Текст книги "Электронные платежи в интернете"

2. Участники карточных платежных систем

С началом эры банковских карт чековые книжки окончательно остались в прошлом. Развитие компьютерных технологий позволило превратить платеж практически в моментальный. Для организации расчетов банковскими картами необходимо существование определенной инфраструктуры, объединяющей всех ее участников. К такой инфраструктуре относится как техническое оснащение участников, так и стандарты и правила их взаимодействия.

Универсальная карточная платежная система может состоять из следующих участников:

• Эмитент – банк (кредитная организация), осуществляющий эмиссию карт.

• Держатель банковской карты, т. е. физическое лицо, использующее банковскую карту на основании договора с эмитентом, или физическое лицо – уполномоченный представитель клиента эмитента (российское законодательство не выделяет держателя карты как участника расчетов).

• Эквайер или эквайрер (англ. аcquirer) – банк (кредитная организация), осуществляющий эквайринг. Под эквайрингом понимается деятельность, включающая в себя осуществление расчетов с предприятиями торговли (услуг) по операциям, совершаемым с использованием банковских карт, и осуществление операций по выдаче наличных денежных средств держателям банковских карт, не являющимся клиентами данной кредитной организации.

• Предприятие торговли (услуг), которое в соответствии с подписанным им соглашением с эквайером принимает банковские карты в качестве оплаты за предоставляемые товары (услуги). В качестве предприятия торговли (услуг) может выступать физическое лицо – индивидуальный предприниматель. Можно встретить определение подобного предприятия как «точки продаж» – POS (Point of Sale). Далее в тексте мы часто будем использовать русскую транскрипцию английского слова merchant – мерчант, в переводе – продавец, коммерсант.

• Расчетный агент – кредитная организация, осуществляющая взаиморасчеты между участниками расчетов по операциям с использованием банковских карт.

• Процессинговый центр, PSP (Payment Service Provider) или Процессинг – юридическое лицо или его структурное подразделение, обеспечивающее информационное и технологическое взаимодействие между участниками расчетов. Деятельность процессингового центра именуется процессингом и включает в себя сбор, обработку и рассылку участникам расчетов (расчетным агентам, эмитентам и эквайерам) информации по операциям с банковскими картами.

В процессе развития сети Интернет образовалось достаточно большое количество PSP. До недавних пор к ним применялся и другой термин – IPSP (Internet Payment Service Provider). PSP обычно предоставляет торговым точкам возможность принимать карты нескольких платежных систем, а также электронные деньги и другие варианты оплаты. Обычно PSP подключен сразу к нескольким банкам-эквайерам. PSP упрощает процесс регистрации для клиентов, принимая на себя значительную часть бумажной и технической работы, осуществляя техническую интеграцию с банками и предоставляя клиентам единый интерфейс для подключения.

3. Законодательство

В США изначально кредитные (подчеркиваем, именно кредитные) карты распространяли посредством обычной почты – другими словами, рассылали в конвертах в почтовые ящики адресатов. В погоне за распространением как можно большего количества карт банки отправляли их по адресам из телефонных книг, и иногда дело доходило до абсурда – кредитную карту мог получить малолетний ребенок или даже домашний питомец. Порой карты похищались из почтовых ящиков, причем зачастую этим занимались сами сотрудники почты. В результате банки несли серьезные убытки.

Так продолжалось до 1970 года, до тех пор, пока Конгресс США не издал закон, запрещающий рассылать по почте карты без предварительного разрешения держателя. Статистика отмечает, что в этот период большинство случаев мошенничества сводились к кражам карт из кошельков и карманов.

В 1970 году был издан закон «Title 15 U. S. Code § 1644 – Fraudulent use of credit cards» («О мошенническом использовании кредитных карт»), регулировавший предъявление обвинений в использовании поддельных, переделанных, утерянных, украденных или полученных обманным путем кредитных карт. Однако и эта мера не уменьшила числа мошеннических операций с картами.

Наконец, в 1974 году Конгресс принял «Fair Credit Billing Act» (закон «О добросовестном предоставлении кредитной информации», или «О точной отчетности по кредитам»), который впервые узаконил следующие нюансы:

• 60-дневный срок, в течение которого держатель карты может оспорить ошибку в своей платежной выписке.

• Если держатель карты обнаруживает ошибку, то должен в письменной форме отправить своему эмитенту запрос на опротестование.

