Разобравшись с тем, что деньги кладутся не на карточку, а карточки у нас все-таки пластиковые, переходим к следующей области знаний — будем разбираться, как же ваши деньги попадают к продавцу, когда вы расплачиваетесь карточкой. Процедура эта весьма непростая, а количество задействованных в ней серверов, каналов связи и организаций таково, что остается только удивляться, почему это все не глючит на каждой второй транзакции…
Весь рассказ будет построен вокруг высосаного из пальца примера, хотя кто-то, возможно, узнает в этом примере себя любимого. Итак, вы пришли в магаз, набрали там себе хавчика тыщи эдак на 2 и стоите в очереди в кассу в твердой решимости оплатить свою покупку карточкой, ибо налик у вас хоть и есть, но нужен для более насущных дел. Карточка у вас, скажем, от Сбербанка, зарплатная вся такая, плоская и с подсолнухами (хотя это вообще к процессу никакого отношения не имеет). И вот подошла ваша очередь, кассирша пропикала все ваши писины и брюкву и озвучила сумму к оплате…
И тут непринужденным движением вы извлекаете из широких штанин свою мега-крутую карту и с легкой небрежностью суете ее кассирше (в этом плане карточки желтого цвета иметь очень выгодно — какая-нить школьница из очереди может подумать, что у вас, упаси боже, Visa Gold, и постарается отдаться вам сразу же прямо на ступеньках магазина). Кассирша сует карточку в некий аппарат, жмет какие-то кнопочки и вся очередь замирает в нервном ожидании, иногда даже на пару минут. Что ж за хрень там происходит в этот момент?
Начнем с того, что аппарат, куда кассирша пихает вашу карточку, называется POS-терминал. POS — это Point Of Sale, т.е. точка продаж. Это устройство магазину выдает банк-эквайер (от слова acquire — приобретать, получать), который от имени магазина собственно и осуществляет все карточно-денежные операции (в западной литературе его еще любят называть мерчантом). POS-терминал очень часто бывает связан с кассовым аппаратом, что позволяет автоматически передавать в него сумму покупки, исключая преднамеренные ошибки кассира. Некоторые магазины данные карточки также передают через кассовый аппарат, хотя большинство все-таки использует для этого POS-терминал. В дорогих кассовых решениях, а также за пределами нашей родины, частенько используются полностью интегрированные POS-терминалы, когда вся обработка карточки выполняется кассовым аппаратом. Другим своим концом POS-терминал связан с родным банком-эквайером. Для этих целей может использоваться Интернет, GSM-модем или любой другой способ связи, вплоть до обычного телефонного модема. Это легко определить по скорости обработки карточки. Если она меньше 10 секунд, то обмен идет через выделенный наземный канал, если до 30 секунд, то это GSM/GPRS-модем, если около минуты — модем обычный. Что делает POS-терминал? Его задача считать данные с карточки, проверить их (проверка контрольной цифры, срока действия карты, платежной системы), дополнить данные суммой транзакции, реквизитами самого аппарата, подписать все это ЭЦП и отправить в банк. Объем «посылки» крошечный, обычно в пределах 100-150 байт. Что же за кнопки нажимает на терминале кассирша? Во-первых, терминал для проверки правильности считывания данных с магнитной полосы (и для выявления поддельных карт) заставляет кассира ввести последние 4 цифры номера карточки (поэтому даже на самых убогих карточках напечатано хотя бы 4 цифры). Во-вторых, терминал показывает или позволяет ввести сумму транзакции, а кассир должен ее подтвердить. Только после всех этих манипуляций данные уходят в банк.
