acs банка эмитента что это

Как работает эквайринг

Объясняем, что такое обратный эквайринг, POS-терминалы, банк-эмитент и зачем бизнесу подключать оплату картами.

Кто участвует в эквайринге

Эквайринг (от англ. acquire — «приобретать, получать») — это безналичная оплата товаров и услуг картой через платёжные терминалы на кассе или у курьера.

Торговая точка — бизнес, владелец которого хочет принимать оплату картами от клиентов и инициирует заключение договора эквайринга.

Банк-эквайер предоставляет бизнесу услугу и оборудование, обслуживает расчётный счёт продавца и получает комиссию от поступлений. Он несёт ответственность за техническую сторону операций по картам в торговой точке и регистрируется в национальных и международных платёжных системах: Visa, Mastercard, American Express, «Мир» и др.

Банк-эмитент — банк, выпустивший карту, которой пользуется клиент для оплаты покупки.

Для приёма платежей используют POS-терминалы (англ. point of sale — «точка продажи»). Через них можно платить обычными и бесконтактными картами, а также другими устройствами, например смартфонами. POS-терминал распечатывает слип-чек — нефискальный документ, подтверждающий операцию.

Как устроен процесс оплаты

Покупатель вставляет банковскую карту в терминал или прикладывает к нему смартфон, и карта считывается. При оплате через интернет покупатель вводит данные карты в специальном веб-интерфейсе.

Информация о платеже направляется в процессинговый центр банка-эмитента. Это подразделение осуществляет и контролирует бесперебойное проведение операций.

Банк-эмитент проверяет сумму остатка на счёте владельца карты. Покупатель подтверждает сделку ПИН-кодом или кодом из СМС. Это дополнительный шаг защиты от мошенничества и неправомерного использования карты. Однако при бесконтактной оплате он встречается довольно редко.

Процессинговый центр банка-эмитента списывает деньги со счёта покупателя и перенаправляет в банк-эквайер.

POS- или мобильный mPOS-терминал печатает два экземпляра слипа. Вместе с ним покупатель получает кассовый чек. При оплате через интернет кассовый чек приходит клиенту на электронную почту.

Банк-эквайер переводит деньги со своего счёта на счёт продавца за вычетом комиссии. Срок обработки платежа зависит от условий договора банка и торговой точки, но не может превышать трёх рабочих дней.

Виды эквайринга

Торговый эквайринг

Такой эквайринг используют в магазинах, предприятиях общепита и сферы услуг. Когда продавец заключает договор с банком, тот устанавливает в точках продавца POS-терминалы. В Сбербанке минимальная ставка торгового эквайринга — 1,6 %.

Банк должен обучить сотрудников компании работе с устройством, обеспечить бесперебойное функционирование терминалов и круглосуточную техническую поддержку. Обязанность продавца — уплачивать банку комиссию, размер которой определяется договором.

На сумму выплат влияют оборот и сфера деятельности. Например, для продуктового магазина комиссия ниже, чем для гипермаркета бытовой техники: во втором случае вероятность возврата товара выше. Если это произойдёт, придётся проводить операцию обратного эквайринга — возвращать деньги на карту покупателя. Это дополнительные затраты для банка, которые покрывает продавец.

Интернет-эквайринг

Так называют способ оплаты в интернете картой или электронными деньгами с использованием специальных интерфейсов, которые помогают сохранить конфиденциальность персональных и платёжных данных покупателя. В качестве дополнительной защиты клиента могут попросить ввести код подтверждения оплаты, высланный в СМС или уведомлении банковского приложения.

Комиссия в интернет-эквайринге самая высокая. Она может составлять в среднем 2,3–3,5 % и взиматься не только с продавца, но и с покупателя. Это связано с тем, что при интернет-эквайринге процессинговый центр обеспечивает повышенную защиту операций: использует системы безопасности и протоколы шифрования, чтобы введенные пользователем данные нельзя было перехватить.

Мобильный эквайринг

С помощью мобильного эквайринга покупатели расплачиваются карточкой в любой торговой точке, даже мобильной. Его подключают таксисты, курьеры, в автолавках, передвижных пунктах продажи и т. п.

