Развитие card‑not‑present environment: история и возможности

Оплата по картам через Интернет – первые шаги

В середине 1990-х годов для проведения оплаты по карте было нужно совсем немного – ее номер и срок действия. Клиент вводил эти цифры в поля формы на сайте магазина и подтверждал оплату. Сформированный авторизационный запрос передавался от банка-эквайрера через платежную систему к банку-эмитенту. При правильно заведенных данных чаще всего следовал положительный ответ эмитента.
Таким образом, оплатить товар мог не только держатель карты, но и любой человек, которому ее реквизиты стали известны. Эта схема имела как минимум четыре точки компрометации.

1) Компьютер и браузер клиента. Здесь перехватить данные может скрытая программа регистрации нажатия клавиш (keylogger), вирус или поддельная страница магазина.

2) Канал связи между пользователем и его провайдером. Провайдер видит весь трафик на своем оборудовании, может его анализировать и перехватывать.

3) Интернет-магазин, передававший детали карты в процессинговую систему банка-эквайрера. Номера карт зачастую хранились в базах данных магазина и протоколах систем, сайт мог быть взломан, мог находиться под контролем злоумышленника.

4) Хост банка-эквайрера, или процессинговый центр, предоставляющий услуги по обработке карточных операций. Здесь также данные хранились в базе, протоколах и могли быть скопированы кем-то из сотрудников.
Первые кардеры пробовали подбирать номера карт с помощью программного генератора, если это вдруг получалось, то торговые точки несли убытки. Поэтому нередко торговцы закладывали потенциальные риски в стоимость товаров.
Напомню, что до введения стандарта PCI DSS оставался еще десяток лет, поэтому хранению данных карт уделялось мало внимания, номера карт активно использовались продавцами для учета клиентов, печатались на чеках, пересылались по электронной почте. Этим также могли воспользоваться злоумышленники.

Нужно больше безопасности – SSL и CVC

Появление технологии шифрования SSL и усиленного протокола HTTPS на ее основе помогли устранить утечки данных карт в каналах связи.

Кроме того, появилась возможность переноса страницы для ввода данных карты с сайта торговца на защищенный сайт процессингового центра банка-эквайрера.
Для дополнительной аутентификации держателя карты платежные системы внедрили специальный код Card Verification Code (CVC). Банки-участники MasterCard начали выпуск таких карт в 1997 году, Visa – в 2001 году.

Код известен эмитенту и напечатан на оборотной стороне карты. Это должно было означать, что плательщик держит карту в руках в момент совершения операции. Подобно ПИН-коду, код CVC нигде не хранится и передается по каналу связи только в момент проведения авторизации.

Мера позволила, с одной стороны, отсечь хакеров с генераторами номеров, с другой – улучшить положение Интернет-магазинов, потому что появились новые инструменты защиты. Например, теперь если банк-эмитент проверил CVC и подтвердил совершение операции, то опротестовать ее как мошенническую стало сложнее.

Переходим к 3D

В реальном мире дела с мошенничеством тоже обстояли не очень хорошо, поэтому банки-эмитенты вместе с платежными системами стали готовиться к миграции на карты с микропроцессором.
Развитие эмиссии чиповых карт снизило возможности для подделки реальных карт. Мошенники, лишившиеся возможности копировать магнитную полосу, потянулись в виртуальный мир. Атаки продолжились по двум векторам: клиенты и инфраструктура магазинов и процессинговых систем.
В рамках борьбы с мошенничеством был разработан промышленный стандарт Payment Card Industry Data Security Standard (PCI DSS). А для прямых участников-эмитентов, эквайреров и их клиентов платежные системы стали внедрять технологию 3D Secure.
Мы не планировали в данном материале рассматривать стандарт PCI DSS, но пару предложений о нем сказать следует. Главный смысл стандарта такой – хранить как можно меньше чувствительных данных, жестче ограничить доступ к ним. Фактически, формируется некая зона соответствия стандарту (PCI DSS compliance area), со всех сторон ограниченная административными или техническими барьерами.

Технология 3D Secure позволяет провести дополнительную аутентификацию клиента непосредственно у банка-эмитента. Перед тем как направить запрос на авторизацию оплаты, предлагает клиенту ввести пароль в форму, загружаемую из процессингового центра банка-эмитента. Пароль любым другим способом передает клиенту его банк – это может быть SMS-сообщение, значение из таблицы переменных кодов или с чека банкомата, заранее оговоренное парольное слово. Если эмитент подтверждает аутентификацию клиента, то магазин проводит оплату.

