок немало лежит в резерве. Нам всем хотелось бы, чтобы отечественные железки захватили мир, но, к сожалению, это не так и нужно не обманывать себя, а работать лучше. Монополия означает не уникальность, а контроль рынка. Другие решения есть, но их влияние на рынок мало заметно.
Samsung Pay и подобные Pay-сервисы это клоны Визы, за исключением того что немного по другому обрабатывается номер карты. Они вклинились в существующие системы, не изменив глобально ничего. На карте есть так называемый AID, фактически ето номер системы, чья карта. Samsung Pay и подобные Pay-сервисы зарегистировали свои AID и совсем немного изменили процесс
это клоны Визы
визы или мастера? вроде мастер считается более технологичным и инновационным, тотже Мир сделан на основе мастера (как и куча других платежных и псевдоплатежных карт, как например топливные карты BP) да и PayPass — более известен чем PayWave
p.s. реальность не знаю, просто интересно
Это не так.
PAN карты токенизируют.
TAN формируется новый при каждой токенизации (т.е. если карта токенизирована на двух разных устройствах, то будет два уникальных TAN). Требования к нему идентичны требованиям к PAN, так как он передаётся вместо PAN в транзакции.
Для контроля уникальности исходной карты есть тег содержащий PAR, который уникален для одной и той же карты и не меняется независимо от количества токенизаций.
Это позволяет на транспорте (в случае отложенной авторизации) блокировать фрод (токенизировал карту без денег, прошел, а авторизация не прошла в итоге).
Если в платежном приложении персонализирован тэг 9F24 (PAR), который передается при обмене данными между платежным приложением и терминалом, то это означает, что Клиентом используется мобильное устройство.
В платежном приложении ПС МИР 9f24 ВСЕГДА персонализирован не зависимо от форм-фактора устройства и используемого oem pay (samsung pay, mir pay, apple pay and etc)
Я это и назвал немного по другому обрабатывают номер карты:) Вы просто глубоко в технические дебри зашли. Тогда надо обьяснять весь процесс, кернел параметры и т.д. :)
Вы 4 раза скопировали один текст. Как токенизация карты противоречит тезису что это склонировано с визы или что номер карточки обрабатывается по другому? посылается дополнительный тег 9F24? Да на каждый чих посылается свой дополнительный набор тегов. И это не делает карту мир уникальной. И PAR не является обязателным полем. Потому что даже по токеу банк эмитент знает исходную карту и может проводить все необходимые процедуры.
"на карте также есть магнитная полоса. Именно она содержит... текущие балансы и остатки".
А как обновляютья балансы на магнитной полосе?
При прокатывании через терминал или при нахождении карты в банкомате?
Хотя выглядит такая схема как-то не очень надежно, учитывая, что обычно прокатывание осуществлялось продавцом или покупателем вручную почти на произвольной скорости один раз, за который надо и прочитать, и записать данные. Банкоматы же не факт, что гарантированно владельцем карты используются достаточно часто, чтобы на полосе были актуальные данные.
Ну это не так, конечно. Нету там никаких балансов. И вообще на карте баланса нет.
Начать можете прямо с википедии: https://en.wikipedia.org/wiki/Digital_card
насколько я помню на карте есть последний баланс (он вроде записывается там где он может его получить, в банкомате например, я давно уже не отрасли подробнее не подскажу уже), но вообще он вроде как чисто информационную ф-цию выполняет для какихто определенных операций… типа возможности некоторых оффлайн транзакций (в РФ такого почти нет, но в принципе)
Если «в принципе», то никакого баланса не нужно для оффлайн операций. До сих пор довольно часто, например, в США можно встретить импринтер, который переносит эмбосированные (выдавленные) символы с карты на бумагу. И что там с балансом никто не знает в этот момент. А потом раз в пару недель владелец магазинчика ездит в ближайший райцентр в банк с этими бумажками, где их обрабатывают и направляют заявки на списание средств. На удивление гостей владелец отвечает, что им и так хорошо, а на установку современных онлайн терминалов нет лишних денег.
Что уж говорить, если даже в Санфране не везде Apple Pay принимают. Это парадокс раннего внедрения технологий.
Если «в принципе», то никакого баланса не нужно для оффлайн операций.
Нужен. Просто в он может быть 'в голове'. И чтобы не было лишних трений -- нужны еще законы, культура, обычаи и привычки помнить о том, что бывает так, что ты расплатился с кем-то обещанием денег, а твой банк еще про это ничего не знает. А также привычка постоянно самостоятельно подсчитывать/прикидывать, хватит у тебя денег на счету на все эти операции или нет.
Если же, как у нас, в современное время, когда привык, что "видишь сумму на (дебетовом) карточном счету в телефоне - значит, можно всю ее потратить без проблем" -- то возникнут сложности.
Вот пример дампа второй дорожки:
;4034351574462072=2402121111946800?
Данные, конечно, ненастоящие, но если записать на белый пластик и прокатать в терминале, то никакого подвоха он не заметит, формат правильный.
Никаких балансов, условий обслуживания и тому подобного там нет. Тут только PAN (номер карты), PVV (значение для проверки ПИН), сервис-код и защитный код (CVV1/CVC-1).
Ну, или вот.
Это была цитата. Автор поправил статью, убрав информацию о балансе.
да, на полосе нет, а в чипе? (я чет подзабывать начал что чисто полосатые карты еще существуют)
Гугление говорит что-то про возможность существования "Offline Balance"
Ну и дополнительные приложения можно в чип воткнуть. Для оплаты транспорта разные варианты "электронного кошелька", например, существуют. В этих приложениях - точно есть и его надо пополнять, чтобы пользоваться.
нет, я помню что там, в основном стандарте, есть запись с последним балансом карты, чтобы в некоторых вариантах (если это можно в правилах банка) проводить оффлайн операции если связи нет
На магнитной полосе? И как это должно работать если хотя бы часть из терминалов оплаты не умеет писать?