Платежи принимаются через установленное на смартфон или планшет приложение, к которому по блютусу или кабелем подключается mPOS-терминал (от англ. mobile point of sale — мобильная точка продажи). Его можно использовать в любом месте, где есть стабильный мобильный интернет, в отличие от стационарных POS-систем в торговом эквайринге.

ATM-эквайринг

В это понятие входит возможность оплаты услуг (ЖКХ, мобильная связь, интернет или телевидение) через платёжные банкоматы, а также выдача наличных и пополнение банковской карты.

Главный минус этой услуги с точки зрения пользователя — комиссия, которую ему приходится платить сверх основной суммы за проведение платежей или при снятии наличных с карты. Чаще всего проценты берут кредитные организации, которые не являются партнёрами банка-эмитента, выдавшего карту.

Источник

Стоимость эквайринга

Всем привет! Обычно когда кто-то начинает сравнивать различных операторов интернет-платежей, разговор начинают со ставки, которую оператор берет за проведение транзакции. Сегодня мы поговорим об этом параметре и постараемся его детально разобрать. Стоимость транзакции (discount rate) для Торгово-Сервисного (ТСП) предприятия обычно задаётся в процентах от суммы платежа, а иногда к процентам добавляется ещё и фиксированная сумма. При этом комиссия взымается за успешную операцию авторизации (authorization), а так же, в некоторых случаях, может взыматься и за отклонённую (declined). Рефанды (refund) и чарджбеки (chargeback) могут облагаться дополнительной комиссией.

В России в основном принято брать % от суммы транзакции за успешную авторизацию. За рубежом к процентам часто добавляется фикса (fixed), при этом фикса может быть разбита по отдельным операциям (authorization, clearing и т.д.). С высокорисковых мерчантов очень часто берут плату как за отклонённую операцию, так и дополнительную стоимость за рефанды и чарджбеки.

Interchange fee (IF)

Был введён в 1971 году Visa’ой (тогда ещё National Bank Americard Inc) для транзакций, в которых в качестве эмитента и эквайера выступали разные банки. Эта комиссия платилась Банком-эквайером Банку-эмитенту и составляла изначально 1.95%. А Банк-эквайер мог установить ставку эквайринга (merchant discount rate) выше interchange fee, чтобы покрыть свои расходы и получить прибыль.

До 1971 года когда держатель карты Банка А делал покупку в ТСП, обслуживаемом Банком Б, вся ставка (merchant discount) передавалась в Банк А. Фактически это правило означало, что Банк-эквайер не получал никакой прибыли с транзакций по картам других эмитентов. Аналогично Visa поступил и MasterCard.

Сейчас Interchange Fee устанавливаются платёжными системами Visa, MasterCard. IF имеет сложное ценообразование, которое зависит от типа используемой карты (классические, премиальные и т.д.), регионов и юрисдикций, кредитная или дебетовая карта, тип и размер ТСП и способу проведения транзакции (в интернете, по телефону MOTO, и т.д.). Например, ставки IRF для премиальных карт обычно будут более высокими, чем для классических карт. А транзакции по кредитным картам будут выше, чем транзакции по премиальным. Продажи, совершаемые без личного присутствия, такие как заказы по телефону или через интернет, обычно имеют более высокие ставки interchange, чем транзакции с личным присутствием держателя карты (POS-терминалы). Так же важно заметить, что ставки interchange — это механизм поощрения эмитирования карт определённого бренда.

Если бы не было IF, банку эмитенту пришлось бы покрывать расходы на обслуживание карт (такие расходы, как предотвращение мошенничества, обслуживание оборудования, поддержку держателей карт). В таком случае банк либо увеличит стоимость обслуживания карт для держателя, либо вообще прекратит их использование.

Кстати, в РФ распространена практика в случае чего заявлять, что “Visa/MasterCard – американские компании. Все вопросы к ним!». На самом деле вопросы по России решаются именно Российскими банками участниками МПС, так же как и регулирование interchange fee находится полностью на их совести. Банкам выгодны высокие ставки IF – они зарабатывают с каждой транзакции.

В странах Европейского союза и Австралии снижения (регулирования) IF добивались через суды. Так например, Европейская комиссия в 2015 году утвердила решение снизить IF для MasterCard’а между членами ЕС до 0.2/0.3% по дебетовым/кредитным картам.