• Держатель карты не несет ответственности при использовании потерянной, украденной карты или при использовании карты без разрешения владельца. При этом достаточно просто позвонить в банк и проинформировать об инциденте. Несмотря на то, что закон установил минимальный размер транзакции в 50$ при использовании карты (Face-to-Face, то есть личное присутствие ее держателя), Visa и MasterCard это ограничение не используют. А при использовании карты мошенником в онлайне или по телефону держатель карты полностью освобождается от ответственности.

«Fair Credit Billing Act» считается прародителем chargeback’а[2]2
  Chargeback («возвращенный платеж») – процедура опротестования транзакции банком-эмитентом (в целях защиты прав плательщика), при которой сумма платежа безакцептно списывается с получателя (банка-эквайера) и возвращается плательщику, после чего обязанность доказательства истинности транзакции возлагается на получателя платежа.


[Закрыть]. Впоследствии закон трансформировался в правила МПС, а правила обросли многочисленными поправками. Сам же законодатель поступил достаточно мудро, постановив: если банки создали МПС и зарабатывают на каждой транзакции и на кредитовании, то и за несовершенства в их системе должны отвечать сами.

На сайте американской Visa вы можете встретить Visa Zero Liability (принцип «нулевой ответственности»), который гласит: «Вы не несете ответственность за неавторизованное использование Вашей карты. Вы защищены, если Ваша карта потеряна, украдена или используется мошенниками».

В России массовая эмиссия банковских карт началась в 1990-х годах. Забот у банков было предостаточно и без пластиковых карт: кредитные организации занимались торговлей ценными бумагами, затем грянул банковский кризис. Продвижением карт как «безопасного способа оплаты» по этим причинам никто всерьез не занимался.

27 июня 2011 г. вступил в силу закон № 161-ФЗ «О национальной платежной системе», который в 11 пункте статьи 9 «Порядок использования электронных средств платежа» дал клиенту один день на уведомление банка-эмитента о мошеннической операции.

В своей книге «One from Many: VISA and the Rise of Chaordic Organization» (в рус. переводе – «Философия твоей кредитки. История Visa») ее автор Ди Хок сожалеет, что так и не смог приравнять держателей карт к участникам организации Visa и поставить наравне с банками.

4. Правила платежных систем

Проведем краткое сравнение выполнения правил платежных систем в России и за рубежом.

Patriotic Act («Патриотический акт») США (а точнее, его составляющая International Money Laundering Abatement and Financial Anti-Terrorism Act, «О борьбе с отмыванием денежных средств и финансированием терроризма») существенно изменил мировую финансовую систему, что наложило свой отпечаток на правила платежных систем Visa и MasterCard.

В частности, банк-эквайер должен идентифицировать каждую торговую точку и ее бенефициарных владельцев (процедура носит название KYC – Know Your Customer, «знай своего клиента»).

MasterCard вводит понятие «отмывание транзакций» (Transaction Laundering): те ситуации, в которых одна торговая точка принимает денежные средства в пользу другой. Так, за одним, с виду вполне легальным, сайтом могут быть спрятаны десятки других, торгующих, к примеру, контрафактными лекарственными препаратами.

Обе платежные системы запрещают такое агрегирование в чистом виде и вводят понятие Payment Faciliator (дословно с англ. «упрощение, облегчение платежей») для упрощения работы с небольшими и средними магазинами. Именно Payment Faciliator, по правилам, имеет возможность принимать платежи от имени своих торговых точек. При этом он берет на себя большую часть работы по идентификации и расчетам со своими клиентами, а также несет все риски за них.

Обе платежные системы также пользуются правилом «расположения торговой точки» (Merchant Location), согласно которому эквайер (так же, как и Payment Faciliator) может заключать соглашение на прием денежных средств с компаниями в юрисдикциях, в которых они имеют лицензию (обычно – в стране, где располагается эквайер).

В России все банки-эквайеры имеют лицензию на подключение торговых точек только из России. В Евросоюзе зачастую один и тот же эквайер может обсуживать торговые точки из других стран-участниц ЕС.

5. Техническое взаимодействие и транзакционная безопасность

С 1988 по 1998 год Visa и MasterCard отчитались о потерях в 750 млн долларов из-за мошеннических операций с картами – эта сумма оказалась мизерной по сравнению с сотнями миллиардов долларов, обрабатываемых компаниями ежегодно. Но все кардинально поменялось с началом эры интернета. Чем больше магазинов подключали свои интернет-сайты к системам приема платежей, тем легче становилось мошенникам получать платежные данные с плохо защищенных систем, манипулируя картами быстрее и проще прежнего.

