Система подтверждения намерения держателя платежной карты совершить платеж
Полезная модель относится к области эквайринга. Система может использоваться эквайрером в ходе оказания услуг эквайринга торгово-сервисного предприятия (ТСП) в случаях попытки осуществления платежа держателем платежной карты без физического присутствия самого держателя. Система позволяет в таких случаях подтвердить намерение держателя платежной карты произвести списание средств с карты (платеж). Подтверждение производится в режиме реального времени до проведения платежа путем интерактивного взаимодействия с держателем карты посредством USSD сервиса мобильной связи. При попытке платежа на мобильный телефон держателя карты направляется USSD запрос, содержащий текст с сообщением о попытке платежа и вопрос о согласии держателя карты с платежом. Держатель карты нажатием всего одной кнопки отправляет свое решение в эквайрер (через ТСП или напрямую). На основании полученного решения эквайрер проводит или отклоняет платеж. Работа системы основана на использовании USSD сервиса GSM сетей связи, когда в реальном режиме времени у держателя карты запрашивается подтверждение желания (разрешение) провести оплату с использованием его карты. Условием работы системы является предварительная надежная аутентификация держателя карты в ходе регистрации карты, необходимой для привязки номера мобильного телефона к платежной карте в АПК эквайрера. 3 ил.
Полезная модель относится к области эквайринга, а именно к области безопасности безналичных расчетов с помощью платежных карт международных платежных систем, таких как Visa, MasterCard, JCB International, AmericanExpress и другие (далее - МПС).
Полезная модель может быть применена для проверки намерения произвести платеж (списание средств с платежной кары) держателем платежной карты при совершении им платежа удаленно, без личного присутствия. В данном случае имеются в виду распространенные в последнее время онлайн платежи на веб-сайтах магазинов и платежных систем или платежи при заказе услуги или товара по телефону или по почте.
Известно, что удаленный прием карт к оплате осуществляется путем передачи плательщиком основных параметров карт в эквайрер (здесь и далее под эквайрером понимаются банк, оказывающий услуги эквайринга, а также другие третьи стороны, осуществляющие посреднические услуги банку-эквайреру в рамках оказания последним услуги эквайринга) через торгово-сервисное предприятие (далее - ТСП), посредника или напрямую. Параметры карт отображены (в некоторых случаях эмбоссированы) на самой карте, а именно: номер карты, срок действия карты, специальный код проверки, и иногда имя держателя карты. Для осуществления платежа достаточно знать параметры карты, что позволяет с легкостью применять различные схемы мошенничества, когда плательщик не является держателем карты, но знает ее параметры (подглядел, сфотографировал или просто временно завладел картой). Наряду с распространением онлайн платежей с помощью банковских карт, борьба с мошенничеством приобретает все более массовый характер.
Для предотвращения мошенничества применяются различные схемы и метода, которые в основном сводятся либо к усложнению воровства карт и их данных, либо к дополнительным проверкам плательщика на предмет того, что он является держателем карты, иначе - что именно держатель карты совершает платеж.
Полезная модель направлена на проверку намерения держателя карты произвести платеж, и основано на не применяющемся до сих пор интерактивном взаимодействии эквайрера с держателем карты.
Известна система осуществления многофакторной строгой аутентификации клиента с использованием мобильного телефона в среде мобильной связи при осуществлении финансовой транзакции в международной платежной системе по протоколу спецификации 3-D Secure, содержащая домен обеспечения функциональной совместимости международной платежной системы, предоставляющей физическим лицам услуги при использовании банковских карт как платежного средства, далее по тексту - домен обеспечения и платежная система, домен банков-эмитентов платежной системы, домен банков-эквайеров платежной системы, причем домены банков-эквайеров и банков-эмитентов соединены с доменом обеспечения посредством компьютерных сетей связи, по меньшей мере, один компонент ACS-сервер контроля доступа - спецификации 3-D Secure платежной системы в домене банков-эмитентов, по меньшей мере, один компонент MPI-плагин сервера магазина - спецификации 3-D Secure платежной системы в домене банков-эквайеров, система дополнительно содержит по меньшей мере, одну сеть сотовой мобильной связи стандарта GSM, обеспечиваемую GSM-оператором, по меньшей мере, один мобильный телефон стандарта GSM, подключенный к сети GSM-оператора, с SIM-картой, на которой записана стандартная информация GSM-оператора, а также, по меньшей мере, одна компьютерная программа-апплет, реализующая функциональность банковского приложения и являющаяся компонентом банка-эмитента, блок обеспечения межбанковского и мобильного обмена данными - блок MID, подключенный посредством компьютерной сети связи, по меньшей мере, к одной сети GSM-оператора, по меньшей мере, один блок банка-эмитента - блок i-MAP обеспечивающий обмен сообщениями-сигналами между сервером ACS и блоком MID, подключенный посредством компьютерных сетей связи к блоку MID и, по меньшей мере, к одному серверу ACS, по меньшей мере, один блок банка-эквайера - блок a-МАР, обеспечивающий обмен сообщениями-сигналами между сервером MPI и блоком MID, подключенный посредством компьютерных сетей связи к блоку MID и, по меньшей мере, к одному серверу MPI, по меньшей мере, один сервер получателя платежа, подключенный посредством компьютерной сети связи к серверу МР1, причем каждый сервер MPI подключен посредством компьютерной сети связи, по меньшей мере, к одному серверу получателя платежа (RU 2301449, G06Q 20/00, опубл. 20.06.2007). Данное решение принято в качне6стве прототипа.
