PIN-код при оплате картой — точки над i

Всем доброго дня!

После прочтения нескольких статей на хабре о пластиковых картах, POS терминалах и сопутствующих вещах, мне показалось, что эта тема довольно интересна сообществу. В данной небольшой публикации я хочу окончательно разобрать тему ввода PIN–кода на POS терминалах и ответить, наконец, в меру своих знаний, на вопрос: почему же в одних случаях требуется ввод PIN, а в других — нет?

Если тема будет так же интересна сообществу – то в будущем вас ждут еще несколько статей о принципах работы всей этой кухни, всего, что связано с POS-терминальным обрудованием, процессинговыми центрами и пластиковыми картами.

Но для начала предисловие.

Так уж вышло, что работаю я в одном из банков нашей страны. Занимаюсь, собственно, настройкой POS терминалов «с нуля» и до, собственно, ввода в эксплуатацию.

Это моя первая статья, так что заранее прошу прощения за некую сумбурность, равно как и за то, что, возможно, что-либо упущу, ибо все подробности уместить в рамки статьи невозможно.

В первую очередь необходимо будет упомянуть о TMS (Terminal Management Server\Station). Вкратце — это компьютер, на котором работает некоторая программа — центр конфигурирования всех POS терминалов. Именно там создаются так называемые «файлы конфигураций приложения», то есть то, что заливается в POS и характеризует его работу.

В TMS задаются все параметры работы POS, как очень значительные (к примеру, список платежных систем, с которыми работает POS, настройки этих систем, CVM листы, action-коды терминала), так и незначительные (таких, как порядок расположения пунктов меню на экране терминала, или же дизайн чеков).

На выходе в итоге появляется специально упакованный файл, который «понимает» терминал. Этот файл и заливается в терминал.

Теперь о сути: спрашивать или не спрашивать PIN (в случае EMV карты):

На EMV-микросхему карты на этапе загрузки приложения заливается так называемый CVM-лист (CVM – Cardholder Verification Method). Также его можно менять во время транзакции специальным эмитентским скриптом, направляемым с процессингового центра, но эти тонкости я позволю себе отпустить.

Каждый банк-эмитент выбирает CVM-лист исходя из своих требований. Вот пример классического CVM-листа:

4403410342031E031F02

Расшифровка выглядит так:



И читается слева направо (заранее прошу прощения за корявую схему от мастера пайнта минус 92 левела):



На самом терминале тоже есть свой, терминальный CVM-лист. Он задается в TMS на этапе составления конфигурационных файлов, которые заливаются в POS. Его настраивает банк – эквайрер, опять же, согласно своим запросам.

Работает же всё весьма просто: во время транзакции два CVM-листа (карты и терминала) сравниваются. Срабатывают только те методы проверки, которые совпадают в обоих листах (по сути выполняется проверка пересечения CVM-листов). Остальные методы отбрасываются!

То есть в данном примере алгоритм таков:

Спросить криптованный PIN (предварительно проверив, есть ли в CVM-листе терминала такой метод), если юзер отказывается (это то самое нажатие красной кнопки на PIN-клавиатуре) – запросить оффлайновый открытый PIN (а отказаться он имеет право – см. картинку), если снова отказывается – запросить онлайн-PIN (проверяется не картой, а хостом), если снова отказался — запросить подпись (от нее уже отказаться нельзя — снова см. картинку). Если же в CVM-листе терминала нет проверки по подписи – метод пропускается (это НЕ приравнивается к отказу!) и используется метод «No CVM» с условием «If not unattended cash and not manual cash and not purchase» (но обычно он мало где используется). Если же и этого метода в CVM-листе терминала нет – то проверка не проходит и транзакция отклоняется.

Естественно, число различных вариаций CVM-листов карт и терминалов — и уж тем более их сочетаний — весьма велико. Так что теперь, думаю, всем стало более ясно, почему карта в устройстве запрашивает PIN, а в другом устройстве та же самая карта просит подпись. И почему другая карта исправно работает с запросом PIN в том же устройстве, а карта, что работает в третьем – тут вообще отказывается работать. Так же надеюсь, что после прочтения данной статьи тема запроса PIN-кодов при оплате с карты стала более понятна и прозрачна и удивляться в магазинах по этому поводу больше не придется.

Всем спасибо за проявленное внимание!
Поделиться публикацией
AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее
Реклама
Комментарии 256
  • +7
    Спасибо! Отличная статья для тех, кто только начинает разбираться в этой тематике. А про то, как работает PayPass сможете рассказать?
    • +8
      PayPass — это, в принципе, тот же EMV (то есть такая же чиповая транзакция, используется почти такой же EMV процесс), за несколькими отличиями в последовательности шагов процесса, выходящими из того, что с карты данные считываются в конце EMV процесса, а не в начале (карту то вы подносите уже после того, как кассир набивает данные).
      А вообще, эта тема для отдельной статьи, я считаю, как, собственно, и подробное описание обычного (контактного) EMV процесса (то есть процесса с момента вставки карты до отправки пакета на хост, там много чего происходит, на самом деле)
      • +2
        Интересно, буду ждать новых статей.
        • +1
          А какая ошибка была допущена русскими банками, когда по NFC можно узнать историю транзакций PayPass?
          • +1
            Не только русскими, в Google Play в описании приложения был списочек из десятков банков самых разных стран :-)
            • 0
              банки не считают это ошибкой
            • 0
              Про PayWave писали, что для операций без пина требуется какая-то дополнительная фича со стороны банка, иначе терминалы всегда будут его спрашивать. Потому статья будет очень кстати!
          • 0
            На EMV-микросхему карты на этапе загрузки приложения заливается так называемый CVM-лист (CVM – Cardholder Verification Method). Также его можно менять в во время транзакции специальным эмитентским скриптом, направляемым с процессингового центра


