single message system что это
DMS и SMS транзакции: что подходит именно вам?
Сегодня, когда речь заходит о разных видах и алгоритмах оплаты, специалисты сразу говорят о двух основных – это SMS (Single message system, в переводе – «единичная система сообщения») и DMS (Dual message system — «двойная система сообщений»).
Если очень коротко, то в первом случае – SMS-транзакции – обслуживающий банк и банк-эмитент направляют друг другу в момент проведения финансовой операции авторизационные сообщения. На основании этих сообщений и осуществляется операция. SMS-транзакции – это наиболее часто встречающийся метод оплаты в магазинах, когда покупатель выбирает товар и сразу покупает его. В случае SMS-транзакции сумма за покупку списывается со счета клиента моментально.
В процессе DMS-транзакций деньги не списываются со счета клиента моментально, но резервируются на его карте. К примеру, такой вид оплаты особенно часто используется системами интернет-магазинов и в гостиничном бизнесе. Покупатель делает своего рода запрос на товар, и деньги клиента просто бронируются «на данную покупку». А вот когда магазин узнает, что этот товар имеется в наличии, скажем, на складе, и его можно отправить клиенту, только тогда деньги с карточки снимаются. В свою очередь, если заявленного товара нет, скажем, на складе, то резервация суммы на карточке клиента отменяется, и деньги остаются на счету несостоявшегося покупателя.
Как получать деньги – выбираем сами
Заметим, что тот или иной алгоритм более предпочтителен одними системами и менее – другими. Например, если говорить о системе VISA – банка клиента, который намерен что-либо купить в магазине, то она «предпочитает» алгоритм SMS, а, например, для Mastercard почти все операции проходят как DMS. Хотя здесь все достаточно условно и упомянутые платежные системы могут использовать оба алгоритма – по запросу клиента.
К примеру, одному владельцу интернет-магазина удобнее алгоритм SMS, и предприниматель договаривается с банком, что любые операция предпочтительнее в таком виде – что с владельцами VISA, что Mastercard. А другому бизнесмену, например, хозяину стоматологической клиники или гостиницы, кажется удобнее алгоритм DMS. Иными словами, все зависит от потребностей торговца, а не VISA или Mastercard определяют: какой ему «нужен алгоритм».
Человеческий фактор на просторах виртуального бизнеса
Между прочим, нередко алгоритм DMS считают головной болью для продавцов, поскольку то и дело приходится иметь дело с возвратным платежом – чарджбеком. Такой пример. Клиент заходит в интернет-магазин, выбирает желаемое, оформляет заказ – и покупает. А потом вдруг оказывается, что товара нет на складе – и покупка невозможна. Клиент уверен, что оплатил товар, заходит в интернет-банк и видит: деньги списаны за покупку, которой – нет.
В DMS-транзакциях бывает так, что сумму клиента «захолдировали» – задержали, но еще не списали с его счета окончательно. Но клиент-то видит, что ее нет на счету. При этом – нет и желаемого товара. Покупатель, не разобравшись, думает, что деньги уже списаны, либо они вот прямо сейчас «уйдут», и оформляет чарджбек. Да, покупатель мог бы связаться с торговцем и сказать, чтобы сумму «освободили», поскольку нет товара, но не сделал этого. Грубо говоря, финансовая операция еще как бы и не завершилась, а клиент уже забил панику. Такой вот человеческий фактор в сфере торговли.
Продавцу эта процедура тоже, мягко говоря, неприятна, ведь велик шанс получить плохой фидбек – отклик клиента на его интернет-сайте. А для тех же интернет-магазинов, как и для гостиниц, с которыми тоже обычно рассчитываются по алгоритму DMS, репутационный риск ни к чему, ведь из фидбеков постепенно формируется рейтинг. Много плохих отзывов – низкие рейтинги, что для гостиниц, что для магазинов, в итоге – меньше клиентов и, логично, прибыли.
В то же время один из главных плюсов алгоритма SMS для компаний – это возможность планировать бюджет. SMS-транзакциями проще, поскольку деньги не зависают до всех подтверждений о выполнении того или иного платежа. И стоит ли говорить, что для компании, которой постоянно нужны оборотные средства – для тех же ежедневных закупок товара – простой способ транзакций очень важен.