В настоящее время известна лишь редкая подобная практика, когда специальный человек-оператор ТСП или эквайрера вручную пытается связаться с держателем карты либо по телефону, либо посредством электронной почты для личного подтверждения последним желания произвести платеж. Однако, для подобной связи оператора с держателем карты необходимо знать его контакты, что не всегда возможно, т.к. для платежа необходимо сообщить лишь данные карты. Кроме того, запрос данных параметров при платеже не гарантирует того, что введенные контакты являются подлинными, т.е. принадлежат именно держателю карты. При платеже мошенник может ввести и собственные контакты, выдав себя за истинного держателя карты. В этом случае операторы предлагают передать копию карты и/или других документов на электронную почту ТСП или эквайрера (оператора) для дальнейшей проверки.
Таким образом, существующая практика проверки намерения держателя карты провести платеж имеет решающие недостатки:
1. ТСП или эквайрер не всегда может знать заранее истинные контакты держателя карты и, таким образом не может гарантированно связаться с последним.
2. Дополнительная проверка держателя карты занимает длительное время и не позволяет проводить проверку в реальном режиме времени. Т.е. платеж должен быть либо проведен и затем проверяется держатель карты, либо платеж отклоняется и после проверки держателя последнему предлагается провести платеж повторно.
3. Проверка возможна только в избирательных случаях, т.к. связываться с держателем карты при совершении каждого платежа фактически расточительно. Для этого в ТСП должны непрерывно работать несколько операторов круглосуточно, что вносит непреодолимую нагрузку на бизнес. Как выход необходимо вводить избирательность и классифицировать операции по рискам. Этот подход вынуждает вести дополнительную аналитику, что опять же ведет к расходам и невозможности проводить проверки в реальном режиме времени.
Настоящая полезная модель направлена на достижение технического результата, заключающегося в повышении безопасности проведения платежных операций с применением карты.
Указанный технический результат достигается тем, что в системе подтверждения намерения держателя платежной карты совершить платеж, проводят обмене USSD сигналами между аппаратно-программным комплексом (АПК) эквайрера и мобильным телефоном по заранее известному и проверенному номеру, принадлежащему держателю карты, который хранится в связке с номером карты в АПК эквайрера, при этом номер мобильного телефона заранее гарантирует связь с истинным держателем карты, что подтвердить желание держателя карты совершить платеж может именно эквайрер; что подтверждение производится в реальном режиме времени в ходе платежа; что дополнительные человеческие ресурсы для поддержания работы изобретения не требуются, что изменения в АПК эквайрера минимальны и необходимы только на этапе осуществления изобретения; что изобретение работает для любого держателя карты в любой стране, с любой валютой, картой любого эмитента; что изобретение автоматизированно; что держателю МПК требуется осуществить минимальные действия в виде простого нажатия кнопки телефона.
Настоящая полезная модель иллюстрируется примером исполнения конкретной системы, представленной на чертежах, где:
фиг.1 - блок-схема системы подтверждения намерения держателя платежной карты совершить платеж;
фиг.2 - представлен алгоритм работы системы по фиг.1 при единовременной регистрации карты;
фиг.3 - представлен алгоритм работы системы по фиг.1 при последующих платежах.
Полезная модель реализует систему проверки намерения держателя карты провести платеж в реальном режиме времени. Условием для действия системы является проверка подлинности держателя карты, проводимая всего один раз - при проведении первого платежа. Такая процедура называется «Регистрация карты» и позволяет зафиксировать в АПК 1 эквайрера номер мобильного телефона 2 держателя карты. Система предполагает, что при последующих платежах на телефон 2 держателя карты, соответствующий введенному номеру карты, будет автоматически направлять USSD запрос 3 через оператора сотовой связи 4, содержащий вопрос о желании произвести платеж. Такой способ проверки платежа, а точнее намерения держателя карты совершить платеж, еще никем не применялся, несмотря на то, что является достаточно простым и быстрым.
