Электронные платежи в интернете

Электронные платежи в интернете Дмитрий Артимович «Задача этой книги – дать читателям исчерпывающие знания о международных платежных системах Visa и MasterCard. Как ни странно, не столь уж многие специалисты, работающие на рынке электронной коммерции, реально представляют себе, как именно устроены карточные платежные системы. В интернет-магазинах таких людей и того меньше, их практически не встретишь, зато требования этого сегмента рынка, обобщенно сводящиеся к фразе «Мы хотим дешевле!», звучат регулярно и зачастую чересчур назойливо. Но я отнюдь не задавался целью удовлетворить потребности клиентов, регулярно умоляющих о значительном сокращении издержек. Перед вами труд, охватывающий все аспекты функционирования международных платежных систем Visa/MasterCard. Пожалуй, сверхзадача, которую я ставил перед собой, работая над этим учебником, звучит так: подтолкнуть молодые умы к созданию новых технологий в сфере карточных платежей…» Дмитрий Артимович Электронные платежи в интернете © Артимович Д., текст, 2018 © Де'Либри, оформление, издание, 2018 Благодарности Выражаю огромную благодарность всем, кто помогал мне работать над этой книгой: моей супруге Гере Артимович за постоянную поддержку. Именно она вдохновила меня самостоятельно издать учебник после ухода из компании ChronoPay, где мои идеи не были услышаны; моему отцу Александру Владимировичу Артимовичу за понимание и веру в меня; Константину Попову за кропотливое исправление ошибок и доведение учебника «до ума». Его упорство способствовало тому, чтобы из разрозненных фрагментов текста появилась логически связанная структура; Денису Дунюшкину за консультации и помощь в издании учебника; Сергею Каленику за помощь в написании вступления и издании учебника; Илане Александровой за литературную обработку и корректуру текста учебника. От автора Задача этой книги – дать читателям исчерпывающие знания о международных платежных системах Visa и MasterCard. Как ни странно, не столь уж многие специалисты, работающие на рынке электронной коммерции, реально представляют себе, как именно устроены карточные платежные системы. В интернет-магазинах таких людей и того меньше, их практически не встретишь, зато требования этого сегмента рынка, обобщенно сводящиеся к фразе «Мы хотим дешевле!», звучат регулярно и зачастую чересчур назойливо. Но я отнюдь не задавался целью удовлетворить потребности клиентов, регулярно умоляющих о значительном сокращении издержек. Перед вами труд, охватывающий все аспекты функционирования международных платежных систем Visa/MasterCard. Пожалуй, сверхзадача, которую я ставил перед собой, работая над этим учебником, звучит так: подтолкнуть молодые умы к созданию новых технологий в сфере карточных платежей. Следует также пояснить читателю, что идея этого учебника родилась много лет назад в стенах компании ChronoРay, провайдера электронных платежей, действующего в России с 2003 года. Мы использовали черновики и первые наброски этого текста в качестве вводной инструкции и других обучающих пособий для персонала. Увы, я так и не смог издать этот текст как полноценный учебник раньше, пока работал в компании. Всему свое время. Теперь эта книга перед вами. Я отмечаю особое лукавство экономического знания: от экономиста всегда требуется действовать в двух разных режимах ведения интеллектуальной деятельности. В случае, когда нужно проанализировать сегодняшнюю, актуальную реальность, в его распоряжении всегда имеется достаточно всевозможных фактов, которые остается лишь связно и непротиворечиво изложить. Но когда речь идет о прогнозировании будущего, то даже для мало-мальски связного изложения фактов уже не хватает. Экономист начинает спешно заполнять информационные пробелы своей теорией и интуицией, основанной на анализе сегодняшнего дня. Имеющие опыт биржевой игры, конечно, знают: предсказывать поведение графика очень легко, но только вплоть до текущего момента – дальше предсказатели обычно пасуют. При нехватке фактов задача исследователя меняется. Ему предстоит тщательно отделить зерна от плевел и попытаться описать максимально простую гипотезу, связывающую имеющиеся факты в единое и осмысленное целое. Причем таковых гипотез зачастую несколько. Они вовсе не обязаны быть истинными, ведь, по сути, они служат лишь для систематизации фактов. Однако, если вы сравните все имеющиеся гипотезы, перед вами с некоторой долей вероятности может открыться свет истины. Поэтому, прежде чем перейти к изучению платежных систем, давайте попробуем отыскать непротиворечивый и четкий ответ на вопросы, касающиеся важнейших экономических фактов ХХ века. Первый вопрос, который полагается задать в начале любой книги о деньгах: «Что такое деньги?» Казалось бы, ответ очевиден, тем не менее, любые экономические определения не выдерживают никакой критики. Разумеется, деньги – это и товар, и мера обмена, и овеществленный труд, и многое другое. Но не только. И это пресловутое «не только» долгое время не давало человечеству выработать единое непротиворечивое определение для «овеществленного труда». В тридцатые годы прошлого века в своей книге «Homo Ludens, или Человек играющий» голландский философ Йохан Хейзинга поставил в центр человеческого существования и образа жизни не труд, инстинкты или экономический интерес, а именно игру. В этом состоит правда жизни, которая становится все более очевидной. Ведь, в конечном итоге, что такое деньги? Деньги – это условность, а их материальная сущность исчезает на наших глазах: появились электронные деньги, криптовалюты, да и простейшая оплата телефоном от WeChat до ApplePay. Большинство транзакций осуществляются посредством компьютерных сетей. Существует устойчивый термин «биржевая игра». Виртуальность денег, их отрыв от производственных процессов были всегда известны ограниченному кругу лиц из числа банкиров, финансистов, некоторых посвященных глав государств. Сейчас это понятие стало очевидным для широких слоев населения. После появления биткойна – практически всем. Определение «игры», предложенное Хейзингой, можно смело назвать единственным, в которое «деньги» вписываются без проблем. Давайте это проверим: 1. Доступ к игре свободен, сама игра и есть проявление свободы. 