15 июля 2020
Введение
В рамках материала рассмотрим лимиты, использующиеся в настоящее время при обработке транзакций по бесконтактным картам (Contactless Limits), а также кратко опишем рекомендации со стороны Платёжных систем по их конфигурированию. Подчеркнём, что это именно и конкретно лимиты, настраиваемые на POS-терминалах. Лимиты карточных приложений в рамках данной статьи не рассматриваются.
Contactless Limits, Visa
Reader Contactless Transaction Limit — максимально допустимый лимит транзакции через бесконтактный интерфейс. Обычно имеет нулевое либо максимальное значение (например, 9999999,99), т.е. фактически не используется. В случае использования и при превышении POS должен либо отклонить транзакцию, либо предложить использовать другой интерфейс.
Reader CVM Required Limit — максимально допустимый лимит транзакции, при превышении которого будет выполнятся верификация держателя карты (т.е. будет запрошен ПИН или Подпись).
Reader Contactless Floor Limit — максимально допустимый лимит транзакции, при превышении которого операция будет отправлена на авторизацию эмитенту.
В настоящее время для региона РФ МПС Visa рекомендует устанавливать значение Reader CVM Required Limit не более 3000 руб. Иными словами, эквайер может сконфигурировать свои POS-терминалы таким образом, что транзакция по бесконтактной карте Visa на сумму менее 3000 руб. будет выполнена по NoCVM, т.е. не будет запрошен ПИН и/или Подпись держателя карты. Заметим, что в соответствии с требованиями Visa транзакция на сумму 3000 уже должна выполнятся с запросом взаимно поддерживаемого картой и POS метода верификации — ПИН и/или Подпись.
Reader Contactless Floor Limit обычно остаётся на усмотрение эквайера. Как правило, он отключен и все операции отправляются на авторизацию эмитенту в режиме реального времени.
Visa, опциональные лимиты — Dynamic Reader Limit (DRL)
Помимо рассмотренных выше лимитов, опционально спецификация Visa позволяет использовать так называемые «Динамические лимиты» — Dynamic Reader Limit (DRL). Логика работы данного механизма заключается в том, что у эквайера существует возможность настроить разные лимиты для карт Visa даже в том случае, если они имеют одинаковый AID. Например, для карт Visa, эмитированных в РФ установить один лимит, для зарубежных карт Visa — другой, и так далее.
Достигается это за счёт использования карточного тэга 9F5A — Application Program Identifier (APID), который определяет региональную принадлежность карты, код валюты и некоторые другие параметры карточного приложения. Соответственно, при возвращении картой в тэге 9F5A определённого APID, ядро терминала должно активировать набор лимитов, сконфигурированных для данного конкретного APID. Разумеется, при условии что функционал поддерживается терминалом и должным образом сконфигурирован.
Contactless Limits, Mastercard
Reader Contactless Transaction Limit (No On-device CVM) — максимально допустимый лимит транзакции, в случае если не поддерживается верификация на мобильном устройстве.
Reader Contactless Transaction Limit (On-device CVM) — максимально допустимый лимит транзакции, в случае если поддерживается верификация на мобильном устройстве.
Фактически, оба этих лимита имеют функциональное назначение, аналогичное Reader Contactless Transaction Limit у МПС Visa. Разница лишь в том, что Mastercard предполагает возможность настроить разные лимиты для бесконтактных карт и для мобильных устройств.
Reader CVM Required Limit — максимально допустимый лимит транзакции, при превышении которого будет выполнятся верификация держателя карты (т.е. будет запрошен ПИН или Подпись).
Reader Contactless Floor Limit — максимально допустимый лимит транзакции, при превышении которого операция будет отправлена на авторизацию эмитенту.
