Гид по терминалам эквайринга
и способам оплаты

Как работает оплата картой с чипом и магнитной полосой

Карты с магнитной полосой были разработаны в 1967 компанией IBM, когда банки и авиакомпании старались не допустить излишний рост сотрудников для работы с клиентами и искали новые возможности для реализации самообслуживания. Выбор пал на создание карт, которые могли бы использоваться клиентами в терминалах без обслуживающих их сотрудников, а потребность в компактном размере привела к выбору миниатюрного формата карт — таких, какими мы знаем их сейчас. Небольшой размер привел к необходимости поиска способа размещения идентификационной информации, и выбор пал на использование технологии магнитной полосы, аналогичный хранению аудиозаписей. Трех дорожек шириной 0.28 см было достаточно, чтобы закодировать сведения о клиенте, номер счета и вспомогательную информацию для авиакомпаний, банков и прочих учреждений.

Когда клиент или кассир проводит карту через терминал оплаты или выделенный пин-пад, происходит считывание закодированной на магнитной полосе информации. Терминал, используя стационарное подключение к сети или мобильную SIM-карту, пересылает информацию о клиенте и стоимость покупки в банк, обслуживающий торговую точку. Этот банк пересылает эту информацию дальше по цепочке — банку-эмитенту, выпустившему карточку, а при положительном ответе о наличии нужной суммы на счете отправляется подтверждение оплаты в магазин. Вся последовательность обмена данными занимает примерно пару секунд, а для подтверждения личности клиент ставит подпись на чеке, которая должна совпадать с подписью на обратной стороне банковской карты. Недостатком магнитной полосы была низкая защищенность данных клиента. Злоумышленники легко могли скопировать информацию с помощью специального считывающего устройства, поэтому с 80-х годов появились комбинированные карты с магнитной полосой и чипом.

Чип в банковских картах представляет собой микропроцессор, содержащий намного больше идентификационной информации, а еще он проверяет PIN-код при оплате на сумму более 1000 рублей (лимит актуален для России), быстрее и точнее получает информацию о наличии средств для оплаты покупки на счете клиента, а главное, генерирует при передаче данных одноразовые коды для защиты от копирования. В отличие от магнитной полосы, которую можно быстро переписать на чистую карту с помощью специального оборудования, сделать дубликат чипа практически нереально. Не удивительно, что с 1 января 2005 года в системе MasterCard и с 1 января 2006 года в системе VISA произошло важное изменение, направленное на максимальное распространение карт с чипами. Если такую украли и совершили покупку с помощью магнитной полосы в магазине, где терминал был с поддержкой только магнитной полосы, убытки несет не банк-эмитент (выпустивший карту), а банк-эквайер, потому что не обеспечил установку современного оборудования для приема смарт-карт. В настоящий момент встретить терминал без поддержки чипов очень сложно, однако карты все ещё остаются гибридными и магнитная полоса присутствует для использования с очень старыми терминалами оплаты.

Как работает оплата бесконтактной банковской картой

В России платежные карты с технологией бесконтактной оплаты выпускаются с 2008 года и мало чем отличаются от обычной карточки с чипом. Сам пластик содержит всего два новый элемента: микросхему и плоскую обмотку-антенну, используемую для электропитания карты и связи с терминалом. Фактически в карту встроен один килобайт энергонезависимой памяти, который делится на 16 секторов по четыре 16-байтных блока в каждом. Каждый сектор хранит собственную пару ключей, а права доступа указывают, какой доступ при указании какого ключа возможен. В зависимости от терминала и его функций, используются разные секторы карты. Например, нулевой содержит уникальный идентификатор карты, пятнадцатый используется для турникетов общественного, а между ними находятся сектора, отвечающие за безналичную оплату, прием и снятие наличных и прочие операции.

Для расчета бесконтактной банковской картой нужно приложить или поднести «пластик» к считывающему устройству. Электрического тока с закодированной информацией от терминала или пин-пада даже подаваемого в течение 0.1 секунды хватает, чтобы карта получила достаточную энергию для обработки информации и отправки обратного сигнала. Карта и считыватель «обмениваются» зашифрованной информацией, подтверждая подлинность друг друга, и после этого терминал получает доступ к соответствующему сектору памяти карты для выполнения операции. После оплаты клиенту не нужно ставить свою подпись, а PIN-код придется ввести только при совершении операции более чем на 1 тысячу рублей.

Если говорить о безопасности, проблем с бесконтактными картами не возникает. При каждой операции чип динамически генерирует уникальный CVV-код, который не может использоваться дважды, а если мошенники смогут его перехватить и попытаются с его помощью совершить покупку, система безопасности банка тотчас заблокирует эту операцию. Расхожее мнение, что с бесконтактных карт можно красть деньги на улице и в общественном транспорте, не стоит воспринимать всерьез. Все терминалы имеют государственную регистрацию, так что мошенники не смогли бы долго снимать деньги у ничего не подозревающих держателей карт и тем более обналичивать их. К тому же, суммы до тысячи рублей едва ли можно назвать привлекательными для злоумышленников, которым потребовалось бы технически сложное и дорогостоящее оборудование.

