Чтобы разобраться, как работает платежная система, дня начала необходимо усвоить три основных термина:

Эмитент — это финансовый институт, чаще всего банк, который выпустил карту или другое средство платежа.

Эквайер — финансовый институт, который ответственен за прием платежа. Например, все POS-терминалы и банкоматы подключены к финансовому институту, который в данной ситуации выступает как эквайер.

МПС — международная платежная система. Это всем известные Visa, Master Card и другие.

Дмитрий Кочелаев
Дмитрий Кочелаев

Какие вообще бывают платежные системы?

В целом их можно разделить на три категории: международные (это, например, уже упомянутые Visa, MasterCard), национальные — например, НСПК с картой «Мир» и наконец локальные, которые чаще всего не являются непосредственно финансовыми инструментами.

Международные платежные системы (МПС). Примечательно, что на сегодня из МПС остались либо системы США, либо достаточно специфичные платежные системы вроде UnionPay International, которая, с одной стороны, является международной, однако почти все транзакции которой совершаются на территории Китая. Из национальных платежных систем, которые вырвались на международный рынок, можно отметить JCB — японскую платежную систему. По числу транзакций лидирующей системой на сегодня является MasterCard.

Национальные платежные системы (НПС) существуют в более чем 35 странах. Свои НПС есть почти в каждой стране Европы, поэтому НСПК и карта «Мир» — это отнюдь не наше локальное изобретение, а общемировая практика. Часть из этих НПС замкнуты внутри своей страны и не пытаются вырваться наружу, но некоторые успешно выходят и на международный рынок.

В чем суть НПС? Во-первых, получение независимости от международных платежных систем. МПС диктуют достаточно жесткие требования к банкам, проведению транзакций, типу используемого оборудования и так далее. Но кроме того, международные платежные системы развиваются в том направлении, в котором они считают нужным. Им не всегда интересен локальный, небольшой рынок. Как результат — сервис, актуальный для рынка, отсутствует. НПС же знают свой локальный рынок, поэтому могут сориентироваться быстрее. Например, в Китае активно используются платежи по QR-кодам, такого способа нет ни у Visa, ни у MasterCard, ни у многих других систем.

Во-вторых, это снижение комиссий. Национальный процессор оперирует меньшим объемом данных, для банков это выгодно тем, что НПС выставляет более низкие тарифы за обслуживание карт внутри банков. И наконец, третье — это проведпение расчетов в национальной валюте.

Локальные платежные системы. Чаще всего это история не про деньги. Сюда входят, например, топливные карты для физических или юридических лиц (иными словами, это карты, которыми можно расплачиваться только на заправках), а также многие карты лояльности, всевозможные ланч-карты, которыми можно платить только в определенных ресторанах. Оперирование в этих случаях идет не чистыми деньгами, а какими-то услугами, которые можно за эти деньги получить.

Какими бывают пластиковые карты?

История пластиковых карт началась в 50-х годах прошлого века с выпуска карт с магнитной полосой. Стандарт того, как кодируется магнитная полоса, по сути, был придуман тогда же компанией IBM. Однако через некоторое, достаточно продолжительное время магнитная полоса показала ряд проблем: во-первых, она достаточно быстро портится от использования, во-вторых, ее легко скопировать, причем сделать это можно почти в домашних условиях, и наконец на нее можно записать достаточно немного данных.

Какие данные несет в себе магнитная полоса?

На самой магнитной полосе есть три трека, на которых закодированы данные. Номер карты (чаще всего это 16 цифр) является не только уникальным идентификатором карты, но и позволяет установить, каким банком она была выпущена. Первые шесть цифр номера — это так называемый Bank Identification Number, или BIN. Эти «BINы» присваиваются банкам платежными системами, при этом банк, особенно если он крупный, может иметь гораздо больше одного «BINа». Последняя цифра — это контрольный разряд, рассчитанный по алгоритму Луна (Luhn Digit), он нужен для того, чтобы проверить, что номер карты был исключительно правильным. Все это идет из тех времен, когда использовалась только магнитная полоса и чтение было условно надежным.

