В добавок, деньги с вашей карты могут снять даже если денег на ней и нет вовсе, посылая вас в технический овердрафт. Кто когда-либо запрашивал выписку по карте, может заметить что на каждый платеж есть две даты — авторизации (когда вы совершали покупку, деньги заблокировали на карте) и транзакции (когда деньги фактически были списаны с вашего счета, обычно через несколько дней). Если авторизация может быть отклонена, ввиду недостаточности средств, транзакцию отклонить нельзя. Некоторые категории мерчантов могут посылать транзакции не совершая авторизации, например отели или duty free в самолетах.
Не чушь, так и есть. В большинстве случаев, CVV будут проверять только если его прислали, собственно как и все остальное. Почему? Банк может принудительно требовать CVV, и даже 3D secure, но тогда клиенты будут жаловаться что не могут что-то оплатить. Все на усмотрение продавца, но он берет на себя риски — ему тоже выгодны дополнительные меры защиты, иначе он тоже может попасть на фрод, а потом выплачивать чарджбэки и фии.
Но зато вы можете обратиться к вашему банку эмитенту и потребовать возврата средств. Так как у продавца нет подтверждения того, что покупку совершили именно вы, вам почти гарантированно вернут деньги. И да, вы можете обратиться к банку и потребовать чтобы на вашей карте блокировали некоторые типы авторизаций/методы ввода. Обычно это поддерживается, другой вопрос — знает ли оператор как это сделать.
У меня есть опыт подобных проектов, но в банковской сфере — перевод банка с процессинговой системы одного вендора на систему другого, или просто апгрейд системы от одного и того же вендора. Собственно, ничего сложного: продукт уже готов, остается лишь перекинуть данные с одной базы на другую, и сделать несущественные доработки под нужды клиента. Фигня, да?
Но вот над такими «тривиальными» проектами работают десятки людей, длятся они 1-3 года и стоят миллионы. Объемы ВК и ОК на несколько порядков больше.
Кстати, в неком игровом проекте Multi Theft Auto подобная реализация используется уже на протяжении долгих лет (html + inline Lua), только в купе с Embedded HTTP Server.
Комиссию берут все участники системы: эквайер, платежка и эмитент. Вообще, запрос баланса — это стандартная авторизация (Balance Inquiry), но многие банки делают свои имплементации для своих карт, как Mini Statement — запрос последних авторизаций, и формат может различаться, поэтому это может не поддерживаться для чужих карт, ибо тут стандарта нет.
Кстати, из-за специфики валидации пина, подходящих может быть несколько, но никто об этом никогда не узнает на «живой» системе (Только на тестовых машинах, когда все ключи известны, разработчики/qa могут найти все подходящие пины для карты).
Нигде больше не хранится, банковская карта — это способ манипулировать вашим банковским счетом, банк не передает информацию о состоянии вашего счета никому (в зависимости от законодательства).
PIN нигде не хранится и не передается, при смене пина подбираются новые ключи при которых новый пин будет валидным для данной карты (номер карты тоже участвует в генерации/валидации). Весь процесс не опишу, там материала на целую статью.
Даже по карте с чипом и поддержкой 3d-secure можно оплатить имея лишь номер и срок действия, остается надеяться на добросовестность мерчантов. Но банки могут устанавливать ограничения на то какие виды транзкаций проходят по тем или иным картам/терминалам. На магнитной карте есть некий сервис код — он тоже частично отображает что вам разрешено.
Судя по статье, вы рассматриваете это на примере одного банка, который работает с процессинговой системой. А поэтому у меня есть немного замечаний со стороны процессинга:
Карты учитываются и обслуживаются не в банках, а в процессинговых центрах (ПЦ). Это достаточно сложное организационное и техническое учреждение.