2. Игра – это не «обычная» или «реальная» жизнь. 3. Игра отличается от «обычной» или «реальной» жизни как местоположением, так и продолжительностью. «Ее течение и смысл заключены в ней самой». 4. Игра устанавливает определенный порядок и таковым же является. Игра требует абсолютного и полного порядка. 5. Игра никоим образом не связана с материальным интересом и не может приносить никакой прибыли. И пусть вас не смущает пятый пункт – да, доллар можно вложить в дело и получить прибыль – но это уже другая игра, сам доллар – это условность, принимаемая вами и другими игроками, ничем не лучше березовых листьев, которыми расплачиваются дети, играя в магазин. Именно труд Хейзенги стал отправной точкой для новой экономики ХХ века – благодаря ему в 1949 году выдающийся математик Джон Нэш (возможно, вы смотрели посвященный ему фильм «Игры разума») написал диссертацию по теории игр, в которой одно только «равновесие Нэша» довольно сильно поменяло наши преставления о рыночной экономике и заслуженно принесло автору Нобелевскую премию. Вооружившись первым ответом, давайте разберем еще два всем знакомых события из мира платежных систем ХХ века – Великую депрессию и пузырь доткомов. Можете вы объяснить причину этих кризисов парой слов? Согласитесь, странно, что это невозможно. Но давайте попробуем проанализировать контекст этих событий. В начале ХХ века США были развивающейся страной, не имеющей своей развитой банковской системы. Так, Bank of America был основан только в 1904 году, и назывался он… Bank of Italia. Смотрите, что получается: деньги в Штатах уже были, а вот средств для их циркуляции еще не было. Масса крови огромная, а сердце – с детский кулачок, сосуды – с волосок. Во время Первой мировой войны американцы заработали колоссальные средства на военных заказах для Европы. Значительной частью этих средств были долговые обязательства Великобритании. При этом Америка была вынуждена пользоваться банковской системой Англии. Разбогатев, США решили выйти на международный финансовый рынок, в результате чего между Британией и Штатами разгорелась полномасштабная банковская война, закончившаяся для Америки плачевно. В 1928 году англичане «вышли из игры», отказавшись уплачивать военные долги, к ним присоединились и другие страны Европы. Не слишком много времени понадобилось, чтобы выяснить: вся мировая экономика – это игра на доверии. Как только доверие дало трещину, оказалось, что 10 млрд долларов из бюджета США попросту испарились. Результатом переосмысления Великой депрессии (1929–1939) и стала книга Хейзенги (1938). Но это факты далекие, исторические. Теперь давайте посмотрим на событие совсем недавнего прошлого – лопнувший пузырь доткомов. Ясно, что речь снова идет о кризисе доверия и отказа от игры. Но в каком контексте этот кризис произошел? Как видно из хронологии – пузырь доткомов раздувался с 1993 по 2001 год. Это довольно странно, потому что WWW только-только изобрели ученые-ядерщики из CERN, в 1994 году и до нормальной индустрии всемирной паутине было развиваться еще минимум десять лет. Во всяком случае, радио потребовалось 75 лет, чтобы набрать 50 млн пользователей, телевидению – 15. Интернет же прошел (а вернее будет сказать: «перепрыгнул») этот рубеж меньше чем за три года. Все это можно было бы объяснить сложными экономическими теориями. Если бы не один человек по имени Альберт Гор. Он являлся вице-президентом США с 1993 по 2001 год и его заслуга в создании интернета в том виде, в каком мы его знаем – огромна. Еще будучи сенатором, Гор протолкнул законодательную инициативу, которая получила название High Performance Computing Act 1991. В рамках этой инициативы он выбил – из в то время уже изрядно напряженного бюджета – 3 млрд долларов для «ускорения поиска наиболее эффективных путей преобразования Интернета в коммерчески привлекательный инструмент бизнеса». В течение всего срока пребывания Гора на посту вице-президента в интернет вливались миллиарды и миллиарды инвестиций (эксперты в среднем называют цифру около 100 млрд долларов), что и обеспечило раздувание «пузыря доткомов» – Амазон, eBay, Yahoo – все эти фирмы получали колоссальную прибыль не с продаж, а из госбюджета – просто за то, что заняты «интернет-бизнесом». Хорошим примером такой «рыночной стоимости» стал браузер Netscape купленный в 1998 году AOL за 4 млрд долларов. Естественно, как только стало понятно, что Гор проиграет президентскую гонку и уйдет из высших эшелонов власти, все финансирование свернули – практически в один день оказалось, что индустрия стоимостью 1,7 трлн долларов не стоит вообще ничего, а флагман индустрии Netscape – это копеечная программа, написанная парой студентов на коленке, которой никто и не пользовался. Пузырь доткомов лопнул с таким треском, что вызвал масштабную рецессию в США, рост ВВП упал с 8 % до 0 %. Но интернет был создан с нуля до миллиардной индустрии всего за 3 года, а экономика теперь была проблемой администрации Буша. То