есть запись с последним балансом карты
А вот про это, кстати, у меня не нашлось ничего внятного, хотя тоже смутные воспоминания о чем-то похожем есть.
Если мы говорим про EMV продукты Visa/MC/Мир, то это не баланс. Это offline лимит карты, грубо говоря. А если точно, то параметров, определяющих "согласится ли приложение карты на offline в данной операции " гораздо больше чем один.
лимиты изменяются при offline операции и могут быть модифицированы скриптом (набор APDU команд чипу), опционально присылаемым в рамках on-line авторизации.
так что называть это "off-line балансом карты" не совсем корректно.
Никаких балансов на магнитной полосе нет и не было никогда. Ни на одной карте сейчас не содержится информации о том, сколько у вас денег на счету.
Терминал делает запрос можно вам эту сумму потратить или нет.
Вот обещанные цифровые деньги будут содержать информацию о том сколько денег вы можете потратить без всякого запроса
В первоначальной версии статьи автор утверждал что баланс есть. Теперь поправил.
Если я в условной Турции снимаю деньги с местного банкомата по карте Виза, то запрос о моем балансе идет в реальном времени напрямую в мой банк? Как это устроено?
А что вас удивляет? Когда я с Визы делаю покупки онлайн, для подтверждения открывается страница моего банка в течении миллисекунд, где вводится информация с токена, общего для всех услуг в стране. То есть визы точно знает на какой endpoint какого банка нужно стучаться для подтверждения возможности снятия этой суммы или нет.
По сути там всего два запроса получается, один к самой визе, которая в хеш-таблице по номеру карты находит к какому эмитету нужно обращаться — второй собственно уже к самому банку.
P.S. ИМХО, баланс как раз Виза не должна запрашивать — только можно ли проводить покупку на такую сумму у такого продавца или нет.
:) Там нет ничего. Номер карты срок дейсвия. Раньше писали информацию небходимую для обработки пин кода и имя владельца. Сеичас и это не пишут.
На чипе иногда использую кошелек для мелких операций, но этот механизм не взлетел и давно его видно не было
Статья интересная, не понятно, за что тут минусовать. Интересно было бы прочитать как раз про различия платежных систем. Про их индивидуальные фичи и так далее
"Прокатывание" карты это именно физическое отпечатывание номера карты через копирку, поэтому цифры на карте выпуклые.
Это потом появилась магнитная полоса и её протягивали через считыватель.
Интересная статья и подача материала тоже ! Пишите дальше, в том же стиле.
Очевидно, что это была ошибка банка. Я написал ему об этом. Девочка из службы поддержки доблестно сражалась со мной, но когда я начал по пунктам ей расписывать устройство платежной системы и МСС-кодов, она осознала, что противник слишком силен. Кэшбэк в итоге пришлось доначислить.
А можете перепиской поделиться? Хотя бы в личку?
Меня вполне устроит без персданных и названия банка. Хочется знать тот самый магический набор слов, который позволяет пробиться через фронтальных девочек.
Помню в РокетБанке, когда он был, и без магических слов меняли катигорию и насчитывали кэшбэк. Подозреваю, что тут от банка и их отношения к клиентам больше зависит.
а если сперва позвонит один клиент - скажет поменяйте категорию, а потом второй, скажет поменяйте обратно. Банк так и будет категорию мерчанта менять по 10 раз в день, под каждого клиента???
Зачем? Просто вздохнуть «не прокатило» и увеличить для вредного клиента циферку с кешбеком :р
В тинькове это простая операция. Пишешь в чат и сообщаешь, что вот тут я оплатил курсы, а по МСС прошла как книги. Да, магазин продает и книги тоже, но вот скриншоты с почты, что я курсы оплатил. И в рамках лояльности засчитывают кешбек.
Такой же трюк провернуть со сбером думаю слабо реально.
реально?
в первый раз такое слышу...можете пример из жизни привести с тинем?
Пример с книгами и курсами это и есть реальная жизнь. Курсы стоили 30к и у меня была выбрана повышенная категория на эту мсс, а у точки оказалась мсс книги. В итоге предоставил выписку с почты, скинул ссылку на сайт, где курсы покупал и мне засчитали их по-другой мсс, а не по книгам. И налили повышенный кешбек.
Забавно.
Пожалуй, да, такой сервис только у Тиня есть.
Сбер и прочие нахрен бы послали)
Сбер вообще на контакт не идет. Ответы ждешь неделями.
А с альфой было забавно. При любых непонятных ситуациях в тарифе они ссылались на свой pdf с тарифами в котором было хрен знает сколько страниц, по ощущениям страниц 1000. Что-то найти там было решительно невозможно. И как оказалось, что не только я не мог там разобраться и найти, но и операторы альфа банка тоже. Потому что я искал по этому пдф просто по ключам нужные мне вещи и ссылался на них будто они для моего тарифа. Операторы видимо начинали читать это говно и в итоге соглашались со мной и делали что я хотел.
Очевидно, что это была ошибка банка. Я написал ему об этом. Девочка из службы поддержки доблестно сражалась со мной, но когда я начал по пунктам ей расписывать устройство платежной системы и МСС-кодов, она осознала, что противник слишком силен. Кэшбэк в итоге пришлось доначислить.
1) во первых это могла быть не ошибка банка, а мухлеж автосервиса который выбивает себе проценты поменьше
2) девочке в поддержке нет смысла объяснять, она может даже не знать как работает платежная система, у неё есть скрипты и она по ним работает
3) справедливость ради — действительно существуют некоторые вещи про которые поддержка не может вам сказать (под страхом лишения премии), но может сделать по прямому запросу если сказать это уверенным голосом что вы прям 100% знаете что так можно (например отменить оффлайн транзакцию проведенную без карты)
Не секрет, что за безналичные карточные платежи все продавцы (на сленге платежных систем они называются "мерчантами") платят комиссию. В России это примерно 1,5-2% от суммы транзакции, в США примерно столько же, в Европе меньше — в общем, везде по-разному.