В России средний interchange для e-commerce транзакций с 3D Secure составляет порядка 1.6%. Но ставки различаются между платежными системами. К примеру, MasterCard открыто публикует свои IF. 3D-Secure поддержка на стороне и банка-эмитента, и банка-эквайера попадает в категорию Full UCAF.

Для каждого “набора” IF существует набор комиссий (fees) МПС за различные операции. Кстати, МПС берёт комиссию не только за операции авторизации с эквайера, а так же за различные операции и с эмитента. Ставки МПС достаточно низкие, и в комиссия за авторизацию может составлять сотые доли % от общей суммы. Их отличительная особенность в том, что комиссия за авторизацию фиксированная и зависит от размера суммы и количества операций. В большинстве случае комиссии закрыты, более того правила МПС запрещают эквайерам их разглашение третьим лицам.

Для России после построения НСПК Visa и MasterCard опубликовали свои внутри-российские комиссии:

Например, стоимость клиринга для эквайера с общим ежемесячным кол-во транзакций менее 50 тыс для транзакции менее 5 евро равна 0.0080 ЕВРО = 0.64 РУБ (по курсу 1 ЕВРО = 80 РУБ). Именно по этому многие эквайеры и эмитенты отбивают авторизации на малые суммы (меньше нескольких рублей), так как для них такие транзакции становятся убыточными.

Но если комиссия за авторизацию внутри одной страны составляет сотые доли % от суммы транзакции, то при трансграничных транзакциях МПС уже накладывает ощутимые комиссии. Например, комиссия за межрегиональную транзакцию Visa может составлять 0.4% (так называемая cross-border fee).

Напоследок

Ставка интернет эквайринга практически всегда ниже в той стране, карты чьих банков вы принимаете (накладывание cross-border fee, межрегиональные интерченджи и т.д.). Более того, если компания работает с российским рынком (у неё контрагенты так же находятся в России), а банк-эквайер в Европе, компания так же теряет на двойной конвертации валют:

Тоесть фактически Visa/MasterCard играют роль банков, так как в первом случае вы покупаете валюту, а во втором вы её продаёте.

Спасибо, что дочитали до конца, буду рад ответить на любые вопросы.

Источник

3‑D Secure 2.0: что это такое, и как перейти на новый протокол без лишних затрат?

Рассматриваем, как перейти на новый протокол 3‑D Secure 2.0, не затрачивая на это много ресурсов. А главное, как не потерять в конверсии и не навредить проходимости платежей во время переходного периода.

К концу 2021 года все банки ЕС будут применять новые правила безопасности для интернет-платежей внутри Еврозоны (и подлежат большим штрафам, если этого не сделают). Онлайн-бизнес, который не перейдет на протокол 3DS2, столкнется с серьезной потерей конверсии. Количество отказов по платежам без аутентификации 3DS2 уже сейчас быстро возрастает. Скоро все онлайн-платежи по картам, не прошедшим аутентификацию 3DS2, будут отклоняться эмитентами без рассмотрения.

Mastercard планирует вывести прежний протокол безопасности 3DS1 из эксплуатации в октябре 2022 года. VISA уже в октябре 2021.

Что такое 3DS2?

Техническая суть новшеств – в изменении некоторых программных кодов и автоматических параметров оповещений и запросов на платежный сервер и далее, для проверки и одобрения эмитенту.

Новый протокол формирует два пути прохождения платежей: frictionless flow и challenge flow. В первом случае система верифицирует знакомое устройство пользователя и одобряет платеж без подтверждения SMS-паролем. Во втором случае банковская система сомневается в аутентификации плательщика, и требует предоставить пароль или биометрическую информацию. Она перенаправляет пользователя на ACS-страницу банка-эмитента для ввода одноразового SMS-пароля.

Сервер Управления Доступом (ACS) ответственен за управление процессами аутентификации между покупателем и эмитентом, и гарантирует проведение платежных транзакций для торговца. Система сравнивает собранные данные с предыдущими (историческими) данными о транзакциях держателя карты для вывода значения риска мошенничества, соответствующего новой транзакции.

Что значит введение нового протокола 3DS2 для бизнеса?