есть Гор сознательно использовал опыт Великой депрессии для своего рода «гравитационного маневра», который дал США технологическую фору в 10 лет перед всем остальным миром. Как видите, в основе платежных систем лежит доверие. А теперь предлагаю наконец рассмотреть, как же они устроены. Введение Данная книга задумывалась как учебное пособие для людей, профессионально работающих в отрасли интернет-эквайринга, специалистов, отвечающих за прием платежей в интернет-магазинах, а также для тех, кто интересуется темой электронных платежей. Я не ставил своей целью извлечение прибыли от продажи книги, а просто попытался обобщить весь свой многолетний опыт. Кроме того, я постарался показать слабые места и позднее развитие карточных платежных систем в России, несовершенство отечественного законодательства и провел сравнение выполнения правил платежных систем в нашей стране и за рубежом. Надеюсь, что мой труд поможет обогатить знания моих читателей в этой сфере. Итак, каждая часть данной книги логически разбита на несколько глав. Структура книги: • История • Участники расчетов • Законодательство • Правила платежных систем • Техническое взаимодействие • Риски • Стоимость проведения интернет-платежей К каждой главе прилагаются вопросы для самоконтроля. В части первой я расскажу о развитии платежной отрасли в целом, приведу сравнение с США, где зародился карточный бизнес. В части второй разберем основы финансовых систем, понятия «банк», «банковский счет» и «межбанковские переводы». В части третьей детально коснемся платежных систем Visa и Mastercard. Четвертую часть мы посвятим категории high-risk. Я сохранил в тексте многие термины платежной отрасли на языке оригинала, а там, где это возможно, где уже существуют устоявшиеся русские термины (или допустимо применять русскую транскрипцию термина), привел их на русском языке. Часть первая 1. История Изучение платежных систем хотелось бы начать с истории появления денежных переводов. Несмотря на то, что первые системы денежных переводов появились в мире много столетий назад, в России, согласно Большой советской энциклопедии, пересылка денег по почте была впервые введена только в 1781 году. В XIX веке эта почтовая услуга получила дальнейшее развитие. В августе 1869 года Рязанская земская управа открыла два земских почтовых пункта: один – в Рязани, другой – в селе Спас-Клепики Мещерского края. В этих пунктах принимали к пересылке денежные суммы до 300 рублей и документы (паспорта, доверенности и пр.). Система денежных переводов была организована следующим образом: из выделенной для переводных операций суммы в размере двух тысяч рублей одна тысяча была выдана земской управе в Рязани, вторая – мещерскому агенту управы в селе Спас-Клепики, земскому врачу Ф. П. Александровскому. При сдаче переводимой суммы агенту требовалось вырвать из учетной книги специальный талон (так называемую «переводную записку», предназначенную для пересылки по почте в адрес получателя перевода). Предъявив переводную записку, получателю выдавали обозначенную в ней сумму. В конце 1869 года, после повторного запрета со стороны Почтового департамента, пересылка денег была прекращена. Государственная российская почта начала вести операции по переводу денежных средств в 1896 году. История денежных переводов в их современной трактовке берет свое начало в США. Именно там 150 лет тому назад был изобретен телеграф, который впоследствии стал основой денежных переводов. Так, первый электронный денежный перевод в его современном понимании был совершен посредством телеграфа в США в октябре 1871 года. Эту дату можно по праву считать началом эры электронной коммерции. Интересно отметить, что деятельность платежных систем стала носить трансграничный характер лишь со второй половины XX века. А в Россию, если не принимать во внимание почтовые переводы, услуги по отправке денег пришли с Запада лишь в начале 90-х годов ХХ века. Отрасль платежных карт зародилась также в США и началась именно с кредитных карт. Первая потребительская кредитная карта была выпущена в 1914 году компанией Western Union Telegraph Company для своих лучших клиентов. Она представляла собой металлическую пластинку. Карта требовала погашения трат с промежутком 1 раз в месяц. В 1924 году сеть Калифорнийских заправочных станций выпустила первую в мире картонную кредитную карту. Это было серьезное и полезное изобретение. Растущая в те времена популярность автомобилей пробудила желание граждан активно путешествовать, а для этого требовалась возможность оплачивать бензин в любом месте по пути следования. В 1950 году в Нью-Йорке родилась карта Diners Club. Оригинальность идеи заключалась в следующем: вместо того, чтобы по итогам месяца погашать свои счета в разных ресторанах Нью-Йорка, держатель карты получал сводный общий счет за все посещенные им рестораны и расплачивался по нему. В то время в мире происходило зарождение отрасли кредитных карт и ее стремительное развитие. Многие банки испытывали свои пилотные проекты. Однако по-настоящему удачным считается запуск в 1958 году банком Bank of America карт BankAmericard, впоследствии переросших во всемирно известную систему Visa. В нашей стране история платежных карт ведет свой отсчет из эпохи СССР, с 1969 года. На этом этапе в советских реалиях эта отрасль свелась к обслуживанию иностранных карт в нескольких магазинах и гостиницах. Первым финансовым институтом Visa в СССР стало АО «Интурист». В марте 1988 года в рамках «Интуриста» специально для работы с программой Visa была организована компания «Интуркредиткард». Первые пластиковые карты Visa