USSD (Unstructured Supplementary Service Data) - стандартный сервис в сетях GSM, позволяющий организовать интерактивное взаимодействие между абонентом сети и сервисным приложением в режиме передачи коротких сообщений.
USSD сервис поддерживается в GSM Phase 1 и Phase 2 (инициирование сессии со стороны USSD-приложения). USSD сервис во многом схож с SMS, оба сервиса используют для передачи данных формат коротких сообщений. Однако USSD сервис, в основном, предназначен для обмена сообщениями между абонентом и дополнительными сервисами, в предлагаемом случае, службой автоинформатора эквайрера, тогда как SMS в основном служит для обмена короткими сообщениями между абонентами.
USSD, в отличие от SMS, не имеет промежуточной базы данных и не гарантирует повторную доставку сообщений, что делает обмен сообщениями мгновенным. USSD является сессионно-ориентированной технологией, весь диалог абонента и приложения ведется в рамках одной сессии. В USSD отсутствуют голосовые соединения, используется лишь сигнализационный канал. Обмен данными в USSD-сессии является более наглядным и оперативным. USSD работает на всех существующих телефонах стандарта GSM, за исключением самых ранних моделей 1998-1999 годов выпуска.
Держатель карты в рамках USSD сессии может в реальном режиме времени выбрать на своем телефоне один из вариантов ответа (например, «да» или «нет») путем нажатия всего одной кнопки телефона соответствующей выбранному ответу. Далее АПК эквайрера получает и обрабатывает ответ на USSD запрос, согласно которому и принимает решение о проведении платежа.
Данная полезная модель позволяет в режиме реального времени автоматически проверять намерение каждого держателя карты произвести каждый онлайн платеж посредством своей платежной карты при условии прохождения разовой онлайн процедуры регистрации карты.
Техническим результатом является решение поставленных задач:
1. Проверка производится в реальном режиме времени, включая процедуру регистрации карты, которая может быть несколько
2. Проверяются все платежи.
3. Проверка осуществляется автоматически.
4. Реализация изобретения требует только внесения изменений в АПК эквайрера и заключения договорных отношений с оператором сотовой связи на передачу USSD запросов, что значительно стоимость проверки.
Система подтверждения намерения держателя платежной карты совершить платеж содержит аппаратно-программный комплекс эквайрера, выполненный с возможностью демонстрации веб-страницы для осуществления регистрации держателя платежной карты в режиме удаленного доступа, сервер торгово-транспортного предприятия, выполненный с возможностью приема платежной карты и ввода номера мобильного телефона держателя этой карты и передачи данных о номерах платежной карты и мобильного телефона в блок приема аппаратно-программного комплекса эквайрера, выполненного с функцией сравнения полученных данных с данными, соответствующими это платежной карте и номеру мобильного телефона, находящимися в базе данных, и направления по сети мобильной связи на номер мобильного телефона держателя платежной карты сообщения о подтверждении проводимого платежа. В некоторых случаях страница для ввода банковской карты демонстрируется пользователю сервером эквайрера. Для этого сервер ТСП только перенаправляет пользователя на сайт эквайрера, и уже там пользователь вводит данные карты.
Условием работы такой системы является хранение в базе данных 5 АПК 1 эквайрера номера мобильного телефона 2 держателя карты, при этом этот номер привязан к номеру карты. Система позволяет в реальном режиме времени обмениваться с мобильным телефоном держателя карты сигналами и, тем самым, провести проверку того, что держатель карты намерен провести платеж - подтвердить платеж. Проверка поводится путем направления запроса 3, получения ответа «ДА» или «НЕТ», направлении ответа «ДА» в блок 6 вывода из базы данных 5 сведений о номере мобильного телефона и соответствующего ему номера карты и передачи этих данных в блок 7 контроля и сравнения данных. Откуда соответствующий сигнал по результатам сравнения поступает в АПК на разрешение проведения платежа или запрета на проведение.
В качестве запроса используется письменное сообщение, передаваемое через систему оператора сотовой связи 4 с вопросом о подтверждении желания произвести платеж с указанием суммы и части номера карты. В качестве ответа используется сигнал означающий согласие или несогласие абонента с платежом.
Полезная модель работает в два этапа.