Всегда это удивляло, словно от перевода больших сумм себестоимость этого перевода подскакивает на порядки. Я, конечно, понимаю что это может быть механизм размазывания большой себестоимости перевода на всех участников рынка в пользу тех, у кого средств меньше. Но ни один финансист мне точно на этот вопрос не ответил)
А чтобы у меня было побольше мотивации быстрее ее написать — ставьте лайк под этой.
Тут лайков нету...
Ну окей, плюсик)
Всегда это удивляло, словно от перевода больших сумм себестоимость этого перевода подскакивает на порядки.
я не финансист, но вообще насколько я понимаю, от этого зависит резерв денег в клиринге и на всякие страховки
1) банки живут на комиссиях (со всех с кого могут). Соответственно, логично больше комиссию брать с тех, у кого больше денег.
2) обычная в финансовом мире логика: прибыль пропорциональна риску. Транзакция на большую сумму - это большой риск (например, фрода, или технической ошибки итд), соответственно должна приносить больше прибыли.
Не вы первый. Обычный ответ -> не хотите, не подключайтесь
словно от перевода больших сумм себестоимость этого перевода подскакивает на порядки.
Вас же не удивляет, когда адвокат по наследственным делам, определяя размер своего гонорара, интересуется стоимостью наследства, за которое он в суд пойдет? Вот и тут так же.
Не соглашусь с поинтом, что банки не могут справиться с таким объемом транзакций сами. Объем в любом случае прямо пропорционален количеству терминалов этого банка и количеству клиентов, которые расплачиваются картами этого банка. Т.е. теоретически если бы каждый банк захотел бы выкинуть все ПС и обслуживать все транзакции сам, то сильного всплеска нагрузки бы не было, объем остался бы +- тем же.
Т.е. если ты маленький банк в стране с 10 млн населением и количество клиентов у тебя 1 млн, то при прямой интеграции (пофантазируем) со всеми банками мира твоя инфраструктура вполне была выдержала (исключение - разве что какое-то мировое событие, когда население страны внезапно увеличилось в несколько раз).
Другой вопрос, что интегрироваться с каждым банком мира отдельно - это действительно практически нерешаемая задача.
Все это, конечно, интересно, но меня больше волнуют другие вопросы.
Почему на картах основных платежных систем до сих пор публикуется информация, достаточная для оплаты (в интернете)?
Из известных мне только эппловские карты лишены подобного недостатка, но они вроде как даже не карты известных карточных систем, а сами по себе. У остальных в лучшем случае вместо поля для подписи (на которое никто не смотрит) появляется надпись "подпись не требуется".
Учитывая, что сейчас существуют всякие стикеры, кольца, виртуальные карты, на которых подобного по понятным причинам не видать, непонятно, зачем этот анахронизм сохраняется на обычных картах?
Хотя бы cvc/cvv код убрали бы. Или пин-код печатали для полноты картины, чего уж там мелочиться.
Почему на поле на подписи часто невозможно расписаться (ручка или не оставляет след вообще, или этот след после ручки любого типа легко размазывается чем угодно через любое время после оставления подписи)?
Почему на картах основных платежных систем до сих пор публикуется информация, достаточная для оплаты (в интернете)?
потому что легаси, стандарт действует чето типа 5-10 лет… в один из циклов может и уберут
вот у меня например есть эмбоссированная карта втб, а в мобильном приложении я не могу посмотреть ее номер (вот тупо нет такой ф-ции, он только в маскированном виде отображается)… и все тупик… я ее кудато засунул дома и не могу найти и получается что и пользоваться не могу теперь
А теперь экстраполируем на весь мир, где в т.ч. до сих пор существуют эмбоссеры например
p.s. со злобой посмотрел на карту тинькова с которой номер стерся на третий день использования, благо в интернет банке подглядеть можно
с которой номер стерся на третий день использования
Стесняюсь спросить, что вы с ней такое делали то? :)
У меня уже два года почти - выглядит как новая.
Стесняюсь спросить, что вы с ней такое делали то? :)
носил в кармане? или надо её бережно заворачивать в бумажку и акуратно хранить в кошельке?… я так и не привык карточки в кошельке хранить и носил всегда их в кармане, теперь правда с приходом nfc и сбп я вообще карточек с собой не ношу
Ну так я тоже в кармане ношу, без бумажек/пакетиков и прочего. Какие-то у нас разные карманы :)
пластик (ну и метод печати) тоже бывает разный. Иногда цифры на карте вдавленные и краска уже в углублениях нанесена. Тогда, во-первых, не так быстро сотрётся даже в кармане, во-вторых — даже если сотрётся, сами углубления под определённым углом видно или на ощупь, так что номер разобрать можно. А кто-то печатает просто краской по пластику, она от трения о ткань хорошо стирается...
Так мы про одни и те же карты тинькова. Я не думаю, что там технология производства принципиально поменялась.
Сейчас вот кстати посмотрел остальные свои неэмбоссированные карты - цифры там как-будто чуть проплавлены и прожжены внутрь пластика. У тинькова - чуть вдавлены и залиты краской.
у меня тиньковский "платинум", номер карты просто напечатан (был) поверху без всяких вдавленностей
У меня обычный блэк.
Если пальцем провести по тому месту где были цифры ничего не ощущается? Странно, может быть действительно поменяли технологию.
Выпуклости (эмбоссинг) практически потеряли актуальность, так как это фактически ручная обработка. Плюс печатать выпуклости долго и нудно. Поэтому придумали карты без этих заморочек, которые предназначены только для электронных устроиств и интернета. Скоро и магнитную полосу уберут, как не обеспечивающую стандарыбезопасности и останется только чип :)
А иногда и вообще не пластик. У нас куча банков карточки делают просто из ламинированного картона.