Некоторые интернет-магазины отказываются от проверки клиентов с помощью 3D Secure с целью сокращения времени чек-аута и повышения конверсии. Но в этом случае приходится строить программные комплексы для анализа поведения клиента на сайте. Эти программы учитывают множество параметров: срок регистрации клиента на сайте, количество покупок, адреса e-mail и доставки, браузер и регион пользователя.

Если один и тот же адрес доставки принадлежит нескольким аккаунтам, это уже подозрительно. Если на один e-mail создано много учетных записей, да еще в один день, велика вероятность мошенничества. Контроль IP-адресов и данных, передаваемых браузером, позволяет отсекать подозрительные операции незаметно для большинства клиентов. Построение подобной системы – очень непростая и дорогостоящая задача, которая под силу только крупным торговцам.

Также существуют компании, предоставляющие свои сервисы для подобной проверки клиентов, но они не бесплатны и серьезно повышают полную стоимость транзакции для торговца.

Будь проще, и клиенты к тебе потянутся

Несмотря на то, что сегодня рынок электронных платежей достаточно развит, и все процессинговые системы обязаны получить сертификат PCI DSS уже версии 3.0, случаи утечек данных все еще происходят.
А что, если клиент вообще не будет заводить детали карты при оплате товара в интернет-магазине? Это позволило бы устранить риски, связанные с клиентом и его компьютером, упростить оплату товара, дать «зеленый свет» мобильным устройствам.
Одна из идей называется «токенизация». В этом случае набору деталей карты клиента ставится в однозначное соответствие некое случайное число – токен. Сами детали карт хранятся в защищенной зоне, а обращение к ним для оплаты товара производится только по токену. Недостатки: клиент должен все-таки один раз завести детали карт в интернет-магазине; защищенную зону где-то надо создать и охранять, и это не должен быть сайт торговца.

Другая идея реализована платежной системой PayPal. Клиент заводит детали карты не в магазине, а в личном кабинете PayPal на защищенной странице. После этого торговцы, подключенные к PayPal, просто инициируют платеж со ссылкой на учетную запись клиента, остальное делает платежная система.

Похожая идея используется в технологии MasterPass, недавно предложенной платежной системой MasterCard. Здесь в качестве «источника» денежных средств работает электронный кошелек. В России на сегодня подключены «Яндекс.Деньги» и «Пей-ап.Платежи». Вся регистрация данных клиента и безопасное хранение деталей карт находятся в зоне ответственности компаний, ведущих кошельки.

Чтобы начать принимать платежи за товары через MasterPass, интернет-магазин должен заключить договор с банком-эквайрером на обслуживание операций по картам и подключиться к процессинговой системе банка. Также надо установить на сайте несложный скрипт. Далее всю работу берет на себя MasterPass. В нужный момент система идентифицирует клиента в его электронном кошельке и безопасно передаст банку-эквайреру данные карты клиента для проведения операции оплаты.

Чем удобны такие способы косвенной оплаты? Клиент не вводит данные карты ни на сайте, ни в планшете, исключается возможность их перехвата. Любое устройство клиента – компьютер, телефон, планшет – превращается в платежный терминал. Интернет-магазин может реализовать реальные схемы оплаты «в один клик» – адресная информация клиента также будет взята из кошелька.

Все это может помочь улучшить конверсию клиентов, снизить риски торговых предприятий и даст новый толчок для развития онлайн-платежей.

Комментарии (68)

  • +1
    А что, если клиент вообще не будет заводить детали карты при оплате товара в интернет-магазине?

    Не поленился, снова открыл гугл плеймаркет, скажем — захотел купить книгу. Меня вежливо попросили ввести номер карты и сказали, что сохранят эти данные. Когда дошёл до ввода CVC снова закрыл гугл плеймаркет. Снова я не купил книгу…
    И это либо сохранение CVC на моём устройстве (судя по статье это возврат в пещерные 90тые), откуда их может вытащить троян или кейлоггер, либо сохранение в облаках гугл (и когда я потеряю свой телефон — мне любезно восстановят фотки и кредитные карты по данным в облаке). Даже не знаю, что из этого хуже.
    Так и вопрос: насколько такие действия гугла противоречат правилам платёжных систем?
    • +3
      CVC не должен сохраняться гуглом. Он используется для однократного холда денежных средств, чтобы подтвердить валидность данных карты на момент добавления.
      • 0
        Мгм, звучит логично. Только откуда я должен узнать об этом до того, как заплатил хотя бы раз? А огромная надпись «мы щас сохраним все ваши параметры кредитки» при обязательном вводе CVC не вдохновила на попытку хотя бы раз сделать покупку. Возможно, это какая-то проблема юзабилити.

