RU2555233C2 - Method for bank card holder to control authorised transactions in payment system using bank card restricting fraudulent transactions in case of compromise of card - Google Patents
Method for bank card holder to control authorised transactions in payment system using bank card restricting fraudulent transactions in case of compromise of card Download PDFInfo
- Publication number
- RU2555233C2 RU2555233C2 RU2013152835/08A RU2013152835A RU2555233C2 RU 2555233 C2 RU2555233 C2 RU 2555233C2 RU 2013152835/08 A RU2013152835/08 A RU 2013152835/08A RU 2013152835 A RU2013152835 A RU 2013152835A RU 2555233 C2 RU2555233 C2 RU 2555233C2
- Authority
- RU
- Russia
- Prior art keywords
- card
- issuer
- transactions
- processing center
- parameters
- Prior art date
Links
Images
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
Description
Область техники, к которой относится изобретениеFIELD OF THE INVENTION
Настоящее изобретение в целом относится к банковским платежным системам, более конкретно к обеспечению безопасности проведения операций в платежных системах с использованием банковских карт.The present invention generally relates to bank payment systems, and more particularly to ensuring the security of transactions in payment systems using bank cards.
Уровень техникиState of the art
В настоящее время использование банковских карт для осуществления финансовых операций стало обыденным явлением нашей каждодневной жизни. Банковские карты используются для снятия наличных в банкоматах, перевода денежных средств, безналичной оплаты товаров и услуг как в магазинах через POS-терминалы, так и в сети Интернет.Currently, the use of bank cards for financial transactions has become a commonplace in our everyday lives. Bank cards are used to withdraw cash from ATMs, transfer funds, cashless payments for goods and services both in stores through POS-terminals and on the Internet.
В основе упомянутых выше и подобных им прозрачных для держателей карт операций лежат сложнейшие программно-аппаратные комплексы платежных карточных систем, которые, в общем, являются распределенными и связанными между собой с возможностью обмена данными и функционирование которых соответствует многочисленным техническим спецификациям и протоколам и регламентируется действующими законами, подзаконными и ведомственными актами, международными договорами, что детально изложено, в частности, в книгах «Пластиковые карты», Быстров Л.В. и др., 5-е изд., Москва: «БДЦ-пресс», 623 с., 2005 г. [D1] и «Пластиковые карты. Практическая энциклопедия», Андреев А.А. и др., Москва: концерн «Банковский Деловой Центр», 310 с., 2-е изд., 1998 г. [D2]. Описание широко известных (в частности, из [D1], [D2]) аспектов платежных карточных систем в настоящем описании не приводится, чтобы не затенять его сути.The above-mentioned and similar operations transparent for cardholders are based on the most complex software and hardware complexes of payment card systems, which, in general, are distributed and interconnected with the ability to exchange data and whose functioning complies with numerous technical specifications and protocols and is regulated by applicable laws , by-laws and departmental acts, international treaties, which is described in detail, in particular, in the books “Plastic Cards”, L. Bystrov et al., 5th ed., Moscow: “BDC-press”, 623 pp., 2005 [D1] and “Plastic cards. Practical Encyclopedia ”, Andreev A.A. et al., Moscow: Banking Business Center concern, 310 pp., 2nd ed., 1998 [D2]. A description of widely known (in particular, from [D1], [D2]) aspects of payment card systems is not given in the present description, so as not to obscure its essence.
В связи с широким использованием банковских карт и расширением способов их использования, а также ростом количества сред, в которых осуществляются операции, с каждым годов все актуальнее становится вопрос их защиты от возможности мошеннического использования. Мошенники активно используют реквизиты компрометированных карт как для изготовления поддельных карт, так и для непосредственного использования этих реквизитов в средах, не требующих физического предъявления карты, в частности для проведения операций оплаты в торгово-сервисных предприятиях через сеть Интернет.Due to the widespread use of bank cards and the expansion of methods for their use, as well as the increase in the number of environments in which transactions are carried out, the issue of their protection against the possibility of fraudulent use is becoming more and more urgent every year. Fraudsters actively use the details of compromised cards both for the manufacture of counterfeit cards and for the direct use of these details in environments that do not require physical presentation of the card, in particular for payment transactions in trade and service enterprises via the Internet.
Международные платежные системы постоянно совершенствуют методы защиты от мошеннических операций, самым радикальным методом на настоящий момент можно считать использование чиповых технологий (банковских смарт-карт EMV-стандарта), главным недостатком которого можно считать стоимость внедрения технологии эмитентами и эквайерами, требующей использования как соответствующих чиповых карт, так и оборудования (банкоматов, POS-терминалов), поддерживающего возможность их обслуживания.International payment systems are constantly improving methods of protection against fraudulent transactions, the most radical method at the moment can be considered the use of chip technologies (bank smart cards EMV-standard), the main disadvantage of which can be considered the cost of introducing the technology by issuers and acquirers, requiring the use of appropriate chip cards and equipment (ATMs, POS-terminals) supporting the possibility of their maintenance.