Одно из ключевых значений в рамках спецификации Mastercard имеет Reader CVM Required Limit. Именно он активирует механизм «CVM Capability», подразумевающий использование в ядре терминала двух объектов:
- CVM Capability — CVM Required: объект, описывающий CVM-методы в случае, если сумма транзакции превышает CVM Required Limit. Обычно в этом случае из методов исключается NoCVM и становятся доступными только ПИН и/или Подпись.
- CVM Capability — No CVM Required: объект, описывающий CVM-методы для случая, когда сумма транзакции не превышает CVM Required Limit. В этом случае из методов исключаются все, кроме NoCVM.
Допустим, Reader CVM Required Limit равен 1000 руб. Выполняется операция на 1500 руб., то есть лимит превышен. POS запрашивает ПИН или Подпись. Другой пример, выполняется операция на 500 руб. - POS верифицирует по NoCVM, т.е. ПИН или Подпись не запрашиваются.
Для РФ МПС Mastercard рекомендует устанавливать значение Reader CVM Required Limit не более 5000 руб. При этом, транзакция на сумму равную 5000 руб. должна быть выполнена с использованием метода NoCVM (т.е. ПИН и/или Подпись не запрашиваются), а транзакция, допустим, на 5001 руб. выполняется уже с запросом ПИН и/или подпись.
Reader Contactless Floor Limit — остаётся на усмотрение эквайера. Обычно его значение равно нулю, то есть оффлайн отключен.
Contactless Limits, American Express
AMEX Contactless Transaction Limit — максимально допустимый лимит транзакции через бесконтактный интерфейс. Обычно настраивается максимальное значение (например 9999999,99), т.е. фактически не используется. В случае использования и при превышении POS должен либо отклонить транзакцию, либо предложить использовать другой интерфейс.
AMEX CVM Required Limit — максимально допустимый лимит транзакции, при превышении которого будет выполнятся верификация держателя карты (т.е. будет запрошен ПИН или Подпись).
AMEX Contactless Floor Limit — максимально допустимый лимит транзакции, при превышении которого операция будет отправлена на авторизацию эмитенту.
American Express, опциональные лимиты — Dynamic Reader Limit (DRL)
Спецификацией AmEx предусмотрено использование «Динамических лимитов». Механизм реализован следующим образом: на карте содержится тэг 9F70 (AmEx Card Interface and Payment Capabilities), в котором персонализируются «профили» лимитов (DRL Sets) из трёх составляющих: AMEX Contactless Transaction Limit + AMEX Contactless Floor Limit + AMEX CVM Required Limit. Терминал, при условии поддержки ядром механизма AmEx DRL и настроенной для этого конфигурации, анализирует указанный тэг и принимает решение об использовании того или иного DRL Set.
Contactless Limits, НСПК Мир
CL Transaction Limit (Non CD-CVM) — максимально допустимый лимит транзакции, в случае если не поддерживается верификация на мобильном устройстве.
CL Transaction Limit (CD-CVM) — максимально допустимый лимит транзакции, в случае если поддерживается верификация на мобильном устройстве.
Terminal No CVM Limit — максимально допустимый лимит транзакции, при превышении которого будет выполнятся верификация держателя карты (т.е. будет запрошен ПИН или Подпись).
Terminal Floor Limit — максимально допустимый лимит транзакции, при превышении которого операция будет отправлена на авторизацию эмитенту.
Как видим, механизм для карт Мир в целом сходен с механизмом, использующимся в рамках МПС Mastercard. В том числе, задействованы объекты CVM Required и No CVM Required.
НСПК рекомендует эквайерам устанавливать значение Terminal No CVM Limit равным 3000 руб.
Terminal Floor Limit — на усмотрение эквайера.
Послесловие
Таковы терминальные лимиты и механизмы их работы с бесконтактными картами. Обратим внимание, что значение такого ключевого параметра, как No CVM Limit имеет рекомендательный характер и в конечном итоге остаётся на усмотрение эквайера. Поэтому в настоящее время определённая часть последних продолжает использовать «проверенное временем» значение, равное 1000 руб.