        А вам — спасибо за совет: сколько я раз рассказывал эту историю — ни один человек мне не сказал, что CVC сохранится для однократного холда (видимо, никого проблема не волнует, все тупо вбивают абы что абы где, не смотря ни на строку браузера и не читая соглашения).
        • 0
          CVC вообще не сохранится, а будет единожды использован для авторизации карты.
          • 0
            А как же случаи когда продавец оформляет подписку и списывает ежемесячно?
            • 0
              Там используется или стандартная схема рекарринга платежных систем, грубо говоря ты запоминаешь ID первого платежа и переодически говоришь «повтори». Переодичность определяешь сам.

              Другой вариант — использование операций типа ECI07 (CVV not present), списание с любой карты без ввода CVV-кода. Он вводится только для первичной верификации карты.

              Амазон, например, вообще CVV не просит.
  • +1
    Почему нельзя всех заставить перейти на 3D Secure технологию? Амазон да ладно, а есть куча мелочи которые 3D Secure не делают так как это меньше кода.
    • +1
      Потому что люди недовольны будут. У кучи американских банков 3D Secure до сих пор нет. А Amazon… в Европе Амазон может деньги забрать с вашего счёта в банке без всяких кредиток, к примеру :-)

      В одной отдельно взятой стране — да, можно что угодно устроить…
      • +1
        в Европе Амазон может деньги забрать с вашего счёта в банке без всяких кредиток, к примеру :-)

        А можно поподробнее об этом?
        Я заинтригован
        • 0
          У меня Amazon снял деньги с карты которая была уже как 2 года просрочена. Студенческий EC2 вдруг стал платный и $20 он каким-то образом снял. Писал в тех.службу обещали вернуть, так и не вернули. Звонил в банк, они ничего не знают (операция прошла успешно). Более того, что в личном кабинете, у меня не было привязанных карт.
          • 0
            «Обалденно».
            Думаю, к Амазону вопросов мало — он просто запросил транзакцию в банке.
            А вот вопросы к банку уже есть.
            Получается, что просроченная карта != заблокированная карта. И по просроченной карте можно провести транзакцию.
            Похоже на баг в ПО банка.
            • 0
              На самом деле так и задумано. Банковская карта — это ключ к счету, но она не работает с ним на прямую. Карточка работает с неким OTB (Open-To-Buy) лимитом, и сумма в нем может быть не равна остатку средств на счете. Когда вы что-то оплачиваете картой, деньги с вашего счета не списываются мгновенно, лишь уменьшается OTB и авторизация становится в очередь на финансовое подтверждение (outstanding). Финансовая авторизация банком аквайером посылается позже, может даже через пару недель, а бываю случаи что и через год, и только когда она приходит в ваш банк с вашего счета списывают деньги, а outstanding авторизация помечается как проведенная, и OTB корректируется соответственно итоговой сумме (она может отличаться, но это долго объяснять). Outstanding авторизация сама будет удалена вышим банком, а средства разблокированы, если финансовая транзакция не пришла в течении месяца.

              Так вот, карта с ее OTB — это лишь способ проверки что вы платежеспособны, а именно финансовая транзакция спишет с вас деньги независимо от того есть ли они у вас, заблокирована ли карта, или еще чего… Даже если вы уйдете в минус.
              • 0
                Спасибо за подробное объяснение. Карта — «фасад» перед счётом со своими лимитами, это я понимаю.

                Но у меня никак не укладывается в голове, почему, если мой банк блокирует карту, равно как срок действия карты истечёт, списание средств успешно произойдёт?
                Получается, блокировка карты — не «панацея» от списания средств с украденной карты?
                Это пугает.
                • 0
                  У кардеров нету возможности просто взять и послать финансовую транзакцию без предварительной авторизации. Это может сделать только банк, либо список мерчантов который строго ограничен, например продажи в самолете: представьте что вы летите в самолете и хотите на борту что-то купить, терминал не имеет доступа в сеть, поэтому нет возможности послать авторизацию чтобы проверить ваш баланс, вы можете что-то купить даже если у вас нету денег на счету. Но финансовой транзакцией с вас все равно спишут деньги когда вы приземлитесь, и загонят вас в минус.