Этап 1 - единовременная регистрация карты (условие работы системы). Регистрация карты подразумевает сохранение номера карты и соответствующего ей номера мобильного телефона держателя карты в АПК эквайрера. Например, для этого плательщику предоставляется возможность, используя персональный компьютер 8 через сеть Интернет 9 ввести номер телефона и дополнительные аутентификационные данные на веб-странице ТСП 10 (если пользователь находится непосредственно в торгово-сервисном предприятии) или эквайрера (АПК 1), которые затем поступают по защищенной линии связи 11 передаются в АПК 1 эквайрера и сохраняются. Для аутентификации можно использовать параметры, сообщаемые держателю карты через банк, эмитировавший его карту. Например, проверочный код или сумму пробного платежа, который потом отменяется. Возможно использование любых существующих технологий, в том числе 3D-Secure. Система требует лишь соблюдения условия аутентификации держателя карты при регистрации его карты.
На фиг.2 представлен алгоритм осуществления этапа 1 системы по полезной модели.
Шаг 1. При первом платеже пользователю предлагается зарегистрировать карту для последующих платежей и исключения использования карты мошенниками. Пользователь при вводе необходимых данных платежа, вводит еще номер мобильного телефона, передает эти сведения по выбранному каналу 12 в АПК 1 и проходит дополнительную аутентификацию, гарантирующую подлинность держателя карты.
Шаг 2. ТСП транслирует введенные пользователем данные в эквайрер виде запроса «Регистрация карты» по защищенному каналу 11 связи.
Шаг 3. Эквайрер проверяет аутентификационные данные и безопасно сохраняет связку номера карты и мобильного телефона в своем АПК 1.
Шаг 4. Эквайрер возвращает результаты проверки пользователя и обработки запроса «Регистрация карты»
Шаг 5. ТСП извещает пользователя об успехе операции. При положительном результате пользователь сможет получать запросы подтверждения любого платежа с помощью его карты, которые проводятся через ТСП, услугу эквайринга которым оказывает данный эквайрер.
Этап 2. Обмен USSD сообщениями при последующих платежах. Система работает в следующем порядке:
1. Плательщик при попытке платежа вводит данные карты, которые затем сообщаются в онлайн запросе платежа в АПК 1 эквайрера.
2. АПК эквайрера через интерфейс оператора 4 мобильной связи инициирует USSD сессию с телефоном, номер которого соответствует номеру карты, введенной плательщиком. В рамках сессии на мобильный телефон сообщается запрос 13, включающий текстовой сообщение, например: «Подтвердите проведение платежа на сумму А с помощью карты Б. Для проведения платежа выберите ответ «Подтверждаю», для отмены - «Отменить»», где А - это сумма платежа, Б - это первые 6 цифр и последние 4 цифры номера карты. Устройство мобильного телефона автоматически устанавливает сессию и принимает сигнал.
3. Абонент просматривает сообщение, переданное в сигнале, и нажатием одной кнопки выбирает ответ «Подтверждаю» или «Отменить». Мобильный телефон в реальном режиме времени направляет ответ в АПК эквайрера через инфраструктуру оператора мобильной связи.
4. АПК эквайрера при получении положительного ответа, например «Подтверждаю», осуществляет проведение платежа с указанными параметрами. При получении отрицательного ответа, например «Отклонить», АПК эквайрера не проводит платеж.
На фиг.3 представлен алгоритм осуществления системой этапа 2.
Шаг 1. Пользователь вводит данные карты на веб странице ТСП.
Шаг 2. ТСП транслирует введенные пользователем данные в эквайрер виде запроса «Списание средств» по защищенному каналу связи.
Шаг 3. Эквайрер проверяет наличие зарегистрированной связки номера карты и мобильного телефона в своем АПК.
Шаг 4. Эквайрер направляет USSD запрос на номер мобильного телефона, соответствующий введенному номеру карты. Запрос содержит сигнал в виде сообщения требующего ответа - подтверждение проведения платежа или отказ.
Шаг 5. Пользователь в рамках сессии подтверждает или отклоняет проведение платежа.
Шаг 6. Эквайрер по результату ответа держателя карты принимает решение по обработке запроса «Списание средств».
Шаг 7. Эквайрер сообщает в ТСП результат обработки запроса «Списание средств».
ТСП извещает пользователя (плательщика) о результате операции (успех или неуспех).
Система подтверждения намерения держателя платежной карты совершить платеж, содержащая аппаратно-программный комплекс эквайрера, выполненный с возможностью демонстрации своей веб-страницы или веб-страницы сервера эквайрера для осуществления регистрации держателя платежной карты в режиме удаленного доступа, сервер торгово-транспортного предприятия, выполненный с возможностью приема платежной карты и ввода номера мобильного телефона держателя этой карты и передачи данных о номерах платежной карты и мобильного телефона в блок приема аппаратно-программного комплекса эквайрера, выполненного с функцией сравнения полученных данных с данными, соответствующими этой платежной карте и номеру мобильного телефона, находящимися в базе данных, и направления по сети мобильной связи на номер мобильного телефона держателя платежной карты сообщения о подтверждении проводимого платежа.