потому что легаси, стандарт действует чето типа 5-10 лет… в один из циклов может и уберут
Оно уже пес знает сколько лет легаси. Циклов по 5-10 лет несколько прошло с тех пор.
А теперь экстраполируем на весь мир, где в т.ч. до сих пор существуют эмбоссеры например
Слипу с эмбоссированной карты достаточно номера карты, срока действия и имени владельца. Остальная информация лишняя. Причем по нужности имени владельца отдельный вопрос. Банк, конечно, может выпустить карту с тем же номером для другого владельца сразу после досрочного закрытия предыдущей, но насколько это вероятно?
Опять же, учитывая наличие в ассортименте у банков карт без эмбоссирования и вообще безымянных (на предъявителя) точно уже больше десяти лет, какого было не разрешить выпуск карт вообще без маркировки (пусть бы их не везде принимали бы, но и карты без эмбоссирования вроде не везде принимают)?
cvc/cvv код вообще никогда не выделялся рельефом. Так что по данному параметру, собственно и вызывающему мое возмущение, эмбоссирование никаким боком. Это же дыра в безопасности, изначально заложенная в стандарте. Им жулики при разработке стандарта денег занесли?
Оно уже пес знает сколько лет легаси. Циклов по 5-10 лет несколько прошло с тех пор.
ну а сколько?
электроном разрешили в интернете платить только в начале 10х… это 13 лет всего прошло (отсюда можно отсчитывать массовые платежи в интернете, когда появились суррогатные виртуальные карты сделанные через всякие мудреные хаки, и первые Visa e-c@rd), стандарт менялся помоему в 14 (тогда кстати отменили обязательное имя на карте, позможность пинкоды менять и ставить их через телефон/интернет) и далее уже в 16-17 году (тут гдето классик стал не эмбоссированным и какието изменения еще были у электронов)
какого было не разрешить выпуск карт вообще без маркировки (пусть бы их не везде принимали бы, но и карты без эмбоссирования вроде не везде принимают)?
UnionPay позволял чутьли не с самого начала
Maestro чтото такое тоже (но им нельзя в интернете платить)
Это же дыра в безопасности, изначально заложенная в стандарте. Им жулики при разработке стандарта денег занесли?
Это костыли онлайна прикрученные к чисто оффлайновому решению, буквально сбоку
если прослеживать развите карты — видно как легаси постепенно отпадает
Слипу с эмбоссированной карты достаточно номера карты, срока действия и имени владельца. Остальная информация лишняя. Причем по нужности имени владельца отдельный вопрос.
разве продавец не должен проверить документ владельца?
Не знаю за втб, но в альфе и олеге инфа о карте доезжает ПУШОМ, а после известных событий и удаления банков из сторов пуши принять нельзя. Мб в ВТБ такая же проблема.
В Альфе номер карты нормально отображается в самом приложении, а вот CVV теперь приходит СМС-кой.
Раньше да, CVV приходил пушом.
Не знаю за втб, но в альфе и олеге инфа о карте доезжает ПУШОМ
разве? в ткс смотрится в приложении/на сайте, и что-то я не помню, чтобы было иначе. если смотреть на сайте, то требуется код, который приходит пушем/в смс.
про альфу тоже выше написали
Ответ простой и это волшебное слово LEGACY.
Бюрократии там мама не горюй, поэтому на каждый чих там отдельные документы. Вплоть до того где логотип ПС на карте должен быть и какого размера и какого вида.
Тут только недавно от выпуклых цифр избавились и перенесли их на заднюю часть карты.
Ну вот в последнее время банки стали выпускать платежные стикеры. По сути те же карточки, только без всего этого.
только это врятли карточка, это скорее токен а-ля телефонный гугл-эппл-пей, только со статическим чипом
Я где-то читал, что там именно что карточный чип с антенной.
А можно конкретнее? У нас это просто банальный NFC без всяких антенн. Причём в банковские карточки с бесконтактной оплатой точно такие же пихают.
Что именно? Потроха (чип+антенна) обычной карточки, только без контактных площадок.
Платежный стикер – это, по сути, обычная карта “Мир” с усиленным NFC-чипом
https://vc.ru/money/599220-chto-takoe-platezhnye-stikery-i-dlya-chego-oni-nuzhny
например SamsungPay и их технологией MST который не эмулировал карту с магнитной полосой, а просто использовал ридер терминала передавая совершенно другие данные через него (это та штука которая позволяла платить смартфоном через старые терминалы не поддерживающие wireless карточки)
хотя с точки зрения стороннего человека, даже инженера, казалось что смартфон эмулирует именно карту с полосой
честно говоря могу немного ошибаться (про стикеры), поправьте если кто знает лучше
ну естественно там чип, только это не карта как таковая (с архитектурной точки зрения), учитывая что у неё нет СКС и прочего
ну нет счёта, и что? у карт,выпущенных нко, тоже нет счёта. кукуруза/связной тому пример.
и даже у карт, выпущенных банками, обычная ситуация, когда к одному счёту привязано несколько карт (называется «дополнительная карта»,в просторечьи «допка»). вот как допку этот стикер и надо рассматривать.
только это врятли карточка, это скорее токен
гхм, а что, если не допка, только одноразовая, этот самый токен?
Смотря какой банк. На моей MasterCard банка Chase только имя и всё, остальное смотреть в приложении. Так что будущее потихоньку наступает
cvv/cvc как раз нужен для оплатыпо интернеты. из за указаной Вами проблемы стали вводить 3д секуре. Идентификацию методом не считываемом с карты. СМС в основном
подпись не требутся если проведена идентификация. Пином или другим надежным методом. Аппле фэис аиди и другое.