                  Да, конечно продавщица посмотрит на ваш экспаири дейт на карте, а если это чиповая карта, то даже пин попросят ввести (чип умеет сам проверять пин, не посылая запрос в банк), но это лишь чтобы не было претензий к мерчанту.

                  Банки чуть попроще относятся к очень крупным мерчантам, таким как амазон — это бизнес. Но опять же, по правилам платежек, вам должны в полном объеме вернуть все средства если они были списаны за не предоставленные услуги, тем более по просроченной карте. Надо долбить свой банк. (Хотя согласен что сложно что-то требовать когда слабо представляешь как оно работает, в этом проблема нашего населения)

                  • 0
                    Небольшой комментарий вначале. Меня очень волнует ситуация с блокировкой утерянной или украденной карты. Поэтому мой комментарий не относится к ситуации с отрицательным балансом.

                    Expire Date, написанная на карте — всего лишь информация, не более. У меня в магазине её ни разу не смотрели, хотя я активно пользуюсь картой вот уже года 3.

                    Я полагаю, упрощённо, у карты, как у шлюза к счёту, есть некий флаг Active, который показывает, что связь карты и моего счёта в банке активная.

                    Когда я прошу оператора банка заблокировать карту вследствие утери, Active = false.
                    Когда срок действия карты истекает, Active = false.

                    В момент, когда MasterCard совершает запрос в банк, банк проверяет этот флаг. Если связь карты и счёта не активная, транзакция не должна проходить.

                    В примере с отсутствием связи (в самолёте), если мошенник пользуется украденной заблокированной картой, пострадавший не должен нести убытки, как мне кажется.

                    В целом я понял ситуацию, которую вы описываете. И спасибо вам за продробное объяснение.
                    Скажите, пожалуйста, насколько вы уверены, что все банки работают именно по этой схеме?
                    И как в таком случае корректно заблокировать карту в случае утери / кражи?
                    • 0
                      В магазине не смотрят на срок действия, потому что они проводят авторизацию, в России даже уже не так важно в онлайн режиме она проходит или в офлайн режиме, потому что чиповые карты, а чип сразу выдаст устарела ли карта, заблокирована ли, и т.п. (На самом деле процесс взаимодействия карты и терминалом очень сложный, не все карты и не все терминалы одинаковые, у всех свои списки проверок которые выполняются).

                      По правилам же платежных систем должны смотреть, так же должны смотреть на подпись. Карта без подписи не действительна, хотя я лично не подписал ни одну свою банковскую карту. Если вы попадете в страну где преоблдают магнитные карты (южная америка например) — будут смотреть, и даже паспорт спрашивать.

                      Про отрицательный баланс я говорил чтобы объяснить главное: финансовой транзакции абсолютно фиолетово заблокирована карта, истекла, есть ли на ней деньги, и т.п. Один банк списывает средства с другого, а он в свою очередь с владельца карты.
                      Другой вопрос что попасть на финансовую транзакцию без авторизации — это очень редкий случай.

                      Все банки работают по этой схеме, это договора с платежными системами, иначе они не смогли бы выпускать карты мастеркарда, визы и т.п. Другой вопрос если банку лень решать вашу проблему, но вы можете спокойно обращаться к платежной системе напрямую, они дадут вашему банку по голове. Тем более что эти финансовые транзакции идут как раз через них.

                      Вполне достаточно просто заблокировать карту, кардера это действительно остановит, потому что как я ранее сказал, просто финансовую транзакцию без предварительной авторизации провести очень сложно. А если что-то и прошло после блокировки, оно легко оспаривается.

                      Но полностью защититься можно наверное лишь полным закрытием счета в банке (тут уже у каждого банка договора разные).
                      • 0
                        Благодарю.
                        Теперь в голове прояснилось.
                • 0
                  Получается, блокировка карты — не «панацея» от списания средств с украденной карты?
                  Блокируются только определённые виды платежей. Не все. В конце-концов если какая-нибудь организация 200-300 летней историей «прокатала» вашу карту — она же должна получить свои деньги? Причём тут все эти новомодные 3D-изыскания?
                  • 0
                    Блокируются только определённые виды платежей.