Для онлайн-бизнеса и потребителей введение нового протокола 3DS2 на основе стандарта строгой аутентификации SCA означает гарантию безопасности, бесшовности и высокой конверсии платежей. Эмитентам карт для подтверждения каждой операции автоматически отправляется набор параметров о держателе карты и его устройстве, «цифровой отпечаток» плательщика. Если программа проверки «узнает» держателя карты, то обычной процедуры подтверждения платежа одноразовым SMS-паролем не потребуется. Большинство транзакций будет успешно совершаться в одну стадию.

Важно и то, что 3DS2-аутентификация (как и 3DS1) возлагает ответственность за возможный неправомерный платеж на эмитента и снимает ее с онлайн-бизнеса. Еще более значима для бизнеса и поддержка 3DS2 платежей в мобильных приложениях.

Как перейти на новый протокол 3DS 2.0: варианты — от сложного к простому

Для самостоятельного перехода на новую конфигурацию онлайн-бизнесу потребуется команда IT-специалистов и несколько недель работы (в зависимости от существующей схемы платежей на сайте).

Но есть способ лучше. Единичные платежные провайдеры научили свою платежную платформу проводить платежи с поддержкой 3-D Secure 2.0 самостоятельно. Со стороны бизнеса не требуется никаких доработок сайта, а платежная схема для онлайн-продавца и пользователя остается такой же, как и для 3‑D Secure 1.

Так, внутри ECOMMPAY этот сервис называется Proxy 3DS, а в документации значится как базовая схема аутентификации. Это своеобразный «переходник» между ядром нашей платформы (Core) и сервером управления доступом (Access Control Server или ACS).

Proxy 3DS – бесплатный сервис. Он уже работает для существующих клиентов ECOMMPAY и по умолчанию включается, если интеграция с сайтом идет через API (host2host). При подключении через платежную страницу вся обработка платежей, включая 3DS-аутентификацию, как и раньше, идет на стороне платежного провайдера.

Как работает 3DS 2.0 через Proxy 3DS на практике: разные сценарии

Если банк-эмитент держателя карты поддерживает протокол 3-D Secure 2.0, то платежная платформа в ответ на запрос формирует оповещение в привычном формате 3‑D Secure 1, но в качестве URL-адреса вместо ACS будет указан адрес нашего сервиса Proxy 3DS.

При перенаправлении пользователя на Proxy 3DS возможны два сценария:

frictionless flow — отображение скрытого для пользователя окна (iframe) и обмен данными с ACS в фоновом режиме. Другими словами, Frictionless Flow позволяет эмитентам одобрить транзакцию, не требуя ручного ввода данных от владельца карты.

challenge flow — перенаправление пользователя на ACS-страницу банка-эмитента для ввода подтверждающей информации (например, одноразового пароля).

Выполняться может как один из этих сценариев, так и два сценария последовательно. Выбор за эмитентом.

Как перейти на 3-D Secure 2 в одно действие?

Proxy 3DS работает по базовой схеме аутентификации. Сервис поддерживает протокол 3-D Secure 2 на основе предыдущей версии без доработок, но требует дополнительных перенаправлений пользователя.

Расширенная схема оптимизирована под особенности протокола 3-D Secure 2.0 и исключает промежуточные перенаправления. Однако, она предполагает, что торговый сайт уже умеет работать со схемами frictionless и challenge flow.

Для максимально легкого перехода на расширенный вариант сервиса наша команда реализовала обратную совместимость между схемами аутентификации. От системного администратора сайта требуется самостоятельно изменить только один параметр в одном из запросов. Подробности – в нашей документации.

Переход платежных систем и банков по всему миру на новый протокол 3DS2 – вопрос самого ближайшего будущего. Но в условиях, когда не все банки-эмитенты даже в ЕС осуществили этот переход, любой онлайн-бизнес может столкнуться с неожиданным снижением конверсии или частым отказами по транзакциям какого-либо эмитента. Proxy 3DS – оптимальный инструмент для переходного периода в европейской системе безопасности онлайн-платежей.

Клиенты ECOMMPAY, которые интегрируют платежный шлюз через API, работают с 3-D Secure 2 через Proxy 3DS. Это избавляет их от многочисленных доработок для поддержки новой версии протокола.

Чтобы узнать, как упростить переход на новый протокол, свяжитесь с нашими экспертами!