Чтение магнитной полосы должно привести к считыванию всех данных, необходимых для проведения транзакции. На первом треке (а изначально на картах был только первый трек) содержится номер карты, имя владельца карты, дата окончания ее срока действия и некий сервис-код — это три цифры, которые определяют, как по этой карточке надо работать: разрешает эта карта только PIN-овые операции, можно ли по ней провести операцию только с подтверждением по подписи, является она международной или локальной и так далее. Плюс дополнительные данные, обеспечивающие как могут безопасность, это Card Verification Code (CVC) и Card Verification Value (CVV). Также на треке записан некий PIN Verification Value, это некоторая производная от кода.

Второй трек отличается прежде всего тем, что не содержит в себе имя держателя карты. Почему? Дело в том, что со временем выяснилось, что из-за плотности данных первый трек читается не очень хорошо и поэтому быстро выходит из строя. Поэтому, немного подумав, специалисты решили, что на второй трек стоит записать все то же самое, но без имени держателя карты, потому что оно все равно никому не нужно для проведения транзакции.

Почему в США может не прочитаться ваша карта?

Сейчас для чтения активно используется именно второй трек. Хотя и тут есть нюансы. Эта индустрия зародилась в Штатах, и там до сих пор осталось очень много старых устройств. Из-за этого там долго читали первый трек и, более того, используют его и сегодня. Но банки, эмитировавшие карты в Европе или России, иногда вообще не записывают первый трек. Поэтому, когда держатель такой карты приезжает с ней в Штаты, у него могут возникнуть проблемы.

Существует также третий трек, который никак не используется платежными системами. Его использование свободно определяется эмитентом и сетью, где применяется карта. Кроме того, он является перезаписываемым. Некоторые банки пытаются использовать его для сохранения идентификаторов лояльности или кобрендинга, но в целом эта технология умерла вместе с появлением чипа, на который можно записать данные в нормальном формате.

Как проходят транзакции?

Начинается все с того, что вы тем или иным образом прокатываете карточку в терминале. В случае с магнитной полосой — по магнитному ридеру, в случае чипа — вставляете карточку в терминал, бесконтактного чипа — прикладываете. После этого терминал считывает данные и отправляет их на хост эквайеру (это банк, который принимает платежи). Получив транзакцию, эквайер по номеру карты и специальным BIN-таблицам, которые загружаются с платежных систем, понимает, какой платежной системе принадлежит эта карта, и отправляет дальше эту транзакцию платежной системе. Платежная система, опять же, по своим внутренним BIN-таблицам определяет, какому из эмитентов эта карта принадлежит, и отправляет ему транзакцию. Если банк-эквайер и эмитент совпадают, то ни в какую платежную систему карточка не ходит.

Эмитент совершает те проверки, которые необходимы: это проверка безопасности, проверка остатка по счетам и другое — и блокирует средства. Весь этот процесс называется «авторизация», потому что в реальности в этот момент никакие деньги с вашего счета не списываются, а только блокируются. Они будут заблокированы там до тех пор, пока авторизация не будет отменена или не придет финансовое представление. Финансовое представление приходит в офлайне. Ежедневно эквайер формирует по всем транзакциям, которые он принял, так называемый клиринговый файл и отправляет его в платежную систему. Делается это без разделения, каким банкам-эмитентам предназначены эти транзакции.

МПС, в свою очередь, получив все эти клиринговые файлы, пересобирает их в файлы для каждого эмитента и отправляет непосредственно эмитенту. Эмитент, получив финансовое представление, сопоставляет их по содержащимся в них идентификаторам с авторизацией, отменяет блокировку и проводит реальное списание средств.

Почему при транзакции за границей с вас могут списать меньше средств?

Так происходит потому, что авторизация пришла в твердой валюте. Например, вы авторизовали 100 евро, курс в этот момент был один, и деньги заблокировали на вашем рублевом счету по этому курсу. Спустя день или два пришло финансовое представление. В этот момент авторизация была разблокирована, а финансовое представление списано по тому курсу, который был на момент прохождения финансового представления. Ведь по всем регуляциям списывать можно только по курсу ЦБ на день проведения операции. Поэтому чаще всего финансовое списание по валютной операции отличается от оригинального.

