dkasy писал(а):Да нет, по обычнейшей MasterCard Mass американского банка в американских же супермаркетах через пин-пэд как раз и просят пин-код вводить. Это не наебалово и не сбой, поскольку делал это очень много раз во многих магазинах. За пределами Штатов, правда, такого не видел. Не знаю, может быть, сделано это для ускорения процесса, потому что звонить в процессинг при том, что карточками платит 90% покупателей, малоэффективно. Не знаю, в общем, но факт такой имел место абсолютно точно.
Погодите, причем тут звонок в процессинг?
Банку всегда надо удостоверится, что карту использует "правильный" человек (т.е. что распоряжение на списание денег со счета исходит от имеющего на это право).
Давайте разберем, как происходит использование карты.
1. Банкомат. Номер карты считывается электронно. В подтверждение того, что "перед телевизором тот тип" вводится ПИН-код (во многих банкоматах еще и камера стоит, которая делает несколько "снимков" при операции или вообще видео пишет постоянно).
2. Магазин.
2.1. Магазин без "онлайна"
2.1.1. Карта типа VISA Classic. Карта кладется в импринтер (механическое устройство) и "прокатывается". Тиснение на карте отпечатывается на "слипе" - 3-слойном чеке. Параллельно продавец может сделать голосовую авторизацию, т.е. позвонить в процессинговый центр, назвать номер карты и сумму. В ответ ему скажут да/нет и код авторизации (уникальный номер), который вписывается в чек. Клиент расписывается на всех 3 чеках (продавец сверяет подпись на чеке с подписью на карте). Один остается ему, один остается в магазине, один отправляется в банк, где обслуживается магазин, и этот банк выставляет счет банку, выпустившему карту, на списание и перечисление денег. Все понятно: карта идентифицирована, клиент - тоже (по подписи). Кстати, в РФ кассир имеет право попросить предъявить удостоверение личности.
2.1.2 Карта типа VISA Electron. НЕ ОБСЛУЖИВАЕТСЯ по причине отсутствия на ней тиснения. Она elctronic use only.
2.2 Магазин с "онлайном"
2.2.1 Карта типа VISA Classic. Карта проводится сквозь считыватель (или просто вставляется, если чиповая). Запрос авторизации (сумма и номер карты) уходит в банк в электронном виде. В ответ приходит да/нет и код авторизации. Печатается чек в 2 экземплярах, на них расписываются клиент и кассир (в РФ иногда клиент расписывается на одном, кассир на другом, иногда кассир не расписывается). Продавец сверяет подпись на чеке с подписью на карте. Чек с подписью клиента остается в магазине, второй (с подписью кассира или "пустой") - у клиента. На обоих чеках отпечатывается код авторизации (чтобы потом при разборе можно было найти транзакцию). Тут тоже с идентификацией карты и клиента все понятно (в РФ, опять же, могут попросить паспорт).
Технически можно сделать так, чтобы запрашивался ПИН-код. Но это - изврат. А уж "голосовая авторизация" при электронном считывании карты - вообще непонятно что
2.2.2 Карта типа VISA Electron.
а) Карта проводится сквозь считыватель (или просто вставляется, если чиповая). Клиенту предлагается ввести с пин-пада ПИН-код. Запрос авторизации (сумма, номер карты и зашифрованный ПИН-блок) отправляется в банк в электронном виде. В ответ приходит да/нет и код авторизации. Подпись на чеке могут требовать, а могут и не требовать, поскольку ввод ПИН-кода рассматривается как "подпись".
б) Все делается как с VISA Classic (если у обслуживающего магазин банка и банка-эмитента карты разрешены безпиновые транзакции по картам класса Electron).
3. Покупка в интернете (MOTO-транзакция, mail order/telephone order).
3.1 Карта класса VISA Classic. В форму на веб-сайте вводится номер карты, имя владельца, срок действия карты. Иногда вводится 3-значный CVV-код (напечатан на обратной стороне карты, в полоске для подписи после нескольких последних цифр номера карты). Программное обеспечение передает эту информацию и запрос на блокировку сумму оплаты в банк, обслуживающий данный интернет-магазин, а он, в свою очередь - в банк-эмитент карты. Если эмитент дает "добро", то сумма оплаты либо сразу запрашивается к списанию, либо в конце месяца, либо после подтверждения получения товара (у всех свои правила/политики). Если эмитент не дает добро, заказ останавливается (это может быть мгновенно, а может и в течение 1-2 дней, смотря как с веб-сервера заказы обрабатываютс/передаются в банк).
3.2. Карта класса VISA Electron. По идее, таким образом не обслуживается (т.к. electronic use only). Но если банк-эмитент разрешает по ней MOTO-транзакции, то может и проканать.
3.3 Ремарка про CVV. Запрашивается не на всех сайтах. При этом некоторые банки-эмитенты карт при поступлении запроса на оплату интернет-транзакции отклоняют запрос, если нет CVV, а некоторым - пофиг. Но жить этому не долго, скоро CVV станет обязательным при MOTO-транзакциях.
Из приведенных 3 вариантов использования карты очевидно, что банкомат и магазин (или прокатная контора, не суть важно) - более-менее безопасные, в смысле, что все происходит в "реальном" мире, имеются чеки с подписями и т.п. Конечно, на считыватель банкомата могут "навесить" доп устройство, которое считает карту и микровидеокамеру, которая запишет вводимый ПИН-код, а в магазине могут ловкими руками скопировать карту (магнитная полоса копируется при помощи дешевой поделки из головки от видеомагнитофона ВМ-12 или при помощи газеты и утюга), но вероятность этого мала. Кроме того, сейчас наметился переход на чиповые карты (карты с микропроцессором), которые просто так не скопируешь (в отличие от магнитной полосы чип не пассивная сущность, он активно проверяет кто с ним общается, и просто так свои секреты не отдаст).
С покупкой в инете все скользко. Списание денег по такой транзакции владелец карты может легко опротестовать. И если не будет признаков того, что платил все-таки он (типа доставка резиновой женщины заказана на его адрес), банк-эмитент карты удовлетворит претензию и деньги вернутся обратно на счет. В этой ситуации "попал" интернет-магазин, т.к. обслуживающий его банк отнесет потери на него.
А если заказан не материальный товар, а, например, оплачен доступ к порносайту? Тут объективно что-то доказать сложно.
В любом случае, если проскочила хоть одна мошенническая транзакция по вашей карте, ее придется перевыпустить, т.к. каждый раз заниматься разборками с откатом неправомерно списанных средств - гимор.
Дабы снизить риски этого дела существую специальные карты типа VISA Virtuon. Эта карточка картонная (или вообще физически не существует, только номер), действует полгода и предназначена исключительно для оплаты по инету. Рекомендуется выпускать в дополнение к "традиционной" карте.
Ну, раз уж такой длинный спич про карты , надо еще упомянуть про VISA Instant Issue. Это "почти обычная" VISA, но в отличие от традиционных карт, которые перед выдачей "персонализуются" (т.е. на них печатается, а на Classic/Gold/Platinum еще и выдавливается имя владельца), эти "персонализованы" заранее (т.е. имени на них нет по определению). Удобна тем, что пришел в банк, заплатил бабла, и сразу ушел с картой. Однако это не означает, что это безличные "электронные деньги", которые можно передавать другому, т.к. внутри информационной системы банка счет/карта все равно приписаны к определенному человеку, который должен на этой карте расписаться в полосе "подпись владельца".
Вроде все. Если наврал, пусть Андрей (baNkir) поправит
regards, Vlad.
Не нервируйте меня! Мне скоро негде будет прятать трупы...