были выданы членам советской олимпийской сборной, отправившимся на Олимпийские игры в Сеул в сентябре 1988 года. В 1989 году Сбербанк СССР стал первым участником Visa среди советских банков, а первые карты Visa были выпущены им в 1990 году. Следует отметить, что большинство пластиковых карт в России являются дебетовыми. В 1998 году в Россию пришла международная платежная система WebMoney, в 2002-м появились Яндекс. Деньги, а в 2007-м – компания Qiwi. Все эти платежные системы являются системами электронных денег, а Qiwi при этом твердо держит звание самой большой сети платежных терминалов в России. Под угрозой отключения от Международных Платежных Систем (МПС) 29 июля 2014 года Комиссия Центробанка приняла решение создать Национальную систему платежных карт (НСПК). Основная задача НСПК заключается в переносе центра обработки платежей (операционного и клирингового) в Россию с тем, чтобы платежи по Visa, MasterCard и другим МПС обрабатывались внутри страны. И уже с 1 апреля 2015 года платежи внутри России по всем пластиковым картам, включая Visa и MasterCard, проходят через НСПК. 15 декабря 2015 года Банком России и НСПК было объявлено о начале эмиссии платежных карт «Мир». Первыми банками-эмитентами стали Газпромбанк, МДМ Банк, Московский Индустриальный банк, РНКБ, Банк «РОССИЯ», Связь-Банк и СМП Банк. Первую кобейджинговую[1 - Кобейджинговая карта – совместная карта двух платежных систем.] карту «Мир»-Maestro, которой можно расплачиваться на территории России и за границей, выпустил в декабре 2015 года Газпромбанк. В конце 2000-х возникла децентрализованная система Битко?йн (англ. Bitcoin) – пиринговая сеть, использующая одноименную единицу для учета операций и одноименный протокол передачи данных. Для обеспечения функционирования и защиты системы используются криптографические методы. Вся информация о транзакциях между адресами системы доступна в открытом виде в интернете. 3 января 2009 года был сгенерирован первый блок и первые 50 биткойнов. Первая транзакция по переводу биткойнов произошла 12 января 2009 года, когда некто Сатоси Накамото (Satoshi Nakamoto) отправил американскому программисту Хэлу Финни (Hal Finney) 10 биткойнов. Первый обмен биткойнов на национальные деньги произошел в сентябре 2009 года – Марти Малми (Martti Malmi) отправил пользователю с псевдонимом NewLibertyStandard 5050 биткойнов, за которые получил на свой счет в PayPal 5,02 доллара. NewLibertyStandart предложил использовать для оценки биткойнов стоимость электроэнергии, затрачиваемой на генерацию. Первый обмен биткойнов на реальный товар произошел в мае 2010 года: американец Ласло Ханеч (Laszlo Hanyecz) за 10 000 биткойнов получил две пиццы с доставкой. Несмотря на то, что система Bitcoin, а также другие криптовалюты, базирующиеся на блокчейн-технологиях, в принципе могут использоваться для взаиморасчетов, существуют некоторые проблемы, по моему мнению, мешающие сейчас отнести их к полноценным платежным системам. Проблемы эти вполне реально решить – скорее всего, это и произойдет в ближайшее время, – после чего криптосистемы займут свое, и притом весьма значительное, место на рынке электронных платежей. Несмотря на то, что во всем мире возникало довольно много платежных систем (таких как PayPal, China UnionPay, JCB и пр.), но революционными, с точки зрения автора, несмотря на приведенную выше оговорку, все-таки являются Visa и Bitcoin. С одной стороны, эти системы принципиально разные, но все же их объединяет общая черта – децентрализация. Именно Visa создала такую структуру, которая предполагает, что ей владеют все банки-участники, а не некий конкретный банк, и решения принимаются совместно ее участниками. Создатель Visa Ди Хок (Dee Hock) назвал такую структуру хаордической (от англ. сhaordic organization – организация, сочетающая в себе элементы и хаоса, и порядка). Любопытно, что именно эта особенность обеспечила столь высокую популярность системы во всем мире. Этот же аспект, по мнению автора, ограничивает развитие таких систем, как Мир, на 100 % принадлежащей Банку России. Биткойн и последовавшие за ним криптовалюты, развивающие идеи блокчейн-технологии, также являются (в некоторых случаях с оговорками) децентрализованными. При этом, как правило, они оперируют расчетными единицами, не находящимися ни под чьим контролем (в отличие от традиционных платежных систем, работающих с фиатными валютами, эмитируемыми тем или иным государством). В этом присутствуют как несомненные плюсы, так и кроются источники проблем. Эта книга посвящена платежным системам Visa и MasterCard. 2. Участники карточных платежных систем С началом эры банковских карт чековые книжки окончательно остались в прошлом. Развитие компьютерных технологий позволило превратить платеж практически в моментальный. Для организации расчетов банковскими картами необходимо существование определенной инфраструктуры, объединяющей всех ее участников. К такой инфраструктуре относится как техническое оснащение участников, так и стандарты и правила их взаимодействия. Универсальная карточная платежная система может состоять из следующих участников: • Эмитент – банк (кредитная организация), осуществляющий эмиссию карт. • Держатель банковской карты, т. е. физическое лицо, использующее банковскую карту на основании договора с эмитентом, или физическое лицо – уполномоченный представитель клиента эмитента (российское законодательство не выделяет держателя карты как участника расчетов). • Эквайер или эквайрер (англ. аcquirer) – банк (кредитная организация), осуществляющий эквайринг. Под эквайрингом понимается