Термо бумага не особенно предназначена для подписи :)
cvv/cvc как раз нужен для оплатыпо интернеты. из за указаной Вами
проблемы стали вводить 3д секуре. Идентификацию методом не считываемом с
карты. СМС в основном
"3д секуре" - скорее соглашение между банком и продавцом. Если продавец не поддерживает эту фишку (по моему опыту так почти всегда), оно не используется.
В большинстве случаев при оплате через интернет cvv/cvc достаточно, что при наличии этого кода в открытом виде на карте (можно, например, незаметно сфотографировать обе стороны в момент оплаты) как-то совсем небезопасно. Они бы еще пин на карте печатали, чтобы можно было с украденной карты просто сразу все деньги снять, а не мучиться с покупками через интернет.
Термо бумага
Т.е. это банк должен пропечатывать в этом поле образец подписи клиента? Или как оно вообще должно в принципе функционировать. А то банк не печатает (ни разу такого не видел), а клиент сам расписаться толком не может.
С 3DS есть еще такой момент - если транзакция прошла без него - то риски по фроду на продавце. Если с ним - то продавцу уже пофиг. И в последнее время, по моим наблюдениям, крупные платежки форсят использование 3DS мерчантами.
3D Secure обязателен насколько я помню. Другое дело если эмиттент не хочет/не может организовать он все расходы берет на себя.
Подпись нужна когда не произвелась проверка другого типа. Грубо говоря при проверке пином подпись не нужна
поясню про 3д секуре. Это технология, придуманная платёжными системами. И в правилах ПС есть раздел про liability shift, где написано: если карта в принципе поддерживает 3ds, но e-commerce транзакция почему-то прошла без него, то "в случае чего" (например, фрода) все риски ложатся на того участника, из-за которого не применился 3ds (т.е. того кто не поддержал 3ds). На практике это обычно либо мёрчант, либо эквайер. Ну или платёжный шлюз какой-нибудь.
Вообще-то предполагается там расписываться перманентным маркером (например некоторое время назад продавались под названием "фломастер для CD"). Но если операционист, выдававший вам карту, куда-то маркер посеял (или его не проинструктировали, или банк сэкономил, итд), то вам могут и простую ручку выдать, да :)
Вопросы, конечно, у вас...
1) не на всех ,а только на пластике. Вроде на металле тоже.
2) Это вам надо обращатьяс в банк, где эмитируются карточки. Пусть вам на другом пластике выпускают)))
Решил немного дополнить автора исторической справкой вместе с некоторой личной историей.
Первые карточки появились на территории США, когда единственным средством безналичной оплаты были банковские чеки. Вот тогда-то не так широко известная у нас american express придумала для идентификации клиентов использовать специальные карточки. То есть та же самая песня, что и с чеком, только быстрее и проще. Поэтому на выпущенных картах появились выпуклые цифры, которые с помощью машинки и листочек копировальной бумаги позволяли сделать слип карты, один из которых получал продавец, а покупатель расписывался на этом клипе, подтверждая, что именно он сделал покупку.
Мы, так как у нас этих карт долго не было, практически сразу получили карточки уже с магнитной полосой и прокатывающих машинок в России не было за исключением магазинов для иностранцев типа берёзки. Но выпуклая цифры на большинстве карточек до сих пор присутствует и теоретически деньги можно снять и так.
А теперь личный опыт.
Первая карточка у меня была так называемая виза электрон, на которой выпуклых цифр не было, как бы таким образом показывая, что нужно обязательно использовать электронный терминал. И вот как-то раз, совершая покупку на одном из рынков южной Кореи, продавец взял у меня карточку и попытался прокатить её по машинке, так как терминал электронного у него не было. Естественно у него ничего не получилось, потому что цифры-то невыпуклые. Тогда он просто переписал данные и попросил меня расписаться. При этом смотрел на меня с неподдельным восхищением, понимая, что цифры-то стесались, это же сколько я покупал по этой карте:)
и прокатывающих машинок в России не было за исключением магазинов для иностранцев типа берёзки.
по рассказам старожилов, в 90х-нулевых эмбоссеры сотнями в месяц отгружали, другое дело что многие годы банковские карты были прерогативой богатеньких (помню у меня подгорало что очень один очень известный продуктовый ритейлер (не ашан, там другие тараканы были, почему) очень долго не ставил эквайринг с обоснованием "наши клиенты не настолько богаты чтобы иметь кредитку" (рукалицо) )
Тогда он просто переписал данные и попросил меня расписаться. При этом смотрел на меня с неподдельным восхищением, понимая, что цифры-то стесались, это же сколько я покупал по этой карте:)
вот он и встрял на эту сумму буквально подарив вам товар бесплатно, такую операцию нельзя провести по электрону в принципе, даже если очень захотеть… это кстати в РФ в конце нулевых придумали костыли чтобы электроном платить в интернете
В начале девяностых получить кредитку с выпуклыми цифрами стоило очень дорого.
вот он и встрял на эту сумму буквально подарив вам товар бесплатно,
Тогда мало кто знал как оно будет. Но сумма там была не очень большая.
Хотя конечно, обладая нынешними знаниями, я бы так не поступил.
Справедливости ради, эмбоссер это большая такая машина которая выдавливает на карте цифры и покрывает их термофольгой.
Машинка для прокатки слипа в магазине называется импринтер.
В 96 году элексбанк (ныне терминалы элекснет) эту технологию активно внедрял.
Интересно, спасибо за историю!
Статья интересная и полезная, как раз то, чем все пользуются, не до конца понимая, что это есть не самом деле.
Но:
"что платежные системы - это не просто логотипы"... Всё ещё просто логотипы. Меняешь как перчатки, эти же логотипчики все так же где-то дают скидки. Честное слово, когда спрашивали какую платёжку, то просто брал то, что лежит к душе ближе. Правда, потом пожалел, потому что у мастеркарда появилась скидка на оплату в автобусе...
