Авторизация и транзакция по банковской карте что это
В предыдущих своих опусах я описывал один из способов правильного использования кредитных карт. В этой статье, я постараюсь разъяснить читателю некоторые особенности проведения операций по картам, как кредитным так и дебетовым. Особо, правда, углубляться я не планирую, но некоторые «особо интересные» вопросы постараюсь разъяснить.
Итак. Стандартный алгоритм работы любой карты выглядит так:
Рассмотрим чуть подробнее. Проверка действительности карты и ее владельца осуществляется многими способами, например введением пин-кода при онлайн авторизации, связью с банком и проверкой подписи, звонком в банк, проверкой кода 3DS при операциях в интернет и так далее. Способов много и не все они «онлайн» есть и «оффлайновые», к примеру авторизация по технологии бесконтактных платежей может производится только по данным карты, без связи с банком. В ряде случаев, при небольших суммах авторизация может вообще не производится, терминал фиксирует авторизационную информацию карты и не связываясь с банком дает «добро» на операцию. Это связано еще и с тем, что карты оборудованные чипом и модулем бесконтактных платежей могут содержать в себе как модуль оффлайн проверки PIN, так и хранить на себе сумму доступных средств клиента.
Проверка доступности суммы тоже используется далеко не всегда. Некоторые компании могут провести операцию и без проверки. Часто это происходит в ситуациях когда онлайн проверка доступности суммы просто невозможна. Например в самолете или при оплате картой на круизном судне. Еще интереснее вариант когда сумма для снятия заранее неизвестна. Это, к примеру, службы такси или компании предоставляющие в аренду автомобили. В этих случаях авторизация чаще всего проходит на какую-то минимальную сумму, вроде 1 рубля или на заранее оговоренную сумму блокировки, вроде 200 долларов. Но сумма списания по факту может быть совершенно любой.
Временная блокировка средств, если они вообще блокировались, стандартна для операций по которым сумма изначально известна. Стандартные операции покупки в магазине или снятия наличных в банкомате, операции перевода. Тут все просто, какая сумма пришла в запросе на авторизацию, такая и блокируется. Но что же дальше?
2. Дальше начинается подготовка к проведению транзакции. Банк-эквайер, то есть банк обслуживающий точку продаж или банкомат, или тот самый процессинг на интернет сайте получает документы о проведении операции. Этими документами могут быть как электронные выписки или выгрузки операционной выписки банкомата, так и бумажные документы. Есть и очень экзотические способы, например копии чеков для операций проведенных «голосом», но они чрезвычайно редки. Получив документы банк формирует файлы клиринга. Эти файлы представляют из себя электронную таблицу определенного формата передаваемую МПС посредством онлайн систем и подписанную электронной подписью банка. МПС в свою очередь формирует файлы клиринга для банков-эмитентов, то есть банков выпустивших вашу карту. Далее банк-эмитент, получает свой файл клиринга, часто по несколько раз в день и осуществляет операцию по переводу денежных средств в пользу банка-экваера. В этот момент деньги списываются со счета карты, происходит то, что называется транзакцией. Блокировка средств, если она была, заменяется на реальное списание.
Хочу лишь обратить внимание на некоторые особенности поведения системы «авторизация-транзакция» и показать некоторые интересные моменты:
1. Авторизация не равна транзакции. При проведении авторизации деньги никуда не уходят, они остаются в банке. Если указана сумма авторизации то данная сумма уменьшает доступный баланс карты, но не счета. Фактически вы можете иметь дебетовый счет на котором лежит 100000 рублей и карту привязанную в этому счету на которой доступен 1 рубль. Просто у вас есть авторизация на 99999 рублей. При этом в нормальном банке, если на сумму остатка на счете начисляются проценты, то на всю сумму проценты продолжат начисляться, до тех пор пока авторизация не превратится в транзакцию и деньги не будут фактически перечислены.
Авиакомпании вообще творят полный «беспредел». Особенно это относится к покупке авиабилетов у авиакомпаний США. Там авторизация может пройти на одну сумму, к примеру 1000 долларов, а списаний по факту может быть 3, две по 478 долларов и одна на 44. Честное слово! Сам так покупал 
Но вернемся к тому как нам эту особенность использовать для себя?
Предположим у вас есть карта с которой вы можете в расчетном периоде с 10 по 10 каждого месяца бесплатно снять в банкоматах 150 тыщ рублей. И в этом расчетном периоде вы уже сняли 150 тыщ. На улице 8-тое число. Нам нужно еще 100 тысяч. Ждать 10? Можно и не ждать. Если ваш банк оперирует с датами транзакций, а не с датами авторизаций, Можно почти спокойно снять деньги и 8-го. Вероятность того, что в банке они будут списаны не раньше 10-го очень велика. Хотя это риск. Ваш риск, банк может среагировать уж очень быстро, за день. И от бесплатности не останется ничего. Учитывайте этот момент.