                    Это печалит.
                    В конце-концов если какая-нибудь организация 200-300 летней историей «прокатала» вашу карту — она же должна получить свои деньги?

                    На мой взгляд, нет. Если я уведомил свой банк о том, что карта украдена или утеряна, возраст организации, в которой её использовал мошенник, не имеет значения.
                    Я ведь дал распоряжение банку — не проводить операции по карте (шлюзу). На мой взгляд, банк не должен игнорировать подобные распоряжения.
                    • 0
                      Вы могли провести авторизацию год назад, и вам даже смска приходила. Но реально деньги за нее спишут только сейчас, уже после того как вы заблокировали карту.
                      В действительности, на систематической основе сталкивался с таким только на ямайке. Были мерчанты с очень старыми терминалами не умеющими реконсилироваться, которые их очень редко использовали, но все-таки использовали. Поэтому раз в пол года-год продавцы с распечатанным чеком ползли в банк, и только тогда с владельцев карт реально списывали деньги.
                      • 0
                        В момент авторизации год назад деньги перешли в Hold, и пришла смска. Верно? А реальное списание может быть позже. Это понятно.

                        Да, технологии развиваются быстро, но у банков есть необходимость поддерживать старые технологии чуть ли не 50-летней давности.
                        И не отказываются же от них, потому что это ведёт к потере прибыли.

                        Эх, печаль.
                        • 0
                          Да, верно, деньги заблокировали, но примерно через месяц ваш банк сам их разблокирует. Так как вам скорее всего не сообщат что их разблокировали (только в выписке такие моменты могут отражаться), вы можете этого не заметить. А вот когда их опять спишут, но уже окончательно, вы можете заподозрить неладное…
                • 0
                  Это уже детали, которые в каждом конкретном банке разнятся. Тут вы никак толком не узнаете, насколько мало багов в АБС конкретной организации, максимум что можно — это пользоваться услугами солидных банков в расчёте, что у них-то бардака поменьше.
                  Детали о том, как деньги двигаются по картсчёту и расчётному счёту описаны постом выше хорошо: минимум подробностей не заслоняет саму схему.
        • 0
          Заходите на немецкий Amazon, покупаете что-нибудь, вбиваете немецкий же IBAN, через пару дней деньги уходят со счёта.

          Иметь кредитку для этого в принципе необязательно.
          • 0
            Спасибо.
            Таким образом, немецкие банки предоставляют сервис, по которому магазин может списывать деньги непосредственно со счёта.
            Интересно, каким образом реализована безопасность в этом случае.
    • 0
      Когда есть выбор, я плачу по той системе где нет 3d secure. Мне лень вставать искать телефон, водить разовые коды. Кстати одна из причин, по которой стараюсь не покупать в российских интернет магазинах — они все требуют этот код.
      • +4
        У каждого человека свои вкусы. Я как раз очень не люблю магазины, где не спрашивают подтверждения кода по SMS — не могу вспомнить ни одного, где бы я захотел заплатить второй раз после того, как увидел, что у меня списывают деньги просто так, без всяких подтверждений.
        • –1
          У каждого человека свои вкусы, да — но есть и статистика. Параноиков мало, ленивых много, так что… вывод очевиден…
        • 0
          Такую операцию вы можете легко опротестовать и забрать деньги, а вот если ввели код 3DS — нет.
      • +3
        Но без 3d secure любой, кто сфотографировал вашу карту, может совершить платёж.
        Вас это не беспокоит?
        • +3
          На самом деле, если такое произойдет, деньги вам вернут. У платежных систем есть правила по разбору диспутов/чарджбеков, и там есть такой пункт как Liability Shift, так вот в кратце: если ваш банк эмитент поддерживает 3-D Secure, но аквайер его не запросил, то виноват аквайер и финансовые потери на нем.
          • 0
            Я делал запрос в свой банк по этому поводу.
            Мне ответили, что в таком случае нужно подавать заявление, которое рассматривается в течение 60 дней, и далеко не факт, что деньги вернут.

            К счастью, мне ещё не приходилось проходить эти «круги ада», но думаю, в процессе придётся не раз «доказывать, что не верблюд».

            А у вас есть подобный опыт возврата средств?
            • 0
              Чаще всего деньги от мерчанта отзываются сразу как только банк ишуер послал чарджбек, и только потом начинается разбирательство. Оно не всегда длится долго, но это бюрократический процесс. Поверьте, банки этим занимаются постоянно, это не единичные случаи. Естественно поддержка будет вам говорить что это может затянуться.