При всем при этом в мире до сих пор ведутся споры – что лучше и что надежнее: алгоритмы SMS или DMS. И единого мнения до сих пор нет. Словом, выбор, основанный на личном опыте, остается за вами.
Платежные карты: Бизнес-энциклопедия
Главная > Книга >Экономическая теория
Процесс оплаты услуги в общем случае состоит из двух частей. Первая часть — авторизация транзакции (рис. 1).
Кассир торгового предприятия в первую очередь визуально осматривает предъявляемую для оплаты карту, проверяя наличие на ней чипа и обязательных атрибутов карты (логотипа и голограммы системы, секретных символов, микропечати и т. п.). Далее с пластиковой карты считывается необходимая для авторизации операции информация (с помощью ридера POS-терминала или визуально, если речь идет о голосовой авторизации), а также, возможно, у клиента запрашивается дополнительная аутентифицирующая его информация (персональный идентификационный номер клиента в банке (подпись) клиента, имя клиента, другая верифицирующая его информация). К полученной информации кассир добавляет информацию о покупке — размер и валюта операции, иногда ее тип.
На основе собранной информации торговое предприятие принимает решение о технологии выполнения операции (по магнитной полосе или чипу), а также о режиме авторизации транзакции — онлайновом или оффлайновом. При оффлайновом режиме решение о разрешении или отклонении операции принимается только терминалом в случае карты с магнитной полосой или терминалом и картой (эмитент определяет в приложении карты свои правила принятия решения) в случае микропроцессорной карты. В онлайновом режиме такое решение принимается эмитентом карты.
Торговое предприятие также проверяет наличие карты в стоп-листе, загружаемом на терминал, способный работать в оффлайновом режиме, обслуживающим банком. Иногда для повышения скорости проверки эта функция выполняется торговым предприятием вместе с обслуживающим банком в распределенном режиме.
В случае онлайновой авторизации полученная от клиента и считанная с карты информация, а также информация о покупке и торговом предприятии (идентификаторы торгового предприятия и устройства приема карты, способ ввода информации карты в платежную сеть, описание возможностей терминала по обработке транзакции) передаются торговым предприятием своему обслуживающему банку в форме авторизационного запроса. С помощью авторизационного запроса торговое предприятие спрашивает у обслуживающего банка, может ли оно предоставить данному клиенту запрашиваемую им услугу. Обслуживающий банк должен проверить полученные в запросе данные:
• существование торгового предприятия с указанными в запросе реквизитами и его авторизацию на выполнение запрашиваемой операции;
• целостность полученных от терминала данных;
• наличие карты в стоп-листах платежной системы;
• ограничения на обработку операции (например, карта предназначена только для выполнения внутристрановых покупок, карта должна использоваться с обязательной проверкой ПИН-кода ее держателя, операция должна быть обслужена в режиме реального времени и т. п.), установленные эмитентом карты; ограничения записываются эмитентом во время персонализации карты на магнитной полосе в элементе данных «Код обслуживания» и в приложении чипа карты (элементы данных Application usage control, CVM List и т. п.), если карта микропроцессорная.
В случае оффлайновой авторизации два последних пункта должны проверяться средствами электронного терминала.
В случае онлайновой авторизации обслуживающий банк обращается за разрешением на оказание услуги по пластиковой карте к банку-эмитенту А. При этом банки А и В обмениваются сообщениями в соответствии с правилами, установленными платежной системой. Поэтому синтаксис и семантика сообщений понятны обоим банкам.
Эмитент А, получив запрос от обслуживающего банка В, проверяет достоверность информации о карте и ее держателе: правильность реквизитов карты и идентификатора держателя карты, статус карты в системе эмитента (активная или заблокированная), ограничения на использование карты, ПИН-код, если он представлен, величины CVC/CVV, криптограмму ARQC для аутентификации микропроцессорной карты и т. п… После этого банк А определяет достаточность средств на счете клиента для оплаты запрашиваемой им услуги. Если все проверки завершились успешно, банк А отвечает на запрос банка В разрешением на совершение покупки, предварительно списав со счета клиента (или только «заморозив» на счете) размер покупки возможно вместе с некоторыми, установленными им комиссиями (в случае операции покупки снятие комиссии со счета держателя карты, обычно, запрещено правилами платежных систем).