Источник

Что такое торговый эквайринг и

Виды эквайринга

Торговый эквайринг. Включает все безналичные платежные операции, производимые через в местах торговли: магазинах, предприятиях общественного питания, автозаправках, кинотеатрах, аптеках, салонах красоты, спортивных залах, вокзалах, гостиницах.

. В категорию входят терминалы или банкоматы, через которые можно провести оплату услуг — пополнить счет мобильного телефона, оплатить Интернет, ТВ, ЖКХ.

Чем полезен эквайринг торговому бизнесу

Повышение продаж. Покупателям не придется отказываться от покупок, если по причине у них нет с собой наличных денег. Кроме того, многие предпочитают расплачиваться картами кэшбэков — частичного возврата средств после покупки, предоставляемых банками. Известно, что покупатель легче тратит деньги с карты, а средний чек оказывается выше, чем при оплате наличными. Точный рост выручки после внедрения безналичного расчета предсказать трудно, но, в среднем, он составляет не менее 10%.

Сокращение очередей. Терминалы обрабатывают платеж практически мгновенно, снимают точную сумму. Кассир не тратит время на проверку купюр, отсчитывание сдачи. При интенсивном потоке покупателей торговый эквайринг существенно ускоряет расчет на кассе, что позволяет магазину избавиться от больших очередей.

Снижение рисков, расходов. Когда большую часть выручки составляет безналичная оплата, на инкассаторские услуги тратится меньше времени и средств. Кроме этого, при расчете по карте кассир не ошибется в сдаче, махинации невозможны.

Защита от фальшивых денег. Терминал не является защитой от фальшивомонетчиков, но с его помощью можно сократить оборот наличных средств, тем самым снизить убытки приема поддельных купюр.

Повышение качества обслуживания. Забота о комфорте покупателей — очевидное конкурентное преимущество для любого торгового предприятия.

Недостатки эквайринга

В ряде случаев подключение торгового эквайринга может не принести столь очевидной пользы. Среди основных проблем отмечают:

Технические сбои оборудования. В некоторых магазинах можно заметить, что регулярно происходит отказ системы отсутствия связи с банком. Для них наличие терминала становится проблемой, а не выгодным приобретением. Самый простой способ избежать этого — правильно выбрать и кредитную организацию.

Необходимость расходов на покупку, обслуживание аппаратов. Актуально для малого бизнеса или ИП, не имеющих высоких продаж и потока клиентов. Для них эти траты могут оказаться необоснованными.

Убытки от мошенников. Если при оплате банковской картой случаются махинации с банковскими реквизитами покупателя, приводящие к блокировке счета, то продавец обязан компенсировать убытки. Его собственный ущерб возмещается только в случае поимки нарушителя правоохранительными органами.

Как работает эквайринг

Оплата выполняется автоматически, занимает несколько секунд. Сумма покупки резервируется на карте покупателя, становится ему недоступной. Деньги на счет продавца фактически приходят только через несколько дней. Точный срок поступления оговаривается в договоре.

Иногда процесс обмена информацией между терминалом и банковскими системами может растягиваться. Например, если сбоит или из звеньев в силу внутренних неполадок задерживает отклик.

Эквайринг для покупателя и продавца

Со стороны покупателя все просто: он подносит карту к терминалу — списываются деньги, печатается чек. Никаких дополнительных комиссий. Организацию процедуры безналичного расчета и сопутствующие расходы берет на себя продавец.

Для обеспечения торгового эквайринга магазину нужно заключить договор с банком, предоставляющим такую услугу. Самая простая схема выглядит так: кредитная организация открывает для корпоративного клиента расчетный счет, активирует выбранный пакет услуг, передает в аренду или продает в собственность оборудование. Банковское предложение также включает:

Обязательно ли иметь расчетный счет в

Торговые организации должны иметь расчетный счет для ведения бизнеса с контрагентами, уплаты налогов и перечисления заработанных плат. ИП не имеют таких обязательств, но могут открыть его по собственному желанию. Услугу торгового эквайринга предоставляет ограниченное число банков. Если расчетный счет уже оформлен в кредитной организации, не имеющей собственного процессингового центра, то можно создать подключение через посредника, используя имеющиеся реквизиты.

