Мониторинг авторизационных запросов по банковским картам: эмиссия
Полная версия статьи размещена в печатной версии журнала
Цели и методы
1) привлечь внимание к картам/терминалам с аномальной (повышенной) активностью;
2) своевременно обнаружить и выявить подозрительные и мошеннические операции;
3) минимизировать сумму потенциальных (последующих возможных) потерь.
Разумная, логически обоснованная интерпретация событий, связанных во времени, с учетом значений параметров, хранящихся в авторизационных сообщениях, позволяет достаточно обоснованно предположить характер поведения лица, использующего карту. Сочетание явно противоречащих или, наоборот, характерно сопутствующих друг другу обстоятельств является достаточным основанием для проведения расследования и принятия иных адекватных мер (включая немедленное изменение статуса карты, срочное информирование/уведомление держателя и пр.), направленных на снижение возможных рисков и потенциальных убытков как банка, так и клиента.
Решения банков по мониторингу можно классифицировать исходя из того, являются они заказными (разработанными сторонними фирмами) или самописными.
Существует и такая классификация решений по мониторингу:
— основанные на правилах;
— системы искусственного интеллекта;
1) много справочной литературы;
2) хорошая поддержка, много комментариев в сети Интернет;
3) не требуется глубокого знания SQL;
4) можно освоить и начать эффективно использовать в очень короткие сроки;
5) понятный дружественный интерфейс;
6) можно использовать самые разнообразные шрифты для генерации отчетов, в том числе разные шрифты и цвета для разных полей отчетов и форм;
Следует особо отметить, что в ходе проверок (on-site review) инспекторы МПС Visa уделяют повышенное внимание именно аспектам соответствия банков требованиям в части мониторинга. Несоблюдение этих требований приводит к довольно тяжким последствиям вплоть до наложения штрафов.
Основные термины и определения
1) маршрутизация информационных сообщений по картам/в устройствах банка;
2) обслуживание авторизационных запросов по картам/в устройствах банка;
3) предоставление расчетной информации (клиринг) по картам и операциям в устройствах банка.
Методы реализации
В статье акцент будет сделан на реализации системы мониторинга в среде MS Access как наиболее доступной и легкой в использовании.
Совершенно очевидно, что доступ к таблицам Oracle должен быть ограничен режимом «только чтение» во избежание случайного повреждения данных. Хорошей идеей является использование отдельного сервера, хранящего полные копии производственных баз данных Oracle, что легко реализуется на обычном, не серверном, «железе», например под управлением OS Linux и MySQL Server. В задачи системных администраторов будет входить только решение вопроса своевременного ежесуточного копирования необходимых полей таблиц Oracle с производственных серверов на выделенный сервер мониторинга.
Такая схема позволяет за умеренную цену (фактически учитывается только стоимость аппаратного обеспечения платформы) решить сразу несколько задач:
— доступ только к необходимым полям таблиц Oracle;
— гарантия сохранности производственных таблиц Oracle и их данных;
— возможность предоставить доступ к данным только тем пользователям, кому это действительно необходимо.
Реализация накопления данных БД-мониторинга на выделенном сервере под управлением MySQL (или иного другого поставщика ПО, например Oracle, PostGres или MS SQL Server) имеет еще одно важное преимущество: данные можно накапливать практически бесконечно (размер БД-мониторинга будет зависеть только от емкости физического жесткого диска). При импорте данных в таблицы MS Access следует принимать в расчет, что размер файла с данными в этих БД не может превышать 2 Гб.
Для работы и построения СУБД-мониторинга авторизационных запросов по эмиссии, как правило, необходимо иметь доступ к нижеследующим полям авторизационного запроса:
9) идентификатор банка-эквайера (Acquirer ID);
11) номер терминала;
14) сумма и валюта запроса в местной валюте;
15) сумма и валюта запроса в валюте счета;
16) сумма и валюта запроса в единой валюте (вычисляемое значение, см. ниже);
17) Response Code (RC);
18) код авторизации (если был выдан);
19) признак отмены (Reversal);
21) прочие поля, в зависимости от фронтального СПО.