Поскольку разрешение банка А по правилам любой платежной системы является гарантией возмещения средств банку B от банка A, обслуживающий банк в свою очередь разрешает операцию покупки своему торговому предприятию, тем самым гарантируя последнему возмещение средств за выполненную с использованием карточки операцию. В большинстве случаев, если обслуживающий банк представил эмитенту достоверную и достаточную (по правилам системы) для авторизации информацию, ответственность за транзакцию в случае возникновения спора (диспута) ложится на эмитента. В частности, если транзакция оказалась выполненной по поддельной карте или украденной (потерянной) карте, ответственность за мошенничество возлагается на эмитента карты.
Вторая часть безналичной оплаты товаров/услуг заключается в расчетах между всеми участниками транзакции. Как уже отмечалось, торговое предприятие получает возмещение за операцию покупки от своего обслуживающего банка. Обслуживающий банк, в свою очередь получает возмещение с банка-эмитента. Гарантом расчетов между банками выступает платежная система, и в этом состоит ее важнейшая функция. Расчеты, как правило, производятся безакцептно (т. е. без получения специального разрешения их участников) через специальные счета, открываемые банками в расчетных банках платежной системы.
Наконец, банк-эмитент списывает средства по операции со счета своего клиента. Таким образом, при участии и гарантии платежной системы реализуется передача средств со счета клиента на счет торгового предприятия.
Основанием для расчетов между участниками транзакции могут быть авторизационные сообщения, которыми обменялись в процессе совершения транзакции обслуживающий банк и банк-эмитент. В этом случае по окончании бизнес-дня платежная система на основании имеющейся у нее информации осуществляет расчеты за прошедший бизнес-день между всеми своими банками-участниками. Системы, в которых расчеты производятся на основании авторизационного трафика, называются Single message system (SMS).
Иногда правила платежной системы таковы, что для инициализации расчетов между участниками транзакции обслуживающий банк должен отправить в платежную систему специальное финансовое сообщение, которое далее передается банку эмитенту. Только на основании этого сообщения платежная система осуществит расчеты между своими банками-участниками по выполненной операции. Специальное сообщение называется презентментом (presentment), а системы, производящие расчеты на основе презентментов — Dual message system (DMS).
Сегодня международные платежные системы поддерживают оба типа систем расчетов — SMS и DMS, отдавая предпочтение в расчетах по безналичным покупкам системам DMS.
В платежной системе время от времени по различным причинам, связанным с техническими проблемами при выполнении отдельных транзакций (например, дублирование обслуживающим банком авторизационного запроса) или совершением мошенничеств, могут возникать споры (диспуты) между банком-эмитентом и обслуживающим банком. Например, держатель карты может утверждать, что никогда не совершал транзакции, за которую с его счета были списаны деньги, или совершал транзакцию, но на другую сумму. Жизнь многогранна, и подобных «или» может быть много. Для разрешения возникающих споров платежные системы разрабатывают правила, предусматривающие использование специальных сообщений, которыми в случае возникновения диспутов обмениваются банки — участники системы.
В частности, если банк-эмитент в результате проведенного расследования, инициированного держателем карты, приходит к выводу о том, что некоторая транзакция, выполненная по карте этого клиента, является по установленным им причинам некорректной, эмитент направляет обслуживающему банку специальное сообщение, называемое chargeback (отказ от платежа), с указанием причины отказа от платежа. На основании этого сообщения платежная сеть переводит денежные средства, связанные с операцией, по которой произошел отказ, с корреспондентского счета обслуживающего банка на счет банка-эмитента. Возвращенные деньги эмитент далее переводит на счет клиента.
Обычно в соответствии с правилами платежной системы, если обслуживающий банк не согласен с мнением эмитента, он может направить ему повторный презентмент. В этом случае эмитент понимает, что его следующий повторный отказ от платежа будет означать начало арбитражного процесса между банками — участниками транзакции. Арбитром по возникшему диспуту, как правило, является администратор платежной системы. Банк может пытаться опротестовать и решение администратора системы, обратившись для этого в суд.
