hash pan карты что это
Проверка PIN кода банковских карт
В связи с появлением статьи «Путешествия банковской транзакции», в рамках которой стали появляться вопросы по механизму проверке PIN, хотелось бы несколько уточнить данный вопрос. В данной статье будет рассмотрен только вопрос проверки т.н. online PIN, т.е. PIN, который вводится на терминале и передается для дальнейшей проверки в систему, которая выполняет авторизацию транзакции.
Прежде чем приступать непосредственно к вопросу прокерки PIN’а карты, остановимся на некоторых теоретических вопросах.
Прикладная криптография
Алгоритм DES
В настоящий момент, основным алгоритмом шифрования для всех действия с банковскими картами является алгоритм DES (а не 3DES, который используется только для операций шифрования, преимущественно, транспортного уровня). Не вдаваясь в терминологию и классификацию алгоритмов шифрования, просто скажу, что это блочный алгоритм шифрования с размером блока 8 байт и ключом в 56 бит (7 байт). На практике, ключ DES принято представлять в виде блока из 8 байт, где в каждом байте старшие 7 бит ялвются значащими, а последний бит — незначащим. Он может использоваться для контроля целостности ключа (об этом — далее).
Т.к., в настоящее время, ключ длинной 56 бит является недостаточным, с точки зрения безопасности, то вместо алгоритма DES для шифрования принять использовать алгоритм 3DES в режиме EDE (здесь и далее под обозначением 3DES я буду подразумевать именно использование схемы EDE). Обычно, в банковской среде применяется алгоритм 3DES с ключом двойной длинны (112 бит, 16 байт), при которой на первом и третьем шаге (см. описание алгоритма) применяется один и тот же ключ.
Алгоритмы проверки PIN
На данный момент, в основном, используются следующие 2 алгоритма проверки PIN: Visa PVV и IBM 3624 PIN offset.
Visa PVV
Данный алгоритм первоначально был разработан платежной системой Visa, но, в настоящее время является рекомендованным алгоритмом проверки PIN как для карт Visa, так и для MasterCard. В основе данного алгоритма лежит значение PVV (PIN verification value), которое является криптограммой, получаемой на основе следующих величин:
IBM 3624 PIN offset
Данный алгоритм первоначально был разработан компанией IBM для использования в банкоматах IBM 3624. Как именно планировалось его использовать, история умалчивает, а автори статьи не знает, но, в данном случае, это не принципиально. В настоящее время данный алгоритм считается устаревшим, но достаточно успешно используется по нескольким причинам:
В основе данного алгоритма лежит значение PIN offset (PIN verification value), которое является криптограммой, получаемой на основе следующих величин:
HSM — hardware security module, программно аппаратный комплекс, предназначенный для выполнения криптографических операций в защищенной среде. Сам HSM должен иметь защиту, позволяющую предотвратить несанкционированный доступ к хранящимся в нем данным. В его функции входит выполнение различных криптографических проверок, включая проверку карты, PIN, криптографичесокой подписи сообщений (MAC) и различных операций шифрования таким образом, чтобы предотвратить доступ к значимой информации (ключи, значения PIN кодов). Здесь стоит пояснить, что при использовании HSM само значение ключа, в общем случае, в открытом виде (т.е. в виде, приодном для выполнения операций в соответствии с алгоритмом DES/3DES) присутствует только внутри HSM в момент выполнения этой операции. Каким образом это достигается, зависит от конкретного HSM. Для наиболее распростаненных в карточных системах HSM (HSM производства SafeNet и Thales) используются 2 механизма:
Проверка PIN
Терминология
Требования платежных систем
Проверка PIN
Далее необходимо определиться с проверочным значением PIN и дополнительными данными.
Первый вариант — это хранение проверочного значения на магнитной полосе карты после поля Service Code. Модифицированную версию ISO 7813 с указанием того, где хранится PVV, можно посмотреть здесь. По приведенному описанию формата треков стоит добавить, что под 5-и символьным значением PVV подразумевается следующая последовательность 1 символ PVKI и 4 символа самого PVV, а для PIN offset — значение PIN offset для PIN из 5 цифр. Если PIN имеет отличную от 5 цифр длину, то размер PIN offset, соответственно, изменится. Какие плюсы у этого метода. Безусловно — возможность проверять PIN для любого, кто будет иметь необходимые для проверки ключи. Здесь стоит заметить, что при запуске нового карточного подукта в платежную сеть, обычно, передаются ключи, на которых выпущена карта. Таким образом, при использовании данного метода возможность проверки PIN появляется как у самого эмитента карты, так и у платежной сети. К недостаткам такого метода можно отнести то, что данный вариант делает PIN карты статическим до тех пор, пока карта не будет перевыпущена.
Второй вариант — это хранение проверочного значения в некотором хранилище, обычно, БД системы, отвечающей за выполнение проверок при авторизации карты. В этом случае при проверке PIN необхоидмо извлечь проверочное значение из этого хранилища, а уже потом, выполнять проверку, используя это значение. Как следствие, при использовании данного метода, невозможно вполнять проверку PIN во внешней системе (в той же платежной системе) и она м.б. выполнена только в той системе, которая имеет доступ к хранилищу проверочных значений. Однако, такая система позволяет изменять PIN код карты без каких либо затрат на смену пластика (для чего это нужно, что при этом необходимо сделать и какие после этого м.б. проблемы, описывать не буду, т.к. это находится за рамками данной статьи).
Независимо от того, каким образом и кем (эмитент карты или платежная сеть) была получена вся необходимая информация, сама проверка PIN выполняется на HSM, который для выполнения проверки получает ключ PPK в защищенном виде, ключ проверки PIN в защищенном виде, зашифрованный PIN блок, проверочное значение PIN и дополнительные данные проверки, в ответ на что возвращается только результат проверки: верный PIN, неверный PIN, прочая ошибка. Т.е. в процессе проверки система, отвечающая за авторизацию, с самим открытым значением PIN кода никак не соприкасается.
Используемые материалы:
[1] Visa Payment Technology Standards Manual, лет 5 назад, на просторах интернета можно было найти версию данного документа за 2007 год, сейчас, при беглом происке, доступна только версия от 2004 года
Номер банковской (кредитной) карты
На любой банковской карточке (не важно, дебетовой или кредитной) обязательно присутствует самый главный реквизит – ее номер, выдавленный или напечатанный на лицевой стороне. Без этого набора цифр никакая карта, в принципе, не может быть выпущена, поскольку в нем зашифрована вся необходимая информация о платежной системе, банке и счете карты. На языке международных банковских стандартов номер карточки называется PAN – Primary Account Number.
Каждая цифра в этом номере имеет определенное значение, и это далеко не случайная последовательность, как может показаться на первый взгляд. Все платежные шлюзы, принимающие оплату по банковским картам, умеют считывать номер карты, именно поэтому его проблематично подделать, или выдать одну карту за другую. Таким образом, отели или прокатные конторы легко определяют, какая карта предъявляется к оплате – обычная или кредитная, ведь известно, что не всякая гостиница или фирма по прокату машин будет работать с дебетовой картой.
Номер любой платежной карты состоит из нескольких стандартных блоков:
Для обычного человека значение всех этих цифр не особенно важно, к тому же, расшифровать полностью номер карты невозможно без знания алгоритма. Достаточно уметь распознавать основную информацию, чтобы быстро определять принадлежность карточки к той или иной платежной системе.
Самая главная информация заключена в первой цифре номера карты или в коде MII:
1 – карты, выпущенные авиакомпаниями;
2 – карты, выпущенные авиакомпаниями и некоторыми другими эмитентами;
3 – карты, выпущенные платежными системами American Express, JCB и Diners Club;
4 – карты, выпущенные платежной системой VISA;
5 – карты, выпущенные платежной системой MasterCard;
6 – карты, выпущенные платежными системами Discover и MasterCard (Maestro);
7 – карты, выпущенные нефтяными компаниями;
8 – карты, выпущенные компаниями из сфер телекоммуникаций и здравоохранения;
9 – резерв.
Также следует обращать внимание на общую длину PAN: у карт VISA номер состоит из 13 или 16 цифр, у карт MasterCard – из 16 цифр, у карт Discover – из 16 цифр, у карт American Express – из 15 цифр, у карт Diners Club – из 14 цифр, у карт Maestro – из 12 или 19 цифр, у карт JCB – из 15 или 16 цифр.
Номер, указанный на лицевой стороне банковской карты, может потребоваться вам в самых различных ситуациях. Например, для совершения любой оплаты через интернет (в этом случае для успешного онлайн-платежа понадобится еще и секретный код карты). Или для привязки карточного счета к счету сервиса PayPal. Или для довольно популярной ныне услуги – быстрому переводу денежных средств по номеру карты.
Поскольку номер карты относится к числу ее главных платежных реквизитов и используется для совершения платежей, следует особенно аккуратно относиться к его сохранности и конфиденциальности – не показывать карту посторонним людям, не хранить номер карты в доступном месте и не пересылать его в электронном виде по сомнительным адресам.
Платежные технологии – просто о сложном. Часть 1
Давайте поговорим о платежных технологиях и что происходит, когда клиент хочет оплатить услугу на сайте или в интернет-Банке, сделать перевод или нам просто необходимо настроить интеграцию с агрегатором, магазином или платежной системой в целях вывода их услуг в своих дистанционных каналах обслуживания.
Здесь будет представлена серия статей, которая поможет начинающим специалистам в ИТ, занимающихся платежными технологиями, ответить на вопрос: «как писать исходящий шлюз с платежной системой или агрегатором», «как решить вопрос с расхождениями при сверках», как реализовать интеграцию с международной платежной системой.
Устраивайтесь поудобнее, будет интересно.
Часть 1: Проведение и подтверждение платежа
Клиент для оплаты услуг как правило авторизуется в интернет-Банке, выпустившим его карту: Банку-Эмитенту его карты.
Далее в интернет-Банке, выбирает услугу для оплаты: пополнение мобильного телефона, оплаты интернета или услуг ЖКУ.
В базе поставщика услуги, например оператора сотовой связи, у клиента есть свой уникальный идентификатор – номер телефона.
Чтобы оплатить услугу клиент вводит свой идентификатор и сумму пополнения, нажимает кнопку «подтвердить платеж».
А дальше ему отображается пред чек с идентификатором пополнения и суммой пополнения. Он подтверждает оплату и далее интернет-Банк отображает ему чек. Клиент радостный уходит. Деньги «моментально» поступают на его номер телефона.
Это для клиента так. А давайте посмотрим, как это выглядит внутри систем.
Наш онлайн обмен сообщениями, будет состоять из нескольких участников:
Витрина – в данном случае, интернет-Банк клиента;
Банк клиента – он же оператор по переводу денежных средств, он же Банк-Эмитент, выпустивший карту клиента, и он же расчетный Банк по переводам средств клиента Сервис-Провайдеру;
Сервис-Провайдер – юридическое лицо, оказывающее услуги зачисления средств Поставщику, его часто называют «Мерчант». Сервис-Провайдер имеет прямые договора со многими поставщиками услуг, и чтобы Банку не настраивать интеграцию с каждым из них, на рынке есть компании-посредники: Сервис- Провайдеры, еще их называют агрегаторами, платежными системами. Они уже настроили интеграцию с Поставщиками услуг и предоставляют большое количество сервисов за определенный процент;
Наш оператор сотовой связи – Поставщик услуг;
И у Сервис-Провайдера и у Поставщика услуг есть свои расчетные Банки. В итоге, Банк Сервис-Провайдера в офлайне перечислит денежные средства на счет Поставщика услуг в целях зачисления на счет клиента. Но об этом в следующих статьях.
Я буду использовать сущности: Банк, Мерчант и Витрина для описания онлайн взаимодействия внутри систем.
Центральной фигурой в нашем взаимодействии является Банк клиента.
У Банка задача не только проверить наличие денежных средств у клиента, но и доставить их Сервис-Провайдеру. Для выполнения этого условия Банк, как правило, пишет два шлюза либо использует текущие:
Входящий: от Витрины к Банку;
Исходящий: от Банка к Мерчанту;
Оба эти шлюза могут работать как по тождественному протоколу, так и по разным.
Мы рассмотрим самый простой вариант: витрина Банка, Банк и Мерчант работают по одному сквозному протоколу, представленному всего двумя методами: check и pay.
Описание процесса проведения и подтверждения платежа в этом случае выглядит следующим образом:
Сиквенс проведения и подтверждения платежа
Описание процесса проведения и подтверждения платежа
Клиент выбирает услугу;
Витрина Банка проверяет наличие услуги у себя в Базе данных;
2.1 Если услуга найдена, формирует запрос в Банк на холдирование денежных средств в Процессинге. Далее формирует запрос на возможность совершение платежа check:
2.2 Если услуга не найдена, завершает процесс ошибкой, клиент уходит;
Витрина инициирует check;
В Банк поступает запрос check. Далее Банк маршрутизирует запрос Мерчанту;
Мерчант принимает запрос, выполняет проверку совершения платежа;
5.1 Если зачисление возможно, отправляет успех, клиенту отображается пречек. Система Банка ожидает подтверждение платежа;
5.2 Если зачисление невозможно, Банк отправляет код ошибки, витрина завершает процесс, проведение невозможно, клиент уходит;
Клиент знакомится с пречеком, нажимает кнопку «подтвердить платеж». Витрина инициирует pay;
Банк присваивает идентификатор транзакции и сразу отправляет ответ на витрину;
Зачисление денежных средств у Мерчанта уже выполняется в офлайне. Банк инициирует pay и, если зачисление возможно, Мерчант присваивает свой идентификатор транзакции и отправляет в Банк успешный ответ. А если зачисление невозможно – спросите Вы? Тогда Мерчант отправляет ответ в Банк с кодом ошибки, и Банк выполняет возврат денежных средств клиенту в автоматическом режиме в тот же день.
Теперь рассмотрит рассмотрим формат запроса и ответа для каждого из методов, за что они отвечают и для чего они нужны
CHECK – проведение платежа
Метод отвечает за возможность совершения платежа. На этом шаге выполняется проверка доступности услуги на витрине, в Банке и у Мерчанта. Мерчант в свою очередь, в онлайне, может сходить к Поставщику и проверить валидность идентификатора пополнения у Поставщика, и, если, он не найден или ошибка, отклонить платеж.
Очень часто на этом шаге закладывают минимальные требования к времени отклика ответа на запрос от Мерчанта, т.к. клиент не будет ждать, пока Витрина Банка, сам Банк и Мерчант проверят доступность услуги.
Отличительной особенностью этого шага является так же расчет комиссии. Комиссии бывают:
Верхняя, или горячая – это комиссия с клиента сверх тела платежа (суммы зачисления);
Нижняя или холодная, это комиссия, которую платит Банку Мерчант;
Смешанная – в этой рубрике мы не будем о них говорить;
В нашем примере на check рассчитывается только комиссия с клиента, нижняя и смешанная комиссии рассчитываются в отдельно. Об этом с следующих статьях.
Структура запроса check/XML, шлюз контура Витрина – Банк:
Time – дата платежа;
type – тип источника списания;
code – код валюты перевода, в примере рубли;
amount – сумма зачисления или, по-другому, тело платежа
commission_amount – сумма с учетом верхней комиссии;
service – цифровой идентификатор услуги, который проверяет есть ли вообще такая услуга в Банке и на витрине;
account – контейнер с идентификатором пополнения, в нашем случае – номер телефона;
Когда клиент на витрине нажимает иконку с оплачиваемой услугой, первое, что выполняет система, это проверяет доступность услуги и если она доступна, то дальше обращается в процессинг для проверки источника списания (поля Type и type_number)
Далее если денежные средства есть, проверяет возможность зачисления денежных средств на номер телефона (phone_number в значении 86248541234)
Подождите, секундочку – спросите вы. Что-то здесь не сходится. Как по маскированному PAN в поле type_number можно проверить наличие денежных средств на карте клиента?
Все верно, внимательные читатели обратили внимание, что по маскированному PAN это сделать нельзя.
Авторизация в процессинге выполняется перед check и это отдельный метод и отдельный процесс, посмотрите выше на диаграмму процесса. На проведении платежа мы уже работаем с маскированным PAN, т.к. на этом шаге мы проверяем возможность проведения платежа, а не наличие денежных средств на карте клиента.
Далее мы формируем запрос Мерчанту.
Мы не указываем ни PAN, ни тип источника списания, нас интересует только возможность совершения платежа для конкретного сервиса.
Структура запроса check/XML, шлюз контура Банк – Мерчант:
В ответе Мерчант возвращает все те же самые поля, но появляется дополнительный контейнер со статусом обработки операции, а также идентификатор транзакции в поле id
Структура ответа check/XML, шлюз контура Мерчант – Банк:
Такой ответ будет означать, что Мерчант готов к подтверждению платежа клиентом.
В ответе мы у нас будет временный id транзакции у Мерчанта, а так же статус обработки платежа: status_id == Success (успех) и код ошибки равный 0 (успех) в поле errorCode
Не всегда к нам приходят успешные статусы транзакций и не всегда у нас отсутствуют коды ошибок, но об этом мы поговорим в следующих статьях.
Мы сохраняем ответ и обогащаем его необходимыми для витрины полями, присваиваем идентификатору транзакции мерчанта – идентификатор в Банке и отправляем ответ на витрину.
Структура ответа check/XML, шлюз контура Банк – Витрина
Клиент видит экранную форму пречека, с который каждый из нас знаком: там будет сумма платежа, дата, а так же идентификатор пополняемой услуги.
Если клиент со всем согласен, он нажимает кнопку «оплатить». Теперь отменить платеж можно только по письменному распоряжению плательщика, как правило – при личном обращении в Банк.
В запросе витрина может передать как все поля из предыдущего ответа check, так и просто сумму платежа и идентификатор транзакции, полученной на предыдущем шаге.
Мы будем использовать первый вариант.
PAY – подтверждение платежа
Структура запроса pay/XML, шлюз контура Витрина – Банк :
Банк регистрирует платеж, и сразу отправляет ответ с промежуточным статусом обработки операции «в проведении» в ответ витрине
Структура ответа pay/XML, шлюз контура Банк – витрина:
Клиенту печатается чек о приеме к исполнению платежа, с печатью Банка и он уходит.
Но вы еще к Мерчанту не сходили, не подтвердили у него оплату, не зарегистрировали у него платеж, а уже отпускаете клиента – снова спросите вы?
Все верно, клиент не будет ждать, пока мы сходим и зарегистрируем платеж у Мерчанта, а он свою очередь к своим поставщикам на удаленные системы. Мы уже проверили возможность совершения платежа в онлайне на предыдущем шаге check, а теперь можем отпустить клиента с печатью Банка «в проведении» и зарегистрировать оплату у мерчанта в офлайне.
Для регистрации оплаты у мерчанта, для переданного id транзакции витрины, находим транзакцию мерчанта из предыдущего шага и с ней уже регистрируем платеж.
Структура запроса pay/XML, шлюз контура Банк – мерчант:
В ответ мерчант сообщает статус обработки транзакции, который может принимать статус успех, в проведении или, если оплата была отклонена, ошибка.
Два статуса финальные, а один промежуточный.
Можно сказать, что на этих статусах обязательства и Банка и Мерчанта перед клиентом завершены.
Да, такое бывает достаточно часто, и для решения этой задачи существует отдельный процесс по запросу финального статуса операции как на стороне витрины, так и на стороне Банка, но об этом в следующих статьях.
Номер основного счета (PAN)
Опубликовано 26.05.2021 · Обновлено 26.05.2021
Что такое номер основного счета?
Термин «номер основного счета» относится к 14, 15, 16- или даже 19-значному номеру, сгенерированному в качестве уникального идентификатора, назначенного для основной учетной записи. Номера основных счетов также называются номерами платежных карт, поскольку они встречаются на платежных картах, таких как кредитные и дебетовые карты. Этот номер счета либо тиснен, либо напечатан лазером и находится на лицевой стороне карты.
Краткий обзор
Первичные номера счетов тиснены или напечатаны лазером и могут быть найдены на лицевой стороне карты.
Понимание основных номеров счетов
Основные номера счетов – это уникальные идентификаторы для различных платежных карт, таких как кредитные и дебетовые карты, предоставляющие информацию о держателе карты, такую как имя, баланс, кредитный лимит. PAN также могут использоваться для идентификации других типов карт, на которых хранится стоимость, таких как подарочная или предоплаченная карта.
Поскольку они могут быть единственным номером, связанным с определенной учетной записью, как в случае кредитной карты, номера основных учетных записей также называются номерами счетов. В других случаях они могут не идентифицировать точную информацию о связанной учетной записи. Например, номер дебетовой карты не отражает и не идентифицирует номера счетов каких-либо связанных чековых, сберегательных или других счетов.
Номер основного счета обычно генерируется при открытии счета. Поэтому обычно это первый счет в серии, который может быть открыт клиентом в финансовом учреждении. Номер основного счета также обычно является номером, обозначенным линией обмена в кредитном отчете лица. PAN могут поддерживать ведение учета учетной записи и решение, если с учетной записью возникнут проблемы.
Ключевые выводы
Особые соображения
Самая первая цифра номера основного счета называется основным отраслевым идентификатором, который определяет тип кредитной карты компанией-эмитентом.
Первые шесть цифр идентифицируют сеть кредитной карты, связанную с картой, например 601100 для карт Discover. Последняя цифра называется номером контрольной суммы, который помогает предотвратить создание злоумышленниками поддельных номеров кредитных карт. Цифры между первыми шестью и последней цифрами однозначно идентифицируют счет клиента.
Безопасность номера основного счета
Компании-эмитенты кредитных карт, такие как Visa, просят продавцов принять меры для защиты номеров основных счетов клиентов. Один из таких правил называется усечением PAN. Visa заявляет, что продавцы не обязаны хранить полные номера счетов. Это представляет угрозу безопасности в случае утечки данных. В Соединенных Штатах федеральный закон под названием «Закон о справедливых и точных кредитных операциях от 2003 года» (FACTA) запрещает продавцам печатать на квитанции более 5 последних цифр номера счета держателя карты. Продавцам также запрещено печатать дату истечения срока действия карты.
Номера основных счетов против номеров дополнительных счетов
Финансовые учреждения и кредиторы могут выпускать дебетовые и кредитные карты вторичному пользователю, уполномоченному основным владельцем счета. Если у учетной записи есть дополнительный владелец учетной записи, обе карты могут использовать номер основного счета. Однако в некоторых учреждениях существует политика выдачи карт, которая позволяет вторичному пользователю иметь номер вторичного счета.
Счета бизнес-кредитных карт работают немного иначе. Номер основного счета для корпоративных кредитных карт не отображается ни на одной кредитной карте сотрудника. В этом случае компания, выпускающая кредитные карты, выдает каждому сотруднику карту с отдельными дополнительными номерами счетов. Это упрощает компаниям идентификацию и отслеживание расходов на основе использования карты каждым сотрудником.
Hash pan карты что это
В своё время первая часть этого ликбеза получила широкий отклик и была процитирована аж 6 (шесть. ) раз. Надеюсь, вторая часть вам понравится хоть немного больше.
Сегодня я хочу рассказать про то, как устроена карта, которая лежит у вас в кошельке.
Кстати, как вы думаете, почему я написал «карта, которая лежит у вас в кошельке», а не просто «ваша карта»?
Раньше народ был тёмный, и про карты ходило очень много слухов.
Но теперь есть wiki-педия и любой желающий может посидеть с полчаса и узнать, как сделана карта. Поэтому я расскажу то, что вы не прочтёте в Интернете.
Но сначала скажу, что как правило пластиковая карта имеет определённый размер. Почему «как правило»? Просто есть стандартные карты и карты стандарта «Mini». Кроме того, банк может сделать фигурную карту. Со всякими фигурными вырезами и т.д. Такие карты нельзя использовать в банкоматах, конечно. Кроме того, в них нельзя использовать и прозрачные карты. Да, и такие карты тоже есть. Почему ваш банк не выпускает их? Может в вашем банке про такие карты (решил собрать все такие карты в отдельном сообщении) просто не знают?
Ну, вот. Когда мы разобрались с размерами и формой карты, надо написать пару слов о дизайне. У каждой платёжной системы (Visa, MasterCard, AmEx) есть свои требования к дизайну карт. Хорошо их знают те, кто разрабатывает дизайн карт и те, кто его утверждает. Широкой публике они будут просто не интересны. Только замечу, что дизайн любой карты Visa (например) утверждается в самой «Визе».
Но есть основополагающие вещи, которые есть на любой карте.
1. Магнитная полоса (может отсутствовать).
На магнитной полосе находятся 1, 2 или 3 дорожки с данными.
На первой полосе (специалисты называют её «track 1») записан PAN карты и имя её держателя (если карта именная). Сразу объясню. Имя держателя (если оно есть) написано также на лицевой стороне карты.
Примечание. Вместо имени держателя может быть название организации для корпоративных карт.
PAN (Primary Account Number) – номер карты. «Стандартная» его длина – 16 цифр. Но в реальности он может быть от 7 до 19 цифр. Последняя цифра в номере карты – проверочная. Вы можете посчитать её сами, используя алгоритм сложения по модулю 10 (если интересно, могу его описать).
Карта может быть и не именная (например, Visa Instant Issuer).
На второй полосе карты находится главная информация («track 2»). Она состоит из PAN (номера карты), Expiration Date (дата, по которую включительно карта действительна), Service Code (сервисный код для работы программы терминала или банкомата с картой), Pin Verification Key Indicator, PVV (Pin Verification Value) и CVV1/CVC1.
Расскажу про эти данные.
Expiration Date – срок действия карты. Он также написан на её лицевой части после слов «VALID THRU» или «GOOD THRU». Состоит из двух частей: месяца и года. Обратите внимание, что срок дан «включительно». То есть, написан последний месяц, когда карта должна будет работать. Кроме того, она может иногда и кое-где работать и после его окончания. Бывают бессрочные карты (с «неограниченным» сроком действия).
PVV и Pin Verification Key Indicator – специфичные параметры, используемые для проверки вашего pin-кода.
Всё, что написано после PVV на track 2, называют CVV1 (Card Verification Value) (Visa) или CVC1 (Card Verification Code) (MasterCard).
Иногда на картах может быть и 3-я полоса («track3»). Наверное, зачем-то она и нужна…
Для обслуживания карты в POS-терминале или банкомате обязательно нужен track 2. Данные track 1 часто являются не обязательными (не говоря уж про track 3).
POS (Point Of Sale)-терминал – общее название устройств для приёма банковских карт. Наиболее в мире распространены терминалы фирм Hypercom, Verifone и Ingenico (причём последнюю фирму даже проверка орфографии в Word-е не знает).
Теперь, когда мы разобрались, что записано на полосе, опишу, что обязательно должно быть на лицевой стороне карты.
2. Лицевая сторона карты.
На лицевой стороне карты обязательно должен быть написан номер. Раньше часто его писали не полностью (для Visa Electron, например). Но первые и последние 4-ре цифры должны были присутствовать обязательно.
Первые 4-ре цифры – это BIN (Bank Identification Number) банка. Он пишется на лицевой стороне дважды (не для всех платёжных систем):
BIN выдаётся банку платёжной системой и является уникальным для данного банка. Все карточки, выпущенные банком для этой платёжной системы имеют одинаковый BIN. По первой цифре BIN можно определить платёжную систему (с некоторой степенью достоверности):
3 – AmeEx
4 – Visa
5 – MasterCard
6 – Maestro
На самом деле, это – не совсем так. Банков, выпускающих карты Visa уже давно больше 1000. Поэтому для банка и типа карты важны первые 6-ть цифр. А почему дублируются только первые 4? По стандарту. Описывая BIN нашёл у себя в кошельке 2 карты разных банков, имеющих одинаковые первые 4-ре цифры.
Если интересно, можете проверить первые 6-ть цифр вашего (или – не вашего) PAN-a по этой ссылке:
http://www.binbase.com/csv.php?module=search
(необходимо вводить первые 6-ть цифр номера карты без пробелов и чёрные цифры или буквы )
К сожалению, не больше 3-х раз в день.
Последние 4-ре цифры иногда используются для подтверждения подлинности магнитной полосы: кассир их вводит в терминал и таким образом терминал проводит проверку, что PAN на track 2 карты не был переписан.
Кроме номера, на лицевой стороне карты должна присутствовать Expiration Date.
Кроме того, там должен находиться логотип платёжной системы.
Дальше всё зависит от типа карты. Для Visa Classic, например, обязательно должна быть голограмма с голубем. Этого же голубя можно увидеть, посмотрел на лицевую сторону карты в ультрафиолете.
Всё остальное, что есть на карте – по желанию банка. Например, на одной карте у меня была написана дата выпуска карты, на другой – приставка «MR» перед именем «ROSTISLAV», на третьей есть название фирмы, где я работал, а на четвёртой не было имени, на пятой – логотипа и/или названия банка. Но номер, Expiration Date и логотип платёжной системы есть на всех картах.
Цифры и буквы на лицевой стороне карты могут быть «выдавлены». Или – эмбоссированы. Машина, которая это делает, так и называется «эмбоссер». С помощью таких машин в банках и персонализируют («выпускают») карты из заготовок.
Если карта эмбоссирована, её могут принять к оплате в магазине не только с помощью pos-терминала, но и с помощью импринтера. Москвичи, оформлявшие привязку карты к номеру счёта в МТС, могли видеть эту чудо машину. После «прокатки» карты в импринтере данные с её лицевой стороны копируются на специальный чек. Один чек отдаётся вам, второй – продавцу, третий посылается в банк обычной почтой или другим образом.
Пришло время перевернуть карту и посмотреть на её обратную сторону.
3. Обратная сторона карты.
Там, как правило, есть место, где должен находиться образец вашей подписи.
И кроме подписи там есть какие-то циферки. Они называются CID (Card ID). Его ввод требуется при оплате через Интернет и некоторых других случаях.
Если код из 3-х цифр, то он называется «CVV2» (Visa) или «CVC2» (MasterCard).
Замечу, что для карт AmEx тоже есть такой код. Называется он «Unique Card Code», состоит из 4-х цифр и находится под номером карты на её лицевой стороне:
Как правило перед CVV2/CVC2 находятся последние 4-ре цифры номера карты (как и на лицевой стороне).
Кроме этого, на обратной стороне карты может быть куча разных надписей, логотипов и т.д.
А кто сделал карту, которую вы держите? В России большинство карт производства ROSAN.
А в следующий раз, если соберусь, расскажу, чем так хороши чиповые карты, зачем нужны и как работают.