В октябре 1999 года Visa запустила Cardholder Information Security Program (CISP), систему информационной безопасности для держателей карт. Visa стала первой компанией, разработавшей единый стандарт для торговых точек, принимающих онлайн-транзакции. CISP – первый из числа родоначальников стандарта PCI DSS.

Наступил 2000-й год. По данным CyberSource, потери на онлайн-продажах от карточного мошенничества достигли 1,5 млрд долларов (иными словами, всего за одно десятилетие они утроились). В 2001 году, по данным Visa, уровень мошенничества в онлайне был в 4 раза выше, чем по обычным транзакциям.

Май 2001 года ознаменовался новым событием: Visa и другие карточные бренды приступили к борьбе за исполнение политики безопасности. Выяснилось, что всего лишь несколько компаний в состоянии соответствовать Visa CISP, принятому 1 мая 2001 года. Схожие с этой программой стандарты безопасности оказались менее успешными, в основном из-за отсутствия единого, унифицированного стандарта среди карточных брендов.

В июле 2004 года атаки на веб-инфраструктуру стали угрожающими. В частности, значительным образом распространились атаки против IIS[3]3
  ISS (Internet Information Services) – проприетарный набор серверов для нескольких служб Интернета от компании Microsoft. IIS распространяется с операционными системами семейства Windows NT.


[Закрыть] и другого уязвимого программного обеспечения. Злоумышленники находили уязвимые компьютеры и внедряли на них вредоносное программное обеспечение (кейлоггеры[4]4
  Кейло́ггер (англ. keylogger, правильно читается «ки-ло́ггер» – от key – клавиша и logger – регистрирующее устройство) – программное обеспечение или аппаратное устройство, регистрирующее различные действия пользователя – нажатия клавиш на клавиатуре компьютера, движения и нажатия клавиш мыши и пр.


[Закрыть] и трояны), используя его для кражи платежных данных. В результате 15 декабря 2004 года появился Payment Card Industry Data Security Standard (PCI DSS), стандарт безопасности данных в индустрии платежных карт. Этот день в истории информационной безопасности считается знаменательным – был принят первый унифицированный стандарт безопасности, поддерживаемый пятью крупнейшими карточными брендами. Соответствие стандарту стало обязательным для торговых точек и других организаций, участвующих в цикле обработки платежей.

В июне 2005 года было решено, что отныне все торговые точки, обрабатывающие более 20 тысяч транзакций по картам в год, должны соответствовать стандарту PCI DSS. Но несмотря на то, что неуклонно растущее число торговых точек выделяло все больше IT-ресурсов на приведение в соответствие стандарту, многие из них не успевали сделать это в срок.

6 сентября 2006 года был выпущен стандарт PCI DSS1.1. Самым значительным добавлением к первой редакции стандарта стало требование 6.6, гласившее, что весь исходный код приложений надлежит профессионально исследовать на наличие уязвимостей (причем делать это следует с привлечением независимых специалистов). Кроме того, файруолл для веб-приложений должен быть установлен перед самим веб-приложением. Другими словами, перед тем, как пакет данных поступит в приложение, он должен пройти через файруолл, где будет исследован и, в случае опасности, отклонен. В этот же период пять основных мировых карточных брендов, Visa, MasterCard, American Express, JCB и Discover, объявили о создании независимой группы – совета по стандартам безопасности PCI, PCI Security Standards Council (PCI SCC), которой предстояло развивать стандарт безопасности в дальнейшем.

В 2008 году появился новый стандарт безопасности данных платежных приложений – Payment Application Data Security Standard PA-DSS. Совет PCI SSC анонсировал PA-DSS. Базируясь на лучших практиках Visa, новая дочка PCI DSS была создана в помощь разработчикам программного обеспечения для создания защищенных платежных приложений, которые не сохраняют критичные данные (данные с магнитной полосы, CVV2 и PIN-код).

1 октября 2008 года был выпущен PCI DSS версии 1.2. Основные его нововведения включили в себя обновленные требования для защиты беспроводных сетей Wi-Fi 802.1x и установку антивирусов для всех операционных систем. Стандарт PCI DSS2.0 увидел свет двумя годами позже, в октябре 2010 года. Версия 3.0 появилась в ноябре 2013 года.