Специально для сети Интернет, международной платежной Системой Visa был предложен протокол безопасности 3-D Secure. Спецификации протокола Visa 3-D Secure были опубликованы компанией Visa в 2001 году. Он предназначен для обеспечения безопасности платежей с использованием банковских карт в среде Интернет за счет аутентификации эмитентом держателей карт во время онлайновой покупки. Данный протокол иначе именуется Verified by Visa в терминологии Visa и SecureCode в терминологии MasterCard. Введение данного протокола безопасности для платежей через Интернет по банковским картам позволило существенно снизить риск проведения мошеннических транзакций. Недостатками, ограничивающими использование метода защиты с использованием протокола безопасности 3-D Secure, являются достаточно высокая стоимость его внедрения и то, что метод обеспечивает защиту только операций, проводимых в среде Интернет, не защищая карты от мошеннического использования в других средах.Especially for the Internet, the international payment system Visa has proposed the 3-D Secure security protocol. Visa 3-D Secure protocol specifications were published by Visa in 2001. It is designed to ensure the security of payments using bank cards in the Internet environment due to the authentication by the issuer of cardholders during an online purchase. This protocol is otherwise referred to as Verified by Visa in Visa terminology and SecureCode in MasterCard terminology. The introduction of this security protocol for payments via bank cards online has significantly reduced the risk of fraudulent transactions. The disadvantages limiting the use of the security method using the 3-D Secure security protocol are the rather high cost of its implementation and the fact that the method provides protection only for transactions carried out on the Internet without protecting the cards from fraudulent use in other environments.
Также из уровня техники известен метод контроля за активностью использования карты - патент США US 7389275 B2 (System for personal authorization control for card transactions). Система предусматривает возможность применения различного типа ограничений (лимитов) на совершение операций по карте. Держатель карты имеет возможность самостоятельно устанавливать ограничения по видам операций, суммам, количеству операций, категориям торговых точек и их географическому положению и т.п. Ввиду гибкости предусмотренных возможностей по заданию параметров, подобного рода настройка держателем карты профиля разрешенной активности карты позволяет ограничить возможность несанкционированного (мошеннического) использования карты в пределах установленных держателем лимитов и ограничений. Недостатком способа можно считать то, что в пределах установленных лимитов и ограничений могут проходить операции как инициированные самим держателем карт, так и несанкционированные им мошеннические операции. Таким образом, такой метод и система также не обеспечивают полную защиту от использования реквизитов карты в случае ее компрометации.Also known from the prior art is a method for monitoring the activity of using a card - US patent US 7389275 B2 (System for personal authorization control for card transactions). The system provides for the possibility of applying various types of restrictions (limits) on transactions with the card. The card holder has the ability to independently set restrictions on the types of operations, amounts, number of operations, categories of outlets and their geographical location, etc. Due to the flexibility of the provided options for setting parameters, this kind of setting by the cardholder of the profile of the allowed activity of the card allows you to limit the possibility of unauthorized (fraudulent) use of the card within the limits and limits set by the holder. The disadvantage of this method can be considered that within the established limits and restrictions, transactions can be conducted both initiated by the cardholder himself or fraudulent operations unauthorized by him. Thus, such a method and system also do not provide complete protection against the use of card details in case of compromise.
Сущность изобретенияSUMMARY OF THE INVENTION
Существующая идеология использования карты предполагает, что проведение авторизуемых операций по ней возможно в любой момент времени в режиме 24×7. Фактически это приводит к тому, что даже когда держатель карты не предполагает ее использовать, сама карта находится в активированном состоянии и представляет собой некое подобие открытого кошелька, в который может заглянуть кто угодно. Продолжая проводить аналогию с наличными деньгами и кошельком, представляется достаточно странным ходить по улице, держа в руках заранее открытый кошелек с деньгами, объясняя себе это тем, что он открыт потому, что «вдруг захочется что-нибудь купить». Как часто держатель карты пользуется картой в течение дня? Раз, два, а вполне возможно, что вообще не использует ее. А ведь при этом карта-«кошелек» открыта в течение всего дня.The existing ideology of using the card suggests that conducting authorized transactions on it is possible at any time in 24 × 7 mode. In fact, this leads to the fact that even when the card holder does not intend to use it, the card itself is in an activated state and is a kind of open wallet that anyone can look into. Continuing to draw the analogy of cash and a wallet, it seems rather strange to walk down the street, holding a previously opened wallet with money in its hands, explaining to it that it is open because “you suddenly want to buy something.” How often does the cardholder use the card during the day? One, two, but it is quite possible that he does not use it at all. But at the same time, the “wallet” card is open all day.