Что такое транзакция
Значения некоторых банковских терминов не до конца понятны отдельной части потребителей услуг. В процессе пользования пластиковыми картами держатели сталкиваются с понятием «транзакция», но что это такое и какое у него точное определение, известно не всем.
Транзакция — что это такое
Сервис Brobank.ru выяснил, что правильное написание термина — «трансакция», от английского слова «transaction» (дело, соглашение, сделка). Но в таком виде его даже профессионалы употребляют крайне редко, так как в обиход плотно вошло альтернативное определение.
Применительно к банковскому сегменту, политике и юриспруденции должна применяться формулировка «трансакция». Написание в другом виде относится к программированию. При этом «транзакция» широко используется в банковской и финансовой сфере, поэтому серьезной ошибкой использование термина в таком виде, не является.
Банковская транзакция — перевод средств со счета на счет и любая сделка, совершенная с использованием банковского счета или карты.
Этим определением принято характеризовать операции следующих видов:
Оплата любого товара в магазине считается полноценной транзакцией: когда деньги с одного счета поступают на другой. Наиболее распространенным видом признается банковская транзакция.
Что такое транзакция по банковской карте
По одной банковской карте в день может быть обработано несколько транзакций. Держатели совершают переводы, оплачивают покупки, получают пенсию и заработную плату. Конечная обработка операция означает, что транзакция совершена (завершена). К примеру, покупка по карте в ближайшем магазине представляет собой достаточно серьезный с технической точки зрения процесс.
Начинается процесс с того, что покупатель прикладывает пластик к платежному терминалу. Другой способ оплаты — использование технологии бесконтактной оплаты NFC. Затем в целях проверки информация из терминала оплаты передается в банк-эквайер, с которым сотрудничает торговая точка.
Приняв данные от терминала, банк-эквайер передает их в платежную систему, которая также проверяет информацию. Следующая точка — процессинговый центр банка-эмитента, выпустившего карту. Здесь операция проверяется на легальность, а также сверяется правильность введенного клиентом ПИН-кода. Если все совпадает, то информация опять же через платежную систему передается в торговую точку — на терминал оплаты.
Именно так совершается привычная всем транзакция. Далее между эмитентом, эквайером и платежной системой производятся некоторые взаиморасчеты, в которых держатель карты не принимает прямого участия.
Что такое офлайн-транзакция
Выше описан пример онлайн-транзакции, которая совершается в течение секунды, если терминал оплаты работает исправно. Намного менее распространены офлайн-транзакции, суть которых заключается в следующем:
Подобный механизм применяется по картам с заранее одобренным банком лимитом средств, а также при сохранении данных платежного средств в памяти POS-терминала. Деньги со счета списываются не сразу, а позже, когда терминал передаст всю накопленную информацию в банк-эквайер.
Такая же схема применяется по подарочным картам, на которых размещена определенная сумма средств для совершения покупок в конкретной торговой точке. И в этом случае транзакция совершается без дополнительных проверок.
Что такое Secure Electronic Transaction
Secure Electronic Transaction (сокр. SET) — безопасные электронные транзакции, производимые по специальному протоколу при применении банковских карт в небезопасных сегментах — в частности, в Интернете. Благодаря этой технологии клиенты интернет-магазинов могут не беспокоиться за сохранность собственных или кредитных средств на карте.
Но большого развития данная технология не получила. К примеру, платежная система VISA разрабатывает и продвигает собственный XML-протокол — 3-D Secure. Его суть заключается в том, что списание с карты совершается после смс-подтверждения со стороны ее владельца.
Авторизация – проведение транзакции
Авторизация – разрешение на проведение транзакции, то есть выдача подтверждения гарантии оплаты товаров или услуг/получения наличных, приобретаемых/получаемых держателем карты в ходе конкретной транзакции, выдаваемое эмитентом карточки обслуживающему банку (эквайеру), который передает его фирме-акцептанту (мерчанту).
Принять решение о проведении авторизацию транзакции могут следующие сущности:
· Терминал – POS или ATM могут самостоятельно принимать решения о проведении авторизации по карте без обращения к эквайеру. Для принятия решения авторизации на терминале необходимо соблюдение некоторых условий, обычно задающееся правилами платежной сети (пороговая сумма транзакции, проверка офлайн PIN, тип терминала, тип карты).