            А, всё-таки, нельзя ли рассказать подробнее про это?
            • +2
              Во время транзакции, в терминал может загружаться эмитентский скрипт. То есть, это некий скрипт, который передается с хоста в терминал эмитентом карты (как он попадает в ПЦ стороннего банка — отдельная тема) и выполняется на POS-терминале. Вообще эмитентских скриптов два, на самом деле, но в данном контексте это неважно.
              Они предназначены, в частности, для смены Offline PIN-кода карты, для блокировки карты, для сброса счетчика неверно введенных PIN. Так же может заменяться CVM-лист, загружаться новые аппликации в память EMV-чипа.
            • +3
              То есть можно отклонить ввод пинкода и расписаться в подавляющем большинстве терминалах?
              • +4
                Да, если не верить кассирам о том, что «им не разрешают» ) Правда я не очень понял про офлайновые и онлайновые ПИНы, что это за ПИНы и чем они отличаются от того, который мы вводим? Правильно ли я понял, что для того, чтобы добраться до ручной подписи в примере автора, нужно будет нажать красную кнопку трижды?
                • 0
                  usa.visa.com/download/merchants/visa-issuer-pin-security-guideline.pdf

                  Насколько понял, онлайн — это код, который на обороте карты из 3 цифр, оффлайн — это который имеет 4 цифры и передаётся секретно через телефон или написан на бумажке, которую предлагется уничтожить после прочтения.
                  • 0
                    Нет, вы неправильно поняли.
                    При выпуске (персонализации) карты на нее вшивается пин. Еще пин (в шифрованном виде) хранится в банке. При онлайн авторизации терминал (магазин) спрашивает у банка «правильный ли пин ввел клиент?». При офлайн авторизации (например на океанском лайнере, на котором нет интернета и нет связи с банком) терминал сверяет введенный пин с тем, что хранится на карте.
                    Это просто разные способы авторизации.
                    • +2
                      > При офлайн авторизации терминал сверяет введенный пин с тем, что хранится на карте.

                      Это реально так? Мне казалось что PIN на чипе карте не доступен снаружи, т.к. это стандартный крипточип. Которому подается PIN и какие-то данные, которые он либо подписывает свой ЭЦП, либо нет. Неужели это не так?
                      • +2
                        Там скорее всего хеш с солью хранится.
                        • +1
                          Т.е. чип на банковской карте даже ничего не шифрует? А какой тогда в нем смысл? Все это можно с тем-же успехом и на магнитной полосе хранить.
                          • +1
                            Магнитную полосу перезаписать — раз плюнуть. :-)
                            Чипу передаётся ПИН шифрованный открытым ключём, так что всё ОК.
                        • +1
                          Нет, ПИН не доступен снаружи. Имеется ввиду, что чипу скармилвается введенный ПИН и какая-то информация на подпись. Если ПИН правильный, то инфа подписывается чипом, а POS-терминал эту подпись проверяет. Если всё сошлось, то терминал делает вывод, что ПИН был верный.
                          • +3
                            Да, если упрощенно — то это так и есть.
                            На самом деле там испольуется перекрестное шифрование, с использованием открытых и закрытых ключей МПС, банка — эмитента и банка — эквайрера. Схема не то чтобы сложная, но, что называется, «без поллитры не разберешься».
                            • 0
                              А как тогда реализована смена ПИНа по телефону?
                              • 0
                                Да просто оператора у себя в базе меняет ПИН. Потом при следующей транзакции приходит онлайн скрипт, который меняет ПИН в памяти чип.
                                • 0
                                  но ПИН оператору неизвестен. Иначе он мог бы его восстановить.
                                  • 0
                                    Он неизвестен сотрудникам банка. Однако очевидно, что в системе этот ПИН проскакиевает каким-то образом. Хотя бы в момент изготовления карты. Просто это всё делается автоматом.
                        • 0
                          Пин нигде не хранится, даже в шифрованном виде. Есть несколько методов проверки пина: Visa, IBM, еще какие-то?

                          В Visa методе проверка проходит высчитывая PVV из номера карты, PVK ключа и самого пина. Подходящих пинов для карты может быть несколько, но на живой системе никто никогда не узнает все кроме одного (А на тестовых, когда нам известны все ключи, мы высчитываем возможные пины для карт)
                          • 0
                            на визы давно уже дают задавать любой свой пин
                            • 0
                              Берется следующий PVKi и высчитывается новый PVV. Сам пин не хранится.
                        • 0
                          Если я не ошибаюсь, онлайн PIN — это когда PIN и сведения о транзакции передаются в проценнинговый центр, а оффлайн — PIN проверяется процессором карты.
                          • 0
                            Да, спасибо, я потом ещё раз перечитал и понял разницу, только вот комментарий неуспел отредактировать, теперь буду знать, что 3 минуты даётся на редактирование. =)
                            • +1
                              Да, это так.
                              Но не стоит путать offline проверку PIN и offline транзакцию.
                              Довольно часто бывает так, что PIN проверяется в offline-режиме, но транзакция уходит в online.
                              • +2
                                Т.е. проверка наличия денег на карте все равно осуществляется.

                                В таком случае вопрос — а каков смысл создания двух вариантов проверок — offline и online, если все равно от online никуда?

                                Выше еще был пример с лайнером в океане, где нет интернета — там терминалы верят на честное слово, что деньги на карте присутствуют при оплате? А если их нет, то наступает овердрафт? А если овердрафт банком не предусмотрен?
                                • +1
                                  У меня получалось уйти в небольшой минус на безовердрафтовой карте Альфы будучи заграницей. После приезда через месяц меня в почтовом ящике ждало письмо «Вы потратили наши деньги, оплатите 700 рублей, иначе будет суд».
                                  • +6
                                    Технический овердрафт возможен и на безовердрафтных картах.
                                    Как я понимаю — деньги блокируются на момент покупки, и списываются спустя некоторое время. Заблокировали 300 евро по курсу 57, а списали через три дня по 60.