Естественным продолжением этой мысли является желание предоставить держателю карты возможность держать этот «кошелек» закрытым и открывать его только тогда, когда у того действительно возникает желание расплатиться находящимися в нем деньгами.A natural continuation of this thought is the desire to provide the cardholder with the opportunity to keep this “wallet” closed and open it only when he really has a desire to pay off the money in it.
Задачей настоящего изобретения является создание способа контроля держателем банковской карты возможности осуществления авторизационных транзакций в платежной системе с использованием банковской карты, ограничивающего возможность проведения мошеннических операций в случае компрометации карты, предоставляющего держателям карт механизм управления разрешением/запрещением совершения авторизуемых операций по карте и в целом обеспечивающего минимизацию риска несанкционированного использования карты.The objective of the present invention is to provide a method for a bank card holder to control the possibility of authorization transactions in a payment system using a bank card, limiting the possibility of fraudulent transactions in the event of a card being compromised, providing cardholders with a mechanism to control the authorization / prohibition of authorized transactions on the card and generally minimizing risk of unauthorized use of the card.
Второй задачей настоящего изобретения является создание способа контроля держателем банковской карты возможности осуществления авторизационных транзакций в платежной системе с использованием банковской карты, ограничивающего возможность проведения мошеннических операций в случае компрометации карты, который возможно внедрить и использовать в уже существующую технологию контроля проведения авторизационных операций.The second objective of the present invention is to provide a method for a bank card holder to control the possibility of authorization transactions in a payment system using a bank card, limiting the possibility of fraudulent transactions in the event of a card being compromised, which can be implemented and used in an existing technology for controlling authorization operations.
Дополнительной задачей настоящего изобретения является обеспечение простоты контроля операций при создании минимальных неудобств держателям карт при проведении привычных операций с картами.An additional objective of the present invention is to provide ease of control operations while creating minimal inconvenience to cardholders during the usual operations with cards.
Техническим результатом от использования заявленного изобретения является уменьшение риска осуществления несанкционированных держателем карты (мошеннических) операций по карте в случае ее компрометации. При этом заявленное изобретение позволяет минимизировать риск проведения несанкционированных держателем карты операций в любых средах использования карт.The technical result from the use of the claimed invention is to reduce the risk of unauthorized cardholder (fraudulent) card transactions in case of compromise. At the same time, the claimed invention allows to minimize the risk of carrying out operations unauthorized by the cardholder in any card use environment.
Техническим результатом от использования заявленного изобретения является так же то, что его использование возможно уже на основе существующих технологий контроля проведения авторизуемых операций, в частности с применением существующих систем SMS-информирования о совершаемых операциях и особенно активных SMS-сервисов по карте.The technical result from the use of the claimed invention is also that its use is possible already on the basis of existing technologies for monitoring the conduct of authorized operations, in particular with the use of existing SMS-information systems for transactions and especially active SMS services on the card.
Поставленные задачи с достижением указанного технического результата решаются за счет следующего:The tasks with the achievement of the specified technical result are solved due to the following:
первым существенным признаком является то, что изначально (в нормальном, постоянном для карты состоянии) проведение каких-либо авторизуемых операций по карте запрещено. Это определяется параметрами карты в ПЦ эмитента, например состоянием карты «не обслуживать» или же запрещающими авторизацию лимитами на совершение операций, например нулевым значением лимита на количество операций в сутки;the first essential sign is that initially (in a normal, constant state for the card) any authorized operations on the card are prohibited. This is determined by the parameters of the card in the issuer's customer service center, for example, the status of the card “do not serve” or the limits for transactions that prohibit authorization, for example, the zero limit on the number of operations per day;
вторым существенным признаком является возможность держателя карты изменять указанные выше параметры карты на разрешающие, путем подачи аутентифицированного запроса в ПЦ эмитента, например, с использованием неголосовых SMS-сообщений в среде мобильной связи с заранее зарегистрированного в ПЦ эмитента номера мобильного телефона;the second essential feature is the ability of the card holder to change the above card parameters to allowable ones by submitting an authenticated request to the issuer's customer center, for example, using non-voice SMS messages in a mobile communication environment from a mobile phone number registered in the issuer's personal computer in advance;
третьим существенным признаком является то, что аутентифицированным запросом на изменение вышеуказанных параметров карты, разрешающих или запрещающих проведение операций, держатель карты может предварительно разрешить проведение одной, нескольких или неограниченного количества операций, в том числе на заданный им промежуток времени, например разрешить проведение операций на 30 минут;the third significant sign is that an authenticated request to change the above card parameters that allow or prohibit operations, the card holder may pre-authorize one, several or unlimited number of operations, including for a specified period of time, for example, allow operations to be performed for 30 minutes
четвертым существенным признаком является то, что авторизуемая операция может быть одобрена ПЦ эмитента только в случае, если держателем карты были предварительно аутентифицированным запросом установлены параметры карты, разрешающие ее проведение, например, держателем карты разрешено проведение одной операции, в таком случае один запрос на авторизацию пройдет стандартную (штатную) процедуру авторизации, все последующие запросы будут отклонены.the fourth significant sign is that the authorized operation can be approved by the issuer's HRC only if the cardholder has set up the card with parameters pre-authenticated by the card allowing it to be carried out, for example, the cardholder is allowed to carry out one operation, in which case one authorization request will pass standard (standard) authorization procedure, all subsequent requests will be rejected.