· Эквайер – банк эквайер может принимать решения о проведении авторизации по карте без обращения к эмитенту (платежной сети). В таких условиях эквайер полагается на правила платежной сети (пороговая сумма транзакции и др.) и на проверку карты в локальном стоп-листе.
· Процессинговый центр платежной сети – платежная сеть может принимать решения об авторизации транзакции без участия эмитента в режиме Stand-In.
· Эмитент – авторизация у эмитента карты является наиболее безопасным и надежным вариантом авторизации транзакции.
Онлайн авторизация
Онлайновая авторизация позволяет эмитенту контролировать безопасность транзакции, совершаемой в пункте обслуживания по выпущенным картам. Онлайновая авторизация обеспечивает более высокий уровень безопасности для эмитента, чем офлайновая. Держатель карты тоже при этом лучше защищен от мошенничеств в отношении его карт. При транзакции с онлайн авторизацией платежной системой гарантируются выплаты торговой организации, т.е. эквайер гарантирует выплату средств мерчанту, а эквайеру гарантируется компенсация средств от эмитента. В целом процесс авторизации приведен на рисунке выше (см. Рисунок 4).
Рисунок 4. Стандартный процесс авторизации
Авторизация в сети могут проходить одиночными или парными сообщениями:
· В сети парных сообщений фаза авторизации выполняется отправкой сообщения авторизационного запроса. Далее этот запрос принимается хостом эмитента, который, проведя проверки данных запроса, гарантирует оплату или выдает запрет на проведение операции. Эквайер информируется о соответствующих действиях сообщением ответа на авторизационный запрос. После авторизации сумма транзакции не списывается со счета карты, а холдируется на счете. Списание средств со счета откладывается до прихода отдельного финансового сообщения, которое отправляется от эквайера эмитенту и подтверждает завершение транзакции, следующей за авторизацией, в пункте обслуживания, либо получение эмитентом клиринга.
· В сети одиночных сообщений фаза авторизации и фаза клиринга реализуются сообщением финансового запроса. При обработке этого запроса хостом эмитента гарантируется или запрещается оплата. Эквайер информируется о соответствующих действиях сообщением ответа на финансовый запрос. После финансовой авторизации сумма транзакции сразу списывается со счета держателя карты.
При получении запроса авторизации от терминала процессинговая система эквайера проводит разбор входящего сообщения, проводит необходимые транзакционные проверки (ограничения, лимиты и пр), подсчитывает и включает в транзакцию эквайерскую комиссию.
По номеру карты (первым цифрам обозначающим БИН) процессинговая система эквайера определяет платежную сеть и формирует запрос в платежную систему на авторизацию данной транзакции, в соответствии со спецификациями платежной системы. В сообщение включаются данные карты, данные терминала, данные мерчанта и идентификатор эквайера. Хост эквайера отправляет сообщение на авторизацию в платежную сеть.
Платежная система, получив запрос, проверяет наличие карты в стоп-листах, определяет эмитента карты и направляет транзакцию на авторизацию в процессинговую систему эмитента. Также платежная сеть может рассчитать свою комиссию и включить ее в запрос авторизации.
Корректность, полнота и целостность сообщения проверяются единожды при получении его эмитентом. Полученное сообщение авторизационного запроса запоминается в базе данных эмитента. Эмитент проверяется правильность номера карты и дату окончания ее срока действия. Разбирает треки карты, EMV данные, если они присутствуют в сообщении. В случае получения зашифрованного ПИН блока для проверки модуль безопасности эмитента (HSM) вычисляет значение ПИНа, которое сравнивается с проверочным значением ПИНа для данной карты, который может храниться в базе данных или приходить данных трека карты. Проверяется доступный баланс счета карты, происходит расчет комиссий и лимитов эмитента. После чего производится холдирование суммы транзакции в случае получения не финансового х100 сообщения, или списывание средств со счета в случае получения финансового х200 сообщения.
Ответом на запрос авторизации эмитент гарантирует оплату (возмещение) в случае успешного кода ответа или уведомляется об отказе авторизации с включением соответствующего кода причины отказа в ответ.
Сообщение ответа на запрос авторизации идентифицируется тем же ссылочным номером (RRN), что и соответствующее сообщение авторизационного запроса. Сообщение ответа посылается обратно через платежную сеть (сети) и хост эквайера на терминал. Когда терминал, принявший карту, получает подтверждение, операция успешно завершается. В случае отказа в авторизации по транзакции терминал формирует сообщение с отказом для клиента.