"что платежные системы — это не просто логотипы"… Всё ещё просто логотипы.
соглашусь, для простого пользователя это именно что логотипы
меня еще удивляла раньше реклама МПС… типа а тут Classic, тут возможности Gold!!! ого!!! а вы знали о технологии PayWave? и что это не тоже самое что PayPass? и что у JCB в РФ долгое время не работал (а работал ли вообще до 22 года?) JCB Contactless… и что он тоже не тоже самое что PayWave/PayPass ..(голова уже от неизвестных названий кружится)
Я до сих пор не могу понять, зачем вообще обычным пользователям это пытались рекламировать учитывая что МПС вообще не ориентированны на физиков и их эти "Требуйте Master Card Ring в вашем банке" выглядело издевательством учитывая что их выпускала только альфа и то очень ограниченными тиражами… а брошюрки и рекламки таких колец я года с 2008 видел регулярно
Ну, знаешь, у Gold'ов были реальные преимущества типа бизнес-зон в аэропортах или подобное. А рекламировали новые карты, чтобы вы заплатили за перевыпуск карты с новой технологией раньше всех, согласись, бесконтактная оплата это инновация)
ВТБ в свое время не могли адекватно перевыпустить карту с PayWave и такой вопрос приводил операционистов в замещательство… они помню долго скрипели мозгами… и всёравно перевыпустили карту без paywave
Ну, знаешь, у Gold'ов были реальные преимущества типа бизнес-зон в аэропортах или подобное
Тут можно в пример привести Тиньков Платинум, который в самом начале был MC Platinum — причем настоящий, 100% платинум, но к нему не прилагалось вообще ничего кроме возможности оплаты без контроля лимита (в неразрешенный овердрафт, да) и скидок по MC Избранное
Все плюшки убрали с отменой комиссии за обслуживание карт, в Авангарде какое-то время была сноска про доступность страховки только для оплативших обслуживание платины.
упомянутый мной втб голд, имеет существенную комиссию, а плюшки там настолько позорные что прям смешно
вообще тиньков в свое время совместно с самими платежными системами настолько дескредитировал деление карт по классам голд/платина что помоему в них вообще не осталось смысла… какоето время только Signia и Infinite имели какойто смысл но чтото мне кажется последние годы и от них толку нет… читал на банкиру историю как какойто чел ругался с банком что ему без предупреждение посещение бизнес-зала в аэропорту ограничили с 10-15 до 1-3х раз в год… а заметил он тогда когда с него срубили комиссию тысяч 30 за такое… причем комиссии остались теже
от моего ВТБголда помоему только консьерж сервис остался (которым я ниразу не пользовался)… хотя сначала была и международная страховка (включенная в тариф) и всякие еще плюшки… комиссию мне никто не понижал конечноже
Хорош ! Я недавно начал работать в Фин Техе, побольше бы статей подобных.
Автор:
Во-первых, примерно 20 лет назад консорциум из шести крупнейших мировых платежных систем разработал специальный стандарт работы с данными платежных карт - PCI DSS (Payment Card Industry Data Security Standard). Обещаю, что это будет первая и последняя подобная аббревиатура в этой статье.
Автор несколькими абзацами ниже:
MCC (Merchant Category Code) - категории, по которым распределяются мерчанты в платежах.
Вот так выглядела прапрабабушка современной банковской карты от American Express. По функционалу это была скорее долговая расписка
Но на бумажке написано "American Express Company будет бесплатно перевозить по своим линиям на протяжении 1901 года личные посылки <Имя Фамилия>"? То есть это почтовый абонемент, а не средство платежа или расписка.
Ещё помню как карты прокатывали, делали типа ксерокопии, не было интернета и терминалов. Не обращаю внимания на кэшбек, считаю приятным бонусом.
Пишите еще, однако обратите внимание в будущем: меньше воды - больше мяса. И тогда все будет хорошо.
«они дополнительно шифруют данные по своим собственным алгоритмам.» - ведь это самое интересное, а вы опустили :(
Это даже внутри Мастеркарда, где я работал, знают единицы. Суперсекретная инфа
Жаль, т.к. всё остальное тривиально.
Нетривиальное можно почитать у нас в блоге, там много технических деталей, как пример - Эквайринг: Авторизация по банковской карте, протоколы и узлы обмена. Часть 1, «POS to HOST»
А можно все таки статейку о том, как происходит авторизация карты в терминале, подтверждение переводов, и как все это дело защищается? Не досконально конечно, ну плюс минус в общем виде. Странно что вы считаете это неинтересным, на ресурсе для технарей то.
Может попозже соберусь и напишу)
Эквайринг: Авторизация по банковской карте, протоколы и узлы обмена. Часть 1, «POS to HOST»
Эквайринг: Авторизация по банковской карте, протоколы и узлы обмена. Часть 2, «HOST to HOST»
Пожалуйста, подробные технические статьи, как раз описывают авторизацию в терминале
Было бы еще интересно как происходит клиринг между банками X и Y при участии ПС. Ведь не будут же они прям каждую транзакцию реально проводить, как мне кажется, с каким то интервалом должны сводиться балансы, для сокращения реальных пересылок денег... Ну, в рамках одной страны, к примеру, в 50% магазинов терминалы банка X, и через него оплачивают картами банков Y, Z, ... через разные ПС. и чтобы не проводить сотни тысяч транзакций из Y в X по 100 денег, лучше раз в сутки суммировать, и перевести всё что пологается из Y в X, или необорот, чтобы свести баланс...