Проблема безопасности карточных операций
Что такое карточное мошенничество
Под карточным мошенничеством понимаются преднамеренные обманные действия некоторой стороны, основанные на применении технологии пластиковых карт и направленные на несанкционированное овладение финансовыми средствами, размещенными на «карточных» счетах клиентов банков-эмитентов пластиковых карт, или средствами, причитающимися торговому предприятию за операции по карточкам. Специалисты карточное мошенничество часто называют фродом (от англ. fraud — мошенничество, обман).
Мошенничества условно принято делить на две группы:
1) мошенничества со стороны эмиссии карт;
2) мошенничества со стороны обслуживания карт.
К первой группе относятся мошенничества, связанные с несанкционированным использованием карт эмитента (украденная карта, поддельная карта, кража идентификаторов держателя карты и т. п.), ко второй — мошенничества, инициатором которых стало торговое предприятие (поддельные (искаженные) слипы, повторный ввод операций и т. п.).
В качестве показателя уровня мошенничества рассматривается отношение объема понесенных финансовых потерь к общему объему продаж, выполненных по платежным картам (F/S или Fraud/Sales). Таким образом, уровень мошенничества оценивается только по операциям в торговых предприятиях. Единицей измерения коэффициента F/S принято считать базисный пункт (basis point, или сокращенно bp). Под одним базисным пунктом понимается уровень мошенничества, составляющий 0,01 % от всего торгового оборота по картам. Другими словами, уровень мошенничеств, равный одному базисному пункту, соответствует потере 1 цент. на каждые 100 долл. торгового оборота по карточкам.
Острота проблемы безопасности операций с использованием платежных карт
В последние 10 лет потери банков от операций по пластиковым картам составляют 7-11 цент. на 100 долл. оборота по картам (7-11 bp). Это существенно меньше потерь банков, связанных с клиентским кредитованием, составляющим 3–4 долл. на каждые 100 долл. выданных кредитов. Однако банки и платежные системы уделяют проблеме безопасности операций по пластиковым картам повышенное внимание. Это связано с тем, что в рассматриваемых случаях различна природа рисков и, как следствие, результат их проявления. В случае карточного мошенничества страдает клиент. Даже если потери, вызванные мошенничеством, берет на себя эмитент (что случается далеко не всегда), моральный ущерб, связанный с возникающими для держателя карты неудобствами, ощутим. Возможность фрода подрывает доверие банковских клиентов к карточной технологии в целом. И в этом главная проблема!
Для иллюстрации того, насколько карточное мошенничество подрывает доверие к картам, как платежному инструменту, выполним простой анализ. Средний человек на Западе использует свою карту для безналичных расчетов в среднем около 40 раз за год при характерном значении коэффициента использования карты, 0,1 в сутки. При сегодняшнем уровне мошенничества, равном примерно 10 bp, вероятность того, что очередная операция по карте выбранного нами господина завершится фродом, равна p = 0,001. В действительности, эта вероятность ниже, поскольку по скомпрометированной тем или иным способом карте проводится несколько операций и, кроме того, средний размер мошеннической операции выше, чем обычной. Однако для целей иллюстрации такая оценка вероятности того, что выполненная операция оказывается мошеннической, вполне подходит.
Выбранный нами для изучения держатель карты живет не в безвоздушном пространстве. Его окружают родные, друзья, коллеги. Если посчитать, что близкое окружение держателя карты состоит из 10 человек, то отсюда последует, что вероятность того, что хотя бы один человек из окружения пострадает, больше 0,98 (N = 4000).
ISO 8583
ISO 8583 — стандарт ISO, описывающий процесс передачи и формат финансовых сообщений (транзакций) систем, обрабатывающих данные банковских платёжных карт.
Содержание
Введение
Транзакция данных платёжных карт (например, для запроса авторизации держателя карты) начинается с устройства, её инициировавшего, например c POS-терминала, проходит через ряд сетей и заканчивается на системе, которая выпустила карту.
