- •Тема 3 спеціальні платіжні засоби та програмно-технічні комплекси самообслуговування
- •3.1 Сутність спеціальних платіжних засобів та їх особливості
- •3.2 Види спеціальних платіжних засобів
- •3.3 Програмно-технічні комплекси самообслуговування
- •Термінали sagem Monetel виробництва компанії ingenico (Франція) має такі основні функціональні можливості:
- •3.4 Законодавче регулювання операцій з спеціальними платіжними засобами в Україні
Тема 3 спеціальні платіжні засоби та програмно-технічні комплекси самообслуговування
3.1 Сутність спеціальних платіжних засобів та їх особливості
3.2 Види спеціальних платіжних засобів
3.3 Програмно-технічні комплекси самообслуговування
3.4 Законодавче регулювання операцій з спеціальними платіжними засобами в Україні
3.1 Сутність спеціальних платіжних засобів та їх особливості
Спеціальний платіжний засіб - платіжний інструмент (платіжна картка, мобільний платіжний засіб), що виконує функцію засобу ідентифікації, за допомогою якого держатель цього інструменту здійснює платіжні операції з рахунку платника або банку, а також інші операції, установлені договором. Отже, спеціальний платіжний засіб не є грошами, а лише платіжним інструментом, який дозволяє ініціювати його держателю платіжні операції. За допомогою спеціальних платіжних засобів також формуються документи за відповідними операціями, надаються інші послуги держателям спеціальних платіжних засобів.
Спеціальний платіжний засіб може існувати у будь-якій формі на будь-якому, крім паперового, носії, що дозволяє зберігати інформацію, необхідну для ініціювання переказу, має дозволяти ідентифікувати його держателя та є власністю банка-емітента. Спеціальний платіжний засіб може передаватись банком-емітентом клієнту у власність або надаватися в користування відповідно до умов договору між банком-емітентом і клієнтом банку.
Держатель спеціального платіжного засобу - фізична особа, яка використовує спеціальний платіжний засіб для ініціювання переказу коштів з відповідного рахунку в банку або здійснює інші операції із застосуванням спеціального платіжного засобу. Держатель спеціального платіжного засобу зобов'язаний використовувати його відповідно до вимог законодавства України і умов договору, укладеного з емітентом, та не допускати його використання особами, які не мають на це права або повноважень.
Спеціальні платіжні засоби використовуються їх держателями у процесі здійснення платіжних операцій та надання постачальниками платіжних послуг їх користувачам.
Платіжна операція - дія, ініційована держателем спеціального платіжного засобу, з унесення або зняття готівки з рахунку, здійснення розрахунків у безготівковій формі з використанням цього спеціального платіжного засобу за банківськими рахунками.
Трансакція – сукупність операцій, які супроводжують взаємодію держателя спеціального платіжного засобу з платіжною системою при здійсненні платіжної операції.
Платіжна послуга - діяльність щодо забезпечення виконання платіжних операцій з використанням спеціального платіжного засобу, яка здійснюється постачальниками платіжних послуг.
Постачальник платіжних послуг - емітент або еквайр, який надає платіжну послугу користувачу.
Користувач платіжних послуг - фізична або юридична особа, яка відповідно до договору за допомогою спеціального платіжного засобу користується платіжною послугою як платник та/або одержувач.
Держатель спеціального платіжного засобу може бути користувачем платіжних послуг чи його довіреною особою. Довірена особа користувача - фізична особа, яка на законних підставах має право здійснювати операції з використанням спеціального платіжного засобу за рахунком користувача.
У процесі здійснення платіжних операцій, що пов`язані з оплатою вартості товарів чи послуг, крім постачальників та користувачів платіжних послуг, приймають участь торгівці. Торговець - суб'єкт підприємницької діяльності, який відповідно до договору з еквайром або платіжною організацією приймає до обслуговування платіжні інструменти з метою проведення оплати вартості товарів чи послуг (уключаючи послуги з видачі грошей у готівковій формі).