                                    По крайней мере мне так в сбербанке объясняли.
                                  • +2
                                    Чип всегда «помнит» сумму на картсчете, и синхронизирует это при каждой транзакции.
                                    Если денег нет — то их тупо нет, вот и все.
                                    • +4
                                      Да ладно?
                                      А если деньги тратятся через интернет? Чип как об этом узнает?
                                      • +3
                                        Чип об этом «узнает» при первой же онлайн транзакции.
                                        • 0
                                          В том и соль что следующая транзакция может быть уже на лайнере, где нет интернета
                                          • +1
                                            Лайнер прибывает в порт, и POS-терминал лайнера выполняет операцию сверки итогов (и по совместительству выгружает все оффлайновые транзакции в ПЦ)
                                            • 0
                                              Благодарю.
                                              Но тогда еще вопрос: порой на заправке нет интернета и они не могут произвести транзакцию. Это я так понимаю ограничения самого терминала, что он не может выполнять offline транзакцию?
                                              • +1
                                                Да, зависит от настройки терминала
                                    • 0
                                      В случае недоступности процессингового центра проверка наличия денег не производится. Но платежная система хочет обеспечить своих клиентов возможностью расплачиваться «везде и всегда», поэтому есть STIP-лимиты. Это лимит в пределах которого платежная система разрешает клиенту расплачиваться без подтверждения от процессинга. Величину STIP-лимитов устанавливает банк. Как правило исходя из типа карты. Например для classic этот лимит может быть 10 т.р., для gold 100 т.р., а для platinum 500 т.р.
                                      Это делается, чтобы владелец дорогой карты не остался без возможности рассчитаться. Если при этом он уходит в минус, то это будет технический овердрафт. Редко кто оспаривает такие траты. Обычно если и уходят в минус, то на незначительные суммы (все ведь знают примерно сколько у них денег на карте).
                                    • +2
                                      Не понятен тогда механизм транзакции, если нет интернета — как терминал узнает есть ли деньги на карте? А если интернет есть — зачем оффлайн проверка пина?
                                      • +1
                                        Есть такая штука как овердрафт. И в чипе по идее должна храниться последняя доступная сумма.
                                        А насчет оффлайн проверки пина, то это дешевле, быстрее и наверное безопаснее.
                                        • 0
                                          Но как быть в такой ситуации:
                                          Карта помнит, что в ней лежит 10 рублей, по паспорту с карты снял 7 рублей, на карте осталось 3. Потом в оффлайн режиме снял еще 10 (т.к. это последняя записанная на карту сумма) и остался должен 7 рублей :)
                                          • +5
                                            И при первой же онлайн транзакции по карте — на балансе будет минус 7 рублей. Это называется «технический овердрафт», и там процентная ставка обычно весьма высока
                                          • 0
                                            А смысл её хранить, если она не влияет на оффлайн покупку?
                                    • 0
                                      Нет. :-)
                                      Человек спросил именно про онлайн/оффлайн проверки ПИНа, а не CVC/CCV на обратной стороне карты.
                                      Используется ли онлайн проверка ПИНа или оффлайн решается на основании CVM листа, который автор описал в статье, и типа терминала.
                                      Онлайн: введенный ПИН шифруется и отправляется на хост для проверки, результат проверки приходит онлайн.
                                      Оффлайн: ПИН отправляется на EMV-чип, который проводит проверку.
                                      Онлайн проверка совместима с большим числом карт (в том числе безчиповых), но медленная, так как нужно обращение к хосту. Оффлайн проверка обычно используется для оффлайн транзакции, но и то не факт.

                                      p.s. Пока писал, уже два раза ответили )
                                      • 0
                                        Я не совсем получил ответ на свой вопрос. Видимо криво спросил. В публикации упомянуто три способа ввода ПИНа: encipherd PIN, offlain PIN и online PIN. Я по своей простоте решил, что enciphered PIN — это то, что мы вводим обычно в 99% случаев, поэтому спросил про offline и online. Однако почитав ответы я понял, что скорее всего моё предположение не правильно. Поэтому остался вопрос: а что же такое enciphered PIN?
                                        • 0
                                          Если не ошибаюсь, enciphered PIN и offline plain-text PIN — разные варианты оффлайн проверки.
                                          В первом случае ПИН перед отправкой чипу предварительно шифруется, во втором — нет.
                                          • 0
                                            Ой, я, кажется, сейчас завалю вас вопросами ) Но тема была всегда интересна )

                                            1) Интересная кухня, а для чего шифровать информацию, которая передаётся внутри одного девайса (карту, вставленную в POS-терминал будем тоже считать внутри)? Неужели там возможна MITM-атака или подслушивание? Если предполагается такой сценарий, что злой хаккер залезает внутрь POS-терминала и что-то там меняет, то почему бы ему не снимать прямо нажатия клавиш терминала? Тут уже никакое шифрование ПИНа не поможет.

                                            2) Как EMV-чип и POS-terminal договариваются о шифре и ключе?
                                            • 0
                                              Сам уже вряд ли всё точно вспомню, хоть и попробую. )

                                              1. Именно ради MITM и желательно шифровать. Бывают POS терминалы, когда клавиатура и считыватель — устройство всё в одном. А бывают терминалы/банкоматы, где вообще Windows стоит, и кардридер с пин-клавиатурой — два разных девайса, подключенных по COM-порту, который легко сниффится. Тут стандарт для всех един. Где можно — шифруй, где не можешь — на свой страх и риск. А с подглядыванием ПИНа — тут уж техническими способами не решишь. Лучше всего прикрывать рукой клавиатуру, когда вводишь ПИН, но я вот сам часто об этом забываю, поэтому просто держу на счете карты суммы, которые не страшно потерять, а в случае чего просто пополняют счёт с телефона через мобильное приложение банка.