Чаще всего оно отличается в меньшую сторону, потому что на авторизации банки страхуются и берут специальную комиссию, которая в реальности только блокируется, но никогда не списывается. Таким образом они страхуются от колебаний курсов, чтобы оно не было не в пользу банка.

Транзакции в обход платежных систем

Сначала все транзакции ходили через международные платежные системы, но постепенно банки поняли, что можно экономить. Так начали появляться специальные межхостовые соединения, где два банка строят специальный канал между собой и проводят транзакции, минуя МПС. В BIN-таблицах, загружаемых от платежных систем, вносятся некоторые корректировки: эта транзакция отправляется не МПС, а своему дружественному банку. По большому счету это сделано ради экономии на комиссиях МПС.

Лекция «Пластиковые карты от магнитной полосы до Apple Pay/Android Pay. Основные криптографические алгоритмы и безопасность»
Лекция «Пластиковые карты от магнитной полосы до Apple Pay/Android Pay. Основные криптографические алгоритмы и безопасность»

Локальные свитчи

Еще один вариант проведения транзакций — локальные свитчи. Это чем-то напоминает национальные платежные системы, но разница в том, что никакие свои карточки не эмитируются, а просто внутри страны через локальную систему замыкается трафик. В России это НСПК. Все транзакции на хосте эквайера определяются по BIN-таблице: это транзакции своей страны либо международные. В зависимости от этого транзакция отправляется либо в международную платежную систему, либо в локальный свитч. В дальнейшем обработка таких транзакций ничем не отличается.

Это делается в основном ради независимости от международных платежных систем и потому, что не все страны хотят, чтобы операции, происходящие внутри страны, становились достоянием общественности.

Как обеспечивается безопасность транзакций

Если посмотреть на ситуацию, которая была на заре появления карт, можно увидеть, что все было очень страшно. Фактически за всю уникальность и подтверждение транзакции отвечал номер карты, CVV с магнитной полосы или CVV2 в случае электронной транзакции, а также ввод PIN, когда транзакция совершается в ритейле. На этом все. Фактически можно подсмотреть PIN, скопировать магнитную полосу (а это не так уж и сложно) — и творить добро на всей Земле. В какой-то момент проблема стала вопиющей, поэтому появились чиповые карты.

Давайте разберемся с терминами. CVV и CVV2 — это некоторый хэш, посчитанный от номера карты, срока действия и специального ключа для расчета этого значения. В случае CVV используется сервис-код, который есть на треке и который можно использовать потом на хосте, в случае CVV2 трек не читается, сервис-код неизвестен, используется три ноля, за счет чего эти две величины получаются разные. PIN изначально был случайной величиной, генерируемой в момент выпуска карты. Но сейчас, как вы знаете, есть карты и без PIN. Можно также его установить, поменять и так далее.

PVV — это хэш, посчитанный на ключе и номере карты, который записывался на трек для дальнейшей проверки PIN. При этом на стороне банка, выпустившего карту, PIN не хранился. Более того, по регуляции платежных систем, это было даже запрещено делать. Так происходило до тех пор, пока в активную фазу не вошла операция по смене пин-кода.

Что изменило появление чиповых карт?

Сам по себе чип, который находится на карте, будучи вставленным в терминал, становится активным и может выполнять некоторые криптографические операции. Таким образом карта осуществляет подпись транзакции, то есть считает некоторую криптограмму от основных данных транзакции и отправляет терминалу эту криптограмму вместе с транзакций. Хост знает те ключи, которые были записаны на чип, может проверить эту криптограмму и, соответственно, формирует ответную криптограмму, которую, в свою очередь, может проверить карта. Таким образом, мы страхуемся от того, что у нас могут скопировать карту, или от атаки man in the middle, когда кто-то подменил операцию по пути к хосту или от хоста.

