способ подтверждения платежа
Классы МПК: | G06Q20/00 Схемы платежей, архитектура или протоколы |
Автор(ы): | Кутис Петр Федорович (RU), Хафизов Роман Рафикович (RU) |
Патентообладатель(и): | Пэйче Лтд. (VG) |
Приоритеты: |
подача заявки:
2012-09-26 публикация патента:
10.03.2014 |
Изобретение относится к способу подтверждения платежа в режиме удаленного доступа. Технический результат заключается в повышении безопасности проведения платежных операций с применением карты при проведении платежей в реальном режиме времени. Способ заключается в том, что при проведении платежа держатель платежной карты вводит на веб-странице сведения о сумме платежа и данные платежной карты в виде части цифр банковского идентификационного номера платежной карты и передает эти сведения в онлайн запросе в аппаратно-программный комплекс эквайрера, в котором осуществляют проверку в базе полученных данных о банковском идентификационном номере платежной карты и формируют, по крайней мере, один список значений параметров этой карты, в состав которого вводят действительные и ложные значения параметров этой карты, которые в режиме инициируемой сессии с браузером или приложением держателя платежной карты в виде текстового сообщения передают на приемное устройство держателя с запросом выбрать из предлагаемых значений верные и при получении правильных ответов аппаратно-программным комплексом эквайрера осуществляют проведение платежа с указанными параметрами. 1 ил.
Формула изобретения
Способ подтверждения платежа в режиме удаленного доступа, характеризующийся тем, что при проведении платежа держатель платежной карты вводит на веб-странице торгово-сервисного предприятия сведения о сумме платежа и данные платежной карты в виде части цифр банковского идентификационного номера платежной карты и передает эти сведения в онлайн-запросе в аппаратно-программный комплекс эквайрера, в котором осуществляют проверку в базе полученных данных о банковском идентификационном номере платежной карты и формируют, по крайней мере, один список значений параметров этой карты, в состав которого вводят действительные и ложные значения параметров этой карты, которые в режиме инициируемой сессии с браузером или приложением держателя платежной карты в виде текстового сообщения передают на приемное устройство держателя с запросом выбрать из предлагаемых значений верные и при получении правильных ответов аппаратно-программным комплексом эквайрера осуществляют проведение платежа с указанными параметрами в направлении торгово-сервисного предприятия.
Описание изобретения к патенту
Изобретение относится к области эквайринга, а именно к области безопасности безналичных расчетов с помощью платежных карт международных платежных систем, таких как Visa, MasterCard, JCB International, American Express и другие (далее - МПС).
Изобретение может быть применено для дополнительной проверки намерения произвести платеж (списание средств с платежной карты) покупателем при совершении им платежа удаленно, без личного присутствия. В данном случае имеются в виду распространенные в последнее время онлайн платежи на веб-сайтах магазинов и платежных систем или платежи при заказе услуги или товара по телефону или по почте.
Известно, что удаленный прием карт к оплате осуществляется путем передачи плательщиком основных параметров карт в эквайрер (здесь и далее под эквайрером понимаются банк, оказывающий услуги эквайринга, а также другие третьи стороны, осуществляющие посреднические услуги банку-эквайреру в рамках оказания последним услуги эквайринга) через торгово-сервисное предприятие (далее - ТСП), посредника или напрямую. Параметры карт отображены (в некоторых случаях эмбоссированы) на самой карте, а именно: номер карты, срок действия карты, специальный код проверки и иногда имя держателя карты. Для осуществления платежа достаточно знать номер карты, срок ее действия и проверочный код. Это позволяет с легкостью применять различные схемы мошенничества, когда плательщик не является держателем карты, но знает ее параметры (подглядел, переписал, подслушал канал передачи данных или просто временно завладел картой). Наряду с распространением онлайн платежей с помощью банковских карт, борьба с мошенничеством приобретает все более массовый характер.
Для предотвращения мошенничества применяются различные схемы и методы, которые в основном сводятся либо к усложнению воровства карт и их данных, либо к дополнительным проверкам плательщика на предмет того, что он является держателем карты, иначе - что именно держатель карты совершает платеж.