                                              2. Вот здесь вряд ли вспомню. Выше тов. PowerMetall написал довольно справедливо на эту тему. :)
                                              На самом деле там испольуется перекрестное шифрование, с использованием открытых и закрытых ключей МПС, банка — эмитента и банка — эквайрера. Схема не то чтобы сложная, но, что называется, «без поллитры не разберешься».
                                              • 0
                                                Забыл написать про считывание нажатий клавиш техническим методом.
                                                Если вскрыть пинпад-клавиатуру, то автоматом стираются все зашитые ключи шифрования и девайс становится бесполезным. Поэтому остаётся накладка на клавитуру сверху или камера. В POS терминалах такое сложно провернуть — продавец рядом сидит. В банкоматах/терминалах — вполне возможно, так что надо глядеть в оба.
                                                • +2
                                                  В POS-терминалах такое обычно делает как раз продавец. Его я тоже вижу в первый раз и доверять ему у меня оснований нет.
                                      • +1
                                        На оборотной стороне карты — это CVV (Cardholder Verification Value, не путать с PVV — PIN Verification Value). Непосредственно в расшифровке PIN кода CVV не участвует
                                        • 0
                                          Точнее CVV2 для Visa и CVC2 для MasterCard.
                                    • –1
                                      А зачем отклонять пин-код при покупке, если карта своя? Я, конечно, не имею в виду случаи с ворованными картами.
                                      • +4
                                        Если я оплачиваю покупку бутылки пива в полуподвальном магазинчике, терминал которого изрисован маркером и из него торчат провода (вдруг в нем скимер стоит). А сзади стоят три непонятного вида парня, которые пялятся мне через плечо пытаясь подглядеть пин-код…
                                        Я не люблю вводить пин в незнакомых мне местах.
                                        • +1
                                          Не уверен, что в таких местах есть терминалы. Да и в подобных случаях лучше наличкой заплатить.
                                          • +3
                                            У меня частенько бывает паника из-за забытого пин-кода, потому что его спрашивают чуть чаще, чем никогда, а как спросят — начинаешь в голове крутить цифры 6 карт, что дома лежат, и других карт, которые уже давно кончились.
                                            • +1
                                              Обычно в нормальных банках в банкоматах есть пункт меню «изменить пин-код».

                                              (щас на меня опять набросятся «нельзя иметь одинаковые пин-коды на разных картах, это небезопасно»)
                                              • +3
                                                В самых нормальных (вроде Авангарда) есть даже возможность выбрать приоритет подписи или ПИНа. Ну и сменить последний. Вот это, по идее, должен бы уметь каждый банк, но увы.
                                                • 0
                                                  Народ не готов к таким возможностям :) Давеча на гиктаймс проскакивала статья возмущенного характера на тему «ТКС по умолчанию устанавливает приоритет подписи, спасайся кто может».
                                                  Я к тому, что не все понимают, зачем это нужно и чем подпись лучше пин-кода.
                                                  • +2
                                                    Конкретно применительно к ТКС моя версия следующая. Делается всё, чтобы ты забыл свой пин-код и не снимал деньги в банкомате ) Я один раз уже забыл, когда впервые где-то за год потребовалось снять денег )
                                                    • 0
                                                      IMO, делается так, как удобно клиенту. Не сочтите за рекламу, но в условиях работы с ТКС мне всегда видится только удобство для клиента, а не для банка.
                                                      • 0
                                                        Мне тоже так кажется. Я так себе представляю логику банка в этом случае.
                                                        Если клиент вводит пин на терминале, его легко подсмотреть. Большинство людей на кассах вообще не стараются его скрыть. Далее злоумышленнику надо завладеть картой. Это не сложно — карманная кража или грабеж. При этом клиент банка рискует лишиться вообще всех средств со своих счетов. И хотя он сам будет в этом виноват, его лояльность от этого не увеличится.
                                                        Если проводить покупки по подписи, то пин-код находится в большей безопасности. Даже если у клиента украдут карту, и купят что-то по ней в магазине, сумма потери, вполне вероятно, будет не велика. Кроме того, клиент может оспорить эту операцию и вернуть деньги. Клиент банка доволен, магазин не очень (если я правильно понимаю, банкет за его счет), но его никто не спрашивает, может сам заложить в цены компенсации на мошенничество.
                                                        • 0
                                                          Продавец в магазине при проведении операции по подписи должен сверить эту подпись с подписью на карте. И сверить данные в паспорте (подпись, фамилия-имя) с тем что видит на карте. Ну и фотографию в паспорте с лицом клиента. В случае подозрений, что перед ним НЕ владелец карты он не должен проводить операцию.
                                                          Так что «банкет за его счет» только если кассир допустил ошибку в работе.
                                                          • +3
                                                            Именно. Но кассиры эту «ошибку» допускают в подавляющем большинстве случаев.
                                                            • 0
                                                              В случае, если вы оспорите покупку и потребуете банк вернуть деньги за покупку, то банк первым делом запросит у магазина чек с вашей подписью. Если на чеке не будет «вашей» подписи (обычно кассиры ставят «хоть какую-нибудь»), то банк вернет вам деньги и спишет их с магазина.
                                                              Но если банк заподозрит мошеннический умысел в ваших действиях (вы совершили покупку, а теперь отказываетесь от нее), то он может начать разбирательство. Как минимум будут просмотрены записи камер наблюдения в магазине. В случае, если ваша вина будет доказана, вам придется возместить все расходы на проведение расследования (это очень дорого).
                                                              Так что если вы купили шоколадку в магазине и не расписались в чеке, то не спишите оспаривать операцию — это может дорого выйти.
                                                              • 0
                                                                Возместить расходы — ерунда. Это же мошенничество.
                                                            • +1
                                                              А как на счёт unembossed карт («мгновенные» карты, на которых нет информации о владельце)? :)
                                                              Да и платёжные системы запрещают требовать паспорт. Отказать в покупке можно, но есть риск нарваться на слишком дотошного покупателя, который пожалуется в платёжную систему и магазин получит штраф от банка.
                                                              • 0
                                                                Навскидку не помню, чтобы неэмбоссированные карты позволяли операции без пин-кода.
                                                                Не подскажете, где видели запрет платежных систем на «требовать паспорт»? Удивлен, что не видел этого запрета ранее.
                                                                • 0
                                                                  VISA QIWI Plastic например у меня пинкод спрашивала только в банкоматах, по понятным причинам.
                                                                  • 0
                                                                    Навскидку не помню, чтобы неэмбоссированные карты позволяли операции без пин-кода

                                                                    Несколько лет назад была подобная карта, но не могу вспомнить банк. Кажется это был FinService, карта дебетовая.

                                                                    Бесплатная карта MasterCard от Билайна (начали выпускать несколько месяцев назад) такое тоже позволяет сделать. Более того — PIN код нужно заказывать отдельно (через IVR) и делать это совсем не обязательно. Активно пользуюсь более месяца, самая дорогая покупка была на 50+ т.р., PIN не просили и даже подпись не сверяли (!!).
                                                                    Все карты при этом unembossed.

                                                                    > Не подскажете, где видели запрет платежных систем на «требовать паспорт»?
                                                                    А вот тут я неправ. Была рекоммендация не проверять документы на недорогих покупках + ничего не сказано в обязанностях покупателя о предъявлении документов.