Транзакционные данные включают в себя:
Система, которая выпустила карту, авторизует транзакцию либо отклоняет её и генерирует ответное сообщение, которое возвращается на терминал.
ISO 8583 описывает формат транзакций и механизм их передачи («communication flow») таким образом, чтобы различные системы могли обмениваться этими транзакциями. Большинство транзакций, которые выполняются с банкоматов, используют ISO 8583 в некоторых аспектах коммуникационной цепочки, как то например, транзакции, выполняющиеся при оплате покупателем товара в магазине. Такие международные платёжные системы как MasterCard и Visa используют стандарт ISO 8583 при авторизационных взаимодействиях.
ISO 8583 описывает транзакции, инициированные держателем карты, такие как покупка, снятие наличных, пополнение счёта, оплату, аннулирование операции, запрос баланса, платежи и переводы со счёта на счёт. ISO 8583 также описывает сообщения между системами для обмена ключами безопасности, согласования итогов и сообщения для других административных целей.
Несмотря на то, что ISO 8583 определяет общий стандарт, как правило, он не используется напрямую в системах или сетях. Вместо этого каждая сеть адаптирует стандарт для собственных нужд, пользуясь отдельными полями и вариантами использования.
Положение полей различается в разных версиях стандарта. К примеру, отдельные элементы, определяющие валюту в версиях 1987 и 1993 более не используются в версии 2003, где валюта является составной частью элемента, определяющего сумму. ISO 8583:2003 нужно время для достижения широкого признания.
Сообщение ISO 8583 состоит из следующих частей:
Индикатор типа сообщения
Индикатор типа сообщения (англ. Message Type Indicator (MTI) ) — 4 значное числовое поле, которое определяет высокоуровневую функцию сообщения. Индикатор типа сообщения включает в себя версию стандарта ISO 8583, класс сообщения, функцию сообщения и источник сообщения, описанные ниже.
ISO 8583 версия
Первая позиция MTI определяет версию стандарта ISO 8583, используемую для передачи сообщения.
| Позиция | Значение |
|---|---|
| 0xxx | Версия ISO 8583-1:1987 |
| 1xxx | Версия ISO 8583-2:1993 |
| 2xxx | Версия ISO 8583-1:2003 |
| 9xxx | Частное использование |
Класс сообщения
Вторая позиция MTI определяет общую цель сообщения.
| Позиция | Значение | Использование |
|---|---|---|
| x1xx | Authorization Message | Determine if funds are available, get an approval but do not post to account for reconciliation, Dual Message System (DMS), awaits file exchange for posting to account |
| x2xx | Financial Message | Determines if funds are available, get an approval and post directly to the account, Single Message System (SMS), no file exchange after this |
| x3xx | File Actions Message | Used for hot-card, TMS and other exchanges |
| x4xx | Reversal Message | Отменяет действие предыдущей авторизации |
| x5xx | Reconciliation Message | Transmits settlement information |
| x6xx | Administrative Message | Transmits administrative advice. Often used for failure messages (e.g. message reject or failure to apply) |
| x7xx | Fee Collection Message | |
| x8xx | Network Management Message | Используется для обмена ключами безопасности, входа в систему, посылки эхо-тестов и для других функций сети |
| x9xx | Зарезервировано ISO |
Функция сообщения
| Позиция | Значение |
|---|---|
| xx0x | Request |
| xx1x | Request Response |
| xx2x | Advice |
| xx3x | Advice Response |
| xx4x | Notification |
| xx8x | Response acknowledgment |
| xx9x | Negative acknowledgment |
Источник сообщения
Четвертое значение индикатора сообщения (MTI) определяет его инициатора в платежной системе.
