Особенности эквайринга мобильных POS-терминалов
Характерным необходимым условием, само собой, является наличие канала связи с сервером банка-эквайрера, в качестве которого используется доступ в Интернет с того или иного гаджета.
Для считывания данных с карты используется специальное устройство — адаптер. Подключение адаптера к гаджету осуществляется с использованием одного из следующих интерфейсов:
- BlueTooth;
- аудиоразъема mini jack;
- 30-pin разъема Apple.
Конечно же, для корректной работы любого устройства необходимо установить на гаджет соответствующее программное обеспечение, которое обычно имеется в свободном доступе на Google Market или AppStore.
Адаптеры могут считывать данные карты либо с магнитной полосы, либо с нее и чипа (микропроцессора).
Другим важным критерием адаптеров (также называемых ридерами) является их класс по способу обработки данных — аналоговые или цифровые. Цифровые адаптеры — более современные, у них намного ниже ошибки считывания данных и лучше защита от помех, и они поддерживают шифрование информации до передачи ее в гаджет.
Самые дешевые и распространенные, но и наименее защищенные ридеры имеют интерфейсом аудиоразъем и совместимы практически с любым гаджетом, работающим на iOS или Android; для работы с таким ридером подойдет смартфон с поддержкой 3G (или Wi-Fi), любым видом определения местоположения (GPS) и одним из перечисленных выше разъемов.
Экономические аспекты
Для какого же типа предпринимателей наилучшим образом подойдет такое решение? Кому выгодно использовать такой сервис?
Наиболее правильный и обоснованный ответ — тем, кто принимает карты к оплате нерегулярно, эпизодически, от случая к случаю. Возможно, немаловажным аспектом также является регулярность перемещений в пространстве (пример — водители частных такси). С академической точки зрения такое решение предназначено для малого бизнеса (в качестве первой пробы работы с эквайрингом) и фрилансеров.
Хорошо известно, что банки-эквайреры взимают со своих клиентов, принимающих карты к оплате, некий процент от суммы операции, или так называемую торговую уступку.
Величина комиссии варьируется и может зависеть от ряда других параметров (например, от суммы операции и оборота точки за некий заданный период времени — месяц или квартал).
Для существующих сегодня решений мобильного эквайринга величина этой комиссии составляет от 2,5 до 2,9% практически без ограничений минимальной суммы транзакции (один из банков установил условие, что сумма операции не должна быть менее 10 руб.).
Стоимость самого картридера (адаптера) для торгово-сервисного предприятия (ТСП) находится в диапазоне от 100 до 1600 руб., что несопоставимо с ценой традиционного POS-терминала (не ниже 400 долл. США в рублевом эквиваленте).
Вопрос о цене интернет-трафика остается открытым для обсуждения, но сегодняшние условия, предлагаемые операторами «большой тройки», позволяют решить этот вопрос за символическое вознаграждение (от 100 руб. в месяц для Москвы и Московской области).
Отдельно необходимо указать на следующий экономический и технологический аспект.
Хорошо известно, что при совершении оплаты по банковской карте клиент должен заверить платеж либо подписью на чеке, либо вводом ПИН. При проведении операции посредством мобильного терминала клиент заверяет «виртуальный» чек, проставляя подпись на специальном экране устройства.
Таким образом, налицо существенная экономия (не тратится лента POS-терминала), а при необходимости копия виртуального чека может быть выслана на адрес электронной почты клиента, который тоже обычно указывается при проведении сделки по карте через мобильный терминал.
Услуга мобильного эквайринга представляет обоюдный интерес как для ТСП, так и для банков-эквайреров: для первых — в силу своей простоты, доступности и очевидной низкой себестоимости, для вторых — по аналогичным причинам вкупе с превосходной возможностью быстрого охвата перспективного и доходного рынка.
Помимо вышеизложенных моментов, следует помнить о тенденции перевода всех платежей с наличных на безналичные. К тому же увеличение числа ТСП, принимающих к оплате карты, безусловно, на руку государству, поскольку таким образом постепенно растет инфраструктура предприятий, работающих безналично, и повышается культура населения в плане использования банковских инструментов расчетов.
Ограничения и методы контроля
Традиционный эквайринг (с использованием и установкой в ТСП обычных POS-терминалов) предполагает, что место установки терминала фиксированно.
Идет ли речь о магазине одежды, бакалейной лавке или салоне кинопроката — во всех случаях есть конкретное помещение, договор аренды или собственности, складские запасы, договоры поставки, типовой прейскурант и т.д.
Мобильный эквайринг рассчитан на малый бизнес или индивидуальных предпринимателей, у которых продажи товаров/услуг по карте могут иметь место не каждый день и, что самое важное, не в одном и том же месте. Во избежание риска осуществления незаконных операций эквайрерам следует принимать меры повышенного контроля на всех стадиях транзакции, используя для этого все доступные инструменты.
Поскольку мобильный терминал работает в 99% случаев через канал мобильной связи, появляется возможность довольно надежно определять местоположение точки проведения операции, используя метод, именуемый геолокацией.
Эта простая и понятная мера позволяет надежно контролировать географию деятельности мобильных ТСП, своевременно выявляя аномалии, и пресекать сомнительную активность. Интересным моментом в разрезе мобильного эквайринга является также отчетность по форме 0409258 «Сведения о несанкционированных операциях, совершенных с использованием платежных карт», в которой необходимо указывать для каждой мошеннической операции по эквайрингу две первые цифры кода ОКАТО: в данном случае вполне может иметь место ситуация, при которой один и тот же терминал побывает на территориях с разными кодами.
Отлично зарекомендовавшей себя мерой контроля мошенничества является также увеличение срока возмещения денежных средств на счет ТСП. Не секрет, что многие ТСП малого бизнеса и индивидуального предпринимательства при заключении договора эквайринга с банком просят переводить суммы перечисляемых им возмещений на счета в иные банки (т.е. не на счет в банке-эквайрере).
