Как работает offline обработка кредитной карты?
Поддержка обработки кредитных карт в offline режиме POS зависит от нескольких факторов. Это не гарантированная функция каждой POS-системы с offline режимом, но для тех, у кого она есть, offline обработка кредитных карт может быть огромным преимуществом.
Если ваш POS-терминал и обработка платежей не интегрированы, но ваша POS-система поддерживает offline режим, вам необходимо убедиться, что настройка платежей по картам также включена в offline режиме. В противном случае вы будете ограничены наличными и любыми другими видами оплаты, поддерживаемыми POS.
Кроме того, вам нужно будет проверить, какие типы платежей по картам (и какие устройства для чтения карт) поддерживаются. Например, может быть, что терминал не поддерживает чиповые платежи с помощью бесконтактного и чип-ридера или ручного ввода номеров кредитных карт, или работает в offline только по магнитной полосе.
Безопасны ли платежи offline?
Возможность принимать платежи по кредитным картам без подключения к Интернету является обязательной для некоторых предприятий и очень востребована многими другими. Но проведение offline-оплаты кредитной картой сопряжено с некоторыми рисками и недостатками.
Во-первых, невозможно проверить, пройдет ли offline-платеж, когда система вернется в режим онлайн. Когда кредитная карта проводится на терминале с подключением к Интернету, платежная информация направляется в режиме реального времени непосредственно в банк клиента, который дает быстрое одобрение (или отклонение, если средств нет). Позднее он высвобождает средства, которые в конечном итоге зачисляются на банковский счет продавца через пару дней.
При offline транзакции этот первоначальный запрос на одобрение не отправляется, пока не будет восстановлено подключение к Интернету. Это означает, что продавец может провести offline-транзакцию, позволить покупателю уйти и позже узнать, что транзакция была отклонена по любому количеству причин. POS-системы и компании по обработке кредитных карт, поддерживающие offline платежи, не предоставляют никаких гарантий и не предлагают какого-либо вида страхования или защиты от этой потери, поэтому, если вы намереваетесь проводить автономные платежи, имейте в виду, что вы принимаете на себя риск.
Вы можете снизить этот риск, ограничив допустимую сумму для одной offline-транзакцию, чтобы кассир не превысил этот порог по незнанию (или даже намеренно).
Вторая проблема заключается в том, безопасно ли хранить информацию о кредитной карте при offline-транзакциях. Устройство чтения кредитных карт или терминал считывает данные карты и немедленно их шифрует. Эта информация может быть расшифрована только тогда, когда она отправлена в компанию по обработке кредитных карт. Таким образом, даже если информация об offline-транзакции сохраняется в POS-системе во время простоя, ни один пользователь POS (даже администратор) не может просматривать данные держателя карты, такие как полный номер кредитной карты.
P.S. разумеется именно этой иллюзией пользуются хакеры, расшифровывающие и продающие данные карт в Darknet.
Существует два принципиально разных залива offline на карты:
- с пополнением баланса,
- с образованием минуса на карте.
Если баланс пополняется, то эмитент карты и ее владелец не страдают. В другом случае на счету карты после проведения offline образуется минус, который в случае глупости клиента, вешается юридически на него, или, в случае если он прошаренный, страдает банк, или страхующая Visa или Mastercard страховая компания.
Авторизация карт offline
Первым этапом offline является создание записи в центре авторизации (он может быть отдельной структурой или включается в комплексную службу процессинга карт).
Эта запись включает в себя набор данных, главные из которых для нас это: данные карты (номер, дата истечения срока действия, имя владельца, номер счета), сумма баланса, approval code.
С данными карты все понятно (кроме номера счета), вносим туда карту, которой потом будем пользоваться на машинке с offline.
Сумма баланса — что это?
Дело в том, что центры авторизации хранят данные всех карт для быстрого их обслуживания и обмениваются данными по расписанию. Это распределенный по форме резервирования (не по форме хранения) реестр (и это не блокчейн слава Богу). Сумму баланса мы ставим такую, чтобы её было достаточно для перекрытия ваших offline транзакций.
Сразу возникает вопрос. Если реестр обновляется, то данные записанные нами будут перезаписаны на реальные при первом же обновлении! Правильно! Но для того, чтобы этого не случилось, мы рисуем номер счета отличный от реального, тогда банк не пришлёт запись, которая перекроет вашу.
Следующий пункт это approval code. Он вводится на машинке при проведении транзакции. Если он совпадает с записью в центре авторизации, то транзакция будет считаться легитимной, и банк будет обязан списать средства в пользу получателя!
Итак: вы сделали запись в центре авторизации (доступ к которому вы приобрели заранее на хакерских форумах), провели карту по терминалу с отключенной функцией проверки баланса (значит транзакция пойдёт только через центр авторизации), получили деньги на счёт предприятия (если система банка вас не спалила).
Что ещё произошло? На вашей карте образовался минус, на ту же самую сумму, что вы провели, в той же самой валюте (даже если у вас не было такого счета — а это важный момент на случай рулежки с банком) и даже если у вас принудительно запрещён овердрафт (круто, да?).
Обычно этого людям достаточно, чтобы наслаждаться дальше жизнью. Но некоторые хотят избегать проблем с банком. Они ставят деньги на корсчет в адрес счета карты.
Банки конечно обычно не зачисляют такие транзакции на счёт. Видя их историю, но когда речь заходит о покрытии минусов, то на качество транзакции закрывают глаза.
Подписывайтесь на Телеграм канал, чтобы всегда быть в курсе самых последних и горячих новостей @like_freedman
Автор: Кирилл Руддин, аналитик Freedman Сlub Crypto News