У меня статистика совсем другая, банки в основном предпочитают содержать свой процессинг, даже сравнительно небольшие (~50тыс карт). Иногда бывает что банки объединяются и содержат одну процессинговую систему вместе, еще чаще встречается когда один банк общается с платежными системами через другой банк (особенно часто встречается с American Express — они не дают свою подписку всем подряд).
На самом деле, то что ПЦ — это огромное и сложное учреждение — иллюзия. Вы можете обслуживать сотни тысяч карт и сеть из десятка тысяч банкоматов/pos-терминалов на одном, даже не топовом, сервере + HSM (Host Security Module — обязательно для криптографии с начала 2000ых).
Карта действительна до последнего календарного дня месяца, что указан. Если вы получили новую карту до истечения срока старой – то старая еще будет работать, но когда вы сделаете первую операцию по новой карте – начинает работать уже новая.
Это скорее зависит от банка/вендора ПС, старая карта может перестать работать и в день эмбоссига новой.
Банки получают (покупают) ключи для генерации на определённый срок. На год/два/пять. Именно от этого зависит тот максимальный срок, на который выдаются карты.
Это вам продает процессинговый центр, на самом деле карту можно заэмбоссить и на 100 лет, у платежных систем такие случаи даже регламентированы. Эти ключи сменяются из целей безопасности, и несколько продуктов банка (например Visa Gold и Visa Classic) обычно выпускаются под разными ключами. Суть в том чтобы в случае скомпраметированного/утерянного ключа перевыпускать не все карты, а лишь часть.
Из вне банк/ПЦ получает лишь один ключ — для обмена пин блоком с платежной системой, все остальное он может генерировать в неограниченных количествах абсолютно бесплатно, и хранятся они все под неким LMK (Local Master Key) и его вариациями.
На ней есть номер карты. Первая цифра – 4 – это Visa, 5 – MasterCard, 6 – Maestro и т.д. Первые шесть цифр – это BIN банка.
В 90% случаев это так, но это не правило, у Visa тоже есть бины начинающиеся на 5, как и у MasterCard на 4. Есть бины которые обслуживаются и обоими пллатежками сразу, есть proxy бины (запрос по карте Visa идет в MC). Списки постоянно обновляются и присылаются банкам для правильного роутинга платежей, иногда бывают и коллизии, но они оперативно решаются.
Зачастую оффлайн проверка происходит даже если мы идем онлайн, на ATMах конечно реже, но на POSах — почти всегда. Не зря же нам приходят CVR/TVR в чиповых тегах.
Пин блоки по PCI DSS мы тоже не храним, можно выпендриться с PVV/PVKI, как при смене пина, но это будет работать только на маг страйпах, с чипом такая фишка не пройдет.
Как оно осуществимо? Пин-блок дешифровке не подлежит, ключи неизвестны даже сотрудникам банка, и весь процесс сверки происходит в отдельном хардвэрном крипт-модуле, пин нигде не хранится, и даже более — для одной карты может быть более одного валидного пина, из-за специфики его проверки, но об этом никто никогда не узнает на «живой» системе.
Я не рассматривал это на примере сбера, с ним я как раз почти не знаком. Это общие принципы работы.
То что вы описываете, это скорее не ваш расчетный счет, а промежуточные аккаунты которые цепляются к карте — таких может быть много, и зачастую они используются для различных ограничений и бонусных программ, но тут уже зависит от системы.
Ваш банковский счет просто не может использоваться напрямую, потому что его баланс не актуален, и не может быть, потому что расчеты в платежных системах идут в 2 этапа — сначала ваша транзакция, которая лишь дает вашему банку знать сколько денег нужно заблокировать (но не списать!!), а потом уже окончательное подтверждение, в котором значения могут даже немного отличаться.
С валютой как раз есть небольшие задержки, если вы что-то оплатили не в той валюте, которая привязана к аккаунту вашей карты, окончательный перерасчет пройдет позже, по курсу на момент получения сеттлмент файла — и тут вы либо выиграете, либо проиграете немного денег на изменении курса.