Имея такой инструмент, можно очень легко сравнивать все авторизуемые суммы по одной шкале (в одной валюте), чтобы ошибочно не складывать рубли с тенге, динары с песо, доллары с евро и пр., например при анализе оборотов, построении трендов, вычислении средних значений, генерации любых отчетов и т.д.
Мониторинг авторизационных запросов (эмиссия)
1. Общее количество запросов по карте.
2. Общее количество запросов по карте с разбивкой по МСС высокого риска.
3. Общее количество запросов по карте в одном и том же терминале (ТСП).
4. Общее количество запросов по карте с разбивкой по странам высокого риска.
5. Общее количество попыток ввода неверного пин по карте.
6. Общее количество авторизационных запросов по карте с POS Entry Mode, PEM = ‘02’ (совет: анализировать PEM, отличный от ‘90’).
7. Общая сумма запросов по карте.
8. Общая сумма запросов по карте с разбивкой по МСС высокого риска.
9. Общая сумма запросов по карте с разбивкой по странам высокого риска.
10. Сумма отдельного запроса по карте превышает заданное наперед значение в единой валюте.
11. Сумма отдельного запроса по карте превышает заданное наперед значение с разбивкой по МСС высокого риска.
12. Сумма отдельного запроса по карте превышает заданное наперед значение с разбивкой по странам высокого риска.
13. Анализ cross-border авторизаций по карте (запросы из разных стран в течение некоего наперед заданного промежутка времени, например в одни сутки).
14. Анализ авторизационных запросов по карте в режиме ручного ввода номера карты (key entry mode).
15. Анализ запросов по картам с высоким объемом авторизационных запросов, предваряющихся отказами (в процентном отношении к наперед заданным значениям).
16. Анализ процентного отношения фактически потраченных средств в розничной сети и полученных наличными (сравнение поведения клиента с имеющимся шаблоном).
Легко заметить, что запросы делятся на группы, а именно:
1) общее количество (6 запросов);
2) общая сумма (3 запроса);
3) сумма отдельного запроса (в единой валюте, 3 запроса);
4) сравнительный анализ (4 запроса).
Ниже рассмотрим подробно все 16 обязательных SQL-запросов, которые эмитенты должны ежедневно исполнять и анализировать.
Таким образом, в результате работы каждого из 16 SQL-запросов («выборка») на выходе получаем таблицу из двух столбцов:
1. Общее количество запросов по карте.
В этом SQL-запросе для каждой карты анализируется только общее число (количество) любых (успешных и неуспешных) авторизационных запросов за некоторую дату (как правило, предыдущий рабочий день, в понедельник — за пятницу, субботу и воскресенье, т.е. за все предыдущие рабочие дни).
Это очень простой запрос SQL, в нем для каждой карты нужно вычислить всего лишь общее число событий (авторизационных запросов, имевших место за анализируемый период (календарную дату)).
Например, у нас в портфеле банка 10 карт. Номера карт в примере соответственно от 0 до 9. Если по всем картам за определенную дату (день, предшествующий дате исполнения запроса) не было событий (авторизационных запросов), а по картам 2, 5 и 9 были соответственно 5, 2 и 6 запросов, на выходе в результате работы SQL-запроса (1 — Общее количество запросов по карте) будем иметь следующий результат:
Видно, что наибольшее число баллов (60) набрала карта № 9, так как именно по этой карте зафиксировано наибольшее число событий (авторизационных запросов, любых, не обязательно успешных в контексте данного запроса), что потенциально несет в себе больший риск (возможных финансовых потерь клиента или банка, если клиент — мошенник), чем по картам, не имевшим запросов или имевшим меньшее их число. Данное утверждение относится именно только к числу запросов, а не к общей их сумме или прочим аспектам (МСС, страна и пр.).