деятельность, включающая в себя осуществление расчетов с предприятиями торговли (услуг) по операциям, совершаемым с использованием банковских карт, и осуществление операций по выдаче наличных денежных средств держателям банковских карт, не являющимся клиентами данной кредитной организации. • Предприятие торговли (услуг), которое в соответствии с подписанным им соглашением с эквайером принимает банковские карты в качестве оплаты за предоставляемые товары (услуги). В качестве предприятия торговли (услуг) может выступать физическое лицо – индивидуальный предприниматель. Можно встретить определение подобного предприятия как «точки продаж» – POS (Point of Sale). Далее в тексте мы часто будем использовать русскую транскрипцию английского слова merchant – мерчант, в переводе – продавец, коммерсант. • Расчетный агент – кредитная организация, осуществляющая взаиморасчеты между участниками расчетов по операциям с использованием банковских карт. • Процессинговый центр, PSP (Payment Service Provider) или Процессинг – юридическое лицо или его структурное подразделение, обеспечивающее информационное и технологическое взаимодействие между участниками расчетов. Деятельность процессингового центра именуется процессингом и включает в себя сбор, обработку и рассылку участникам расчетов (расчетным агентам, эмитентам и эквайерам) информации по операциям с банковскими картами. В процессе развития сети Интернет образовалось достаточно большое количество PSP. До недавних пор к ним применялся и другой термин – IPSP (Internet Payment Service Provider). PSP обычно предоставляет торговым точкам возможность принимать карты нескольких платежных систем, а также электронные деньги и другие варианты оплаты. Обычно PSP подключен сразу к нескольким банкам-эквайерам. PSP упрощает процесс регистрации для клиентов, принимая на себя значительную часть бумажной и технической работы, осуществляя техническую интеграцию с банками и предоставляя клиентам единый интерфейс для подключения. 3. Законодательство В США изначально кредитные (подчеркиваем, именно кредитные) карты распространяли посредством обычной почты – другими словами, рассылали в конвертах в почтовые ящики адресатов. В погоне за распространением как можно большего количества карт банки отправляли их по адресам из телефонных книг, и иногда дело доходило до абсурда – кредитную карту мог получить малолетний ребенок или даже домашний питомец. Порой карты похищались из почтовых ящиков, причем зачастую этим занимались сами сотрудники почты. В результате банки несли серьезные убытки. Так продолжалось до 1970 года, до тех пор, пока Конгресс США не издал закон, запрещающий рассылать по почте карты без предварительного разрешения держателя. Статистика отмечает, что в этот период большинство случаев мошенничества сводились к кражам карт из кошельков и карманов. В 1970 году был издан закон «Title 15 U. S. Code § 1644 – Fraudulent use of credit cards» («О мошенническом использовании кредитных карт»), регулировавший предъявление обвинений в использовании поддельных, переделанных, утерянных, украденных или полученных обманным путем кредитных карт. Однако и эта мера не уменьшила числа мошеннических операций с картами. Наконец, в 1974 году Конгресс принял «Fair Credit Billing Act» (закон «О добросовестном предоставлении кредитной информации», или «О точной отчетности по кредитам»), который впервые узаконил следующие нюансы: • 60-дневный срок, в течение которого держатель карты может оспорить ошибку в своей платежной выписке. • Если держатель карты обнаруживает ошибку, то должен в письменной форме отправить своему эмитенту запрос на опротестование. • Держатель карты не несет ответственности при использовании потерянной, украденной карты или при использовании карты без разрешения владельца. При этом достаточно просто позвонить в банк и проинформировать об инциденте. Несмотря на то, что закон установил минимальный размер транзакции в 50$ при использовании карты (Face-to-Face, то есть личное присутствие ее держателя), Visa и MasterCard это ограничение не используют. А при использовании карты мошенником в онлайне или по телефону держатель карты полностью освобождается от ответственности. «Fair Credit Billing Act» считается прародителем chargeback’а[2 - Chargeback («возвращенный платеж») – процедура опротестования транзакции банком-эмитентом (в целях защиты прав плательщика), при которой сумма платежа безакцептно списывается с получателя (банка-эквайера) и возвращается плательщику, после чего обязанность доказательства истинности транзакции возлагается на получателя платежа.]. Впоследствии закон трансформировался в правила МПС, а правила обросли многочисленными поправками. Сам же законодатель поступил достаточно мудро, постановив: если банки создали МПС и зарабатывают на каждой транзакции и на кредитовании, то и за несовершенства в их системе должны отвечать сами. На сайте американской Visa вы можете встретить Visa Zero Liability (принцип «нулевой ответственности»), который гласит: «Вы не несете ответственность за неавторизованное использование Вашей карты. Вы защищены, если Ваша карта потеряна, украдена или используется мошенниками». В России массовая эмиссия банковских карт началась в 1990-х годах. Забот у банков было предостаточно и без пластиковых карт: кредитные организации занимались торговлей ценными бумагами, затем грянул банковский кризис. Продвижением карт как «безопасного способа оплаты» по этим причинам никто всерьез не занимался. 