Ну, я не специалист, поэтому и хотелось бы узнать, как оно там работает под капотом :)
оно примерно так и делается, насколько я знаю
процессинг считает деньги сразу кучей по всем платежным системам и также кучей отправляет… а транзакции идут как метаданные рядом
это так устроено в том числе потому что деньги не 24/7 можно слать, а только в рабочие дни и не в течении всегодня, и их аггрегируют хотябы по этому
а потом если балансы у отправляющей и принимающей стороны расходятся, начинают искать подвисшие транзакции… вручную (рукалицо)… для этого в т.ч. и 30 дней даётся
Вы правы, регулярно клиринг делают и рассчитываются по остаткам (насколько я знаю, клиринг примерно раз в день)
Мне одному кажется, что 1-3% со всей суммы за каждую транзакцию это просто грабёж? Помню было время в банках были депозиты под 3% годовых в USD. А тут ПС и банки просто в секунду берут ту же сумму...
В смысле "в секунду"? Процент же это относительная величина, она одинаковая хоть в секунду, хоть в год.
В нормальных странах есть локальные платёжные системы и direct debit, где транзакция стоит фиксированные центы, а за оплату кредиткой или картой МПС могут увеличить цену размер комиссии.
Но только в РФ государственный НСПК по дебетовым картам дерёт пару процентов за транзакцию. Что-то банки могут вернуть в виде "кэшбека", но всё равно зарабатывают миллиарды на комиссиях и отказываются от выдачи кредитов.
Попробуйте получить кредитку с нормальным лимитом в ТКС или просто посмотрите структуру дохода в их финансовом отчёте.
Попробуйте получить кредитку с нормальным лимитом в ТКС
ТКС это тиньков? у них же конские проценты на кредитки, это исторически так сложилось когда они кредитки всем подряд раздавали чутьли не на улице
а с лимитом как раз проблем у них никаких нет, у меня помоему тысяч 400 только это безумие его использовать
Они сейчас дают смешной лимит, чтобы зарабатывать штрафами на перерасходе - увеличить лимит нельзя, отключить перерасход тоже (статус нигде не отображается).
Мне два раза подтвердили его отключение в поддержке, а потом прилетел штраф, который списали при обращении со словами "теперь мы точно его отключили".
Они сейчас дают смешной лимит, чтобы зарабатывать штрафами на перерасходе — увеличить лимит нельзя, отключить перерасход тоже (статус нигде не отображается).
изначально (лет 13 назад) лимит был 10тыс рублей… сейчас он 400тыс
видимо ничего не изменилось
а вот кстати возможностью платить в неразрешенный овердрафт я часто пользовался, очень удобно заплатить этой картой в перелимит (если карточку другую забыл. нала нет, на телефоне nfc не срабатывает) и в течении часа закрыть его, штрафа при этом не будет
изначально (лет 13 назад) лимит был 10тыс рублей… сейчас он 400тысвидимо ничего не изменилось
У меня 28к и за год не изменился ни на рубль, хотя любой другой банк даёт сколько попрошу.
Может на мне скоринг сломался, либо это какая-то нездоровая геймификация, но скорее просто стимулируют платить дебеткой или выходить из грейса, чтобы банк мог наконец заработать.
Ну так никто никого не заставляет этим пользоваться. Хотите идите к конкурентам, хотите платите наличными. И никто никому не запрещает создать свою альтернативу.
Другое дело что это удобно и альтернативы не то чтобы дешевле. Даже если продавцу наличными платят, то это для него не то чтобы бесплатно. Потому что надо например инкассаторам платить.
1% от всех ваших транзакций, это действительно грабеж (суммарно, огромные деньги), и очень плохо, что так мало обращают на это внимание. Можно было бы заподозрить, что VISA и MC пользуются своим полу-монопольным положением, но исходя из статьи у них выходит около 0.1%, что уже несколько ближе к честной комиссии, а основное забирают банки. Я вижу проблему в отсутствии конкурентной среды из-за того, что комиссию платит продавец, а не пользователь карты, иначе пользователи более тщательно выбирали бы банки, мотивируя их снижать комиссию.
Еще немного истории. До изобретения ПС Мир в России уже была отечественная платежная система Union Card. В начале 2000х мелкие региональные банки ей пользовались и закрылась она только в 2019г. Зачем было в 2014г создавать Мир, кроме как для распила бюджетного бабла, я не понимаю.
До изобретения ПС Мир в России уже была отечественная платежная система Union Card.
Еще были STB Card, Про100 и у золотой короны чёто свое было
Зачем было в 2014г создавать Мир, кроме как для распила бюджетного бабла, я не понимаю.
вы всё еще не понимаете? помоему после февраля прошлого года цель её создания не то чтобы стала понятней — стало ясно что именно для этого Мир и создавался
и НСПК это не просто платежная система, точнее платежная система это побочная ф-ция которую было грех не сделать находясь в центре всех платежных систем, а втягивать в процесс какуюто коммерческую фирму — так вообще странно с точки зрения гос.ва. (хотя, зная как появился НСПК, она тоже не с пустого места появилась, если покопаться то корни команды её создававшей немного связаны с STB)
А можете, пожалуйста, поподробнее про НСПК: зачем создавалась и про корни команды?
Я не знаю насколько мой, хоть уже давно просроченный NDA позволяет такое рассказывать, я всётаки был рядовым сотрудником одной из компаний свяазанной с ними и просто знаю эту историю, но целостно она врятли гдето публиковалась, по этому это будет личный пересказ событий которые могут пересекаться с "официальной позицией" и с элементыми которые точно не были публичными… по этому наверное воздержусь
но в целом корни команды тянутся из 80х годов которая организовывала прием карт на Олимипиаде 80 в Москве… собственно это и ответ на то что НСПК не "с нуля создали, хотя были уже другие платежные системы, наверное чтобы бабла побольше отпилить"… а использовали старейшую в стране команду по карточному процессингу на этот момент… хотя это мое видение как технического специалиста, политических причин я не знаю
Если уж про кофе и платежные системы речь пошла :). Предположим, купил я кофе на вынос, заплатил картой, чек не взял и пошёл с этим кофием... И не понравился он мне.