              Я работаю с банковскими системами.
              • 0
                Спасибо, это немного успокаивает.
            • 0
              Это раньше надо было доказывать, что вы не верблюд.
              Согласно текущему законодательству, вам сначала вернут деньги, а потом (если докажут, что вы верблюд), будут сильно пороть розгами…
              • 0
                К сожалению, в моём банке мне ответили иначе.

                У вас есть ссылка на текущее законодательство, где описан такой порядок действий?
        • 0
          Вы правильно рассуждаете. Кто угодно, кто сфотографировал карту, может купить «ноутбук за штуку баксов на ебай». А мне же для того чтоб оплатить 7 долларов за интернет или телефон приходится вводить какие-то коды.
          Если бы код требовался в зависимости от размера суммы — это бы другой разговор. Например платежи более 100 баксов только с СМС.
          • 0
            Если бы код требовался в зависимости от размера суммы — это бы другой разговор. Например платежи более 100 баксов только с СМС.


            Не поможет, можно сделать N транзакций, каждая на сумму 100 баксов и у вас будут N*100 баксов.
            • 0
              Банки тоже не дураки. У меня был случай, когда мне банк отклонял попытку оплатить онлайн-покупку. Позвонил в банк, сказали примерно следующее, что было установлено ограничение на количество транзакций, и потому, если я хочу оплатить 4ую покупку в этих сутках, мне нужно снять это ограничение.
            • 0
              выжепрограммист :) значит лимит на транзакцию 50 долларов и на сутки 100 долларов. это достаточно для снижения рисков.

              кстати сегодня вы не сможете в течении 10 минут оплатить две покупки подряд в одном магазине например. механизм аналогичен
    • 0
      Я бы скорректировал вопрос — почему 3d secure нельзя сделать опцией банка эмитента, которую клиент, совершающий покупки, может по своему желанию подключить или отключить?
      Я интересовался этим вопросом в Альфа-Банк. Мне ответили, что 3d secure подключает магазин по своему желанию.
  • 0
    Вот сейчас почти у всех чиповые карты. Ридер для смарткарт вроде не такое уж дорогое устройство, можно в ноутбуки встраивать. Почему нет технологии, позволяющей оплачивать в интернете с использованием реального чипа реальной карты? Ведь в таком случае данные карты вообще никуда не передаются, и токены никуда не передаются, и украсть их в принципе невозможно, пока не научились удалённо считывать приватные ключи из чипа.
    • 0
      Если встраивать ридер, то надо и экран для него отдельный, чтобы детали платежа отображать и клавиатуру для ввода пин-кода. Нужно создать т.н. доверенную среду, чтобы быть однозначно уверенным в том что платишь столько, сколько просят и туда, куда надо.
      • 0
        Детали платежа можно и софтово показывать. Какое-нибудь отдельное окно в браузере, которое не сэмулировать с сайта.
        • +1
          Серьёзно? Вы надеетесь что домохозяйка, вбивающая адрес сайта в первую попавшуюся строку ввода на первом попавшемся сайте сможет понять — это окно можно «сэмулировать с сайта» или нельзя?