27 июня 2011 г. вступил в силу закон № 161-ФЗ «О национальной платежной системе», который в 11 пункте статьи 9 «Порядок использования электронных средств платежа» дал клиенту один день на уведомление банка-эмитента о мошеннической операции. В своей книге «One from Many: VISA and the Rise of Chaordic Organization» (в рус. переводе – «Философия твоей кредитки. История Visa») ее автор Ди Хок сожалеет, что так и не смог приравнять держателей карт к участникам организации Visa и поставить наравне с банками. 4. Правила платежных систем Проведем краткое сравнение выполнения правил платежных систем в России и за рубежом. Patriotic Act («Патриотический акт») США (а точнее, его составляющая International Money Laundering Abatement and Financial Anti-Terrorism Act, «О борьбе с отмыванием денежных средств и финансированием терроризма») существенно изменил мировую финансовую систему, что наложило свой отпечаток на правила платежных систем Visa и MasterCard. В частности, банк-эквайер должен идентифицировать каждую торговую точку и ее бенефициарных владельцев (процедура носит название KYC – Know Your Customer, «знай своего клиента»). MasterCard вводит понятие «отмывание транзакций» (Transaction Laundering): те ситуации, в которых одна торговая точка принимает денежные средства в пользу другой. Так, за одним, с виду вполне легальным, сайтом могут быть спрятаны десятки других, торгующих, к примеру, контрафактными лекарственными препаратами. Обе платежные системы запрещают такое агрегирование в чистом виде и вводят понятие Payment Faciliator (дословно с англ. «упрощение, облегчение платежей») для упрощения работы с небольшими и средними магазинами. Именно Payment Faciliator, по правилам, имеет возможность принимать платежи от имени своих торговых точек. При этом он берет на себя большую часть работы по идентификации и расчетам со своими клиентами, а также несет все риски за них. Обе платежные системы также пользуются правилом «расположения торговой точки» (Merchant Location), согласно которому эквайер (так же, как и Payment Faciliator) может заключать соглашение на прием денежных средств с компаниями в юрисдикциях, в которых они имеют лицензию (обычно – в стране, где располагается эквайер). В России все банки-эквайеры имеют лицензию на подключение торговых точек только из России. В Евросоюзе зачастую один и тот же эквайер может обсуживать торговые точки из других стран-участниц ЕС. 5. Техническое взаимодействие и транзакционная безопасность 5.1. История появления стандарта PCI DSS С 1988 по 1998 год Visa и MasterCard отчитались о потерях в 750 млн долларов из-за мошеннических операций с картами – эта сумма оказалась мизерной по сравнению с сотнями миллиардов долларов, обрабатываемых компаниями ежегодно. Но все кардинально поменялось с началом эры интернета. Чем больше магазинов подключали свои интернет-сайты к системам приема платежей, тем легче становилось мошенникам получать платежные данные с плохо защищенных систем, манипулируя картами быстрее и проще прежнего. В октябре 1999 года Visa запустила Cardholder Information Security Program (CISP), систему информационной безопасности для держателей карт. Visa стала первой компанией, разработавшей единый стандарт для торговых точек, принимающих онлайн-транзакции. CISP – первый из числа родоначальников стандарта PCI DSS. Наступил 2000-й год. По данным CyberSource, потери на онлайн-продажах от карточного мошенничества достигли 1,5 млрд долларов (иными словами, всего за одно десятилетие они утроились). В 2001 году, по данным Visa, уровень мошенничества в онлайне был в 4 раза выше, чем по обычным транзакциям. Май 2001 года ознаменовался новым событием: Visa и другие карточные бренды приступили к борьбе за исполнение политики безопасности. Выяснилось, что всего лишь несколько компаний в состоянии соответствовать Visa CISP, принятому 1 мая 2001 года. Схожие с этой программой стандарты безопасности оказались менее успешными, в основном из-за отсутствия единого, унифицированного стандарта среди карточных брендов. В июле 2004 года атаки на веб-инфраструктуру стали угрожающими. В частности, значительным образом распространились атаки против IIS[3 - ISS (Internet Information Services) – проприетарный набор серверов для нескольких служб Интернета от компании Microsoft. IIS распространяется с операционными системами семейства Windows NT.] и другого уязвимого программного обеспечения. Злоумышленники находили уязвимые компьютеры и внедряли на них вредоносное программное обеспечение (кейлоггеры[4 - Кейло?ггер (англ. keylogger, правильно читается «ки-ло?ггер» – от key – клавиша и logger – регистрирующее устройство) – программное обеспечение или аппаратное устройство, регистрирующее различные действия пользователя – нажатия клавиш на клавиатуре компьютера, движения и нажатия клавиш мыши и пр.] и трояны), используя его для кражи платежных данных. В результате 15 декабря 2004 года появился Payment Card Industry Data Security Standard (PCI DSS), стандарт безопасности данных в индустрии платежных карт. Этот день в истории информационной безопасности считается знаменательным – был принят первый унифицированный стандарт безопасности, поддерживаемый пятью крупнейшими карточными брендами. Соответствие стандарту стало обязательным для торговых точек и других организаций, участвующих в цикле обработки платежей. В июне 2005 года было решено, что отныне все торговые точки, обрабатывающие более 20 тысяч транзакций по картам в год, должны соответствовать стандарту PCI DSS. Но несмотря на то, что неуклонно растущее число торговых точек выделяло все больше IT-ресурсов на приведение в соответствие стандарту, многие из них не успевали сделать это в срок. 