Эквайринг, ч. 7: эквайринг по EMV- и NFC-картам
Роль EMV- и NFC-карт в эквайринге
В последнее время было довольно много разговоров о том, какое влияние окажут чипованные EMV- и NFC-карты [near field communication] на индустрию платежных карт. Большая часть этих разговоров касалась влияния на потребителей и ТСП, а вот влияние на эквайреров как-то не обсуждалось.
Могу вас уверить, что это влияние будет довольно заметным как c точки зрения осуществления операций [operational] уровне, так и с точки зрения управления рисками [risk management]. Те, кто уже несколько лет работает с терминалами, на которых используются уникальный ключ для шифрования каждой отдельной транзакции [Derived Unique Key Per Transaction] и усечение номера карты [truncation of PAN], знают, что предстоит пройти эквайрерам, которые взялись за обновление сети терминалов и какое противостояние им предстоит преодолеть со стороны ТСП:
Да вы что, я же вот недавно, 5 лет назад, обновлял свой терминал. Менять? Опять? Прямо сейчас? Зачем? По-моему, это развод какой-то.
Если вы пришли в бизнес эквайринга, столкнувшись уже с такими разговорами, — добро пожаловать в этот мир!
С точки зрения управления рисками, кое-какие улучшения все-таки будут, но появятся новые риски, связанные с переходом. Самый большой риск связан с уходом от мошенничества с транзакциями без предъявления карт [card-not-present fraud, CNP-fraud], на интернет-магазины и на ТСП с наименее защищенными технологиями на месте продажи [with the least secure technology at the POS].
Конечно, с точки зрения эквайринга эти инициативы еще не конец света. Какие-то козыри эквайрер может извлечь из своих возможностей — например, более тесного взаимодействия со своими ТСП, где им будет предложены такие дополнительные услуги [a value-added service] как, обслуживание купонных акций [couponing], программ лояльности и анализа данных [data mining]. В конечном итоге, это усилит привязку ТСП к эквайреру и, следовательно, увеличит доход.
Определение EMV, NFC и дуальности
Стандарт EMV был разработан в целях обеспечения глобального взаимодействия [global interoperability] по транзакциям с использованием чиповых карт [a chip-based payment transaction]. Важнейшим элементом технологии EMV является генерация и добавление динамических данных [dynamic digital data] к каждой транзакции. Это позволяет обеспечить предельно высокую безопасность таких типов транзакций и снизить риск мошенничества.
Технология NFC – это технология беспроводной высокочастотной связи малого радиуса действия, используемая обычно в бесконтактных картах [a contactless card] и мобильных телефонах, а также для радиочастотной идентификации [radio frequency identification, RFID].
Сферы применения мобильных платежей [mobile payment]:
- розничная торговля [retailing],
- продажа билетов на общественный транспорт [public transportation ticketing],
- интерактивная реклама [interactive advertising] и т.д.
Дуальность [duality] в данном контексте означает возможность одного и того же POS-терминала обрабатывать транзакции как с использованием EMV-, так и NFC-карт. По правилам всех МПС, ТСП должны иметь возможность принимать и EMV- и NFC-карты в следующих целях:
- освобождение от обязательств в случае мошенничества [to be exempt from fraud liability],
- сокращения области оценки на соответствие требованиям стандарта PCI DSS,
- для участия в системе MasterCard Worldwide’s Account Data Compromise (ADC), разработанной для предотвращения мошеннических сделок.
Порядок осуществления транзакции с использованием технологий EMV и NFC
Порядок проведения транзакций с использованием технологий EMV и NFC практически не отличается от обычного. Здесь только добавляется динамическая аутентификация [dynamic authentication] и технология, реализованная в чипе, которая позволяет эмитенту передавать уникальный код проверки подлинности карты [unique card verification value] при каждой транзакции. Таким образом, карту подделать [to counterfeit the card] практически невозможно, даже если данные транзакции [transaction data] были украдены.
Поскольку использование этой технологии возможно только для транзакций с предъявлением карты, то стоит отметить, что МПС вместе с ИТ-производителями работают над скорейшим переходом механизма динамической аутентификации в сферу электронной коммерции.
Последствия для эквайреров
При переходе на технологии приема платежей по EMV- и NFC-картам эквайрерам следует учитывать определенные сложности, например:
- Обновление терминалов для обслуживания EMV- и NFC-карт: Как уже было сказано ранее, ТСП крайне неохотно идут на изменения. Многие из них просто не видят смысла в переходе [migrating to] на терминалы EMV/NFC и не желают платить за обновление.