2. Общее количество запросов по карте с разбивкой по МСС высокого риска.
Существует устойчивое понятие «МСС повышенного риска» (МСС — merchant category code). К ним традиционно относят такие коды, как 5944, 7995, в последнее время — 6012, 8999 и пр. (на выбор разработчика БД-мониторинга). Официально МПС рассылают участникам ежеквартальные бюллетени, содержащие в том числе и списки МСС повышенного риска. Аналогично предыдущему SQL-запросу в данном анализируется количество событий, МСС которых совпадает с кодами повышенного риска. Точно так же следует начислять «штрафные» баллы по схеме, полностью совпадающей с изложенной выше, — чем больше запросов, тем больше баллов (можно составить таблицу значений начисляемых баллов даже для каждого МСС).
Это чуть более сложный SQL-запрос, в нем нужно анализировать и учитывать число запросов, исходивших из ТСП с определенным МСС, и в случае совпадения значений МСС, считающихся высокорисковыми, начислять соответствующее заданное в таблице МСС количество баллов.
Разработчикам СУБД следует иметь таблицу МСС с эмпирически заданными наперед значениями «штрафных» баллов, например для каждого запроса (успешного/неуспешного) из ТСП с МСС 5944 начислять карте 20 баллов, при запросе из ТСП с МСС 7995 — 100 баллов и т.д.
3. Общее количество запросов по карте в одном и том же терминале (ТСП).
В этом SQL-запросе анализируется количество запросов по карте, сделанных из одного и того же терминала (поле Terminal ID). Чем больше запросов, тем больше число баллов (подозрительно, когда одна и та же карта «гуляет» в одном и том же терминале, очень похоже на «прозвон» доступного остатка или потенциальное мошенничество). Обычно по одной и той же карте совершается 1–2 операции в одном терминале в день, как то предписано в Правилах и Требованиях МПС (оформить все покупки одной транзакцией). Для более жесткого соблюдения условий уникальности терминала можно анализировать еще и поле Acquirer ID, что гарантирует факт соблюдения формального требования МПС (предполагается, что у одного и того же эквайера не может быть терминалов с одинаковыми номерами).
Виртуальный терминал
Виртуальный терминал используется для оплаты услуг по карте клиента силами операторов, имеющих доступ к интерфейсу АПК Ассист. Виртуальный терминал дает возможность провести операции типа MOTO и POS key entry (ввод данных карты в присутствии клиента).
Пользователями виртуального терминала являются сотрудники оффлайн-магазинов или колл-центров (менеджеры, кассиры и т.д.).
Созданием пользователей и назначением прав занимается администратор юридического лица – ответственный сотрудник магазина. Для удобства проведения операций оплат администратор создает специальных пользователей, имеющих доступ только к одному мерчанту. Это позволяет исключить выбор мерчанта в момент оплаты.
Из данного раздела можно провести платежи следующих типов (зависит от настроек мерчанта):
Параметры формы создания платежа приведены в табл. ниже.
Параметры формы создания платежа
Название параметра
Обязательное
Принимаемые значения
Комментарий
Данные о заказе
Номер заказа
Обязательность заполнения определяется настройками мерчанта
Сумма
Сумма платежа в оригинальной валюте (например, 10.34)
Валюта
Выбор из списка доступных значений
Язык
Выбор из списка доступных значений
Язык заказа. На этом языке будут отправляться уведомления и печататься чеки по этому заказу. По умолчанию указан язык интерфейса.