6 сентября 2006 года был выпущен стандарт PCI DSS1.1. Самым значительным добавлением к первой редакции стандарта стало требование 6.6, гласившее, что весь исходный код приложений надлежит профессионально исследовать на наличие уязвимостей (причем делать это следует с привлечением независимых специалистов). Кроме того, файруолл для веб-приложений должен быть установлен перед самим веб-приложением. Другими словами, перед тем, как пакет данных поступит в приложение, он должен пройти через файруолл, где будет исследован и, в случае опасности, отклонен. В этот же период пять основных мировых карточных брендов, Visa, MasterCard, American Express, JCB и Discover, объявили о создании независимой группы – совета по стандартам безопасности PCI, PCI Security Standards Council (PCI SCC), которой предстояло развивать стандарт безопасности в дальнейшем. В 2008 году появился новый стандарт безопасности данных платежных приложений – Payment Application Data Security Standard PA-DSS. Совет PCI SSC анонсировал PA-DSS. Базируясь на лучших практиках Visa, новая дочка PCI DSS была создана в помощь разработчикам программного обеспечения для создания защищенных платежных приложений, которые не сохраняют критичные данные (данные с магнитной полосы, CVV2 и PIN-код). 1 октября 2008 года был выпущен PCI DSS версии 1.2. Основные его нововведения включили в себя обновленные требования для защиты беспроводных сетей Wi-Fi 802.1x и установку антивирусов для всех операционных систем. Стандарт PCI DSS2.0 увидел свет двумя годами позже, в октябре 2010 года. Версия 3.0 появилась в ноябре 2013 года. Соответствие стандарту на рекордном уровне было зафиксировано в августе 2012 года. Visa сообщила, что соответствие стандарту PCI DSS среди мерчантов первого уровня (Level 1)[5 - Мерчантами первого уровня (Level 1 по классификации Visa и MasterCard) называются торгово-сервисные предприятия, обрабатывающие, хранящие или передающие данные о 6 млн и более транзакций в год, либо поставщики услуг (процессинговые центры, платежные шлюзы etc), обрабатывающие, хранящие или передающие данные о 300 тыс. и более транзакций в год.] достигло 97 % – рекордно высокого уровня. Это означало, что крупнейшие мерчанты сделали огромные успехи для увеличения безопасности использования платежных карт. 5.2. Техническое взаимодействие Для подключения интернет-магазина к платежному шлюзу PSP или банка-эквайера существует два вида взаимодействия: 1. Прием и вся обработка платежных данных происходят на стороне платежного шлюза. Ключевой момент заключается в том, что карточные данные не проходят через серверы торговых точек, а идут напрямую в платежный шлюз. Таким образом, техническим специалистам торговой точки для интеграции платежной страницы процессинга в интернет-магазин необходимо выполнить лишь минимальный набор действий, не требующих сколь-нибудь высокой квалификации. Вся ответственность за безопасность обработки и хранения карточных данных, а также за их целостность при проведении платежа в этом случае целиком ложится на платежный шлюз. 2. Торговая точка принимает карточные данные через собственную платежную страницу, самостоятельно их обрабатывает (и, скорее всего, в какой-то форме хранит) и отсылает необходимые для проведения транзакции данные в платежный шлюз через предоставленный процессингом API (Application Programming Interface). В таком варианте уровень подготовки технических специалистов торговой точки должен быть существенно выше, нежели в первом варианте. Торговая точка при этом несет больше рисков и, как правило, должна соответствовать требованиям стандарта PCI DSS. Более подробно мы рассмотрим этот вопрос в соответствующей главе. Большинство интернет-магазинов выбирает первый вариант, оставляя «головную боль» с карточными данными на стороне платежных шлюзов, которые ежегодно проходят аудит PCI DSS. Выбор второго варианта, более сложного, затратного и связанного с большим риском, может быть оправдан для крупных компаний. Им необходимо проводить значительную постплатежную обработку принятых данных: статистические исследования, анализ данных в целях принятия бизнес-решений и т. д. Для этого необходимо иметь такие данные в собственном распоряжении (в противном случае для каждой выборки компания будет вынуждена обращаться к процессингу), что и требует прохождения их через серверы торговой точки. 6. Риски 6.1. Риски в платежных системах Visa/MasterCard Какие риски возникают у пользователей и участников платежных систем Visa и MasterCard? Логично разделить риски на три подгруппы: риски держателей карт, риски банков-эквайеров и риски торговых точек. Я специально вынес в отдельную группу держателей карт, поскольку о них часто забывают, и, как мы уже увидели, в том числе это свойственно российским законодателям. 