| Позиция | Значение |
|---|---|
| xxx0 | Acquirer |
| xxx1 | Acquirer Repeat |
| xxx2 | Issuer |
| xxx3 | Issuer Repeat |
| xxx4 | Other |
| xxx5 | Other Repeat |
Примеры
| MTI | Значение | Применение |
|---|---|---|
| 0100 | Authorization request | Запрос POS-терминала на авторизацию покупки держателя карты |
| 0120 | Authorization Advice | При падении POS-терминала и необходимости подписать платежный документ |
| 0121 | Authorisation Advice Repeat | При ожидании авизо |
| 0200 | Acquirer Financial Request | Запрос баланса, обычно от банкомата |
| 0220 | Acquirer Financial Advice | например, при проверке в отеле |
| 0221 | Acquirer Financial Advice repeat | При ожидании авизо |
| 0400 | Acquirer Reversal Request | Reverses a transaction |
| 0420 | Acquirer Reversal Advice | Advises that a reversal has taken place |
| 0421 | Acquirer Reversal Advice Repeat Message | if the reversal times out |
| 0800 | Network Management Request | Echo test, logon, log off etc |
| 0820 | Network Management Advice | Keychange |
Побитовые карты
В соответствии с ISO 8583, побитовая карта — это поле или подполе внутри сообщения, показывающие какие элементы данных представлены в другом месте сообщения.
Сообщение содержит как минимум одну битовую карту, которая называется Primary Bitmap (англ. Первичная битовая карта), определяющую, какие из элементов данных с номерами от 1 до 64 присутствуют в сообщении. Как правило, если вторая битовая карта присутствует, то размещается в качестве первого элемента данных и определяет, какие из элементов данных с номерами от 65 до 128 присутствуют в сообщении. Аналогично, третья битовая карта может использоваться для определения наличия или присутствия элементов со 129 до 192, впрочем, они используются редко.
Битовые карты могут быть переданы как 8 байт двоичной информации или как 16 шестнадцатеричных символов (0-9, A-F) из наборов ASCII или EBCDIC.
Поле присутствует, когда соответствующий бит битовой карты имеет значение «истина», например, байт ‘10000010’ означает, что поля 1 и 7 присутствуют в сообщении.
Примеры
| Bitmap | Определяет наличие. |
|---|---|
| 4210001102C04804 | . полей 2, 7, 12, 28, 32, 39, 41, 42, 50, 53, 62 |
| 7234054128C28805 | . полей 2, 3, 4, 7, 11, 12, 14, 22, 24, 26, 32, 35, 37, 41, 42, 47, 49, 53, 62, 64, 100 (требуется второй Bitmap, чтобы показать наличие поля номер 100) |
| 8000000000000001 | . полей 1, 64 |
| 0000000000000003 (второй Bitmap) | Поля 127, 128 |
Объяснение Bitmap поля 4210001102C04804
01000010 = 42x (нумеруем слева направо, второй и седьмой бит равны 1, что означает присутствие полей 2 и 7)
00010000 = 10x (присутствует поле 12)
00000000 = 00x (никакие поля не присутствуют)
00010001 = 11x (присутствуют поля 28 и 32)
00000010 = 02x (присутствует поле 39)
11000000 = C0x (присутствуют поля 41 и 42)
01001000 = 48x (присутствуют поля 50 и 53)
00000100 = 04x (присутствует поле 62)
0________10________20________30________40________50________60__64
1234567890123456789012345678901234567890123456789012345678901234 номер бита
0100001000010000000000000001000100000010110000000100100000000100 битовая карта
Поля, присутствующие в сообщении с переменной длиной:
2-7-12-28-32-39-41-42-50-53-62
Элементы данных
Элементы данных — это отдельные поля, содержащие информацию о транзакции. Исходный стандарт ISO 8583:1987 был рассчитан на возможность включения 128 элементов данных, а в последующих версиях было определено до 192 элементов данных. В ревизии 1993 года были введены новые описания, удалены некоторые старые, при этом формат как таковой не претерпел изменений.
Несмотря на то, что каждый элемент данных имеет описанное значение и формат, стандарт включает некоторые элементы данных для общих целей, а также специфические для системы (или страны) элементы данных, которые могут иметь огромные различия в разных реализациях.
Каждый элемент данных описан в формате стандарта, который указывает разрешенные значения полей (напр. числовое, бинарное итд.) и длину поля (постоянное значение или меняющее), в соответствии с данной таблицей:
Кроме того, каждое поле может быть или фиксированной, или переменной длины. Если поле переменной длины, длина поля предшествуется индикатором длины.