В настоящее время известна практика, когда специальный человек-оператор ТСП или эквайрера вручную пытается связаться с держателем карты либо по телефону, либо посредством электронной почты для личного подтверждения последним желания произвести платеж. Также существуют способы проверки через указание дополнительного разового пароля или разового секретного кода, полученного по каналу связи, отличному от канала связи, по которому осуществляется обмен информацией о платеже. Однако для подобной проверки необходимо предоставить пользователю дополнительный канал связи, авторизовать его в нем, а также поддерживать работоспособность и доступность этого канала связи (например, мобильная связь, таблица разовых ключей, удаленный доступ к банковскому счету).
Существующая практика проверки намерения держателя карты провести платеж имеет решающие недостатки:
1. ТСП или эквайрер не всегда может знать заранее истинные контакты держателя карты и, таким образом, не может гарантированно связаться с последним.
2. Создание и использование дополнительного канала связи требует предварительной гарантированной аутентификации держателя карты для его последующей авторизации.
3. Дополнительная проверка держателя карты занимает длительное время и не позволяет проводить проверку в реальном режиме времени. Т.е. платеж должен быть либо проведен и затем проверяется держатель карты, либо платеж отклоняется и после проверки держателя последнему предлагается провести платеж повторно.
4. Проверка возможна только в избирательных случаях, т.к. связываться с держателем карты при совершении каждого платежа фактически расточительно. Для этого в ТСП должны непрерывно работать несколько операторов круглосуточно, что вносит непреодолимую нагрузку на бизнес. Как выход необходимо вводить избирательность и классифицировать операции по рискам. Этот подход вынуждает вести дополнительную аналитику, что опять же ведет к расходам и невозможности проводить проверки в реальном режиме времени.
В настоящее время со стороны МПС активно навязывается дополнительная мера защиты от мошенничества. Это модель аутентификации 3-D Secure, которая позволяет провести аутентификацию плательщика на защищенном сайте эмитента. 3-D Secure является XML-протоколом, который используется как дополнительный уровень безопасности для онлайн-кредитных и дебитных карт, двухфакторной аутентификации пользователя. Он был разработан МПС Visa с целью улучшения безопасности Интернет-платежей. На его основе Visa предложила клиентам услугу Verified by Visa (VbV). Услуги, основанные на данном протоколе, также были приняты MasterCard под названием MasterCard SecureCode (МСС) и JCB International, как J/Secure.
Порядок действия протокола подробно изложен в документе «3-D Secure system overview», размещенном на публичном ресурсе сети интернет по адресу -https://partnernetwork.visa.com/vpn/global/retrieve_document.do?documentRetrievalld=119. Суть протокола 3-D Secure состоит в аутентификации держателя карты именно эмитентом, для чего эмитенту необходимо осуществить ряд дополнительных мер по приведению своей аппаратно-программной инфраструктуры в соответствие возможностям использовать протокол 3-D Secure.
Основные и решающие недостатки протокола 3-D Secure:
1) В настоящее время более половины эмитентов не участвуют в модели аутентификации 3-D secure или участвуют неполноценно. Данный факт не позволяет эквайреру гарантированно проверять большинство держателей карт, что снижает эффективность протокола 3-D Secure. Особенно эмитенты мотивированы не участвовать в модели ввиду переноса на них ответственности за возможное мошенничество в случае успешной аутентификации держателя карты с помощью протокола 3-D Secure.
2) Большая нагрузка на плательщика в виде постоянных переходов с одной веб-страницы на другую. Данный факт снижает доверие плательщиков к ТСП и желание осуществлять платежи на сайтах ТСП. В самом общем виде этот факт влияет на ТСП таким образом, что во избежание потери клиентов ТСП отказывается поддерживать протокол 3-D Secure, беря риски мошенничества на себя. Однако такая ситуация в целом подрывает доверие к продуктам МПС, что в свою очередь влечет снижение участия карт в безналичных платежах через интернет, удерживающих значительную долю платежей в мире.
Из уровня техники известна система проверки подлинности держателя платежной карты, описанный в заявке US 2010/0280946, G06Q 40/00, опубл. 04.11.2010, в которой перед проведением платежа создают авторизационный запрос, включают в авторизационный запрос заранее неизвестный держателю карты проверочный код, отправляют авторизационный запрос эмитенту, запрашивают проверочный код у держателя карты и по правильности кода, сообщенного держателем платежной карты, судят о подлинности самого держателя платежной карты, причем проверочный код передают в стандартном авторизационном запросе, основываются на том, что доступ к платежной информации частных лиц в банках строго ограничен и для доступа к платежной информации эмитент произведет аутентификацию владельца счета, который является держателем карты; получают введенный держателем карты код и па основании соответствия переданного и полученного кодов судят о подлинности держателя платежной карты. Принято в качестве прототипа для всех вариантов.