                                                                    В Москве паспорт показывать при покупке по карте просили ОЧЕНЬ давно
                                                                    • 0
                                                                      Знаю, как минимум, один пример — Кукуруза. Пин-код нигде не спрашивают, кроме автоматических терминалов оплаты и почему-то заправок Лукойл.
                                                                    • 0
                                                                      Ещё проблема в том, что жаловаться некуда.
                                                                      Например, в одном крупном магазине на кассе не принимается моя чипованная карта. Я позвонил в свой банк и сообщил, что не могу расплатиться их картой. Они ответили, что не видят транзакции, что проблема в терминале и обращаться нужно в банк, который владеет терминалом. Я обратился и туда. Там ответили, что должен обращаться представитель магазина.
                                                                      Во второй раз в этом же магазине я уже требовал чтобы они позвонили в свой банк и разобрались в ситуации. Но было воскресенье.

                                                                      Думаю только виза может надавать по шапке виновнику ситуации. Но у визы своей службы поддержки нет.
                                                                    • +3
                                                                      И сверить данные в паспорте (подпись, фамилия-имя) с тем что видит на карте.

                                                                      Глупость говорите. Вы в магазин идете с картой — идентификация двумя способами — подпись или PIN код.

                                                                      ЦБ РФ говорит тоже самое. Но банки обучают торговые магазины требовать документ в любом случае (причем документ может быть только паспорт). Когда разговариваешь с банком эквайером он все понимает, и магазин продает без паспорта. Но данным процесс трудоемок и занимает до 30 минут времени.

                                                                      Невыполнение держателем требования о предъявлении документа, удостоверяющего личность не может служить основанием к отказу в проведение операции, т.к. законодательство не содержит условия, при котором Вы обязаны при проведении сделки с использованием банковской карты предоставлять подтверждающий документ.

                                                                      И еще напоминаю — что договор оферты вы заключили когда увидели ценник на товар, а не после его оплаты. Если ценник в магазине составляет 100р., а на кассе уже 200р. — то обязаны продать по 100р. — вы уже заключили договор оферты по данной цене.

                                                                      Так что «банкет за его счет» только если кассир допустил ошибку в работе.

                                                                      И это тоже не так, если клиент банка докажет, что это не он проводил операцию (например его карта было скопирована в кофе и определен пин код) — то банкет будет за счет банка/торговой точки

                                                                      Решения суда
                                                                      Вынести новое решение по делу: признать незаконным требование сотрудников ООО «Сделай своими руками» (ОБИ), расположенного по адресу: Московская область Ленинский район Калужское шоссе 21-й км, Торговый Центр МЕГА, о предъявлении Х. паспорта гражданина РФ при осуществлении расчета за приобретаемый им товар с использованием банковской карты международных платежных систем Виза и Мастер Кард.

                                                                      Второе решение



                                                                      Первое решение


                                                                      • 0
                                                                        Почитал решение, однако так и не понял, каким образом он доказал, что с него кто-то чего-то потребовал и почему ответчик не оспаривал этот факт?
                                                                        • 0
                                                                          ему товар не продали — хотя он акцептовал оферту и предоставил платежное средство.
                                                                          • 0
                                                                            Вы, наверное, не поняли суть моего вопроса. Если бы я был на месте злого Ситилинка, то я бы сказал: «Уважаемый суд! Данный гражданин действительно оставил заказ по телефону, однако за товаром он не явился/при себе не имел денег и требовал выдать его бесплатно/имел при себе не работающую пластиковую карту», — ну или что-нибудь в таком роде. То есть я бы подставил под сомнение сам факт того, что дело дошло до истребования документа. Если бы я знал, что позиция истца не подкреплена какими-либо доказательствами. Так вот вопрос в том, как истец в данном случае задокументировал отказ принять карту из-за отсутствия паспорта?

                                                                            Касательно оферты: очень часто на сайтах пишут, что наличие товара и цены не носят характера оферты, а что-то там бла-бла-бла. Это на сколько законно?
                                                                            • 0
                                                                              Если бы я был на месте злого Ситилинка, то я бы сказал: «Уважаемый суд! Данный гражданин действительно оставил заказ по телефону, однако за товаром он не явился/при себе не имел денег и требовал выдать его бесплатно/имел при себе не работающую пластиковую карту»


                                                                              Статья 307. Заведомо ложные показание, заключение эксперта или неправильный
                                                                              перевод.

                                                                              Риски дачи ложных показаний стоят больше, чем штраф. Легенды легко проверить.

                                                                              • 0
                                                                                в административных делах лжесвидетельствование имеет административные же последствия. Т.е. пришел, сказал, что так и так, а потом оказалось, что не так. Ну и дадут тебе штраф в тыщу руб за такое.
                                                                              • +1
                                                                                Касательно оферты: очень часто на сайтах пишут, что наличие товара и цены не носят характера оферты, а что-то там бла-бла-бла. Это на сколько законно?

                                                                                Писать не возбраняется, но и силы такая фраза не несет. Это все равно что после того, как убийца застрелил свою жертву, он положит на труп записку «это не убийство». Это все равно будет убийство.
                                                                        • 0
                                                                          Продавец в магазине при проведении операции по подписи должен сверить эту подпись с подписью на карте. И сверить данные в паспорте (подпись, фамилия-имя) с тем что видит на карте.

                                                                          В магазине, где я закупаю продукты, продавец не берет мою карту в руки. Я сам вставляю карту в терминал (или прокатываю, если карта без чипа), после чего ввожу пин или расписываюсь стилусом по экрану терминала (если карта без чипа).
                                                                          Документов за 2 года не потребовали ни разу. При этом, если сумма небольшая (точной зависимости не уловил, примерно до 1500р) терминал не просит ни пина ни подписи.
                                                                          Насколько я знаю, это сделано в целях безопасности. Во-первых, чтобы продавец не запомнил данные карты, а, во-вторых, на руки продавца (там где сканер штрихкода и куда продавец кладет полученную от клиента наличку) на каждой кассе смотрит камера.
                                                                          Я уж молчу о том, что в этом же магазине полтора десятка касс самообслуживания. Там вообще все делаешь сам, подтверждение продавца (их пара человек на эти полтора десятка касс) требуется только если пробиваешь алкоголь. Следят, чтобы несовершеннолетние алкоголь не покупали.