6.1.1. Риски держателей карт У держателей карт основной риск сводится к тому, что их денежные средства могут достаться злоумышленникам. Для этого достаточно перехватить данные карточки, поскольку при операциях во многих интернет-магазинах банк-эмитент принимает решение о возможности списать средства со счета клиента без участия последнего. Вероятно, сейчас читатель подумал: «Но ведь существует механизм 3-D Secure, когда плательщик подтверждает свои операции посредством одноразового пароля, полученного от банка через SMS!» Однако система 3-D Secure была разработана в первую очередь для защиты банков-эквайеров от Friendly Fraud (англ. дословно – «дружественное мошенничество»), хотя достаточно часто она преподносится держателю карты как выгодная и предусмотренная для плательщика. Коснемся этого вопроса чуть ниже. 6.1.2. Риски банка-эквайера Банк-эквайер несет всю ответственность за свои торговые точки в платежных системах. И если МПС штрафует за, к примеру, продажи запрещенного товара, то штраф списывается с банка-эквайера, а не с интернет-магазина. Разумеется, банк приложит все усилия, чтобы переложить штраф непосредственно на торговую точку, если к этому моменту та еще будет существовать и на ее счетах будут средства. К примеру, в России принято переводить возмещение торговой точке на второй день. Но при этом платежная система рассчитывается с участниками только на третий день. Ведь, по сути, банки-эквайеры кредитуют свои торговые точки. За chargeback’и в первую очередь платит банк-эквайер. Это происходит в случаях, если услуга не была оказана или транзакция прошла без подтверждения ввода держателем карты пароля (3-D Secure). Как уже упоминалось выше, технология 3-D Secure была разработана для защиты банков-эквайеров (и торговых точек) от Friendly Fraud – для ситуаций, когда держатель карты сам опротестовывал свою же транзакцию. Поскольку законодатель переложил ответственность за мошенничество на банк, выпустивший карту, а платежные системы в конечном счете переадресовали ее банкам-эквайерам, проблема Friendly Fraud’а встала достаточно остро. Возможно возникновение следующей ситуации: магазин продал товар покупателю, покупатель расплатился картой, а на следующий день банк-эмитент обанкротился. Такие риски в платежных системах компенсируются созданием страхового фонда, куда каждый участник вносит определенные суммы. Следует пояснить, что часть правил, касающаяся депозитов для участников Visa и MasterCard, закрыта для общего доступа. Тем не менее, она прекрасно скопирована системой МИР. 6.1.3. Риски торговой точки У торговой точки возникает риск неполучения возмещения. Этот риск компенсируется страховыми фондами в самой платежной системе, а дальнейшая судьба зависит непосредственно от «совести» банка или Payment Facilitator, с которым торговая точка подписала договор. При этом величина рисков прямо пропорциональна числу посредников в цепи прохождения денег. Больше посредников – выше риски. Здесь следует отметить, что PSP в данном контексте обычно не является посредником, поскольку непосредственно в процедуре движения финансовых средств в процессе платежа от покупателя к продавцу, как правило, не участвует, а лишь является информационным шлюзом, обеспечивающим прохождение данных о движении средств между плательщиком, эквайером и торговой точкой. Проще говоря, не существует момента, когда средства, движущиеся от покупателя к продавцу, хотя бы на мгновение оказываются на расчетных счетах PSP. Задача PSP в общем случае заключается в том, чтобы сообщить эквайеру карточные данные покупателя, получить от него подтверждение об успешном списании средств, после чего сообщить торговой точке, что платеж произведен и можно отгружать покупателю товар или оказывать услугу, а покупателю сообщить, что платеж произведен и он может ожидать от торговой точки получения товара или оказания услуги. Одним из рисков торговой точки является и то, что, как правило, банк-эквайер переадресовывает ей штрафы МПС за нарушение правил платежных систем и за превышение количества chargeback’ов. 7. Стоимость проведения интернет-платежей Стоимость проведения операций определяет непосредственно платежная система. Эта стоимость может складываться из различных факторов. В начале развития карточной отрасли Visa и MasterCard избрали стратегию, при которой на картах мог заработать как сам эмитент (за то, что выпустил карту), так и банк, проводивший платеж. Стратегия оправдала себя на 100 %. Отчисления эмитенту с каждой транзакции способствовали увеличению объема выпуска карт (эмиссии), а отчисления эквайеру – развитию отрасли приема платежей (эквайринга). Конец ознакомительного фрагмента. Текст предоставлен ООО «ЛитРес». Прочитайте эту книгу целиком, купив полную легальную версию (https://www.litres.ru/dmitriy-artimovich-17903743/elektronnye-platezhi-v-internete/?lfrom=688855901) на ЛитРес. Безопасно оплатить книгу можно банковской картой Visa, MasterCard, Maestro, со счета мобильного телефона, с платежного терминала, в салоне МТС или Связной, через PayPal, WebMoney, Яндекс.Деньги, QIWI Кошелек, бонусными картами или другим удобным Вам способом. notes Примечания 1 Кобейджинговая карта – совместная карта двух платежных систем. 2 Chargeback («возвращенный платеж») – процедура опротестования транзакции банком-эмитентом (в целях защиты прав плательщика), при которой сумма платежа безакцептно списывается с получателя (банка-эквайера) и возвращается плательщику, после чего обязанность доказательства истинности транзакции возлагается на получателя платежа. 3 ISS (Internet Information Services) – проприетарный набор серверов для нескольких служб Интернета от компании Microsoft. IIS распространяется с операционными системами семейства Windows NT. 4 Кейло?ггер (англ. keylogger, правильно читается «ки-ло?ггер» – от key – клавиша и logger – регистрирующее устройство) – программное обеспечение или аппаратное устройство, регистрирующее различные действия пользователя – нажатия клавиш на клавиатуре компьютера, движения и нажатия клавиш мыши и пр. 5 Мерчантами первого уровня (Level 1 по классификации Visa и MasterCard) называются торгово-сервисные предприятия, обрабатывающие, хранящие или передающие данные о 6 млн и более транзакций в год, либо поставщики услуг (процессинговые центры, платежные шлюзы etc), обрабатывающие, хранящие или передающие данные о 300 тыс. и более транзакций в год.