Зачем нам нужен процессинг
В преддверии новогодних праздников и громадного числа online-покупок даже в РУнете, решил изложить свои немного сумбурные мысли относительно того, зачем покупателям и магазинам нужны процессинги, которые “прогоняют” через свои системы их платежи по пластиковым картам. Ведь когда осуществляешь покупку через Сеть, то хорошо, если “натыкаешься” на более-менее вменяемую компанию, которая обеспечивает быструю авторизацию карты с использованием проткола SSL. Это вполне хорошая альтернатива вводу данных о своем платежном инструменте в поля на html-странице, которые потом будут “руками” перенабиты в систему клиент-банка, чтобы списать с вас деньги за товар или услугу.
Если говорить сугубо научным языком, то компания-процессинг организует грамотную технологию управления деньгами на кредитной или дебитной карточке при покупке (оплате) товаров или услуг. На самом деле это только часть функций - по сути это не расчетный центр, это не банк. Это компания, которая минимизирует для всех сторон, участвующих в процессе интернет-покупки, стоимость входного билета и обслуживания каждой транзакции. Скорее это коммуникационный центр при проведении платежа. Процессинг “знает” все магазины, которые осуществляют через него проводки по оплате товаров или услуг. У всех подобных магазинов открыты счета только в банках-партнерах процессинга, следовательно здесь вариант для целенаправленного фрода минимален. Только если “в доле” сам процессинг, но это маловероятно для крупных компаний
Получая данные от покупателя, они “прогоняются” через систему безопасности, которая по настройкам не только для каждой отрасли, но и персонально для каждого клиента дает решение - пропускать платеж или нет. Это сверх того, что по каждому платежу платежная система должна дать “добро”, “пережевав” ее номер, код CVV2 и данные владельца карты.
Для пропуска таких данных, процессинг, с одной стороны, подключен к защищенным сетям обмена информацией с платежными системами, карты которых он принимает. С другой - к магазинам, которые “перебрасывают” на его платежные страницы своих клиентов. Если запрос на авторизацию карты проходит успешно - покупка совершается, а магазин через несколько дней получает из на свой расчетный счет. В данном случае стабильность функционирования системы имеет наивысший приоритет, поскольку покупки совершаются круглосуточно. Следовательно, от магазина надо принять запрос на оплату, быстро осуществить блокировку средств, отправить магазину отчет о приеме денег или отказе платежа, сформировать выписку по каждому клиенту для его банка, который и будет осуществлять списание средств. Работа, разумеется, автоматизирована
Плюс для магазина в том, что ему нет необходимости тратить средства на установку прямого канала до своего банка, ставить себе терминал для оплаы по карточкам - достаточно договорится с процессингом и передавать ему клиентов для удаленной оплаты.
Но есть и “узкие” места. К примеру, атаки типа DDoS именно на платежный шлюз. Его мощность, разумеется, не бесконечна - как только пороговые значения “выбиваются”, для всех клиентов, которые решили купить “здесь-и-сейчас” наступают трудные времена. Редко какой магазин может позволить себе резервный процессинг, который бы подключался на период проблем основного - это просто дорого. Обычно это можно увидеть только у дальновидных операторов связи. Таким образом, интернет-магазины могут “упасть”, если админы у процессинга работают не совсем эффективно.
Интересно, как в общем работает система безопасности у процессинга - фрод-то надо отсекать и, временами, в этом процессе может быть задействован сам магазин (к примеру, по продаже цифрового контента), который, формально будучи полностью легальным, используется как “сливной бачок” для ворованного пластика. Транзакции там обычно небольшие, но стабильные - главное, чтобы жертва что-то заподозрила как можно позже. Правда, многие такие мошенники забывают, что период по опротестованию платежа доходит до 180 дней. В этот период клиент может опротестовать любой платеж по карте. И практически гарантированно получить возмещение, если он платеж точно не делал.
Для новых магазинов, кстати, разумные процессинги устанавливают временные лимиты - блокировка до 5-10-15% средств от оборота на счету для покрытия возможных претензий. Есть лимиты на транзакции, на средний чек: их магазин ставит сам. Вплоть до того, что несколько месяцев после подключения все платежи просматриваются “руками” специалистов процессинга - нет ничего хуже мошенников именно среди магазинов. Чтобы защитится от фрода по приобретению дорогих товаров со стороны кардеров, включают разнообразные опции проверки - к примеру, самая простая: не работают с пользователями у которых почта на free-хотинге, у которых банк выдавший карту и IPшник слишком различаются по территориальному признаку (там может идти голосовая авторизация от СБ процессинга), отказать могут иностранцу, чьи данные сложно проверить и т.д., пользователю который за небольшой промежуток времени с одной карты покупает кучу дорогой техники и т.д.: на все есть свои математические модели и “маркеры” тревоги. Кстати, предложение ввести на платежной странице много данных свидетельствует о степени безопасности магазина - если их много, то вероятность фрода все-таки значительна. Поэтому, к примеру, для самого пользователя важно вводить правильно, к примеру, название банка - кардер обычно этого параметра не знает. Или телефон саппорта - опять же найти его проще всего на реальной карте, где он написан в обязательном порядке.
Весьма полезная штука - это call-центр процессинга, там все транзакции видят “на лету”, поэтому если товар или услуга не получены, то самое первое место, куда стоит обращаться, это именно туда. Специалисты этого подразделения вполне могут вернуть клиенту деньги даже без разборок с банками - им это выгоднее, чем получать запрос со стороны финансово-кредитных учреждений. Правда, если такая служба работает не круглосуточно, а с 9 утра до 6 вечера да и то по московскому времени, я бы через такой процессинг платежи не проводил.
Originally published at Ч@c мечты/Telecompas. You can comment here or there.