В целом большая часть криптографии, которая используется сегодня в мире, это симметричное шифрование. Сейчас это 3DES. Все это осуществляется либо на hardware security module в случае хоста, либо на пин-падах в случае терминалов. То есть, если вы видите POS-терминал и отдельно подключенную к нему PIN-клавиатуру, надо знать, что в этой PIN-клавиатуре тоже есть безопасное хранилище ключей, которое умеет совершать какие-то свои криптографические операции. Вся безопасность в этом мире держится на том, что ключи хранятся в безопасном месте, откуда их нельзя извлечь, и которое может вам что-нибудь посчитать, но не расшифровать те данные, которые вы ему передаете. Кроме того, на каждом этапе перехода данных между банками используется свой ключ шифрования.

Лекция «Пластиковые карты от магнитной полосы до Apple Pay/Android Pay. Основные криптографические алгоритмы и безопасность»
Лекция «Пластиковые карты от магнитной полосы до Apple Pay/Android Pay. Основные криптографические алгоритмы и безопасность»

Токенизация: почему выстрелили технологии Apple Pay и Android Pay

В 2015 году появилась технология Apple Pay. Ее суть состоит в следующем: формируемый токен — это альтернативный номер карты. Если посмотреть на него внимательнее, это те же 16 цифр, выпущенные на каком-то BIN. При этом токены сами по себе формируются на BIN, который условно не привязан к банку-эмитенту карты. Токен формируется в тот момент, когда вы через ваш мобильный банк или приложение в телефоне токенизируете карту. После этого платежная система идентифицирует ваш банк-эмитент, он, в свою очередь, идентифицирует вас и теперь тоже знает об этом токене.

Почему эта технология выстрелила? С точки зрения эквайера, то есть того, кто принимает карту, это обычный бесконтактный платеж, по обычной карте, и если ваш банк поддерживает токенизацию карты, вы можете расплатиться ей в любом терминале, который поддерживает бесконтактные платежи.

По сути, эквайер просто получает транзакцию от терминала, по BIN понимает, какая это платежная система, и отправляет транзакцию туда. При этом детокенизацию делает тоже платежная система: по номеру токена она достает номер карты участника, и транзакция, которая уходит на хост эмитента, уже содержит реальный номер карты. Таким образом, на стороне эмитента меняется тоже немного: необходимо поддержать первоначальный цикл токенизации, понять, что такие детокенизированные транзакции, часть криптограммы проверяет платежная система, потому что только она знает, что было в начале и на каких ключах эти токены выпущены, а в остальном для него ничего не меняется.

Лекция «Пластиковые карты от магнитной полосы до Apple Pay/Android Pay. Основные криптографические алгоритмы и безопасность»
Лекция «Пластиковые карты от магнитной полосы до Apple Pay/Android Pay. Основные криптографические алгоритмы и безопасность»

Но почему, с другой стороны, некоторые банки не рвутся поддерживать технологию Apple или Android Pay? Если посмотреть список стран, где эта технология поддерживается, вы увидите, что там нет ни Германии, ни Бельгии, ни ряда других крупных стран. Это происходит потому, что детокенизацию проводит не только платежная система, но и непосредственно Apple или Google, которые тоже берут комиссию. Поэтому для банка транзакция становится все дороже и дороже.

«Открытый финтех» — это курс о том, как мы совершаем покупки, управляем финансами, осуществляем инвестиции. Он состоит из шести лекций. В рамках курса приглашенные эксперты — специалисты компаний, работающих в сфере финансовых технологий — расскажут, как устроена платежная индустрия, как принимаются решения внутри нее и что ждет эту отрасль в будущем. 28 марта пройдет вторая лекция курса – «Аутентификация и безопасность платежей в Интернет. E-Commerce. 3D Secure 1.0, AVS. 3D Secure 2.0». Илья Дубинский, главный технический директор компании Credorax, самого быстрорастущего трансграничного эквайера в Евросоюзе, расскажет о том, что происходит с номером вашей карты в дебрях интернета и недрах банковских систем и умеют ли банки обеспечивать безопасность онлайн-платежей.