1.002.003.004.005.00
Загрузка...

Как защитить свою карту в Интернет

Автор: Maxim Maxim Kozenko

Что же такое интернет-платеж

Как ни странно, но в терминологии платежных систем нет такого понятия, как интернет-транзакция. С точки зрения Visa и MasterCard, транзакция в интернет ничем не отличается от транзакции в терминале, по телефону, IVR и т.д. Платежные системы рассматривают интернет только как среду проведения транзакции. И это вводит некоторую путаницу при общении кардхолдера с банком, выпустившим карту (эмитентом). Утверждение сотрудника колл-центра о том, что ваша карта открыта для оплаты в интернет, равно, как и утверждение, что она закрыта, может не соответствовать действительности.

Думаю многие из вас, кто регулярно пользуется картами, сталкивались с ситуацией, когда карта вроде бы открыта для оплаты в интернет, но платежи на некоторых сайтах не проходят. Возможна и обратная ситуация, когда эмитент не указывает в договоре на открытие карты о возможности оплаты в интернет, а оплата на некоторых сайтах все-таки может пройти. Это все связано с типами транзакций, которые разрешены на стороне эмитента. Тип транзакции зависит от параметров, участвующих в авторизации (CVV2, магнитная полоса, PIN, 3DSecure пароль, чип, адрес кардхолдера и т.д.) и от типа терминала (традиционный POS-терминал, e-commerce мерчант, Mail/Phone order, банкомат) . Видите, нет такого свойства, которое бы указывало на среду проведения транзакции, в частности — интернет. Так, например, эмитент в целях безопасности может разрешить к авторизации только транзакции типа e-commerce с вводом CVV2, в то время, как некоторые сайты CVV2 не запрашивают и формируют транзакцию как Mail/Phone order. В последнем случае оплата не пройдет. Или эмитент может запретить e-commerce, но забыть запретить Mail/Phone order, тогда оплата в некоторых интернет-мерчантах будет разрешена. Поэтому, до конца уверенным в том, пройдет платеж или нет при тех или иных условиях, может быть разве что сотрудник процессингового центра, видящий перед собой настройки авторизационного ПО, и то не всегда.

Культура пользования личными картами

Ввиду вышесказанного, нужно быть всегда аккуратным со своей зарплатной, кредитной, бизнес/корпоративной или любой другой картой, на которой есть доступные средства. В первую очередь я бы порекомендовал не пользоваться этими картами в сети интернет, не смотря на удобство (всегда есть доступная сумма, как правило разрешены многие виды транзакций). Также не светить номер карты и обратную сторону с CVV2 в очередях у терминалов (можно даже стереть CVV2 лезвием или другим подручным средством) и не выпускать карту из поля зрения, передавая ее кассиру/официанту/другому персоналу. В некоторых случаях сумма с карты может быть списана даже без ввода CVV2. Т.е. злоумышленнику будет достаточно подсмотреть номер вашей карты и срок действия, чтобы осуществить платеж в интернет. Для оплаты в интернет лучше всего завести отдельную интернет-карту, или использовать имеющуюся дебетовую, постоянно контролируя на ней доступный остаток(например подключив услугу sms-информирования). Также, если банк эмитент предоставляет такую услугу, желательно установить на карту индивидуальный лимит платежей в интернет.

Средства защиты

Помимо соблюдения советов, данных выше, одним из средств защиты карты, теперь уже техническим, является протокол 3DSecure (программа Verified by Visa у платежной системы Visa и MasterCard SecureCode у MasterCard).

Несмотря на попытки продвижения платежными системами протокола 3DSecure, банки на территории СНГ не торопятся его осваивать и по-прежнему изобретают свои методы защиты от мошенничества. Почему это происходит, и что такое протокол 3DSecure?

Вкратце, 3DSecure — это протокол платежных систем Visa и MasterCard, позволяющий дополнительно аутентифицировать кардхолдера, перенаправив его во время онлайн-покупки на сайт банка эмитента. Банк эмитент при этом проверяет пароль, введенный кардхолдером и дает ответ о согласии или отказе в проведении транзакции.

Казалось бы, очевидно, что главная цель протокола 3DSecure — защитить кардхолдера от несанкционированного использования его карты. Но на самом деле, в полную меру, это работает только в том случае, если и банк эквайер и банк эмитент поддерживают протокол. Т.е. если мошенник попытается расплатиться вашей картой, подключенной к 3DSecure в торговой точке, не поддерживающей его, защита не сработает. Так как большинство мерчантов в СНГ все еще не поддерживают протокол 3DSecure, или поддерживаю, но только на словах, пользы держателю карты от такой защиты мало. В случае несанкционированного использования защищенной карты в мерчанте, не поддерживающем 3DSecure, ответственность за мошенничество ложится на банк, обслуживающий торговую точку. Хотя в этом случае кардхолдер может полностью рассчитывать на возврат средств, это слабо утешает, зная, чем чревата волокита с претензией в наших банках.

Таким образом, главное преимущество 3DSecure на данном этапе развития электронной коммерции в странах СНГ- это перенос ответственности на банк, обслуживающий торговую точку.

Итог

Подведем итог, как предостеречь себя от действий мошенников (ведь все же пользуются простыми правилами, как не заразить компьютер вирусами, как не пустить вора в квартиру, вот и в соблюдении правил пользования картами нет ничего обременительного):

  • не светить карту в публичных местах
  • не терять из виду карту при оплате товаров и услуг
  • пользоваться в интернет только картами, которые вы специально открыли для этой цели
  • следить за остатками на картах (желательно через sms-информирование)
  • установить на интернет-карту индивидуальный лимит платежей в интернет
  • подключить карту к протоколу 3DSecure
  • вводить данные карты только на проверенных сайтах, желательно с логотипами Verified by Visa и MasterCard SecureCode
  • не передавать данные карты третьему лицу (даже родственникам и друзьям)

Несмотря на, казалось бы, плачевную ситуацию с защитой платежных карт в интернет, все не так уж плохо. Платежные системы Visa и MasterCard устанавливают единые правила ведения претензионной работы, которые обычно защищают кардхолдера, и гарантируют возврат средств при мошенничестве, если не было факта компрометации и передачи данных третьей стороне. Пусть это не всегда работает в нашем “правовом” государстве, но это существенное преимущество, по сравнению с невозвратными локальными виртуальными платежными системами. К тому же платежные карты в интернет широко используются во всем мире и для нас это только вопрос времени и скорости развития культуры безналичных расчетов. Еще пару лет назад человек, рассчитывающийся картой в терминале магазина, вызывал негодование у стоящей очереди, а сегодня разве что небольшие магазины в глубинке не имеют терминалов. Поэтому, кому, как не нам с вами, самой активной части интернет-сообщества, направлять развитие электронной коммерции в нужное русло. Не бойтесь экспериментировать, платить в интернете и подключать оплату картами к своим мерчантам/стартапам. Вдруг это окажется удобно и дешево

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *