Эквайринг: Авторизация по банковской карте, протоколы и узлы обмена. Часть 2, «HOST to HOST»

Введение

В рамках цикла рассмотрим процесс авторизации по банковской карте, а также основные узлы и их алгоритмы: обмен POS-терминала с банковским процессингом, а также информационное взаимодействие эквайрера, Платежной системы и эмитента. Вторая часть цикла описывает обмен эквайрера, ПС и эмитента.

Терминология

Авторизация — процесс обмена данными между участниками операции по банковской карте или другому платежному средству (например, мобильному кошельку и т.д.). Стандартная цепочка обмена выглядит следующим образом:

Эквайрер (см. ниже) отправляет авторизационный запрос в Платежную систему (далее — ПС), ПС — эмитенту. Эмитент выполняет все необходимые проверки, такие как проверки безопасности, проверки доступности средств на карточном счете и другие, на основании которых отправляется ответ (положительный или отрицательный) на авторизационный запрос. Ответ на авторизационный запрос отправляется обратным маршрутом. То есть, сначала в ПС а затем эквайреру.

POS-терминал (POS - Point Of Service) — устройство, обеспечивающее техническую возможность обслуживания карт и других платежных средств.

Эмитент — финансовый институт (банк или иная финансовая организация), выпустивший (эмитировавший) карту.

Эквайрер — финансовый институт (банк или иная финансовая организация), обеспечивающий обслуживание карт мерчантом.

Эмитент и Эквайрер имеют общее с т.з. Платежных систем наименование — Участник. Далее по тексту мы будем использовать все три этих термина в зависимости от контекста.

Мерчант - торгово-сервисное предприятие (далее ТСП), имеющее техническую возможность принимать карты.

Кардхолдер - держатель карты, имеющий право выполнять по ней набор операций, разрешенных эмитентом.

Процессинговый центр (ПЦ) — программно-аппаратный комплекс, обеспечивающий технологическую возможность информационного обмена между внутренними и внешними участниками расчетов в рамках того или иного сервиса (в нашем случае - эквайринга).

Другое относительно распространенное наименование ПЦ — «Банковский хост», или просто «хост» (от англ. Host — букв. «хозяин»). То есть узел, играющий роль сервера в рамках классической клиент-серверной архитектуры. Далее по тексту мы будем использовать как аббревиатуру ПЦ, так и термин «хост» с его производными.

H2H (Host to Host)

Введение в протокол ISO 8583 и его базовые положения описаны в предыдущей части цикла. В данном материале рассмотрим обмен данными между эквайрером, ПС и эмитентом (Host to Host, H2H).

Итак, транзакция в рамках POS to HOST была отправлена в ПЦ эквайрера. Далее эквайринговый хост выполняет необходимые процедуры, такие как:

  1. Определение типа операции;
  2. Определение типа карты/устройства и ее/его параметров;
  3. Криптографические процедуры (проверка ключей терминала и/или карты);
  4. Проверка логического содержимого iso8583-сообщения (матчинг полей и анализ их корреляции в рамках операции, определенной на шаге 1.);
  5. Маршрутизация сообщения в соответствующий авторизационный канал;
  6. Получение ответа из авторизационного канала;
  7. Формирование ответного сообщения на POS.

Кратко рассмотрим каждый из этапов.

1. Определение типа операции: Анализ типа сообщения (MTI), содержимого Поля 3 (Processing Code), поля 24 (Function Code) и ряда других величин входящего сообщения.

2. Определение типа карты/устройства: ПЦ анализирует параметры устройства (в нашем случае POS-терминала) а также проверяет допустимость выполнения на нем данного типа операции. Помимо этого ПЦ анализирует параметры карты: определяет ее принадлежность («своя» (On-Us) либо стороннего эмитента (Off-Us)). Если карта «своя», проверка прекращается, и хост переходит к пункту 3. Если карта «чужая», выполняется проверка принадлежности к конкретной ПС, а также анализ географической принадлежности.

3. Криптографические процедуры: для POS ПЦ анализирует наличие/корректность таких криптографических величин, как ключи шифрования. Для «своей» карты — наличие/корректность CVV2/CVC2, ARQC и ряда других параметров, в зависимости от способа, которым карта была прочитана (чип/магнитная полоса и т.д.). При этом в обоих случаях соответствующий адаптер ПЦ выполняет обмен со специальным криптографическим оборудованием (Host Security Module (HSM). Другая распространенная расшифровка аббревиатуры — Hardware Security Module). Для «чужой» карты выполняются такие процедуры, как проверка наличия пин-блока, в случае если CVM-методом был выбран онлайн-пин, и некоторые другие процедуры.

4. Проверка логического содержимого iso8583-сообщения: анализ наличия/содержания всех необходимых данных, т.е., полей, характерных в рамках той или иной операции. Поскольку на данном этапе обмена речь идет об анализе входящего сообщения с POS, проверка выполняется в рамках соответствия конкретной P2H-спецификации того или иного ПЦ.

5. Маршрутизация сообщения в соответствующий канал авторизации: на основе собранных на этапах 1 - 4 данных, хост принимает решение о том, в какой канал/адаптер отправить сообщение. Очевидно, что существует два варианта:

  • A) Для «своей» карты сообщение отправляется на обработку в эмитентскую Базу данных, где выполняются внутренние проверки, такие как статус карточного контракта (Активен/Просрочен/Заблокирован и т.д.), доступность денежных средств и прочие проверки, характерные для конкретного типа операции.
  • B) Для «чужой» карты сообщение маршрутизируется в необходимый канал/адаптер той или иной Платежной системы - Mastercard, Visa, American Express, Union Pay, и т.д. При этом хостом выполняется преобразование, или «кастомизация» сообщения для соответствия конкретной спецификации ПС. Допустим, выполняется авторизация по карте American Express - в этом случае хост кастомизирует сообщение, «превратив» его из 0100-го в 1100-е, добавив/изменив содержимое всех необходимых в рамках онлайн-спецификации American Express полей. Тоже самое справедливо в отношении всех Платежных систем.

6. Получение ответа. Этап понятен без дополнительных пояснений. Хост получает ответное сообщение и анализирует его код ответа (Responce Code (RC)).

7. Формирование ответного сообщения. На данном этапе ПЦ выполняет «обратное» преобразование сообщения из диалекта ПС - в диалект P2H, после чего отправляет его на POS.

Такова общая внутренняя логика работы эквайрингового хоста. Необходимо заметить, что приведенная выше схема является неким обобщенно-усредненным описанием, поэтом в ее рамках всегда могут присутствовать какие-либо дополнения/изменения, характерные для того или иного ПЦ.

Принципы и особенности маршрутизации с ПС

В настоящее время на территории РФ действует следующий порядок маршрутизации транзакций:

  • Транзакция по карте, выпущенной российским эмитентом отправляется в соответствующий авторизационный канал НСПК, откуда НСПК отправляет ее эмитенту. При этом сохраняются все особенности интерфейса той или иной ПС. То есть, условно говоря, авторизационный канал НСПК-Mastercard будет технически эквивалентен «прямому» авторизационному каналу Mastercard. По другим ПС, разумеется, ситуация аналогична.
  • Транзакция по карте, эмитированной зарубежным Банком, будет отправлена в «прямой» канал той или иной ПС (Visa, Mastercard, etc.).

Данная логика была реализована относительно недавно и цели ее вполне понятны: в случае наступления каких либо политических «коллизий» будет отсутствовать техническая возможность остановить карточный траффик внутри РФ со стороны Платежных систем. По крайней мере, в «ближней перспективе».

В основе механизма, по которому выполняется любая маршрутизация, лежит БИН (Банковский Идентификационный Номер; англ. — Bank Identification Number). БИН представляет собой первые 6 или 8 цифр номера карты, которые однозначно определяют принадлежность карты тому или иному эмитенту. БИНы в виде т.н. «бин-таблиц» на регулярной основе рассылаются Платежными системами всем Участникам в специальном формате, который способен «понимать» тот или иной хост. В момент выполнения транзакции ПЦ анализирует бин-таблицы, и на основании полученных данных принимает решение - в какой авторизационный канал следует отправить операцию.

Типы сообщений и схемы обмена

Существует две схемы информационного обмена с ПС:

1. Single Message System (SMS) — «однопроходная» схема, в рамках которой Участник обменивается с ПС финансовыми сообщениями (т.е., сообщениями с MTI 0200). В нашем регионе на SMS работает ряд сервисов ПС Visa, а также ряд сервисов ПС НСПК. В тоже время следует сказать, что все ПС так или иначе имеют техническую возможность работать в режиме SMS. Однако в силу разного рода причин эта схема до сих пор не получила широкого распространения в нашем регионе.

2. Double Message System (DMS) — «двухпроходная» схема. При этом считается, что первый «проход» - это онлайн-авторизация, в рамках которой Участник обменивается с ПС авторизационными сообщениями с MTI 0100. Вторым «проходом» является клиринг (о нем в общих чертах расскажем далее).

DMS повсеместно используется в нашем регионе (фактически, являясь «стандартом де-факто»), поскольку считается более гибкой.

Клиринг

Клирингом называется процесс формирования и выгрузки в ПС пакетных файлов специального формата, содержащих информацию о каждой совершенной за определенный период транзакции. Процедура выгрузки клиринга может быть привязана к т.н. Закрытию банковского дня (End Of Day (EOD)), либо может выполнятся в любое другое время, определенное эквайрером и согласованное с ПС, в том числе и несколько раз в сутки. Каждая отдельно взятая запись о транзакции в клиринговом файле именуется First Presentment (Первое представление) и с помощью специального идентификатора соотносится с авторизационным сообщением.

Получив клиринговый файл от эквайрера, ПС проверяет его корректность. Если проверка успешна, формируется пакетный файл уже для отправки его эмитенту. Если в клиринговом файле эквайрера содержаться ошибки, он отклоняется ПС вплоть до внесения корректировок, после чего процедура выполняется заново.

По итогам обмена клиринговыми сообщениями инициируется процедура Взаиморасчетов, т.е. фактического перевода денежных средств между ПС, Участниками и Мерчантами. Однако этот этап выходит за рамки нашего материала.

Важным является тот факт, что при работе в рамках DMS выгрузка эквайрером клиринга критична. То есть, если эквайрер отправил авторизационное сообщение и получил на него успешный ответ, но не отправил это сообщение в клиринге, по истечении определенного времени денежные средства вернутся на счет кардхолдера.

Также, если эквайрер отправил авторизационное сообщение и получил на него успешный ответ, но выгрузил по нему клиринг с превышением определенных ПС сроков (в зависимости от типа операции и ПС сроки варьируются от 3 до 9 дней), то он рискует попасть на т.н. Latest Presentment (Позднее представление). Для таких случаев со стороны ПС предусмотрены различные санкции в адрес эквайрера.

Таковы общие принципы информационного обмена между ПС и Участниками. В следующей части расскажем об ошибках, возникающих при онлайн-обмене.