Не путайте CVV и CVV2, CVV написан на магнитной ленте, и может не использоваться вовсе. Смена пин кода делает некоторые значения на магнитной ленте неактуальными (магнитная лента никогда не перезаписывается), их начинает хранить сам банк. С чипом иначе — банкомат способен обновить на нем значения, что он и делает в случае смены пин кода, так как ваш чип обязан проверять его самостоятельно.
А вообще, менять номер карты или нет — это на усмотрение банка/оператора.
Счастливый час от Inbox. Хватайте инвайты, пока не поздно.
Но зато вы можете обратиться к вашему банку эмитенту и потребовать возврата средств. Так как у продавца нет подтверждения того, что покупку совершили именно вы, вам почти гарантированно вернут деньги. И да, вы можете обратиться к банку и потребовать чтобы на вашей карте блокировали некоторые типы авторизаций/методы ввода. Обычно это поддерживается, другой вопрос — знает ли оператор как это сделать.
Но вот над такими «тривиальными» проектами работают десятки людей, длятся они 1-3 года и стоят миллионы. Объемы ВК и ОК на несколько порядков больше.
У меня статистика совсем другая, банки в основном предпочитают содержать свой процессинг, даже сравнительно небольшие (~50тыс карт). Иногда бывает что банки объединяются и содержат одну процессинговую систему вместе, еще чаще встречается когда один банк общается с платежными системами через другой банк (особенно часто встречается с American Express — они не дают свою подписку всем подряд).
На самом деле, то что ПЦ — это огромное и сложное учреждение — иллюзия. Вы можете обслуживать сотни тысяч карт и сеть из десятка тысяч банкоматов/pos-терминалов на одном, даже не топовом, сервере + HSM (Host Security Module — обязательно для криптографии с начала 2000ых).
Это скорее зависит от банка/вендора ПС, старая карта может перестать работать и в день эмбоссига новой.
Это вам продает процессинговый центр, на самом деле карту можно заэмбоссить и на 100 лет, у платежных систем такие случаи даже регламентированы. Эти ключи сменяются из целей безопасности, и несколько продуктов банка (например Visa Gold и Visa Classic) обычно выпускаются под разными ключами. Суть в том чтобы в случае скомпраметированного/утерянного ключа перевыпускать не все карты, а лишь часть.
Из вне банк/ПЦ получает лишь один ключ — для обмена пин блоком с платежной системой, все остальное он может генерировать в неограниченных количествах абсолютно бесплатно, и хранятся они все под неким LMK (Local Master Key) и его вариациями.
В 90% случаев это так, но это не правило, у Visa тоже есть бины начинающиеся на 5, как и у MasterCard на 4. Есть бины которые обслуживаются и обоими пллатежками сразу, есть proxy бины (запрос по карте Visa идет в MC). Списки постоянно обновляются и присылаются банкам для правильного роутинга платежей, иногда бывают и коллизии, но они оперативно решаются.
То что вы описываете, это скорее не ваш расчетный счет, а промежуточные аккаунты которые цепляются к карте — таких может быть много, и зачастую они используются для различных ограничений и бонусных программ, но тут уже зависит от системы.
Ваш банковский счет просто не может использоваться напрямую, потому что его баланс не актуален, и не может быть, потому что расчеты в платежных системах идут в 2 этапа — сначала ваша транзакция, которая лишь дает вашему банку знать сколько денег нужно заблокировать (но не списать!!), а потом уже окончательное подтверждение, в котором значения могут даже немного отличаться.
С валютой как раз есть небольшие задержки, если вы что-то оплатили не в той валюте, которая привязана к аккаунту вашей карты, окончательный перерасчет пройдет позже, по курсу на момент получения сеттлмент файла — и тут вы либо выиграете, либо проиграете немного денег на изменении курса.
А вообще, менять номер карты или нет — это на усмотрение банка/оператора.