Комментарий
Комментарий к платежу
Данные о плательщике
Фамилия
70 символов без цифр
70 символов без цифр
Отчество
70 символов без цифр
Данные банковской карты
Выбор из списка доступных значений
Номер карты
Срок действия
Держатель
CVV2/CVC2/4DBC
Обычно обязательно, если присутствует на карте
Проведение платежей через виртуальный терминал возможно только при наличии у пользователя соответствующих прав в системе. Проверить наличие необходимых прав можно следующим образом:
Разница между режимами ввода POS (поле 22)
Мне было интересно, может ли кто-нибудь помочь мне понять разницу между ISO 8583 Field 22 i.Pos Entry Mode. Я уже знаю, что:
Но я хочу знать разницу между
Может ли кто-нибудь помочь мне в этом?
Длина поля 22 обычно составляет 3 цифры (или 4 цифры в случае, если она BCD упакована в два байта) в протоколах на основе ISO 8583: 1987 или 12-значных цифр в протоколах на основе стандарта ISO 8583: 1993. Индивидуальные протоколы могут использовать разные субполя содержимого и значения, означающие значение.
Обычно поле 3-значных чисел 22 разбивается на два подполя:
Вот возможные интерпретации:
90 используется в случае данных дорожки, присутствующих в сообщении запроса ISO 8583, 02 – если по той же причине приобретатель или терминальное устройство не имеют права передавать данные трека в сообщениях запроса.
В зависимости от требований протокола могут быть исключения с значениями поля 22. Обычно он проверяется во время сертификатов терминала и сертификатов интерфейса связи.
Я расскажу здесь несколько вещей. Из вышеприведенных комментариев я вижу, что 09 для транзакций электронной торговли, но, согласно моим знаниям для транзакций электронной торговли, мы должны использовать режим ввода PAN как 01 (ручной ввод). Потому что для карты нет режима ввода транзакций всегда в ручном режиме.
Режим записи POS указывает, является ли конкретная транзакция электронной торговлей или POS. Возможные значения:
02 Магнитная полоса, данные дорожки 2 будут игнорироваться
05 Смарт-карта, требуемые данные трека 2
90 Магнитная полоса без данных трека 2
91 бесконтактная карта
95 Смарт-карта, данные трека 2 не требуются
Поделитесь своими идеями с этим
00 PAN Режим ввода неизвестен 01 PAN был введен вручную 02 PAN был введен с использованием считывателя штрих-кодов 03 PAN был введен с использованием считывателя штрих-кода 04 PAN был введен с использованием оптического считывателя символов (OCR) 05 PAN был введен с использованием платы с интегральной микросхемой (IC) 07 PAN был ввод с использованием бесконтактной M/Chip 80 EMV Fallback 81 PAN вводился с использованием электронной торговли, включая чип 90 Надежные данные CVV, полученные с магнитной полосы 91 PAN вводился с использованием бесконтактной магнитной полосы
ЧИТАТЬ КНИГУ ОНЛАЙН: Платежные карты: Бизнес-энциклопедия
НАСТРОЙКИ.
СОДЕРЖАНИЕ.
СОДЕРЖАНИЕ
Важнейшая социально-политическая задача, которую решает сегодня банковская система России, — повышение доступности финансовых услуг для граждан страны. Банковская активность, связанная с «движением в регионы», внедрением карточных продуктов, расширением дистанционного банкинга, позволяет выправить положение и повысить доступность банковских услуг.
Широкое использование банковских карт позволяет кредитным организациям не только расширить бизнес, но и начать предоставление финансовых услуг тем слоям населения, которые ранее не пользовались услугами банков. При этом точками оказания платежных и иных банковских услуг становятся почтовые отделения и точки розничной торговли, в том числе продуктовые магазины, аптеки, розничные торговцы, а также автозаправочные станции. Для малообеспеченных слоев населения применение карточных продуктов может оказаться удобным и эффективным механизмом доступа к финансовым услугам. Для многих малообеспеченных клиентов это может впервые открыть доступ к легальным финансовым услугам, поскольку легальные услуги обычно гораздо безопаснее и дешевле, чем «теневые» (серые) альтернативы.
Ближайшее десятилетие станет проверкой на зрелость российской финансовой системы. В эпоху глобализации и снятия трансграничных барьеров перед участниками денежного рынка и рынка капиталов — коммерческими и инвестиционными банками, биржами, управляющими компаниями и инфраструктурными организациями — встает непростая задача адаптации и сохранения конкурентоспособности.
В этой «гонке технологий» национальный финансовый рынок и органы регулирования находятся в роли догоняющих. Экономические проблемы, связанные со скудостью ресурсной базы, тесно переплетаются с неразвитостью законодательства, правовой неопределенностью, а подчас и прямыми нормативными запретами.
Следует помнить, что быстрое и устойчивое развитие экономики страны зависит не только от внедрения новых, более эффективных производственных и финансовых технологий, но и от готовности и способности населения воспринимать и использовать такие технологии.
Таким образом, необходимо постоянно заботиться о повышении финансовой грамотности граждан России. Эффективность участия населения в современной экономике напрямую зависит от понимания того, каким образом с выгодой для себя можно использовать новые финансовые продукты, и это сделать невозможно без базовых знаний и навыков.
Наряду с банковскими клиентами, так же необходимо повышать знания отечественных экономистов и юристов, рыночных профессионалов, которые не всегда в достаточной мере знакомы с современными финансовыми инструментами, их технологическими и правовыми особенностями. Такие знания и зарубежный опыт распространяются, к сожалению, чрезвычайно медленно. В результате недостаток информации и исследовательской работы приводит к торможению законотворческого процесса и крайне медленному внедрению финансовых инноваций, к появлению не до конца продуманных и малопонятных для западных партнеров нормативных документов.
С учетом сказанного всяческой поддержки заслуживают инициативы, направленные на расширение наших знаний о новых финансовых технологиях — кредитных картах, электронных деньгах, мобильном банкинге и т. п. Вместе мы должны сделать все возможное, чтобы этот инструментарий с полной силой начал работать во благо отечественного финансового рынка и экономики России.
Депутат Государственной Думы, Член
Национального банковского совета,
Президент Ассоциации региональных банков России
А. Г. Аксаков
Бизнес-энциклопедия «Платежные карты» ориентирована на специалистов, работающих с пластиковыми картами в различных сферах бизнеса — сотрудников карточных подразделений банков, процессинговых центров, компаний-производителей карточек и карточного оборудования, специального программного обеспечения, государственных служащих, курирующих социальные программы с использованием карточек в сфере медицины и в социальной сфере. Авторский коллектив книги — исключительно специалисты-практики: сотрудники коммерческих банков, государственных регулирующих органов, компаний, технологически поддерживающих бизнес платежных карт. Это как уже заявившие о себе талантливые авторы (например, при выпуске практической энциклопедии «Пластиковые карты», последнее издание которой вышло в 2005 г.), так, впервые попробовавшие себя в качестве авторов методических материалов для поддержки бизнеса, в котором они работают. Бизнес в карточной сфере развивается стремительно. За прошедшие три года произошли многие изменения: появились новые нормативные документы, регулирующие расчеты по картам, банками запущены и успешно продаются новые карточные продукты, развивается технологическая инфраструктура платежных систем. Обо всех аспектах — бизнес, технологии, нормативные документы, регулирующие данную сферу, налоговое законодательство, зарубежный опыт — Вы сможете узнать в этом издании. Авторский коллектив книги рассчитывает, что книга будет интересна и полезна не только действующим специалистам, но и более широкому кругу читателей, интересующихся карточным бизнесом и технологиями, в том числе студентам ВУЗов. Бизнес- энциклопедия «Платежные карты» показывает качественно новый подход к освещению карточной тематики, который предполагает главенство бизнеса над технологическими аспектами его ведения. Впрочем, огромная важность технологий, равно как и правового регулирования, использования богатого зарубежного опыта и многих других составляющих успешного бизнеса, несомненна, поэтому все этим вопросам в энциклопедии также уделено большое внимание. Бизнес-энциклопедия «Платежные карты» — уникальное издание по широте охвата темы, глубине подачи материала, профессиональности подхода к всем рассматриваемым вопросам жизненного цикла платежных пластиковых карт — производства, выпуска, обращения.
Мы представляем читателям авторский коллектив бизнес-энциклопедии «Платежные карты» с указанием тех разделов книги, которые написаны каждым из авторов (некоторые разделы написаны в соавторстве, о чем указывается). Авакова Ю. М. (независимый эксперт) — «Правовое регулирование платежных карт в Европейском союзе и отдельных европейских странах», Быстров Л. В. (Rosan Finans) — «Мультиаппликационные карты»; Воронин А. С. («Центр исследований платежных систем и расчетов») — «Из истории пластиковых карт», Воронько М. Ю. («Уралсиб») — «Российский рынок торгового эквайринга — динамика, проблематика, факторы роста», «Описание реализации карточного проекта в банке на примере конкретного продукта», Гамольский А. Ю. (РОСБАНК) — «Выбор процессингового решения: собственный процессинг или услуги третьей стороны», «Вступление банка в международную платежную систему посредством спонсорства»; Голдовский И. М. («Платежные технологии») — «Анатомия карточного мошенничества», Грачев А. Н. (BNP Paribas Vostok) — «Процессинг транзакций»; Демчев И. Н. (Газэнергопромбанк) — «Направления развития карточных программ и их реализация»; Ермолаев Е. В. (РосПромБанк) — «Российские платежные системы», «Международная платежная система Master Card»; Ивашутин О. И. (независимый эксперт) — «Платежные карты в системах электронной коммерции»;
key entry
Смотреть что такое «key entry» в других словарях:
Key-entry — Ввод с клавиатуры … Краткий толковый словарь по полиграфии
key entry — To enter data … IT glossary of terms, acronyms and abbreviations
key to — ˈkey to [transitive] usually passive [present tense I/you/we/they key to he/she/it keys to present participle keying to past tense keyed to … Useful english dictionary
Key Biscayne — is an island located in Miami Dade County, Florida, United States, between the Atlantic Ocean and Biscayne Bay. It is the southernmost of the barrier islands along the Atlantic coast of Florida, and lies south of Miami Beach and southeast of… … Wikipedia
Entry inhibitor — Entry inhibitors, also known as fusion inhibitors, are a class of antiretroviral drugs, used in combination therapy for the treatment of HIV infection. This class of drugs interferes with the binding, fusion and entry of an HIV virion to a human… … Wikipedia
Key performance indicator — Key Performance Indicators (KPI) are financial and non financial metrics used to help an organization define and measure progress toward organizational goals [ [http://management.about.com/cs/generalmanagement/a/keyperfindic.htm Key Performance… … Wikipedia
Key Lime Air — airline codes| |LYM|KEY LIME [ [http://www.airlinecodes.co.uk/ Airline Codes (November 2006)] ] is a U.S. airline based near Centennial, Colorado. It was established and started operations in 1997 and operates charter, training and aircraft… … Wikipedia
key punch — noun (computing) An obsolete device operated by a keyboard, which transfers data onto punch cards, etc • • • Main Entry: ↑key * * * key punch, a machine having a keyboard similar to a typewriter, used to code information by punching patterns of… … Useful english dictionary
Entry Sequenced Data Set — Saltar a navegación, búsqueda Entry Sequenced Data Set (ESDS) es un tipo de organización de datos usado en VSAM, un sistema de ficheros de IBM. El acceso a cada registro se realiza en orden secuencial, es decir, el orden en el que fueron escritos … Wikipedia Español
key-seat — keyˈ seat noun A groove for receiving a key, to prevent one piece of machinery from turning on another • • • Main Entry: ↑key … Useful english dictionary
key-desk — keyˈ desk noun The frame enclosing the keyboards, stops, etc of an organ • • • Main Entry: ↑key … Useful english dictionary