Другой вариант: сменить банк. Часть кредитных организаций предоставляет скидки или бонусы при подключении терминалов только собственным корпоративным клиентам. Некоторые банки в принципе отказываются принимать участие в эквайринге в качестве посредников.

Таким образом, иметь расчетный счет и эквайринг в разных банках можно, но на практике невыгодно, так как обслуживание становится дороже, а срок поступления денег — увеличивается. Удобнее открыть новый счет, чем организовывать безналичные платежи через несколько банков.

Во сколько обойдется эквайринг

Продавец платит комиссию за каждую транзакцию в размере 2–3% от стоимости покупки, что зависит от условий банковского договора. Например, Райффайзенбанк предлагает торговый эквайринг со ставкой 2,29% и бесплатным подключением.

Из чего складывается сумма комиссии:

Источник

3D Secure, или что скрывают механизмы безопасности онлайн-платежей

Электронная коммерция — одна из самых больших и быстро растущих областей, в связи с чем она привлекает внимание как исследователей информационной безопасности, так и злоумышленников. Поэтому хотелось бы разобраться в некоторых аспектах механизмов безопасности, применяемых при проведении онлайн-платежей.

Один из протоколов, используемых для увеличения безопасности онлайн-платежей — 3D Secure. Это протокол, который был разработан на основе XML в качестве дополнительного уровня безопасности платежей, проводящихся без физического участия карты (card not present payment). VISA создала первую версию этого протокола, но вскоре его начали использовать и другие компании (Master Card, JCB International, AmEx, Мир), впоследствии объединившиеся с VISA в содружество EMV. EMV занимается поддержкой и развитием протокола 3DS.

Почему протокол 3D Secure называется именно так?

Полное название этого протокола — Three Domain Secure.
Первый домен — домен эмитента — это банк, выпустивший используемую карту.
Второй домен — домен эквайера — это банк и продавец, которому выплачиваются деньги.
Третий домен — домен совместимости (interoperability domain) — инфраструктура, используемая при оплате картой (кредитной, дебетовой, предоплаченной или другими типами платежных карт) для поддержки протокола 3D Secure. Он включает в себя Интернет, подключаемый модуль продавца (merchant plug-in), сервер контроля доступа (access control server) и других поставщиков программного обеспечения.

Зачем это нужно?

3D Secure обеспечивает новый уровень безопасности путем предоставления дополнительной информации.
Еще одним важным моментом является «перенос ответственности». Это означает, что в случае мошенничества вся ответственность ложится на банк-эмитент. Этот момент является очень важным для продавца (мерчанта), т.к. до появления 3D Secure урегулированием спорных вопросов приходилось заниматься мерчанту.

Также не стоит забывать о двух важных психологических аспектах: повышении доверия к онлайн-платежам и увеличении конверсии.
Конверсия может быть увеличена за счет обновлений протокола 3DS, направленных на сокращение взаимодействия с пользователем.

Версии протокола 3D Secure

В настоящее время большинство платежных сервисов используют версию 1.0.2 при проведении онлайн CNP-платежей, запрашивающих OTP-код.
Версия 1.0.2 была создана в 2001 году и в ней есть некоторые проблемы.

На данный момент актуальной версией является v2.2, и EMV планирует, что к концу 2020-го года она будет использоваться везде.

Как это устроено?

Это основная схема, необходимая для понимания всего процесса платежа с использованием механизма 3DS.

На этом рисунке мы видим все три домена, используемые в протоколе, а также последовательность сообщений между всеми участниками платежной операции.

Как это работает?

Главное, что необходимо понять, — это то, что при использовании своей карты (виртуальной или реальной) для онлайн-оплаты, вы сталкиваетесь именно с протоколом 3DS. Поэтому сейчас мы проиллюстрируем все этапы совершения онлайн-платежа.

1 — Покупатель уже добавил все необходимые ему товары в корзину и нажал кнопку «Оплатить». В этот момент он попадает на страницу MPI-сервиса, где вводит данные своей карты.

После нажатия кнопки оплаты продавец (MPI) инициализирует старт платежного потока и, согласно протоколу, отправляет CRReq-запрос (Card Range Request). Данный запрос необходим, чтобы найти банк-эмитент вашей карты и получить CRR из домена взаимодействия. Этот запрос нас мало интересует.