                                                                          В макдаках аналогичная система вроде.

                                                                          Так что, это может быть не ошибка, а политика партии. Меня, например, подобный подход очень радует. Слышал, что в буржундии есть магазины, где все товары оснащены рфид метками и достаточно просто провезти телегу с товаром через сканер, ничего не вытаскивая. Скорее бы у нас внедрили.
                                                                      • –1
                                                                        За рекламу счесть трудно, потому как трудно рекламировать ТКС клиенту ТКС. А вообще мой камент имел юмористический характер.
                                                                        • 0
                                                                          Ремарка про рекламу относилась ко всем читателям :)
                                                                      • +2
                                                                        Для кредиток банку как раз выгоднее снятие в банкоматах — сразу комиссия за снятие и потеря грейса )
                                                                        • 0
                                                                          Дело в том, что у ТКС не только кредитки, но дебетовые карты, которые выдают, когда открываешь там депозит.
                                                                          • +1
                                                                            Да это понятно. Но кредиток намного больше чем дебетовок, и настройки у них одинаковые по умолчанию )
                                                                    • 0
                                                                      В ТКС тоже можно с недавнего времени.
                                                                      • 0
                                                                        а можно подробнее? Облазил весь ИБ — не нашёл настроек.
                                                                        • +1
                                                                          По телефону через оператора
                                                            • +1
                                                              Вестимо, чтоб его никто не подглядел. Пин-код умудряются даже считывать с клавиатуры терминала с помощью инфракрасной камеры для смартфона (http://petapixel.com/2014/08/29/heres-iphone-thermal-cameras-can-used-steal-pin-codes/).
                                                              • 0
                                                                Просто интересно, сталкивался ли кто-то хоть из хабра-жителей с таким в реальности.
                                                                • 0
                                                                  Я лично нет, а товарищ испытал. ПИН подсмотрели частично, а техподдержка банка пошла на встречу, когда злоумышленники дважды вводили неверный ПИН и сбрасывали счетчик (я даже не знал, что такое возможно). В итоге ПИН был подобран и деньги сняты. И тут принципиальная разница в том, что когда вы расписываетесь, то деньги на карте «морозятся» и банк ждет подтверждения, что вы действительно проводили эту оплату. А когда вводили ПИН, деньги списываются и эта операция не оспаривается. Поэтому ввод ПИНа очень нравится продавцам. Но нам-то какое до этого дело?

                                                                  И, кстати, где-то читал, что вводить или нет ПИН — это дело покупателя. Т.е. в правилах использования карт этот выбор закреплен за держателем карты. Поэтому когда навязывают ввод ПИНа это несколько неправильно. Возможно, на это можно пожаловаться и вредителей накажут. Но в целом если быть упрямым, то принимают без ПИНа. Единственное место, где я не смог достучаться до кассира, это Ульмарт. Но там это было достаточно по-хамски «или ПИН или пошел вон». Заводиться не было настроения. А потом я завел отдельную карту, на которую закидываю мелочь для ежедневных или запланированных покупок.
                                                                  • +1
                                                                    У таких магазинов как Юлмарт товар довольно дорогой и очень ликвидный. На нем выгодно отмывать кардинговые деньги. Я думаю, у них уровень мошенничества куда выше чем в каком-нибудь «Перекрестке», а в пересчете на суммы покупок так вообще. При проведении по подписи они принимают на себя этот ущерб. Поэтому раньше у них было так: либо пин, либо подпись плюс паспорт, либо иди к черту. И я их понимаю.
                                                                    • 0
                                                                      И, кстати, когда у меня была карта, где все покупки всегда оплачивались с подписью, меня в Юлмарте спрашивали: «Вы пин знаете?». Если я отвечал, что знаю, просили ввести пин. В первый раз я очень удивился. Если говорил, что не знаю, операцию проводили с подписью, но обязательно требовали паспорт.
                                                                      • 0
                                                                        А я обычно говорю, то не знаю. Что даже пин-конверт не вскрывал. И если по моей карте будет мошенническая операция, то я могу сказать, что сохранил пин-код в секрете — его никто-никто не знает. Даже я )
                                                                      • 0
                                                                        А как поможет «подпись плюс паспорт», если у меня на карте владельцем значится SVYAZNOYBANK.RU? Ну распишется человек на чеке и покажет свой паспорт и что? Что это — его карта это не подтвердит.
                                                                        • 0
                                                                          Не знаю. Может они фотографируют паспорт, а потом передают фотокарточку полиции?
                                                                          • 0
                                                                            Предлагаете еще и фотоаппарат держать на кассе?
                                                                    • 0
                                                                      Я тоже раньше был свято уверен, что выбор способа авторизации лежит на клиенте и отказать в проведении операции по пину мне не могут. Могут. На это могут быть технические ограничения. Например терминал может не поддерживать такой способ авторизации (так же как некоторые терминалы не умеют работать с чиповыми картами). Кроме того сам банк (как эмитент, так и эквайер) могут запретить такой способ авторизации со своей стороны.
                                                                      Но вот если и терминал, и банк выпустивший вашу карту, и банк обслуживающий данный магазин могут провести операцию и по пину, и по подписи, то да — вам предоставляется право выбора.
                                                                      • –3
                                                                        С чего вы взяли, что деньги «когда вы расписываетесь, то деньги на карте «морозятся» и банк ждет подтверждения»?
                                                                        Мне всегда приходит СМС о покупке, а не об авторизации.
                                                                        • 0
                                                                          Все так и есть, так банки и работают. Запросите детализацию — увидите что дата покупки и транзакции различаются. Но предыдущий автор все-таки неправильно написал. Деньги замораживаются в обоих случаях, а реальная финансовая транзакция обычно приходит через несколько дней, но может задерживаться и месяцами.
                                                                        • 0
                                                                          «Ульмарт» это Юлмарт?
                                                                          Несколько раз там делал покупки, последний раз — буквально пару дней назад.
                                                                          PIN код никто не требовал.