Однако данная система обладает недостатком, заключающимся в том, что запрос кода осуществляется с переводом держателя карты на страницу эмитента, при этом в патенте не дается точный параметр запроса и порядок включения в него проверочного кода.
Настоящее изобретение направлено на достижение технического результата, заключающегося в повышении безопасности проведения платежных операций с применением карты при проведении платежей в реальном режиме времени.
Указанный технический результат достигается тем, что способ подтверждения платежа в режиме удаленного доступа характеризуется тем, что при проведении платежа держатель платежной карты вводит на веб-странице торгово-сервисного предприятия сведения о сумме платежа и данные платежной карты в виде части цифр банковского идентификационного номера платежной карты и передает эти сведения в онлайн запросе в аппаратно-программный комплекс эквайрера, в котором осуществляют проверку в базе полученных данных о банковском идентификационном номере платежной карты и формируют по крайней мере один список значений параметров этой карты, в состав которого вводят действительные и ложные значения параметров этой карты, которые в режим инициируемой HTTPS сессии с браузером или приложением держателя платежной карты в виде текстового сообщения передают на приемное устройство держателя с запросом выбрать из предлагаемых значений верные и при получении правильных ответов аппаратно-программным комплексом эквайрера осуществляют проведение платежа с указанными параметрами в направлении торгово-сервисного предприятия.
Настоящее изобретение иллюстрируется примером исполнения конкретной системы, представленной на фиг.1, на котором представлен порядок действий при проверке подлинности держателя карты.
Согласно настоящему изобретению рассматривается новый способ проверки намерения держателя карты произвести платеж, который основан на интерактивном взаимодействии эквайрера с держателем карты. Изобретение реализует способ проверки намерения держателя карты провести платеж в реальном режиме времени. Условия (кроме условий проведения платежа через веб-сайт) для действия изобретения: наличие у эквайрера таблиц банковских идентификационных номеров (БИН) карт МПС, являющихся конфиденциальной информацией МПС, распространение которых строго ограничено среди членов МПС.
Способ подтверждения платежа в режиме удаленного доступа характеризуется тем, что при проведении платежа держатель платежной карты вводит на веб-странице торгово-сервисного предприятия сведения о сумме платежа и данные платежной карты в виде части цифр банковского идентификационного номера платежной карты и передает эти сведения в онлайн-запросе в аппаратно-программный комплекс эквайрера, в котором осуществляют проверку в базе полученных данных о банковском идентификационном номере платежной карты и формируют по крайней мере один список значений параметров этой карты, в состав которого вводят действительные и ложные значения параметров этой карты, которые в режим инициируемой HTTPS сессии с браузером или приложением держателя платежной карты в виде текстового сообщения передают на приемное устройство держателя с запросом выбрать из предлагаемых значений верные и при получении правильных ответов аппаратно-программным комплексом эквайрера осуществляют проведение платежа с указанными параметрами в направлении торгово-сервисного предприятия.
Изобретение предполагает при попытке платежа в реальном режиме времени уточнить банковский идентификационный номер (БИН) карты,
заключающийся в первых 6 цифрах номера карты. Известно, что БИН выдается международными платежными системами для карт с заранее определенными характеристиками, в том числе: название банка, страна банка, тип карты (дебетовая или кредитная), тип международной платежной системы (например, Visa, MasterCard, AmericanExpress), продукт карты (например: виртуальная, классическая, стандарт, золотая, платиновая, инфинити, корпоративная). Значения данных параметров возможно получить, только имея перед собой карту или ее скан (фото) или договор с банком, что сильно затрудняет мошенничество. В этом случае мошенническое использование карты ограничено наличием, как правило, только ее номера, срока действия и проверочного кода.
Далее после получения БИН из введенного пользователем номера банковской карты пользователю предлагается на той же веб-странице выбрать из предлагаемого списка значение одного или нескольких параметров карты. При этом пользователю может быть предложено несколько неправильных вариантов и один правильный или несколько неправильных вариантов и вариант, который сообщает, что верного варианта нет. Количество параметров карты, выбранных для проверки, может варьироваться в зависимости от степени подозрения операции в мошенничестве со стороны ТСП или эквайрера.