Терминал завершает транзакцию, далее информация о прошедших транзакция отправляется эквайеру для клиринга. Эквайер запоминает у себя в базе данных каждую выполненную транзакцию для дальнейшего клиринга.
Схематически процесс онлайновой авторизации и далнейшего клиринга представлен на рисунке (см. )
Рисунок 5. Онлайновая авторизация
Офлайн авторизация
Когда терминал не находится в онлайн соединении с хостом эквайера или сумма транзакции ниже некоего порогового значения (который обычно устанавливается правилами сети) авторизации может провести терминал. В этом случае терминал не инициализирует транзакцию авторизации, и, следовательно, эквайер не формирует для эмитента ни сообщение авторизационного запроса (1100), ни сообщение финансового запроса (1200).
По завершении операционного дня терминалы формируют набор (батч) о проведенных операциях и направляют его в процессинговую систему эквайера. После получения данных обо всех выполненных за определенный период на терминале офлайновых операциях эквайер на этапе клиринга информирует эмитента о локально совершенных (офлайновых) транзакциях.
К офлайн авторизациям можно также отнести авторизации, проводимые эквайером без онлайнового взаимодействия с платежной системой. Для эмитента транзакции авторизованные платежной сетью тоже являются офлайновыми, в отличии от эквайера, для которого такая операция является стандартной онлайновой.
Платежная сеть может проводить авторизацию транзакций самостоятельно, если она не нашла соответствующий узел эмитента или хост эмитента недоступен. Сформированный ответ на авторизационный запрос (1110) посылается хосту-отправителю эквайера. Для проведения подобной авторизации необходимо наличие соглашения между эмитентом и платежной системой, при котором эмитент делегирует достаточные полномочия платежной сети.
В зависимости от особенностей платежной сети возможны два варианта получения эмитентом уведомления о проведенной операции:
· Сообщение финансового уведомления (x220) формируется для каждой совершенной в офлайне транзакции, для которой возможен онлайн клиринг транзакций. Каждое сообщение ответа на финансовое уведомление (x230) информирует эквайера о принятии эмитентом обязательств относительно совершенной в офлайне транзакции. Сумма, фигурирующая в авторизационной транзакции, списывается с соответствующего счета карты. Этот вариант характерен для сети одиночных сообщений.
· В сети парных сообщений эквайер или платежная система (MasterCard StadIn) вначале информирует эмитента сообщением авторизационного уведомления (x120) о транзакции авторизации, совершенной в офлайне в пункте обслуживания. В сообщении ответа на авторизационное уведомление (x130) эмитент информирует экваейра о принятии или отказе от предполагаемого перевода средств. Эквайер формирует пакетный файл, который заполняется сообщениями финансового извещения для каждой транзакции, одобренной эмитентом. Во время этапа офлайнового клиринга пакетный файл отправляется эмитенту.
Схематически процесс офлайновой авторизации и клиринга представлен на рисунке (см. )
Рисунок 6. Офлайновая авторизация
Клиринг
Клиринг – процесс, инициированный эквайером по отношению к эмитентам, информирующий их о транзакциях, совершенных держателями карт этих эмитентов. В процессе клиринга эмитент может списать суммы транзакций с соответствующих счетов карт и определить суммы возмещения для каждого эквайера, принимавшего к обслуживанию карты данного эмитента.
Записи о транзакциях с терминалов передаются в фронтальную процессиногвую систему эквайера (SVFE). После проверки правильности принятых от терминала записей фронтальная система формирует постинг файл и выгружает его в бэкофис.
Хост эквайера (SVBO) формирует сообщение финансового извещения (First Presentment) для каждой правильной записи транзакции. Сформированный клириноговый файл направляется в платежную систему.
Платежная сеть взимает комиссии за транспортировку сообщений, а так же устанавливает валюту взаиморасчетов. Валюта взаиморасчетов, в которых будут рассчитываться транзакции, могут быть отличны от валюты транзакции, совершенной в пункте обслуживания, так и от валюты счета карты. Основной валютой сети для MasterCard и VISA в международных операциях является доллар США, в Европе – евро.
Платежная система собирает пакетные клиринговые файлы от различных участников (эквайеров), затем для каждого эмитента формируется отдельный пакетный файл по его картам.
Эмитент может принимать пакетные файлы с заданным идентификационным номером эмитента как сформированные платежной системой. Используя уникальный ссылочный номер транзакции из каждого сообщения финансового извещения, эмитент может соотнести каждое принятое во время клиринга сообщение с онлайн авторизованным сообщением хранящимся в базе данных эмитента. Для каждой принятой от платежной системы записи выполняется операция конвертирования из валюты, расчетов с МПС, в валюту счета карты.