                                                                          Либо они изменили правила, либо вам сильно не повезло с кассиром.
                                                                          • 0
                                                                            вот сегодня, пару часов назад заходил в Юлмарт на пр. Науки в Питере. Оплачивал картой, от которой еще никогда и нигде (а я расплачиваюсь ей чуть ли не ежедневно в куче мест) не просили пинкод. В Юлмарте традиционный ультиматум «вводите пинкод». Даже не удивился.
                                                                            • 0
                                                                              Похоже у них свои требования в каждом городе. Я всегда покупал в круглосуточном магазине на Снежной 26, г. Москва.
                                                                              • 0
                                                                                Этот магазин заставил меня расписаться на карте и пригрозил её конфисковать. Подпись на карте была, просто уже много лет ей было и плохо видно (а полосочка тоже почти стёрлась и на пластике ручка не пишет, так что я рассчитался наличкой).
                                                                                • 0
                                                                                  карта собственность банка. как магазин может ее конфисковать?
                                                                      • 0
                                                                        Чтобы не светить пин в магазине, ведь любопытных и неконтролируемых глаз там очень много, и, в отличие от зоны возле банкомата, никто даже не старается держаться на вежливом удалении.
                                                                        • 0
                                                                          Я не обламывюсь попросить отойти следующего покупателя. Как правило, люди не держатся на удалении, т.к. вполне себе скренне не понимают зачем это нужно делать и безграмотны чуть менее чем полностью в вопросах безопасности. Никто ни разу не отказывал.
                                                                          Один раз правда, шальная бабка возмутилась, но она с самого начала бурчала, что я, по ее мнению, слишком медленно укладываю товар в пакеты. После того, как я ей спокойно объяснил, что у меня очень много свободного времени и я буду стоять хоть пол часа, пока она не отойдет, вопрос решился моментально.
                                                                        • +1
                                                                          Например, ПИН забыт, а есть хочется.
                                                                        • +1
                                                                          То самое «подавляющее большинство» банков-эквайреров настраивают CVM-лист на своих POS-терминалах одинаково: Метод верификации — PIN only, CVM-лимит — 0.
                                                                          То есть как не крути — будет только PIN. Увы, почему-то у нас так уж повелось.
                                                                          • 0
                                                                            Метод верификации — PIN only, CVM-лимит — 0

                                                                            Не соглашусь, вы уж извините. Я уже два года существую с картой ТКС, у которой, ка известно, стоит приоритет подписи. С необходимостью ввода пина в POS-терминале за всё время сталкивался раза три. Картой пользуюсь очень активно, в т.ч. и в поездках.
                                                                        • +25
                                                                          После прочтения статьи возникло больше вопросов, чем до
                                                                          • 0
                                                                            ---Теперь о сути: спрашивать или не спрашивать PIN

                                                                            обычно в крупных магазинах Северной Америка до сумму до 50 долларов по PayPass ввод пина разрешают не вводить, махнул картой и пошел, чтобы очереди не создавать
                                                                            • 0
                                                                              У меня в России при PayPass пин-код никогда не надо вводить, подпись стилусом по экрану от 1000 рублей.
                                                                              Но очевидно, всё зависит опять-таки от согласования списка «подтверждение, которое может дать карта» и «подтверждение, которое готов принять банк-экваер».
                                                                              Несколько разных магазинов, в Саранске, Самаре и Москве. Карты ТКС и Связного.

                                                                              Дописано: хотя вру, Связной пин-код спрашивал. ТКС подпись.
                                                                              • 0
                                                                                в России PayPass на покупки больше ~1000 рублей или «ошибка чтения карты» или «а теперь введите PIN».
                                                                                То есть, PayPass + online PIN распространенная практика даже у нас.
                                                                                • 0
                                                                                  В Ашане при оплате через PayPass на сумму больше 1000 у меня просят подпись на терминале, пин не требуют, ТКС.
                                                                          • +2
                                                                            Когда в прошлом году я ездил по Испании, заехал на платную дорогу. Оплата взымалась наликом или по картам. Так вот оплата по карте вообще не требовала ни ввода пина, ни подписи. Вставляешь чипованную карту в аппарат, она тут же выплевывается; деньги списаны — поехал дальше. Полная автоматика. До сих пор, даже после прочтения статьи, не пойму, как так они могут снимать деньги. Если я правильно понял, от пина я сам должен отказаться, но все равно они обязаны затребовать подпись?
                                                                            • +3
                                                                              Есть транзакции
                                                                              online — со связью с банком в режиме реального времени
                                                                              и
                                                                              offline — список транзакций периодически передается в банк в уведомительном порядке.

                                                                              Оплата за платную дорогу или мост — типичная offline транзакция.
                                                                              Особенности offline-транзакций:
                                                                              Тот банк (или другая организация), который контроллирует ваш карт-счет, по правилам сети обязан принять такую транзакцию без оговорок. Если есть вопросы с балансом или вопросы другого рода, в любом случае транзакция оплачивается, а все разборки делаются потом между вашим банком и вами.
                                                                              Этот ньюанс сильно сглаживается тем, что далеко не все типы транзакций (MCC, merchant category code) могут осуществляться offline.
                                                                              • 0
                                                                                Спасибо за разъяснение! Я предполагал, что зависит от типа мерчанта или транзакции, но про offline операции не знал. Теперь жить стало спокойнее :))
                                                                                • +1
                                                                                  А как быть с таким? Еще есть понятие credit транзакция и debit транзакция. Используя credit пин код не требуется, debit — пин обязателен. Кассирши иногда спрашивали меня — «вам с пином или нет» и выбирала соотв. опцию в терминале.
                                                                                  • 0
                                                                                    Опция в терминале — это, по-видимому, управление тем же CVM, благо терминал позволяет. А credit и debit — это просто плюс и минус. Когда вы снимаете деньги в банкомате или расчитываетесь за покупки в магазине — это debit. Когда вы фрилансите и зарабатываете, а потом выводите деньги на карту — это credit.
                                                                                    • –1
                                                                                      Я позволю себе с вами не согласиться.
                                                                                      Насколько я понимаю, debit- и credit-транзакции по-разному снимают средства со счета покупателя: debit — за счёт собственных средств клиента, credit — за счёт кредитной линии, предоставленной банком.
                                                                                      То есть можно воспользоваться кредитными средствами, не трогая свои собственные.
                                                                                      Но, по-моему, у нас это не встречается.
                                                                                      • 0
                                                                                        Что ж, вы по-своему правы: карты бывают дебетными и кредитными. По сути, кредитная карта = дебетная карта + овердрафт.
                                                                                        Но это ведь другая тема. Это никак не связано с типом самой транзакции (приход/расход = credit/debit), и никак не может повлиять на метод верификации.
                                                                                        • 0
                                                                                          По сути, кредитная карта = дебетная карта + овердрафт.