Залежно від умов, за якими здійснюються платіжні операції з використанням спеціальних платіжних засобів, можуть застосовуватися такі платіжні схеми:
1) дебетова схема передбачає здійснення користувачем платіжних операцій в межах залишку коштів, які обліковуються на його рахунку;
2) кредитна схема передбачає здійснення користувачем платіжних операцій з використанням спеціального платіжного засобу за рахунок коштів, наданих йому банком у кредит або в межах кредитної лінії. Користувач частково або в повному обсязі використовує кредит протягом строку дії кредитного договору і зобов'язаний повернути кредит та проценти за користування ним на умовах, установлених кредитним договором.
Надання кредиту користувачам може проводитися шляхом зарахування коштів на їх банківські рахунки чи без такого зарахування коштів шляхом відображення таких операцій за рахунками для обліку кредитів у банку-емітенті (якщо це передбачено кредитним договором з клієнтом).
Кредитна лінія під операції зі спеціальними платіжними засобами відкривається банком на визначений у договорі термін і в межах установленого договором ліміту заборгованості або граничної суми кредитування;
3) дебетово-кредитна схема передбачає здійснення користувачем платіжних операції з використанням спеціального платіжного засобу в межах залишку коштів на його рахунку, а в разі їх недостатності або відсутності - за рахунок наданого банком кредиту.
Спеціальний платіжний засіб, емітований банком-резидентом у вигляді смарт-картки, може мати один чи кілька платіжних додатків, а також нефінансові додатки. Це дозволяє здійснювати операції з ними як у режимі он-лайн (із підтримкою безперервного зв'язку в режимі реального часу з емітентом та еквайром), так й у режимі оф-лайн (без підтримки безперервного зв'язку в режимі реального часу з емітентом та еквайром).
Платіжний додаток - програмний засіб, розміщений в апаратно-програмному середовищі смарт-картки, за допомогою якого здійснюються платіжні та інші операції, передбачені договором. Наявність платіжного додатка (додатків) надає можливість здійснювати операції зі смарт-карткою у режимі оф-лайн.
Нефінансові додатки можуть містити ідентифікаційні дані, інформацію про пільги, страхування та іншу інформацію про держателя. Вони дають змогу ідентифікувати їх держателів та обліковувати виконані ними операції з умовними одиницями обліку (літри, кілограми, штуки тощо) із застосуванням цих спеціальних платіжних засобів у певних системах виплат, надання та обліку послуг, пільг, знижок тощо, реалізованих з використанням технологій і програмно-технічних засобів платіжних систем за участю інших осіб усіх форм власності.
Оф-лайн (off-line) операція - операція, яка здійснюється за схемою, яка не потребує безперервного зв'язку в режимі реального часу з емітентом та еквайром. Під час здійснення такої операції використовується залишок коштів відповідного платіжного додатка платіжної картки, а авторизація операції проводиться не процесинговим центром (чи центром авторизації банка-емітента), а банкоматом (терміналом) чи іншим комплексом, на якому виконується ця операція з використанням модуля безпеки відповідного комплексу, шляхом обміну даними із самою платіжною карткою. У пам`яти такої картки зберігається зашифрована ідентифікаційна інформація, а також інформація про грошові кошти, які знаходяться у розпорядженні власника рахунку. Це забезпечувається тим, що за мікропроцесорними платіжними смарт-картками гроші можуть зберігатися не тільки на банківському рахунку, а й на платіжному додатку картки, що дозволяє виконувати оф-лайн операції и не потребує зв`язку з з емітентом та еквайром. Платіжний додаток може завантажуватися як готівкою, так і з рахунку завантаження клієнта (з будь-якого його поточного рахунку клієнта).
Із метою забезпечення надійної роботи платіжної системи під час надання платіжних послуг спеціальний платіжний засіб має задовольняти таким вимогам:
- його носій (будь-який, крім паперового) має дозволяти зберігати інформацію, необхідну для ініціювання переказу;
- він має дозволяти ідентифікувати його держателя та надати йому право на здійснення платіжної операції у платіжній системі;
- він має відповідати вимогам щодо захисту інформації, передбаченим законодавством.
Для виконання цих вимог спеціальний платіжний засіб має бути персоніфікований та повинна дотримуватися встановлена процедура надання держателю доступу для роботи у платіжній системі з його застосуванням.
Перед видачею держателю виготовленого спеціальний платіжного засобу проводиться процедура персоналізації, яка передбачає нанесення на спеціальний платіжний засіб ідентифікаційної інформації. Це дозволяє ідентифікувати його держателя (з використанням електронних засобів чи візуально) та встановити його справжність (автентичність) під час процедури надання доступу для роботи із спеціальним платіжним засобом у платіжній системі. Процедура персоналізації платіжного засобу включає:
1) нанесення на спеціальний платіжний засіб обов`язкових та додаткових реквізитів у графічному та електронному вигляді. Обов'язковими реквізитами, що наносяться на платіжну картку, є реквізити, що дають змогу ідентифікувати платіжну систему та емітента – товарні знаки, логотипи банка-емітента і платіжної системи, що обслуговує картку. Платіжні картки внутрішньодержавних платіжних систем повинні містити ідентифікаційний номер емітента, визначений в порядку, встановленому НБУ. Крім того, на картку наносяться ім`я держателя картки, номер його рахунку, термін дії картки. На картці може бути присутня його фотокартка і підпис. НБУ веде офіційний реєстр ідентифікаційних номерів банків-емітентів платіжних карток внутрішньодержавних платіжних систем;
2) присвоєння держателю спеціального платіжного засобу ідентифікатора – символічного імені, яке дається кожному користувачеві системи і містить від одного до восьми знаків. Ідентифікатор являє собою унікальну ознаку суб`єкта системи, що дозволяє його розрізнити та розпізнати. У якості ідентифікатора найбільш часто використовувується персональний ідентифікаційний номер (далі - ПІН) - набір цифр або набір букв і цифр, відомий лише держателю спеціального платіжного засобу і потрібний для його ідентифікації під час здійснення операцій із спеціальним платіжним засобом.
Процедура персоналізації завершується внесенням ідентифікаційних даних держателя у базу даних, яку може вести власне банк емітент, тоді банк-емітент функціонує в платіжній системі як on-line банк. Базу даних може вести уповноважений платіжною системою процесинговий центр еквайра чи спеціалізована процесингова установа (якщо банк-емітент не веде власної бази), тоді банк-емітент функціонує в платіжній системі як off-line банк.
Ідентифікаційні дані, що нанесені на платіжну картку, містять у собі алфавітно-цифрові дані, графічну інформацію, а також ідентифікаційні дані у закодованому вигляді.
Алфавітно-цифрові дані – ім`я, номер картки, термін дії та інші можуть бути ембосовані (нанесені рельєфним шрифтом) або неембосовані (випалені). Графічна інформація дає можливість візуальної ідентифікації держателя картки. Із метою захисту карток від підробок, полегшення процедури надання доступу держателям карток для роботи у платіжній системі, автоматичної обробки трансакцій на картці потрібно зберігати певну конфіденційну інформацію і заносити на них ідентифікаційні дані ще й в закодованому вигляді.
Під час персоніфікації можуть використовуватися такі методи запису ідентифікаційної інформації на картку (способи персоналізації) [Пиріг, Вікіпедія та ін.]:
1) штрих-кодування - нанесення на карту цифро-літерної інформації, закодованої у вигляді штрихів різної товщини, аналогічно коду, який застосовується для маркування товару. Штрих-кодування в платіжних системах розповсюдження не отримало та використовується, в основному, в ідентифікаційних та дисконтних картках через його простоту, зручність і невисоку вартість: досить просто піднести штрих-код, нанесений на карту до спеціального зчитуючого сканера, щоб штрих-код був зчитаний в інфрачервоних променях та операція була здійснена. Обладнання для зчитування штрих-коду значно дешевше, ніж обладнання для зчитування інформації з магнітної смуги чи мікросхеми платіжної картки;
2) ембосування - нанесення на поверхню пластикової карти цифро-літерної інформації у вигляді рельєфних знаків із наступним типуванням (фарбуванням) металізованими золотими, срібними чи чорними фарбами. Ембосування здійснюється на спеціальному обладнанні (ембосері) за двома видами шрифтів: за великим - висотою 4,5 мм (тільки цифри); за малим - висотою 3 мм (цифри, літери). Ембосування - це один з найбільш поширених способів персоналізації, що забезпечує можливість механічного копіювання даних на сліпі, наприклад, за допомогою імпринтера. При прокатці ембосованої картці через імпринтер, на сліпі залишаються відомості про реквізити платіжної картки (номер картки та її власника) та набір даних щодо операції з використанням платіжної картки.;
3) індент-друкування - нанесення на поверхню пластикової картки цифро-літерної інформації у вигляді плоских знаків з можливим наступним типуванням (фарбуванням);
4) витискання – процес нанесення зображення тисненням за допомогою штампу (кліше), що розігрітий до визначеної температури з використанням спеціальної фольги стандартних кольорів;
5) нанесення на карту фотографії власника;
6) застосування підписної панелі - спеціального шару, нанесеного на поверхню карти, який дозволяє здійснювати підписи від руки. Нанесення смуги для підпису здійснюється на спеціальному обладнанні. Цей спосіб персоналізації використовується на всіх типах платіжних карт і на ряді клубних карт;
7) нанесення інформації на скретч-панель (Scratch) - непрозорий захисний шар, що наноситься на поверхню картки поверх захисної інформації (пін-коду, виграшного слова та ін.). Scratch-панель використовується у картках передоплати (Інтернет-картках, картках мобільного зв`язку та ін.);
8) застосування магнітної смуги. Магнітна смуга – це магнітний носій ідентифікаційної інформації у вигляді доріжці на зворотній стороні пластикової картки, яка містить у закодованому вигляді інформацію про емітента картки, власника, номер та термін дії картки, рахунок та ін.;
9) застосування як носія ідентифікаційної інформації мікросхеми, яку вмонтовано у смарт-картку та яка має контактну площину чи використовує радіозв`язок для з`єднання з пристроєм для читання карт – карт-ридером.
Персоналізація карток може проводиться різними способами, при цьому, як правило, поширене поєднання кількох способів персоналізації. Максимально використовують способи персоналізації для захисту платіжних карток, які потребують максимальному захисту. Для захисту карток, що не належать до платіжних (дисконтних, ідентифікаційних) використовують, як правило меншу сукупність способів персоналізації. Мінімальна персоналізація застосовується щодо дисконтних карток. Як правило, це - поєднання ембосування і нанесення інформації на магнітну смугу. На ідентифікаційних картках практично завжди застосовується нанесення фотографії власника. Клубні карти, як правило, номерні, деякі використовують смугу для підпису.
Процедура надання доступу для роботи у платіжній системі із застосуванням спеціального платіжного засобу включає такі послідовні етапи:
1) ідентифікація держателя спеціального платіжного засобу – це процедура, яка дозволяє при зверненні держателя спеціального платіжного засобу до захищеної системи його розпізнати та однозначно визначити за допомогою ідентифікатора. Ідентифікація проводиться шляхом порівняння ідентифікатора, що вводить держатель, із ідентифікаційними даними, що містяться на спеціальному платіжному засобі. Ідентифікація держателя може здійснюватися за реквізитами спеціального платіжного засобу, нанесеними на нього в графічному та електронному вигляді Зокрема, ідентифікація передбачає:
- вхід держателя до захищеної системи за допомогою ідентифікатора (наприклад, шляхом набору держателем ПІН-коду на спеціальній клавіатурі для його безпечного введення) через програмно-технічний комплекс самообслуговування ПТКС (банкомат, платіжний терміналу та ін.) чи у касі банку - через комплекс САБ в пункті видачі готівки;
- зчитування за допомогою комплексу ідентифікаційної інформації (ПІН-коду), що міститься на магнітної смузі чи на мікросхемі. Якщо уведений держателем ідентифікатор співпадає з ідентифікатором на спеціальному платіжному засобі, то ідентифікація пройшла успішно;
2) проведення автентифікації держателя. Автентифікація – це процедура, яка проводиться з метою підтвердження належності спеціального платіжного засобу його держателю. Автентифікація передбачає встановлення відповідності держателя спеціального платіжного засобу названому їм ідентифікатору та належності йому іншої ідентифікаційної інформації, що міститься на платіжному засобі, шляхом порівняння уведеного держателем ідентифікатора та інших ідентифікаційних даних з ідентифікаційною інформацією, що міститься у базі даних держателів спеціальних платіжних засобів. Це дозволяє посвідчити або підтвердити справжність (автентичність) держателя спеціального платіжного засобу. Крім автентифікації за допомогою ПІН-коду, можуть використовуватися інші засоби автентифікації, наприклад, за допомогою: пароля чи пари «логін-пароль», що надаються користувачу; спеціального електронного ключа, що перебуває в його ексклюзивному використанні та вводиться держателем у систему для розпізнавання, може зберігатися на смарт-картці чи на USB; профілю біометричних параметрів держателя спеціального платіжного засобу (відбитки пальців, райдужна оболонка ока та ін.);
3) авторизація – це процедура, яка дозволяє отримати держателю спеціального платіжного засобу дозвіл на доступ до платіжної системи для здійснення платіжної операції. Авторизація здійснюється у результаті підтвердження запиту ПТКС чи комплексу САБ, через який здійснюється платіжна операція, про можливість її здійснення держателем спеціального платіжного засобу. У процесі авторизації здійснюється перевірка наявності коштів у держателя і його фінансових можливостей для здійснення платіжної операції та, у разі позитивної авторизації, отримується дозвіл на здійснення операції шляхом надання держателю коду авторизації.