Такая конструкция позволяет мошенникам быстро вывести украденные денежные средства любым доступным способом, после чего просто прекратить эквайринговую деятельность.
Банк-эквайрер спустя определенное время получает целую серию финансовых операций опротестования платежа (chargeback) по мошенническим операциям (например, по украденным или поддельным картам) и не имеет финансовых ресурсов ТСП для списания, то есть несет прямые финансовые потери.
Также не следует забывать о таком простом и эффективном инструменте, как введение лимитов на активность ТСП: простейшими являются максимальный размер одной операции (например, 15 000 руб.) и количество операций (авторизаций) за период времени (например, в сутки и неделю).
Весьма полезными для проработки данного вопроса являются требования международных платежных систем (МПС) к мониторингу авторизационных запросов для эквайреров региона СЕМЕА (в дополнение к перечисленным выше, включающие в себя такие параметры, как количество отказов, общая сумма операций за сутки, количество авторизационных запросов по одной и той же карте, по картам с одним и тем же BIN и пр.).
Безусловно, хорошей идеей будет также выделение номеров терминалов (Terminal ID) мобильных устройств по некоему общему характерному признаку — например, по маске первого (или первых) символа. Такая простая мера позволит быстро выделять искомые ТСП, применяя инструменты фильтрации в MS Excel или при построении выборок средствами SQL.
Обработка транзакций, заверяемых вводом ПИН
Поскольку согласно требованиям МПС ПИН может вводиться только в надежное устройство (PIN Entry Device, PED), а гаджеты таковыми, безусловно, ни в коей мере не являются, этот вопрос следует обговорить отдельно.
К тому же на территории РФ все операции по картам Maestro должны заверяться только вводом ПИН, а не подписью. Следовательно, эквайреры, использующие самые распространенные ридеры, должны процедурно и технологически (на уровне хоста) запретить прием карт Maestro и проведение операций с вводом ПИН на мобильных терминалах.
Альтернативой является использование дорогих ридеров, оснащенных отдельным устройством для ввода ПИН. Не следует забывать, что ПИН-блок шифруется криптографическими ключами по алгоритму Triple DES, что подразумевает наличие в банке офицеров безопасности и процедур по безопасной генерации, хранению, загрузке, передаче, администрированию и уничтожению криптографических ключей.
Мониторинг и безопасность, снижение уровня мошенничества
Хорошо известно, что МПС весьма скрупулезно подходят к вопросу контроля мошенничества, особенно при работе с эквайрерами.
Существуют требования для эквайреров в части мониторинга как авторизационных запросов, так и финансовых транзакций. Адекватный мониторинг авторизационной деятельности ТСП позволяет своевременно выявить всплеск аномальной деятельности, а мониторинг финансовых транзакций — контролировать такие вопросы, как отмывание средств, и предотвращать мошенничество по схеме Original Credit.
Несомненно, наилучшим решением для контроля авторизаций является любой инструмент, позволяющий видеть активность ТСП в реальном (или квазиреальном с задержкой в десятки секунд) времени.
Вывод на терминал таких данных, как сумма операции, сервис-код карты эмитента, код ответа хоста (response code) и страны банка-эмитента, позволяет построить довольно полную картину происходящих в ТСП событий.
Для каждого ТСП необходимо разработать собственный профиль (т.н. Merchant Profile), в котором хранить вычисленные за период (не менее чем за 90 дней назад от текущей даты) усредненные параметры, характерные для данного терминала: среднее количество запросов, средняя сумма покупки, количество отказов, общий среднедневной оборот и пр.
Ежедневное сравнение данных текущих суток с такими усредненными величинами позволяет выявить любые всплески и аномалии в деятельности ТСП, что является одним из классических признаков сомнительной деятельности или поводом для повышения внимания к такому терминалу.
Для каждой сомнительной операции (в особенности проведенной по карте зарубежного банка) следует генерировать и направлять эмитенту запрос на проверку подлинности (т.н. Security Check).
Эта хорошо известная процедура прекрасно зарекомендовала себя как эффективная мера выявления сомнительной или противоправной деятельности ТСП у банков-эквайреров. Если эмитент подтверждает, что карта украдена, подделана или утеряна, следует сгенерировать операцию отмены финансового представления (если таковое уже было направлено в расчетную сеть МПС) или операцию отмены авторизационного запроса (online reversal), если расчеты еще не прошли.
Такая мера позволяет эквайреру фактически свести на нет количество потенциальных входящих операций chargeback со статусом «мошенничество» и тем самым не попасть под соответствующие штрафные санкции со стороны МПС.
Безусловно, остается открытой такая обширная тема, как безопасность самого мобильного приложения — ПО, загружаемого в гаджет для проведения всех действий, связанных с осуществлением авторизационного запроса и генерацией последующего финансового сообщения в расчетную сеть МПС. Существует целый перечень требований и стандартов, регулирующих этот вопрос.
Выводы
Мобильный эквайринг является новейшим решением на рынке банковских услуг. Этот перспективный сегмент позволяет быстро развернуть сеть собственных торговых терминалов без существенных затрат на инфраструктуру, но в то же время таит в себе весьма ощутимые риски привлечения ТСП, изначально ориентированных или даже специально созданных для проведения мошеннических операций по украденным или поддельным картам.
Только тщательно продуманная и выверенная политика контроля проведения операций на всех стадиях, онлайн- и офлайн-мониторинг, введение лимитов на количество и предельную сумму операций, увеличение срока возмещения денежных средств, плотный контакт с эмитентами и партнерами по рынку позволят эквайрерам надежно минимизировать потенциальные потери.