                                                                                          Возможно, я сильно упрощаю и сам чего-то не знаю. Всё-таки за границей кредитные и дебетные карты изначально выпускаются с разными бинами (т.е. в разных диапазонах номеров). Если кто-то может пояснить, в чем еще есть разница, буду благодарен.
                                                                                          • 0
                                                                                            Кстати, в Штатах я не мог оплатить своей российской дебетовой картой, нажимая debit. А вот credit — пожалуйста
                                                                                            • 0
                                                                                              Дебитовыми картами там считается что-то типа Cirus Maestro или Visa Electron. Это отдельный тип карт. А все Visa и MasterCard считаются кредитными. А то, что тебе банк по ним кредит не даёт — это твои проблемы )
                                                                                              • +1
                                                                                                Это не так. У меня есть доступ к базе бинов, в которой очень хорошо видно, что дебетными могут быть практически любые карты, даже, к примеру, MasterCard Gold, Platinum и Quantum, Visa Gold, Platinum и Infinite.
                                                                                                • +1
                                                                                                  Maestro — это практически всегда debit.
                                                                                                  MasterCard — это обычно credit, но далеко не всегда
                                                                                              • 0
                                                                                                Вот тут немножко пролит свет на разницу. Могу ошибаться, но похоже, что овердрафт предоставляется банком (card issuer) на его условиях, а фишки credit card предоставляются сетью (VISA, MasterCard, etc.) на ее условиях. А разница в условиях описана в статье по ссылке.
                                                                                              • 0
                                                                                                Да, дебетовые и кредитные карты — это другая тема. И по-моему, это в России кредитная карта — это фактически дебет плюс овердрафт, в США по-другому. Хотя некоторые банки у нас предлагают овердрафт, так что это всё же разные вещи, видимо.
                                                                                                Что же касается debit/credit-транзакций, вот, например, страничка, описывающая отличия: lifehacker.com/when-should-i-use-credit-and-when-should-i-use-debit-wh-862086499
                                                                                                • 0
                                                                                                  Да в США процессы протекают по другому, я хорошо знаком с Ingenico терминалами и то что происходит в США и Канаде, плюс ПО терминалов в каждой стране свое, та же Ingenico предоставляет только OS которая как бы всего ядро системы, а разработка и адаптация ПО это ответственность компании-представителя, к примеру Банкомсвязь в Украине.

                                                                                                  Пример в США, делаю оплату простой не EMV картой, (у них терминалы повернуты к покупателю и делаешь подпись на экране), терминал предлагает Debit or Credit, честно нажимаю Debit ввожу пин — transaction failed, жму Credit без пина — transaction success, по сути я никогда не вводил пин на территории США.
                                                                                                  • 0
                                                                                                    Спасибо, годная статья. Теперь всё становится на свои места, и уже понятно, что имел в виду svdesign. Я с этими особенностями процессинга раньше не сталкивался.
                                                                                                    • 0
                                                                                                      К сожалению, всё, что касается процессинга и эквайринга, приходится собирать в интернете по крупицам. Видимо, поэтому этой статьёй так заинтересовались. Спасибо автору!
                                                                                            • 0
                                                                                              В США дебит карты умеют «притворяться» кредитными. То бишь дебитная карта при этом действует как кредитная Visa/MasterCard (и ещё и Platinum и вся из себя) — можно покупать с подписью, без пина, или вообще в онлайне где магазин будет «не в курсе» что карта дебитная. Деньги снимут с того-же счёта, но «проходит» всё через обычную визу/мастеркард.

                                                                                              При проведении дебитных транзакций с пином, где можно, например, попросить доп-наличность «сдачей» в магазине (купить продуктов на 50 баксов, на кассе сказать "$20 cashback please" и провести полную дебитную транзакцию на 70 баксов, кассирша даст 20 баксов) всё проводится через «АТМ/Банкомат» сеть.

                                                                                              В общем случае банки раньше рекомендовали нажимать кнопочку «кредитная» карта вместо «дебитной». В дозапамятные времена за мухлёж с дебитными картами обычно платил клиент банка (то бишь неожиданно «купленный» вором номера/пина телевизор вычитается из счёта до окончания расследования, и даже потом могли вернуть лишь часть суммы, а с кредитной транзакцией потери не более 50 баксов — в наши дни и там и там обычно дают zero liability, то бишь деньги вернут, но если подсмотрели пин и сняли наличку по поддельной чисто магнитной карте то мороки удет больше)
                                                                                            • 0
                                                                                              Разве offline-транзакция мешает запросить offline-PIN?
                                                                                              • 0
                                                                                                Не мешает, но в общем случае не требует. Бывает ведь чистый offline с отпечатком карты на бумаге, для чего собственно надписи на карте и выдавливаются так, чтобы быть выпуклыми. Сейчас это уже скорее история, но когда-то вашу карту запросто могли просто «откатать» на листе, а потом этот лист (вероятно, с вашей подписью) отправить в банк среди прочих подобных листов.
                                                                                                Что касается конкретно платных дорог и мостов, судите сами: поток людей большой, а суммы транзакций маленькие (2-5 евро). Не имеет смысла не только пин спрашивать, но даже на online-общение с банком время тратить.
                                                                                                • 0
                                                                                                  Я был очень удивлен, но все еще не история.

                                                                                                  Буквально этим летом, в центре Вены, в кафе меня спросили «А у вас карта классическая?» — а потом достали древнюю «машинку» и прокатали слип. Храню как раритет :)
                                                                                              • 0
                                                                                                чем отличаются offline-транзакции по карте от CNP (Card not present, только по номеру карты)?
                                                                                                • 0
                                                                                                  Способ проведения транзакции (online/offline) и наличие/отсутствие карты — это несвязанные вещи, т.е. бывают любые комбинации.