Код авторизації – код, який за результатами позитивної авторизації формується й надається суб`єкту доступу центром авторизації емітента або, за його дорученням, уповноваженими платіжною системою процесинговим центром еквайра-члена платіжної системи чи спеціалізованою процесинговою установою-учасником платіжної системи.
Технологія авторизації залежить від типа платіжної картки, технологічної схеми виконання операції, технологічної оснащеності точки обслуговування.
Залежно від технології розрізняються такі види авторизації:
- он-лайн (on-line) авторизація;
- оф-лайн (off-line) авторизація.
Он-лайн (on-line) авторизація - авторизація, яка передбачає під час виконання платіжної операції наявність безперервного телекомунікаційного зв'язку в режимі реального часу між ПТКС (терміналом, банкоматом) чи комплексом САБ, на якому виконується ця операція, та еквайром, а через нього з емітентом (а саме з центром авторизації), де здійснюється авторизація цієї операції. Такі операції називаються он-лайн операціями.
Он-лайн авторизація та присвоєння коду авторизації (у разі успішної авторизації) здійснюється центром авторизації банка емітента у разі, якщо банк-емітент веде власну базу даних держателів спеціальних платіжних засобів. Запит на авторизацію формується банкоматом (платіжним терміналом) чи іншим комплексом, до якого звернувся клієнт, та надсилається до процесингового центру. Процесинговий центр пересилає запит до центра авторизації банка-емітента. Центр авторизації емітента виконує запит на авторизацію. За результатами авторизації відповідь пересилається від центра авторизації до процесингового центру, а процесинговий центр забезпечує пересилання відповіді до банку-еквайра та до комплексу. Якщо держатель спеціального платіжного засобу не є клієнтом банку-еквайра, то процесинговий центр здійснює подальшу маршрутизацію запиту.
Після успішної авторизації та присвоєння коду авторизації держателю спеціального платіжного засобу здійснюється доставка трансакцій від банкоматної чи термінальної мережі до процесингового центру по захищених каналах телекомунікаційного чи стільникового зв`язку. На підставі накопичених за день протоколів трансакцій процесинговий центр готує та розсилає розрахунковому банку підсумкові дані для проведення взаєморозахунків між банками, а також формує та розсилає банкам-еквайрам стоп-листи. Розрахунковий банк, у якому банки-члени та учасники платіжної системи відкривають кореспондентські рахунки, здійснює оперативне проведення взаєморозрахунків між еквайрами та банками-емітентами.
Оф-лайн (off-line) авторизація - авторизація, яка здійснюється за схемою, яка не потребує під час виконання платіжної операції безперервного зв'язку в режимі реального часу з емітентом та еквайром. Такі операції називаються оф-лайн операціями. Оф-лайн авторизація здійснюється у разі, якщо базу держателів спеціальних платіжних засобів веде не власне банк-емітент, а за його дорученням - уповноважений платіжною системою процесинговий центр еквайра або спеціалізований процесінговий центром, якому еквайр делегував повноваження процесингу. У цьому разі процесинговий центр зберігає дані про ліміти держателів і виконує запити на авторизацію (на підставі результатів звернення до банку-емітенту для перевірки наявності у держателя засобів коштів для здійснення операцій) чи їх подальшу маршрутизацію, а також здійснює обробку запитів на авторизацію і трансакцій.