После этого MPI отправляет VeReq (Verification Request). Этот запрос отправляется банку-эмитенту для проверки того, что 3DS для данной карты включен и карту можно использовать для оплаты.

VeRes (Verification Response) содержит дополнительную информацию для следующего этапа платежа.

Клиенты не могут видеть эти два типа сообщений.

2 — MPI создает PaReq (Payment Request) — запрос на оплату. Этот запрос отправляется через редирект в браузере клиента.

Итогом отправки PaReq становится отображение запроса на ввод OTP-кода.

3 — Клиент вводит OTP-код и возвращается на сайт продавца. Опять же в процессе этого через редирект от банка-эмитента к MPI передается PaRes (Payment Response), который содержит информацию о статусе проверки.

А поподробнее?

CRReq/CRRes для нас не очень важны. А вот VeReq/VeRes рассмотреть нужно.

В VeReq самым важным параметром является идентификатор сообщения, информация о продавце и PAN карты.

VeRes возвращает message id, который необходим, чтобы сопоставить запрос с этим ответом. А status enrolled показывает, что карта поддерживается.
Однако наиболее важным параметром в данном сообщении является URL-адрес. Этот параметр указывает, где находится ACS сервер эквайера и куда нужно отправить PaReq.

Pareq

Браузер клиента, совершающего оплату, может произвести достаточно много редиректов по различным компонентам, участвующим в совершении платежа. Так, в России есть некоторое количество запросов, обрабатывающихся на стороне Национальной Системы Платежных Карт. Но сегодня нас интересует только традиционный этап, описанный в спецификации протокола. А именно этап передачи PaReq.

Платежный запрос, содержащий PaReq (метод POST), имеет три параметра:
1) MD — данные продавца. Он нужен MPI, чтобы сопоставить PaReq и PaRes одной транзакции;
2) PaReq — параметр этого платежного запроса. Он содержит всю важную информацию о платеже;
3) TermUrl — URL-адрес, на который клиент будет возвращен в конце процесса аутентификации 3D Secure.

Параметры TermURL и MD всегда отражаются в ответе на данный запрос. Поэтому могут встречаться имплементации ACS, уязвимые к атакам типа reflected XSS. В процессе аудита различных систем такие сервера были найдены.

Важный момент №1: ACS сервера обрабатывают все входящие PaReq!

Что входит в параметр PaReq?
Вы можете получить его значение, раскодировав PaReq. Это сделать достаточно легко, потому что PaReq — это Xml-> zlib-> base64-> urlencode. Для упрощения работы с этими запросами был написан плагин для burp.

Теперь мы видим, что из себя на самом деле представляет PaReq, а именно сообщение формата xml. Это сообщение содержит информацию о сумме платежа (purchAmount, amount и currency), некоторую информацию о продавце и MessageId (из VeReq).

При отправке правильно сформированного PaReq (в большинстве случаев вам не нужен полный набор запросов на оплату — требуется отправить лишь PaReq, содержащий параметры правильного типа и длины), мы получим PaRes — ответ на платеж, подобный следующему:

Первая мысль, которая может прийти в голову веб-исследователю, который видит XML-запрос — это попробовать выполнить XXE. И это правильный путь!

Но для начала посмотрим на то, что случится, если отправить некорректно сформированный PaReq. Мы получим ошибку! Вот несколько примеров таких ошибок:

Ошибка может помочь получить дополнительную информацию о версии ACS. Некоторые из них могут также оказаться полезными для получения данных из XXE.

Раскрутим XXE

Рассмотрим следующий пример:

acqBIN, merID, xid, date, purchAmount и currency отражаются в PaRes. Однако во всех реализациях ACS, которые мы нашли, удалось использовать только merID. Остальные параметры проверяются на соответствие типам данных.

Еще один интересный параметр (и наиболее полезный для атаки) — это URL. Этот параметр не отражается, но и не проверяется. Поэтому его можно использовать для эксплуатации XXE.

Вернемся к нашему примеру. В одной из реализаций ACS мы обнаружили, что можем читать короткие файлы, а также получать ответ в PaRes error через параметр merID. Таким образом, используя PaReq из примера выше, мы получали следующий ответ:

Тем не менее в большинстве случаев оставалось только использовать параметр URL для получения DNS или HTTP-запроса к нашему сервису. Другой вектор — это выполнить DOS через XXE-атаку «billion laughs» (проверялось на тестовом сервере).