Дело осложняется еще тем, что те ТСП, которые больше всего сопротивляются нововведениям, меньше всего готовы принимать на себя риски по выполнению обязательств в случае мошенничества [to absorb the fraud liability], которое может возникнуть из-за их нежелания перейти на такие терминалы. Таким образом, информирование является важнейшим компонентом в этой инициативе, как с точки зрения удержания клиентов, так и с точки зрения управления рисками.
Есть еще один важный момент технического плана в этой миграции – со временем обновление терминалов будет требоваться все чаще и чаще, и ТСП придется соответственно покупать новые терминалы для того, чтобы идти в ногу с развитием технологий.
Поскольку эти обстоятельства могут увеличить доходы от предоставления оборудования в аренду [to lease revenue], они могут так же отразиться на расходах на обслуживание [support costs] и могут потребовать обновления ресурсов, задействованных для обслуживания ТСП.
- Увеличение атак по транзакциям без предъявления карты
МПС зафиксировали, что объем EMV- и NFC-карт достиг на рынке критической массы (более 60%), поэтому черные хакеры и мошенники сосредотачиваются на ТСП, осуществляющих транзакции без предъявления карты. Таким образом, есть смысл пересмотреть свою стратегию оценки ТСП на соответствие требованиям стандарта PCI DSS и переопределить понятие «ТСП с высоким риском» таким образом, чтобы под эту категорию попали ТСП, занимающиеся электронной коммерцией [an e-commerce merchant] (если, конечно, этого еще не сделано). Возможно, эквайреру захочется мотивировать свои ТСП, занимающиеся электронной коммерцией, для усовершенствования своих инструментов в течение следующего года для обнаружения мошеннических транзакций [to enhance fraud detection tools], чтобы к моменту, когда внимание злоумышленников будет полностью сосредоточено на электронной коммерции, эти ТСП были бы уже во всеоружии. - Смещение обязательств:
ТСП, которые к 1 октября 2015 года не перейдут на терминалы, обслуживающие EMV- и NFC-карты [EMV/NFC-capable terminal], будут нести обязательства по всем проведенным у них мошенническим транзакциям с картами, где было возможно использование технологий EMV и NFC. Все эти перемены являются довольно значительными для ТСП, принимающих оплату по карте с ее предъявлением [a card-present merchant], и информацию о них следует четко донести до ТСП, прежде чем начинать переход, чтобы ТСП хорошо понимали последствия отказа от обновления до указанного выше срока.
Поскольку до этого срока остается еще несколько лет, эквайрерам будет проще обдумать план действий по финансированию ТСП, которые не прошли обновление, и учесть дополнительные риски, которые они представляют для «портфеля» клиентов эквайрера.
- Защита от компрометации данных платежных карт [account data compromise protection]
Компания MasterCard заявила, что начиная с 1 октября 2013 г., ТСП, которые перейдут на EMV/NFC-решения, будут вправе получить 50% компенсацию на возмещение ущерба от мошенничества [fraud reimbursement].
Эта компенсация увеличится до 100% к 1 октября 2015 г., но для соответствия этому требованию объем обработанных транзакций за последние 12 месяцев по EMV- и NFC-картам у ТСП должен составлять не менее 75% и 95% к октябрю 2013 и 2015 гг. соответственно.
- Сокращение области оценки на соответствие требованиям стандарта PCI DSS:
Все МПС согласились, что не будут требовать подтверждения соответствия требованиям стандарта PCI DSS от ТСП, которые:- перешли на использование в своей среде терминалов EMV/ NFC,
- надлежащим образом поддерживают свое соответствие требованиям стандарта PCI DSS,
- работают без единого случая компрометации данных в течение последних 12 месяцев.
Следует понимать, что хотя МПС и отказываются от своего права требовать ежегодное подтверждение соответствия требованиям стандарта, все ТСП должны поддерживать это соответствие. Эквайреры по-прежнему несут полную ответственность за соответствие своих ТСП требованиям стандарта, а также за любые комиссии, штрафы или взыскания, применимые в случае компрометации данных.
Все участники МПС должны продолжать защищать статичные критичные данные платежной карты (включая ПИН-коды) и соблюдать требования таких отраслевых стандартов, как PCI DSS, PTS и PA-DSS.
Источник неизвестен,
Переводчик Евгений Бартов,
Руководитель ГК «Альянс ПРО»
Оставить сообщение