В банке данные расшифровываются — это позволяет дополнительно удостовериться, что запрос пришел с легального терминала. Далее банк проверяет номер карточки, выделяет из него BIN (Bank Identification Number — идентификатор банка, первые 5 цифр номера карты) и определяет, что делать дальше. Обычно, если BIN свой, то запрос отправляется сразу в процессинговый центр банка, в остальных случаях — в соответствующую платежную систему (причем это право банк еще должен заслужить: поначалу банки вынуждены общаться с платежной системой через так называемый банк-спонсор и только доказав свою крутизну и объемы транзакций они могут начать работать напрямую). Большинство эквайеров и процессинговых центров поступают хитрее, используя локальную таблицу BINов и маршрутизируя запрос в обход платежной системы (ее все равно при этом нужно уведомить, поэтому дальше я буду описывать классический ход процессинга, а кому надо, тот поймет, где можно «срезать») — это называется H2H-интерфейсом (host-to-host), который должен быть официально зарегистрирован в платежной системе (ежегодная комиссия около $12К). Отправка запроса в платежную систему означает связь с определенным операционным центром, который обработает запрос. У VISA, например, 4 операционных центра: два в Штатах, один в Англии и один в Японии. Запросы из России, как это ни удивительно, идут через Штаты, а не через Англию, ну да и хрен с ними. Платежная система проверяет соблюдение лимитов для карты (не превышен ли дневной лимит, не было ли в последний час транзакций на ту же сумму и т.п.), присваивает транзакции уникальный номер и определяет банк-эмитент (банк, выпустивший карту). Запрос пересылается в нашем случае в Сбербанк. Банк-эмитент проверяет в первую очередь подлинность карты (правильность сочетания номера/имени/даты), определяет счет клиента, проверяет локальные лимиты для карты и остаток на счете (если карта дебетовая) или возможность выдать кредит на нужную сумму (если карта кредитная). Если все ОК, то эмитент блокирует деньги на счете клиента, фиксирует данные о транзакции и отправляет платежной системе ответ (одобрено или отказ). Платежная система аналогичным образом регистрирует транзакцию и отправляет такой-же простой ответ эквайеру. Он в свою очередь записывает информацию о транзакции и дает ответ POS-терминалу. Последний либо сообщает кассиру, что бабла нет и нужно звать охранника, либо печатает 2 чека, один из которых остается в магазине, а другой у вас. На обоих чеках должны быть подписи клиента (а иногда и кассира). Весь этот сложный процесс называется авторизацией карты.
Вот так вот все просто и достаточно быстро, хоть и через жопу Штаты. На самом деле все это только верхушка айсберга, ведь магазин ваших денег еще не получил, и чтобы их получить всем участникам процесса придется проделать немало работы после того, как вы ушли из магазина. Но прежде чем говорить о мучениях магазина, рассмотрим три самых очевидных опасения для вас, как клиента:
- Процесс авторизации достаточно сложен, а вдруг что-то где-то сбойнет? Куда денутся мои деньги? Здесь все очень просто. Если сбой произойдет до того, как запрос будет обработан эмитентом, POS-терминал просто выдаст ошибку и никакого бабла реально с вашего счета не спишется и не заблокируется. Если эмитент уже обработал запрос, а сбой произошел позже (например, если кассир своевременно не нажал кнопку на терминале и не распечатал чек), то транзакция окажется «подвешенной». Т.к. деньги на вашем счету блокируются до тех пор, пока транзакция не будет подтверждена, а она подтверждена не будет, т.к. к эквайеру не попадет подтверждающих документов, то вам придется ждать 30 дней (это время отводится платежной системой участникам на проведение клиринга по транзакциям), после чего транзакция будет аннулирована платежной системой, а эмитент получит от нее распоряжение на отмену, а значит и на разблокирование денег. В любом случае, бояться этого не стоит, т.к. «заблокированные» деньги находятся на вашем счете и никто и никуда их не украл.
- В процедуре обмена данными задействовано большое кол-во организаций, которые получают и хранят данные о моей карточке. Что мешает им воспользоваться этими данными в своих корыстных целях? Мешает платежная система, которая запрещает хранить определенные данные (CVV, полный код магнитной полосы) исходного запроса (это проверяется при сертификации участников расчетов, а нарушения караются штрафом в $500K, поэтому ради кражи ваших доходов никто подобными вещами заморачиваться не будет). Именно поэтому полные данные запроса хранит только ваш банк (эмитент) и платежная система, а эквайер оперирует только нужной ему порцией данных, обязательно включающей сумму и номер транзакции. Собственно все дальнейшие взаимоотношения строятся только на основе номера транзакции. В большей степени вам следует опасаться недобросовестных кассиров, но об этом будет отдельный рассказ.
- Если у вас установлено SMS-оповещение о производимых транзакциях, вы можете заметить, что купили вы, скажем, на 1000 рублей, а на счете заблокировалось 1005 рублей. Это не страшно и не означает, что кто-то из банков спер у вас 5 рублей. Причина в том, что в международных платежных системах VISA, MasterCard и т.п. все транзакции осуществляются в баксах, а значит эквайер, отправляя запрос в платежную систему, переводит рубли в баксы по своему курсу, а эмитент, получив запрос из платежной системы, переводит баксы обратно в рубли, но уже по своему курсу. Т.к. курсы покупки и продажи всегда различаются, а уж тем более в разных банках, эмитент будет блокировать всегда заведомо большую сумму, чем фактическая сумма транзакции. Справедливость будет восстановлена при проведении клиринга между эквайером и эмитентом (об этом ниже). Кроме того, эта проблема будет отсутствовать, если эквайер и эмитент работают через один и тот же национальный процессинговый центр.