Соответствие стандарту на рекордном уровне было зафиксировано в августе 2012 года. Visa сообщила, что соответствие стандарту PCI DSS среди мерчантов первого уровня (Level 1)[5]5
  Мерчантами первого уровня (Level 1 по классификации Visa и MasterCard) называются торгово-сервисные предприятия, обрабатывающие, хранящие или передающие данные о 6 млн и более транзакций в год, либо поставщики услуг (процессинговые центры, платежные шлюзы etc), обрабатывающие, хранящие или передающие данные о 300 тыс. и более транзакций в год.


[Закрыть] достигло 97 % – рекордно высокого уровня. Это означало, что крупнейшие мерчанты сделали огромные успехи для увеличения безопасности использования платежных карт.

Для подключения интернет-магазина к платежному шлюзу PSP или банка-эквайера существует два вида взаимодействия:

1. Прием и вся обработка платежных данных происходят на стороне платежного шлюза. Ключевой момент заключается в том, что карточные данные не проходят через серверы торговых точек, а идут напрямую в платежный шлюз. Таким образом, техническим специалистам торговой точки для интеграции платежной страницы процессинга в интернет-магазин необходимо выполнить лишь минимальный набор действий, не требующих сколь-нибудь высокой квалификации. Вся ответственность за безопасность обработки и хранения карточных данных, а также за их целостность при проведении платежа в этом случае целиком ложится на платежный шлюз.

2. Торговая точка принимает карточные данные через собственную платежную страницу, самостоятельно их обрабатывает (и, скорее всего, в какой-то форме хранит) и отсылает необходимые для проведения транзакции данные в платежный шлюз через предоставленный процессингом API (Application Programming Interface). В таком варианте уровень подготовки технических специалистов торговой точки должен быть существенно выше, нежели в первом варианте. Торговая точка при этом несет больше рисков и, как правило, должна соответствовать требованиям стандарта PCI DSS. Более подробно мы рассмотрим этот вопрос в соответствующей главе.

Большинство интернет-магазинов выбирает первый вариант, оставляя «головную боль» с карточными данными на стороне платежных шлюзов, которые ежегодно проходят аудит PCI DSS.

Выбор второго варианта, более сложного, затратного и связанного с большим риском, может быть оправдан для крупных компаний. Им необходимо проводить значительную постплатежную обработку принятых данных: статистические исследования, анализ данных в целях принятия бизнес-решений и т. д. Для этого необходимо иметь такие данные в собственном распоряжении (в противном случае для каждой выборки компания будет вынуждена обращаться к процессингу), что и требует прохождения их через серверы торговой точки.

6. Риски

Какие риски возникают у пользователей и участников платежных систем Visa и MasterCard? Логично разделить риски на три подгруппы: риски держателей карт, риски банков-эквайеров и риски торговых точек. Я специально вынес в отдельную группу держателей карт, поскольку о них часто забывают, и, как мы уже увидели, в том числе это свойственно российским законодателям.

У держателей карт основной риск сводится к тому, что их денежные средства могут достаться злоумышленникам. Для этого достаточно перехватить данные карточки, поскольку при операциях во многих интернет-магазинах банк-эмитент принимает решение о возможности списать средства со счета клиента без участия последнего. Вероятно, сейчас читатель подумал: «Но ведь существует механизм 3-D Secure, когда плательщик подтверждает свои операции посредством одноразового пароля, полученного от банка через SMS!» Однако система 3-D Secure была разработана в первую очередь для защиты банков-эквайеров от Friendly Fraud (англ. дословно – «дружественное мошенничество»), хотя достаточно часто она преподносится держателю карты как выгодная и предусмотренная для плательщика. Коснемся этого вопроса чуть ниже.

Банк-эквайер несет всю ответственность за свои торговые точки в платежных системах. И если МПС штрафует за, к примеру, продажи запрещенного товара, то штраф списывается с банка-эквайера, а не с интернет-магазина. Разумеется, банк приложит все усилия, чтобы переложить штраф непосредственно на торговую точку, если к этому моменту та еще будет существовать и на ее счетах будут средства. К примеру, в России принято переводить возмещение торговой точке на второй день. Но при этом платежная система рассчитывается с участниками только на третий день. Ведь, по сути, банки-эквайеры кредитуют свои торговые точки. За chargeback’и в первую очередь платит банк-эквайер. Это происходит в случаях, если услуга не была оказана или транзакция прошла без подтверждения ввода держателем карты пароля (3-D Secure).

