Читаем Электронные платежи в интернете полностью

Соответствие стандарту на рекордном уровне было зафиксировано в августе 2012 года. Visa сообщила, что соответствие стандарту PCI DSS среди мерчантов первого уровня (Level 1)[5] достигло 97 % – рекордно высокого уровня. Это означало, что крупнейшие мерчанты сделали огромные успехи для увеличения безопасности использования платежных карт.

Для подключения интернет-магазина к платежному шлюзу PSP или банка-эквайера существует два вида взаимодействия:

1. Прием и вся обработка платежных данных происходят на стороне платежного шлюза. Ключевой момент заключается в том, что карточные данные не проходят через серверы торговых точек, а идут напрямую в платежный шлюз. Таким образом, техническим специалистам торговой точки для интеграции платежной страницы процессинга в интернет-магазин необходимо выполнить лишь минимальный набор действий, не требующих сколь-нибудь высокой квалификации. Вся ответственность за безопасность обработки и хранения карточных данных, а также за их целостность при проведении платежа в этом случае целиком ложится на платежный шлюз.

2. Торговая точка принимает карточные данные через собственную платежную страницу, самостоятельно их обрабатывает (и, скорее всего, в какой-то форме хранит) и отсылает необходимые для проведения транзакции данные в платежный шлюз через предоставленный процессингом API (Application Programming Interface). В таком варианте уровень подготовки технических специалистов торговой точки должен быть существенно выше, нежели в первом варианте. Торговая точка при этом несет больше рисков и, как правило, должна соответствовать требованиям стандарта PCI DSS. Более подробно мы рассмотрим этот вопрос в соответствующей главе.

Большинство интернет-магазинов выбирает первый вариант, оставляя «головную боль» с карточными данными на стороне платежных шлюзов, которые ежегодно проходят аудит PCI DSS.

Выбор второго варианта, более сложного, затратного и связанного с большим риском, может быть оправдан для крупных компаний. Им необходимо проводить значительную постплатежную обработку принятых данных: статистические исследования, анализ данных в целях принятия бизнес-решений и т. д. Для этого необходимо иметь такие данные в собственном распоряжении (в противном случае для каждой выборки компания будет вынуждена обращаться к процессингу), что и требует прохождения их через серверы торговой точки.

Какие риски возникают у пользователей и участников платежных систем Visa и MasterCard? Логично разделить риски на три подгруппы: риски держателей карт, риски банков-эквайеров и риски торговых точек. Я специально вынес в отдельную группу держателей карт, поскольку о них часто забывают, и, как мы уже увидели, в том числе это свойственно российским законодателям.

У держателей карт основной риск сводится к тому, что их денежные средства могут достаться злоумышленникам. Для этого достаточно перехватить данные карточки, поскольку при операциях во многих интернет-магазинах банк-эмитент принимает решение о возможности списать средства со счета клиента без участия последнего. Вероятно, сейчас читатель подумал: «Но ведь существует механизм 3-D Secure, когда плательщик подтверждает свои операции посредством одноразового пароля, полученного от банка через SMS!» Однако система 3-D Secure была разработана в первую очередь для защиты банков-эквайеров от Friendly Fraud (англ. дословно – «дружественное мошенничество»), хотя достаточно часто она преподносится держателю карты как выгодная и предусмотренная для плательщика. Коснемся этого вопроса чуть ниже.

Банк-эквайер несет всю ответственность за свои торговые точки в платежных системах. И если МПС штрафует за, к примеру, продажи запрещенного товара, то штраф списывается с банка-эквайера, а не с интернет-магазина. Разумеется, банк приложит все усилия, чтобы переложить штраф непосредственно на торговую точку, если к этому моменту та еще будет существовать и на ее счетах будут средства. К примеру, в России принято переводить возмещение торговой точке на второй день. Но при этом платежная система рассчитывается с участниками только на третий день. Ведь, по сути, банки-эквайеры кредитуют свои торговые точки. За chargeback’и в первую очередь платит банк-эквайер. Это происходит в случаях, если услуга не была оказана или транзакция прошла без подтверждения ввода держателем карты пароля (3-D Secure).