          Если бы пользователи думали головой, то много проблем сразу бы отпало. Но когда у вас сто миллионов клиентов, то даже 1% идитов среди них — это миллион пользователей, который будут хотят вас распять, когда у них деньги пропадут…
        • +1
          Доверять такому окну нельзя, потому что существует огромное количество вариантов, как подменить в нем информацию. Поэтому только отдельное законченное устройство может гарантировать Вам достоверность и неизменяемость информации.
      • 0
        Есть ридеры и со встроенными пин-клавиатурами, и экранами, и даже со встроенными принтерами для печати чеков. Стоят около 100 долларов за штуку. Цепляются по блютусу, либо те что попроще — через разъем для наушников (ну они обычно предназначены для использования в паре со смартфоном как мобильный терминал оплаты)
    • +3
      Проблема курицы и яйца. Железо появилось ещё в прошлом веке, но владельцы сайтов его не используют, так как оно мало у кого есть. А мало у кого оно есть, так как покупки можно совершать и без него.
    • 0
      «Почти у всех» — это вам так кажется. В США до сих пор более популярны магнитные полоски, например.
  • +1
    Одного не могу понять, почему CVC код не идет в конверте вместе с PIN кодом. Даже при кратковременной передачи карточки для проведения оплаты карта может быть скомпроментирована (сфотографированы лицевая и обратная сторона). Отсутствие CVC на самой карте сделало бы бессмысленным такой фокус.
    • +1
      Полностью согласен. У нас на многих заправках карту приходится отдавать в окошко для оплаты. И что там с ней делает кассир не видно, если голову в это маленькое окошко не засовывать. И все равно, ничего не мешает кассиру поставить тот же смартфон на запись видео, чтобы быстро заснять обе стороны карты. А потом прощай денежки, потому что кто-то сделает покупку в зарубежном интернет-магазине. Приходится всегда в интернет-банке блокировать оплату картой через интернет и включать только на то время, когда сам что-то купить хочешь.
      • 0
        Именно так!
        По этой причине я не передаю карту в руки кассиров, все действия совершаю сам. Вот уже 2 месяца удаётся :-)
        Интересно, почему 3d secure нельзя сделать опцией банка эмитента, которую клиент, совершающий покупки, может по своему желанию подключить или отключить?
        • 0
          Интересно, почему 3d secure нельзя сделать опцией банка эмитента, которую клиент, совершающий покупки, может по своему желанию подключить или отключить?
          Потому что конкуренция. Потому что куча мелких магазинчиков, которые всё настроили лет 5-10 назад сразу отпадут. Потому что, в конечном итоге, супернадёжная система, через которую вы не можете заплатить никому нафиг не нужна: Bitcoin уже существует, однако.

          Всем разработчикам приходится соотносить риски и утерянную прибыль, однако. В какой-то момент, возможно, платежи без 3D-secure банки и перестанут принимать. Но вряд ли это случится уж очень скоро…
          • 0
            куча мелких магазинчиков, которые всё настроили лет 5-10 назад сразу отпадут.

            Не могу понять, почему они отпадут?
            Картинка из поста
            image

            Магазин просто отправляет запрос в банк эквайр, получает в ответ ссылку, на которую перенаправляет пользователя. На той странице пользователь уже вводит свой код безопасности.
            Неужели это перенаправление такое сложное? Не думаю.

            Получается, в банке есть условно 2 url: первый — для платежа без 3d secure, второй — для платежа с 3d secure. И от магазина зависит, какой url использовать.
            На мой взгляд, этот подход устарел, и банк вполне может отметить первый url как deprecated, и через некоторое время удалить.
            • 0
              Не могу понять, почему они отпадут?
              Ум. Вы же вроде сами всё объяснили.

              Получается, в банке есть условно 2 url: первый — для платежа без 3d secure, второй — для платежа с 3d secure. И от магазина зависит, какой url использовать.
              Если бы дело было только в URL'ях! Многие магазинчики вообще пользуются системами учёта и обработки платежей, разработанными лет 10-20-30 назад под телефонные заказы. У них нет никаких URL'ей в самом магазине! У них есть база заказов куда стекаются все заказы — в том числе сделанные и через телефон и через Web. А потом она, скажем, раз в сутки, выгребает оттуда все заказы и «отоваривает» их.

              Куда вы тут 3D Secure прицепите? Тут весь дизайн всего IT-хозяйства в магазине менять надо!

              На мой взгляд, этот подход устарел, и банк вполне может отметить первый url как deprecated, и через некоторое время удалить.
              Вот лет через 10 так и сделают. А пока — «рановато будет»…

              Преимущество России тут в том, что в 90е годы всё к чёртовой матери развалили и в XXI веке все системы были отстроены заново. Большинство Internet-магазинов — это именно что Internet-магазины, а не надстройка к магазинам, заточенным под торговлю «по каталогу». В Америке и Европе этого не было… там огромное число магазинов по прежнему рассылают каталоги и принимают заказы по телефону! А Web туда добавлен «сбоку»…
              • 0
                Многие магазинчики вообще пользуются системами учёта и обработки платежей, разработанными лет 10-20-30 назад под телефонные заказы.

                Т. е. магазин сохраняет себе данные карты, которые я ввёл, и потом в отдельной операции, может даже ручной, проводит платежи.
                Да, это грустно. Здесь 3d secure не подключишь никак.

                Но всё же, теоретически банк может для определённых клиентов (или для определённых карт) требовать платежи только через 3d secure, и автоматически заворачивать все остальные транзакции, верно?
                Таким образом, если клиент захочет такую опцию — включит, и будет в безопасности.