Кстати, магнитная полоса карты содержит 3 записи, так называемых «трека». Трек №1 используется для хранения тех же данных, что напечатаны (выдавлены) на лицевой стороне карты, т.е. номера и ФИО владельца. В основном эта информация используется для печати чека и практически никогда не передается в банк. Трек №2 основной, он содержит всю цифровую информацию, которая нужна эквайеру и платежной системе для проведения транзакции. Именно данные этого трека передаются в банк POS-терминалом. Трек №3 дополнительный, чаще всего пустой, хотя может содержать инфу о ко-брендинговых продуктах (скажем, если у вас Сберовская Виза Аэрофлот). С точки зрения платежей опять же не имеет никакого значения. Ни один из этих треков не содержит вашего PIN-кода в открытом или шифрованном виде.
И вот, вы ушли домой хавать свою колбасу и запивать ее пеффком, а в банках закипела работа. Вечером того же дня (а может и быстрее, если магазин очень крупный), а может и через день-другой, все подписанные чеки попадут в банк-эквайер. Там будет произведена сверка данных, чтобы исключить ошибки, сбои или действия злых хакеров. После этого в платежную систему отправляет клиринговый запрос, содержащий номера транзакций и их суммы в USD и национальной валюте. Платежная система, по аналогии с авторизацией карты, распихивает запросы эмитентам. Эмитент, получив запрос, прогоняет его по своей базе транзакций и убеждается, что липовых транзакций нет. После этого с клиентских счетов производится реальное списание денег, которые одним траншем отправляются эквайеру (или платежной системе, если банк не местный). В этот момент происходит торжество справедливости, т.к. «украденные» 5 рублей возвращаются на ваш счет Эмитент уведомляет платежную систему о том, что транзакция завершена и бабло отправлено эквайеру. Последний, получив бабло, удерживает из него свою комиссию и распихивает остатки по счетам своих клиентов, т.е. магазинов. Т.к. большинство банков могут выступать как в роли эмитентов, так и в роли эквайеров, то между собой они пересылают только разницу по сумме операций, из-за чего весь процесс и называется клирингом. По итогам месяца эквайер часть своей комиссии, которую он дерет с магазина, пересылает платежной системе (как вариант, платежная система сама удерживает комиссию при прохождении денег через нее). На этом транзакция окончательно завершается.
Если говорить о современных реалиях, то множество эквайеров производят клиринг и зачисление денег на ежедневной основе не дожидаясь поступления чеков из магазинов. На моей практике основная масса карточных транзакций фиксируется максимум через 2-3 дня, хотя бывают и случаи «залипания» на неделю и более… Магазин же получает «ваши» деньги примерно с такой же задержкой, хотя это является предметом договора с банком и деньги могут зачисляться и раз в месяц. В любом случае, магазин получает денег меньше, чем вы бы заплатили ему наличными. В чем же тогда резон принимать карты к оплате? Основных причин, в общем-то, две:
- Инкассация налички тоже не бесплатна, а также требует создания определенной инфраструктуры (сейфы, помещения кассиров, фискальная документация). Пусть карточки обходятся и дороже, но для магазина это несущественная плата за большую надежность и удобство.
- Клиенты, расплачивающиеся карточками, обычно тратят больше, чем при расчетах наличными. Ведь налички можно потратить не больше, чем есть в кошельке, а на карточке обычно есть немного больше денег, либо карточка кредитная. Получается, что и выручка магазина растет, и товар не залеживается, что тоже большой плюс.
Как-то во всю эту схему у нас не вписались процессинговые центры… Что ж это за зверь и зачем он нужен, если все прекрасно работает и без него? Сферический процессинговый центр в вакууме — это подразделение банка, занимающееся всеми операциями, связанными с карточками. Но работает он только с карточками своего банка, все остальные запросы отправляются в платежную систему (именно этот алгоритм и был описан выше). Бывают еще независимые процессинговые центры, которые берут на себя функции платежной системы, упрощая взаимодействие между участниками расчетов. В этом случае эквайер платит процент не американцам, а родным русским пацанам, а процессинговый центр зачастую берет на себя и функции клиринга, что упрощает жизнь эквайеру. По этим причинам крупные банки не заморачиваются и имеют свои собственные процессинговые центры, а мелкие, которые еще не доросли до требований Visa и MasterCard, пользуются услугами внешних процессинговых центров. Также все процессинговые центры могут выступать в роли эквайеров, что удобно многим магазинам, т.к. не привязывает их к определенному банку при открытии расчетного счета. Мировая практика в этом случае тоже на их стороне — во всем мире идет укрупнение процессингового бизнеса и вывод его на аутсорс. Но наша страна, как обычно, впереди планеты всей: из 500 банков, являющихся участниками международных платежных систем, 100 имеют свои собственные процессинговые центры. Для остальных функционирует 12 «независимых» процессинговых центров, которые чаще всего все-таки привязаны к какому-то банку…
Еще очень интересная тема при процессинге «а что делать, если эмитент недоступен?». Вообще в этом случае платежная система поступает в соответствии с условиями договора: либо отклоняет транзакцию, либо сама (!!!) осуществляет авторизацию. Последний вариант, к сожалению, не доступен на просторах нашей родины, т.к. ни один банк у нас не хочет нести ответственности за своих клиентов. За рубежом на подобное соглашаются банки, выпускающие кредитные карты, т.к. при любой транзакции клиент все-равно уходит «в минус», поэтому банк разрешает платежной системе действовать от его имени в пределах его страхового депозита (причем в VISA страховой депозит предусмотрен только для стран CEMEA и измеряется сотнями тысяч и даже миллионами баксов).