Вопрос - а ИНН продавца платежная система сообщает банку-эмитенту карты? И могу ли я потом в своём онлайн банкинге посмотреть этот ИНН? А то там обычно только указывают категорию покупки и абстрактное название типа "Kofeinya"...
Похоже это зависит от платёжной системы. Или того как настроен терминал.
Отдельные платежи у меня в онлайн-банкинге имеют вообще полную информацию: название магазина, его IBAN, его адрес, время покупки, номер чека.
А отдельные только сколько сумму и номер терминала.
а ИНН продавца платежная система сообщает банку-эмитенту карты?
Нет. В лучшем случае вы узнаете мерчант ид :) иногда посылают адресс и название но этот функционал не обязателен
В статье не раскрыта тема, как в платежные системы встроены различные Pay-сервисы. Что это прокладка или надстройка? Какой у них интерес?
:-) Развитие платежных систем.... Организационная часть. Не касаясь различия кредитных и собственных средств и только базовые вехи технологической части (когда она появилась).
1) Банки выдавали нал своим клиентам в кассе и собирали его со своих же продавцов.
2) Поскольку "объем" нала ограничен государством вместо нала своим клиентам стали выдавать чеки (чековые книжки) и собирать их со своих же продавцов. Обработка их была вручную.
3) Чтобы увеличить обороты банки стали "договариваться" в ассоциации и чеки стали "ходить" между ними (по почте или курьерами). Банки стали в кассах выдавать нал "чужим" клиентам. Обработка вручную + пытались автоматизировать.
4) Вместо чековых книжек (чеков) клиентам стали выдавать бумажные (и позже пластиковые) карты (как идентификатор клиента конкретного банка, номер карты или PAN - Personal Account Number), а продавцы/кассиры должны были знать клиентам каких банков они могут "по карте" продать товар (какая ассоциация банков, чтобы их банк им возместил расходы) и вручную (полуавтоматически "прокатывая" пластиковую карту) заполнять чек (слип).
5) Наибольшие по количеству членов ассоциации банков создали "Платежные системы" куда стали принимать новых участников (банки) как издателей карт этих платежных систем и/или как эквайров (банки обслуживающих продавцов/торговцев которые будут принимать карты этой платежной системы). Для справки - платежные системы никогда не диктовали финансовых правила по которым (их) банки участники будут работать со своими собственными клиентами (владельцами карт или торговцами), только плавила для банков как участников платежной системы (хотя организационные "не финансовые" требования для клиентов владельцев карт и торговцев были). Грубо говоря правила получения/возмещения по суммам операций и комиссии/тарифы для банка (как участника платежной системы) в правилах (этой конкретной платежной системы) прописаны, а "откуда" банк участник будет брать на это средства - платежную систему совершенно не интересуют. Обычно один или несколько банков в платежной системе объявлялись/выбирались "расчетными" и все участники были обязаны открыть там счета для взаимных клиринговых расчетов.
6) В начале развития платежные системы были национальные (одна валюта для операций внутри платежной системы и взаиморасчетов) после чего "перешагнули границы стран" и стали международными (со своими курсами валют для конвертации операций между различными валютами и нескольким "базовыми" валютам для взаиморасчетов между банками в различных странах). И опять же, курс этот обязателен не для клиентов банков участников (владельцев карт и торговцев), а для соответствующих операций банка участника в этой конкретной платежной системе.
7) Международные платежные системы стали обслуживать клиентов других международных платежных систем (с определенными ограничениями если есть организационные договоренности).
Технологически развитие платежных систем "по большому" шло всего в несколько этапов.
1. Ручная (полуавтоматическая) обработка чеков/операций и длительное время для проведения взаиморасчетов между банками.
2. Использование магнитной полосы наклеенной на бумажную/пластиковую карту. Что позволило автоматизировать обработку операций выполненных у торговцев и/или выдавать нал в банкоматах/автоматах и значительно "уменьшить" время для взаиморасчетов между банками.
3. Использование контактных физических чиповых карт - для увеличения защищенности/безопасности выполняемых операций внутри платежной системы.
4. Использование бесконтактных физических чиповых карт (и не только карт, а других носителей бесконтактного чипа) - для увеличения удобства обслуживания своих клиентов.
5. Использование токенов (физических и виртуальных). По сути "алиасов" существующих номеров карт которые можно "получить" не обращаясь в свой собственный банк.
Как-то так примерно и очень обобщенно...
Так что в статье фраза "платежная система склеивает воедино всех участников цепочки - банк, магазин и человека с карточкой." в корне не верная.... Платежная система "склеивает" только банки издателей с банками эквайерами - не более чем... А вот как банки "склеиваются" со своими клиентами (владельцами карт и поставщиками товаров и услуг) - платежную систему не интересует от слова "совсем".... :-)
Мой интерес к этой теме начался с фильмов про хацкеров, которые, хоть зачастую и физически получают доступ ко внутренним сетям, почему то очень хорошо знают что и как размещается и храниться. Логично что это должны быть тайные знания, но по сути это же большая индустрия со влечением большого количества сотрудников, люди как то в эту сферу приходят, организации взаимодействуют. И что же - знают только те кто уполномочен, удается сохранить шило в мешке?. Если да то, таким методикам работы стоит поучиться многим, а то мы здесь можем регулярно читать про выложенные кем то гигабайты данных.
Даже про Positive Hack Days почитать, там виртуальный банковский сектор как бы представлен - так все равно вся инфа: нашли столько то уязвимостей, а кто эти люди и откуда у них такие познания? :)
На контрасте с этим - крипта. Протокол выложен в git, софт - хоть в исходниках, хоть в бинарниках...
А что за личные данные на магнитной полосе хранились? У меня на старой карточке ( сбс агро что ли ) фотка напечатана, она тоже на полосе закодирована? ;-))
Платежные системы простыми словами. Как устроены и зачем нужны Mastercard, Visa, МИР и прочие