                • 0
                  Теоретически это сделать можно. Но на практике ни VISA, на MasterCard этого делать не хотят. Внутри России это, в принципе, можно было бы сделать — но для этого тоже нужно время.
                  • 0
                    ни VISA, на MasterCard этого делать не хотят.

                    А разве не банк?
                    • 0
                      Банк может заблокировать все транзакции без 3D-secure «скопом», но тогда вы и за номер в гостинице заплатить не сможете! Вряд ли вы этого хотите.

                      А вот платёжная система могла бы различать эти транзакции — но они, похоже, с этим заморачиваться не хотят.
      • 0
        Приходится всегда в интернет-банке блокировать оплату картой через интернет и включать только на то время, когда сам что-то купить хочешь.
        А от чего это защищает? Как вы угадываете момент, когда нужно оплату черещ Internet включать?

        Я общался со многими западными Internet-магазинами и в подавляющем большинстве магазинчиков (да и крупных магазинов — всё тот же пресловутый Amazon) деньги снимались с карты вовсе не сразу после оформления заказа. Иногда — через час, иногда — через месяц.
        • 0
          Блокировка идёт только на транзакцию, насколько я понимаю. Я делаю разблокировку платежей непосредственно перед оплатой и блокирую сразу после оплаты. Проблем ещё не возникало.
          • 0
            Удивительно. То ли вы вообще никогда ничего не покупали в зарубежных магазинах, то ли вы для вас «зарубежный магазин == AliExpress».

            Вы на Amazon'е вообще чего-нибудь когда-нибудь покупали? Вот если я сейчас, сегодня, пойду и закажу какой-нибудь Naruto Shippuden: Ultimate Ninja Storm 4 то когда, как вы думаете, транзакция случится? Правильный ответ: где-то в районе 9го февраля. Может — чуть раньше, может — чуть позже. А если выпуск игры отложат — то и через полгода может быть. Какой-нибудь Patreon снимает деньги в начале месяца — но это может случиться 2го или 5го. Kickstarter снимает в 48 часов после окончания компании…

            Или вы ждёте пока вам письмо придёт с отказом о транзакции, потом разрешаете ей пройти, надеясь, что это случится в 24 часа, потом снова запрещаете… это же не жизнь, а какая-то постоянная борьба! Как так можно жить?
            • 0
              Покупал на eBay, в Steam и в нескольких китайских магазинах. Ещё раз говорю, что ни разу проблем не было: разблокировка происходит только на момент оплаты в интернет-магазине. Не больше, не меньше. Во всех случаях списание происходило в тот же момент. Ежемесячные автоплатежи вообще не люблю и стараюсь их избегать: не люблю когда что-то списывается без моего участия.
              • 0
                Покупал на eBay, в Steam и в нескольких китайских магазинах.
                Ну то есть в западных магазинах вы не покупали ничего и никогда. Steam не в счёт — у него нет заморочек с логистикой, товар «внезапно кончится» не может. Тогда — да, тогда верю.

                В этом смысле Россия — это всё-таки азия :-) На «западе» (то есть в США, Европе, Японии, Австралии… ну на таком «условном» западе) жизнь устроена совсем по другому и ваш подход в принципе работать не может. Там почти во всех местах «что-то списывается без вашего участия».

                Отсюда, кстати, много конфликтов возникают. Типа того же недоумения с Google Play, когда он блокирует 30 рублей, а в комментариях буча поднимается. С точки зрения Гугла не произошло ничего страшного вообще: он просто проверил существование карты, чтобы убедиться в том, что клиент существует в природе и является совершеннолетним, даже никаких денег не списал (только заблокировал) — чисто техническая операция, большинство западных банков о ней даже клиенту сообщать не будут… C точки зрения же российского покупателя Гугл совершил чуть ли не преступление, LOL.
      • 0
        Запомните, а потом закрасьте/заклейте CVC-код на карте.
    • 0
      почему CVC код не идет в конверте вместе с PIN кодом.

      Хороший вопрос. Ответа я не знаю, но помню советы некоторых бывалых параноиков: берёте лезвие и аккуратно зачищаете циферки, чтобы их никто не мог прочитать.
    • 0
      Хорошая практика — его попросту стирать. Но незнание CVV кода лишь незначительно усложняет жизнь мошенникам.
  • +1
    офф: при переходе по ссылке в блог пишет «Компания MasterCard прекратила активность на хабре»

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.