Где это можно найти?

В ходе нашего исследования мы обнаружили несколько распространенных URL-адресов:

И распространенные имена поддоменов:

Впрочем, иногда вы можете найти и другие интересные пути.
Если вы хотите найти что-то новое, используйте proxy interceptor и записывайте процесс совершения платежей для интересующей вас платежной системы.

3D Secure v 2. *

Как мы писали ранее, в 3DS v1.0 есть некоторые проблемы.

Основная проблема в том, что покупатель может использовать множество разных типов устройств. Планшет, мобильный телефон, умные часы, умный чайник и т.д. Но сайт ACS не всегда разработан для взаимодействия со всеми типами устройств.

Для этого в 3DS 2.0 предусмотрели 3DS SDK.

Другая проблема состоит в том, что новый тип защиты требует дополнительного взаимодействия с клиентом. И этот момент влияет на конверсию. Решением проблемы конверсии стала возможность использования механизма управления рисками, который позволяет не заставлять пользователя вводить дополнительные секретные данные, если банк обладает достаточным количеством информации, подтверждающей личность клиента.

Следующий важный момент заключается в том, что технологии аутентификации развиваются. Соответственно, 3DS могла бы использовать не только OTP. Поэтому v2 задумывалась с возможностью расширения поддержки различных механизмов аутентификации.

Интересный факт про v1.0. Люди некоторых стран не доверяли этому протоколу, потому что видели редирект и думали, что это мошенничество!

Этот психологический момент послужил причиной изменения спецификации второй версии протокола для сокрытия момента перенаправления.

Как работает 3D Secure v2?

Начало потока платежей аналогично предыдущей версии. Клиент должен указать данные своей карты.

Первый и самый важный момент — это Risk Engine. В версии 1.0.2 клиенты всегда должны вводить второй фактор, например OTP. Однако в версии 2. * клиент может никогда не увидеть этот дополнительный защищенный запрос.

Особенности работы v2

Если вы посмотрите на схему потока платежей, вы увидите, что она похожа на предыдущую, но во 2-й версии больше этапов. Это происходит за счет добавления дополнительных аутентификационных запросов и механизма Risck Engine, который может совершать как один дополнительный запрос (при платеже через браузер), так и множество (используется 3DS SDK).

Условно, 2-ю версию можно разделить на два блока. Красный, где пользователь непосредственно влияет на передаваемую информацию, и желтый, где система сама собирает и передает информацию о пользователе.

А поподробнее?

AReq (base64url) расскажет все о вас и об устройстве, с которого совершена покупка.
Если вы задумаетесь о том, какой информацией о вас располагают рекламные агентства, то данные AReq вас не удивят. Но если вам кажется, что это плохо, рассмотрите следующий момент: банки знают все о ваших покупках и о вас. С этой точки зрения, некоторая дополнительная информация не так уж и плоха)

Это сообщение необходимо для работы системы управления рисками и упрощения покупок.
Если этой информации оказалось недостаточно, Risk Engine сперва попытается получить дополнительную информацию, и именно в этот момент клиент может получить OTP-запрос.

Что контролирует пользователь?

CReq (base64url json) — challenge request — сообщение, отправляемое браузером пользователя, в случае если ARes вернет сообщение о необходимости провести Challenge Flow.

Если платежный процесс использует 3D Secure SDK, это сообщение будет зашифровано (JWE).

В CReq вы можете увидеть следующие поля:

К сожалению, нам пока не удалось провести достаточно подробное исследование 2-й версии протокола 3DS, поэтому сложно сказать, какие уязвимости встречаются чаще. Вы можете стать первым, кто опубликует исследование на данную тему.

Подведем итоги

Проблемы (найденные и возможные)

На что смотреть в v1

На что смотреть в v2

Тем, кто подумывает обратить свой взгляд на платежные системы, я бы посоветовал остановиться еще и на сервисах, предоставляющих 3DS как SaaS. Там может оказаться еще достаточно много вещей, которые помогут вам понять, как устроен мир онлайн-платежей.

Источник