Как уже упоминалось выше, технология 3-D Secure была разработана для защиты банков-эквайеров (и торговых точек) от Friendly Fraud – для ситуаций, когда держатель карты сам опротестовывал свою же транзакцию. Поскольку законодатель переложил ответственность за мошенничество на банк, выпустивший карту, а платежные системы в конечном счете переадресовали ее банкам-эквайерам, проблема Friendly Fraud’а встала достаточно остро.

Возможно возникновение следующей ситуации: магазин продал товар покупателю, покупатель расплатился картой, а на следующий день банк-эмитент обанкротился. Такие риски в платежных системах компенсируются созданием страхового фонда, куда каждый участник вносит определенные суммы. Следует пояснить, что часть правил, касающаяся депозитов для участников Visa и MasterCard, закрыта для общего доступа. Тем не менее, она прекрасно скопирована системой МИР.

У торговой точки возникает риск неполучения возмещения. Этот риск компенсируется страховыми фондами в самой платежной системе, а дальнейшая судьба зависит непосредственно от «совести» банка или Payment Facilitator, с которым торговая точка подписала договор. При этом величина рисков прямо пропорциональна числу посредников в цепи прохождения денег. Больше посредников – выше риски.

Здесь следует отметить, что PSP в данном контексте обычно не является посредником, поскольку непосредственно в процедуре движения финансовых средств в процессе платежа от покупателя к продавцу, как правило, не участвует, а лишь является информационным шлюзом, обеспечивающим прохождение данных о движении средств между плательщиком, эквайером и торговой точкой. Проще говоря, не существует момента, когда средства, движущиеся от покупателя к продавцу, хотя бы на мгновение оказываются на расчетных счетах PSP. Задача PSP в общем случае заключается в том, чтобы сообщить эквайеру карточные данные покупателя, получить от него подтверждение об успешном списании средств, после чего сообщить торговой точке, что платеж произведен и можно отгружать покупателю товар или оказывать услугу, а покупателю сообщить, что платеж произведен и он может ожидать от торговой точки получения товара или оказания услуги.

Одним из рисков торговой точки является и то, что, как правило, банк-эквайер переадресовывает ей штрафы МПС за нарушение правил платежных систем и за превышение количества chargeback’ов.

7. Стоимость проведения интернет-платежей

Стоимость проведения операций определяет непосредственно платежная система. Эта стоимость может складываться из различных факторов. В начале развития карточной отрасли Visa и MasterCard избрали стратегию, при которой на картах мог заработать как сам эмитент (за то, что выпустил карту), так и банк, проводивший платеж. Стратегия оправдала себя на 100 %. Отчисления эмитенту с каждой транзакции способствовали увеличению объема выпуска карт (эмиссии), а отчисления эквайеру – развитию отрасли приема платежей (эквайринга).

Именно эти две составляющие и определяют стоимость платежей по картам Visa и MasterCard. При этом отчисления эмитенту обычно в разы превышают комиссию, которую зарабатывает банк-эквайер. Комиссия эмитента называется interchange (IF, Interchange Fees). В США Visa и MasterCard раскрыли данные по размерам interchange только в 2006 году после длительных сражений с ритейлерами. В России данные по IF опубликовал только MasterCard.

По всему миру не утихают баталии, которые ведут между собой карточные платежные системы и ритейлеры. Последние постоянно возмущаются непомерно высокими размерами IF. Банки же оправдывают свои решения тем, что им нужно поддерживать инфраструктуру: службу поддержки, офисы, банкоматы. Я никогда не старался подсчитать реальную себестоимость обслуживания карт, но твердо уверен, что от снижения IF выиграют только сами магазины, а не какие-либо другие участники платежной системы. Очевидно, что при снижении IF конечная цена товара для покупателя не изменится. Однако это позволит снизить себестоимость товаров, в которую также закладывается IF, поэтому при ее снижении прибыль магазина вырастет, мерчант останется в выигрыше. В свою очередь, эмитент карт окажется в проигрыше, что снизит его мотивацию на выпуск новых карт. Другими словами, борьба за снижение IF неизменно ведет к серьезным ухудшениям положения дел на рынке карточных платежей.

В 2016 году, после целого месяца переговоров с Visa о снижении IF, торговая сеть Wallmart на 6 месяцев отказалась принимать карты Visa в ряде своих канадских магазинов. По данным, предоставленным Wallmart, сеть выплачивала за Interchange более $100 млн ежегодно. Только в начале 2017 года этот крупнейший мировой ритейл-гигант и Visa пришли к взаимному соглашению.

В России пониженные ставки IF получила компания АШАН.