В последние несколько лет все шире распространяются EMV-карты (в простонародии — карты с чипом), использование которых вносит определенные коррективы в уже описанный выше процесс. Они незначительны, но достойны упоминания. Во-первых, при прокатывании магнитной полосы такой карты в POS-терминале, последний получает информацию о наличии чипа и сообщает кассиру, что нужно карту сунуть в считыватель (понятное дело, что это только при условии поддержки чиповых карт терминалом). Во-вторых, после уже описанного взаимодействия с кассиром терминал требует отдать себя в руки клиента для ввода PIN-кода (в некоторых магазинах терминалы очень неудобно и основательно прикручены к столам и другим поверхностям, поэтому кассир не может (или не хочет) дать вам терминал в руки и просит сообщить свой PIN-код!!! Таких кассиров и магазины нужно слать нахер, а о подобных случаях сообщать либо в свой банк, либо эквайеру, либо платежной системе). После ввода PINа транзакция идет по уже известному маршруту. В-третьих, при использовании чипа POS-терминал обычно выдает только один чек (для вас), на котором не нужно расписываться и присутствует надпись типа «confirmed by valid pin». Для эквайера такие карточки великое щастье, т.к. не требуется проверять чеки, а клиринг можно осуществлять чуть ли не сразу после авторизации карты.
Почему же такие удобные EMV-карточки еще не нашли широкого применения в нашей стране (за бугром уже полно мест где карты без чипа вообще не принимаются)? Причина проста. В классической схеме карточных расчетов вся ответственность за ошибочную/поддельную транзакцию лежит на владельце карты, а если он докажет свою непричастность, то на эмитенте карты (по этой причине в договорах с клиентами банки всю ответственность с себя перекладывают обратно на клиента). При расчетах по системе EMV ответственность перекладывается на того участника расчетов, который EMV не поддерживает, а значит чаще всего на мерчанта. Т.к. большинство наших банков являются одновременно и эмитентами, и эквайерами, то в их интересах тормозить этот процесс, дабы продолжать все свои риски валить на клиента. Про процессинговые центры вообще говорить нечего. Им либо нужно проходить дорогостоящий апгрейд софта и сертификацию платежных систем, либо самоубиваться.
Теперь осталось разобраться с различными схемами мошенничества, существующими в области пластиковых карт, и можно будет спокойно жить и пользоваться карточками.
e_glu
Может тебе выпустить брошюрку «процессинг для чайнегов»?
Материалу уж точно наберетсЯ)
dmitryga
Ну можно и книжку написать, а толку-то? Простому населению такая книжка нафик не нужна, а тем, кто занимается этим на профессиональной основе, хватает и служебной документации.
shmonchik
Точно )
romith585
с большим интересом прочёл, даже захотелось перепостить, спасибо за такую подробную информацию
Anonymous
пусто
Великая бездна сам человек… волосы его легче счесть, чем его чувства и движения его сердца
wolfus
«Таких кассиров и магазины нужно слать нахер, а о подобных случаях сообщать либо в свой банк, либо эквайеру, либо платежной системе)»
1. Спасибо, очень интересно! Как можно быстро и безболезненно узнать эквайера, или платежную систему в таком случае?
2. Сейчас во многих магазинах висят объявы «при оплате картой вы обязаны предьявить кассиру удостоверение личности» — это правомерно? Не все с собой таскают права/паспорт…
dmitryga
1. Можно, но не быстро. Про это отдельный пост будет.
2. С одной стороны неправомерно, т.к. платежные системы сами по себе этого не требуют. С другой стороны данноя тема регулируется ЦБ и требование предъявления паспорта происходит именно оттудова.
ijaykey
» Сейчас во многих магазинах висят объявы «при оплате картой вы обязаны предьявить кассиру удостоверение личности» — это правомерно? Не все с собой таскают права/паспорт…»
Да, если верификация происходит по подписи, а не по пину
dmitryga
Сталкивался с ситуацией, когда и при верификации по пину требуют паспорт. Не для сличения подписи, а для сличения рожи с паспортом и последующего сличения имени в паспорте и имени на карте. Хотя, как я уже и говорил, это требование неправомерно, хотя частенько исходит от банка-эквайера.