Например, пользователю, пытающемуся оплатить товар или услугу картой MasterCard Gold, выпущенной Альфа-банком, может быть предложено указать значения трех параметров из предложенных вариантов:
1) Выберите тип платежной системы карты: Visa, MasterCard, AmericanExpress.
2) Выберите тип продукта карты: Classic, Virtual, Infinity. Тип карты отсутствует в списке.
3) Выберите название банка, выпустившего карту: Сбербанк, Алтайбанк, Альфа-банк.
Результаты данных вопросов (выбранные ответы) анализируются АПК эквайрера, и если все ответы правильные, то принимается решение о том, что карта действительно присутствует у покупателя в момент платежа. Это повышает вероятность того, что покупатель является держателем карты.
Такой способ проверки платежа, а точнее подлинности держателя карты, еще никем не применялся, несмотря на то, что является достаточно простым и быстрым.
Техническим результатом изобретения является решение поставленных задач:
1. Исключение применения карт, данными которых мошенники завладели путем перехвата при считывании через устройства, а также передаваемых через каналы связи или при простом переписывании ее параметров (как правило, переписываются только номер, срок действия и проверочный код). Применение изобретения позволит перекрыть данный канал получения карт мошенниками.
2. Проверка производится в реальном режиме времени и не требует дополнительных каналов связи.
3. Проверить можно платежи любых карт.
4. Проверка осуществляется автоматически.
5. Реализация изобретения требует только автоматизации проверки БИН карты по таблицам МПС, поставляемым в банки.
Условием изобретения является автоматизация в АПК эквайрера проверки таблиц БИНов. Изобретение позволяет в реальном режиме времени обмениваться с браузером пользователя сигналами и, тем самым, провести проверку того, что покупатель с большой степенью вероятности действительно является держателем карты.
В качестве запроса используется сообщение с вопросом о выборе правильных значений параметров карты из списка предоставленных вариантов. В качестве ответа используется сигнал, означающий выбранное значение.
Изобретение работает в два шага.
Шаг 1. Обмен между АПК эквайрера и браузера покупателя https сообщениями, результатом которых является доставка в АПК эквайрера номера карты, а точнее БИН карты.
Этап 2. Обмен между АПК эквайрера и браузера покупателя https сообщениями, результатом которых является совокупность значений параметров карты и вывод о подлинности держателя карты.
Изобретение работает в следующем порядке:
1. Плательщик при попытке платежа вводит данные карты, которые затем сообщаются в онлайн-запросе платежа в АПК эквайрера.
2. АПК эквайрера проверяет в БД значение БИН карты, формирует списки значений параметров карты и инициирует HTTPS сессию с браузером или приложением покупателя. В рамках сессии на устройство покупателя сообщается запрос, включающий текстовое сообщение с запросом выбрать из предлагаемых значений верное. Браузер или приложение на устройстве покупателя автоматически устанавливает сессию и принимает сигнал.
3. Покупатель просматривает сообщение, переданное в сигнале, и выбирает значения параметров карты. Браузер или приложение в реальном режиме времени направляет ответ в АПК эквайрера.
4. АПК эквайрера при получении правильных ответов осуществляет проведение платежа с указанными параметрами. При получении хотя бы одного неправильного значения АПК эквайрера не проводит платеж.
Вариант осуществления изобретения для большего понимания приведен схематично на фиг.1 - схема, отражающая способ проверки подлинности держателя карты.
Шаг 1. Пользователь вводит данные карты на веб-странице ТСП в браузере. Браузер транслирует введенные пользователем данные в эквайрер в виде запроса платежа «Списание средств» по защищенному каналу связи.
Шаг 2. Эквайрер проверяет наличие БИН карты в своем АПК. Формирует списки параметров карты и их значений для проверки покупателя.
Шаг 3. Эквайрер направляет https запрос на адрес браузера или приложения. Запрос содержит сигнал в виде сообщения, требующего ответа - списки выбора правильных значений параметров введенной карты.
Шаг 4. Пользователь осуществляет выбор значений и его браузер или приложение отправляет в АПК эквайрера сигнал. Сигнал содержит ответ на запрос с выбранными значениями параметров.
Шаг 5. Эквайрер по результату ответа покупателя проверяет полученные ответы и принимает решение по обработке запроса «Списание средств».
Класс G06Q20/00 Схемы платежей, архитектура или протоколы