Как работает оплата смартфоном c NFC

Появление чипов NFC в смартфонах привело к логичному интересу со стороны банковской сферы и платежных систем. Изначально для использования мобильного устройства в качестве банковской карты должно было выполняться два условия: наличие NFC для передачи сигнала и аппаратного элемента безопасности Secure Element для хранения информации о карте. Впрочем, начиная с 2013 года компания Google в обновлении Android KitKat анонсировала более удобную системы Cloud-Based Payments Platform, работающую на основе технологии Host Card Emulation — возможность эмулировать смарт-карту на программном уровне с не меньшей надежностью, чем при использовании выделенного для этого «железного» модуля. Начиная с этого момента, смартфоны все чаще стали использоваться в качестве банковской карты, а основные инструменты для оплаты разделились на платежные сервисы, интегрированные на уровне операционной системы, и устанавливаемые пользователем приложения.

В качестве примера можно рассмотреть Samsung Galaxy S6 edge|S6, который поддерживает платежный сервис Samsung Pay, но использует только чип NFC для передачи данных (поддержка MST реализована у более новых моделей Galaxy). Для оплаты пользователю нужно запустить приложение или активировать платежный сервис, затем подтвердить личность с помощью ввода пароля или отпечатка пальца и поднести смартфон к терминалу с поддержкой бесконтактных платежей. Кстати, именно по удобству использования платежные сервисы превосходят скачиваемые приложения. Samsung Pay на Galaxy S6 edge|S6 активируется росчерком снизу вверх с экрана блокировки или домашнего экрана, а для оплаты приложением нужно сначала разблокировать смартфон, найти нужную иконку и запустить программу.

Что касается безопасности, схема работы напоминает бесконтактные банковские карты, однако защищенность от мошенников у платежных сервисов еще выше. Во-первых, смартфон не передает терминалу никакую персональную информацию, будь то номер карты или срок ее действия. Вместо этого генерируется специальный обезличенный одноразовый код для оплаты покупки, именно из-за необходимости создания и правильной обработки этих кодов количество банков, поддерживающих платежные сервисы ограниченно, но постепенно растет. Кроме того, в случае утери смартфона информация остается надежно защищена паролем и сканером отпечатков пальца, так что отсутствует необходимость блокировать и перевыпускать карту — никакой информации типа номера, срока действия с CVV кода злоумышленники получить не смогут.

Как работает оплата с помощью NFC и MST

С точки зрения безопасности и удобства использования Samsung Pay в новых смартфонах Galaxy — это один из лучших способов оплаты покупок. Он сочетает в себе универсальность классических и бесконтактных банковских карт с защитой данных посредством сканер отпечатков пальцев и при помощи использования одноразовых паролей вместо передачи идентификационных данных карты. Ключевое отличие Samsung Pay от прочих способов бесконтактной оплаты заключается в технологии Magnetic Secure Transmission (MST), которую поддерживают смартфоны, Galaxy S7 edge|S7, Galaxy A3(2017), A5(2017), A7(2017), Galaxy A5 (2016), A7(2016), Galaxy Note5 и Galaxy S6 edge+.

Технология MST работает по принципу банковской карты с магнитной полосой — с помощью специальной индукционной петли создается магнитное поле, которое может быть распознано MAG-считывателем стандартного терминала. Генерируемое поле идентично сигналу от обычной банковской карты, а его мощности достаточно для «прочтения» карты с расстояния 7-8 сантиметров. Получается, что смартфон с платежным сервисом Samsung Pay может имитировать как бесконтактную банковскую карту посредством чипа NFC, так и обычную с помощью MST. При этом платежный сервис для смартфонов избавляет пользователей от проблем с безопасностью, свойственных обычным банковским картам.

При совершении платежа, вне зависимости от использования NFC или MST, происходит передача уникального динамически сгенерированного идентификатора. Он не содержит в себе номер карты, сведения о владельце, код безопасности и прочие «чувствительные» данные, а любые операции по оплате обязательно нужно подтверждать отпечатком пальца или вводом пароля. Таким образом, владельцы Samsung Galaxy могут использовать смартфон для оплаты товаров и услуг в любых местах без ограничений. Даже если платежный терминал устаревшей модели и не поддерживает новые технологии, он все равно сможет считать данные со смартфона Samsung и рассчитать клиента. А главное, с использованием смартфона в качестве платежного инструмента можно не бояться потери карты, доступа к ней третьих лиц, а также волокиты с перевыпуском карточек, поскольку в смартфоне в открытом доступен нет данных, которые могут быть скомпрометированы.