Взаиморасчеты
Взаиморасчеты – процесс перевода средств между участниками платежной системы (систем), соответствующих суммам транзакций, совершенных за определенный период.
После клиринга и реконселяции транзакций банки участники и платежная система проводят взаиморасчеты. Организации, задействованные в процессинге транзакций в пункте обслуживания (например, эквайер и платежная система) получают возмещение. Платежная система рассчитывает финансовые компенсации между эмитентами и эквайерами. Перечисление средств осуществляется через расчетный банк, который назначен платежной системой.
Банки участника системы открывают корреспондентские счета в расчетном банке. На корреспондентском счете правилами платежной сети устанавливается страховой депозит, размер которого необходимо поддерживать банку участнику МПС.
Рисунок 7. Взаиморасчеты МПС и банков-участников
Процесс взаиморасчетов схематически (см. Рисунок 7) может быть представлен следующим образом. Транзакции пересылаются в расчетный банк в расчетной валюте. После конвертирования всех сумм транзакций в валюту расчета с эмитентом рассчитанная итоговая сумма списывается со счета эмитента в расчетном банке. Эмитент уведомляется о проведенном расчете его обязательств. Платежная система повторяет данный процесс для каждого эмитента, участвующего в клиринге.
Платежная система обрабатывает файл с данными транзакций от каждого эквайера и вычисляет итоговые суммы по всем записям файла. Полученное значение поступает на счет эквайера в расчетном банке. Эквайер извещается о поступлении средств на его счет. Платежная система повторяет этот процесс для каждого эквайера, участвующего в клиринге.
Расчетный банк платежной системы выполняет урегулирование требований и обязательств участников системы и самой МПС на основании реестра платежей, полученного от МПС. Требования членов платежной системы, урегулируются путем зачисления соответствующих сумм средств на корреспондентские счета, открытые в расчетном банке для расчетов в рамках взаимодействия с МПС. Требования МПС, указанные в принятом реестре платежей, урегулируются путем зачисления средств на счет МПС.
Претензионная работа
Претензионная работа возникает, когда эмитент не согласен с данными проведенных транзакций по его картам.
· Adjustment – сообщения формируется и передается эмитентом, когда он не согласен с данными проведенных транзакций по его картам (это аналог частичного chargeback для ATM транзакций)
· Fee Collection – сообщения взимания выплат, используемые для сбора или взыскания комиссий (плат), которые требуются для урегулирования фондов между различными участниками клиринговой системы. Сообщения могут включать платы, произведенные между парой членов системы, и платами, произведенными между клиринговой системой и участниками.
Chargeback
На схеме приведен сценарий обмена сообщениями при возникновении спорных ситуаций (см. Рисунок 8). Процесс претензионной работы приведен в соответствии с правилами Mastercard. Правилами сети определяются возможность chargeback и количество циклов отказа эмитента от транзакции
Рисунок 8. Обмен сообщениями при возникновении спорных ситуаций
При инициализации chargeback возможны следующие последовательности обмена сообщениями между эмитентом и эквайером:
1. First Presentment – первое финансовое представление, отправляется эквайером в платежную систему, а затем и эмитенту для предоставления информации о совершенных транзакциях на терминалах эквайера по картам эмитента.
2. Retrieval Request – запрос эмитентом предоставления копии товарного чека (для подтверждения необходимости формирования chargeback.
3. Fee Collection (Retrieval Fee Billing, Retrieval Request Fulfillment) – представление обслуживающим банком оригинала или копии товарного чека по запросу эмитента.
4. Chargeback – эмитент может отправить отказ (частичный или полный) от проведения операции на (всю или часть) сумму транзакции, рассматриваемой эмитентом как проведенной с нарушением правил платежной ассоциации. Сообщение содержит код причины, обоснования, в соответствии с которым производится отказ от выполнения платежа.
5. Second Presentment – эквайер предоставляет повторное финансовое представление, согласившись или не согласившись с суммами предоставленными эмитентом в chargeback.
6. Arbitration Chargeback – не согласившись с данными второго финансового представления (Second Presentment) эмитент может инициировать повторный отказ от проведение финансовой операции.
7. Arbitration Case Filling – эквайер может подать дело на рассмотрение в арбитражный комитет платежной сети для рассмотрения спора независимой стороной. Заявление на рассмотрение вопроса в арбитраже платежной системы формирует эквайер и направляет в адрес платежной системы. Платежная система в соответствии со своими правилами разрешает спор между участниками.