Краткое описание чертежейBrief Description of the Drawings
Изобретение поясняется схемами.The invention is illustrated by diagrams.
Фиг.1 - блок-схема последовательности операций предпочтительного варианта осуществления способа согласно настоящему изобретению.1 is a flowchart of a preferred embodiment of a method according to the present invention.
Фиг.2 - схема, иллюстрирующая особенности проведении авторизации в предпочтительном варианте осуществления способа согласно настоящему изобретению.Figure 2 is a diagram illustrating the features of authorization in a preferred embodiment of the method according to the present invention.
Фиг.3 - схема, иллюстрирующая особенности проведении авторизации и получения отказа в авторизации в предпочтительном варианте осуществления способа согласно настоящему изобретению.Figure 3 is a diagram illustrating the features of authorization and denial of authorization in a preferred embodiment of the method according to the present invention.
На Фиг.1 и 2 присутствуют следующие обозначения:In figure 1 and 2 there are the following notation:
ПЦ эмитента и ПЦ эквайера - процессинговый центр (ГТЦ) эмитента и процессинговый центр эквайера соответственно.The Issuer's HRC and the Acquirer's HRC are the issuer's processing center (GTC) and the acquirer's processing center, respectively.
ПЦ, вообще говоря, является целостной системой, представляющей собой комплекс взаимосвязанных программно-аппаратных решений, которая обеспечивает жизненный цикл банковских продуктов на основе банковских карт и, соответственно, отвечает за проведение связанных с ними операций и управление ими. ПЦ включает в себя ряд подсистем, в частности фронт-офис.The HRC, generally speaking, is a holistic system, which is a set of interconnected software and hardware solutions that provides the life cycle of banking products based on bank cards and, accordingly, is responsible for conducting related operations and managing them. The PC includes a number of subsystems, in particular the front office.
Фронт-офис - фронт-офис процессингового центра, выполняющий, в том числе, авторизационные функции.Front-office is the front-office of the processing center, which performs, inter alia, authorization functions.
ПС авторизации - подсистема авторизации, являющаяся частью фронт-офиса, непосредственно выполняющая авторизационные функции (отказ/подтверждение авторизации операции).Authorization PS - an authorization subsystem that is part of the front office that directly performs authorization functions (refusal / confirmation of operation authorization).
СА с SMS-интерфейсом - сервер аутентификации с SMS-интерфейсом.CA with SMS interface - authentication server with SMS interface.
ПАИПАК - подсистема аутентифицированного изменения параметров активности карты.PAIPAK - a subsystem of authenticated changes in the card activity parameters.
БД ПА - база данных параметров активности карт.PA database - database of activity parameters for maps.
Фиг.4 и 5 иллюстрируют возможный вариант реализации интерфейса программного обеспечения телефона/смартфона, обеспечивающего формирование и отправку запроса на изменение параметров активности карты.FIGS. 4 and 5 illustrate a possible embodiment of a telephone / smartphone software interface providing for the generation and sending of a request for changing card activity parameters.
Описание предпочтительного варианта осуществления изобретенияDescription of a preferred embodiment of the invention
Далее со ссылками на Фиг.1, 2, 3, 4, 5 излагаются в общих чертах структура и принципы функционирования настоящего изобретения, при этом описание широко известных (в частности, из [D1], [D2]) аспектов платежных карточных систем не приводится, чтобы не затенять его сути.Next, with reference to FIGS. 1, 2, 3, 4, 5, the structure and principles of the operation of the present invention are outlined, with the description of widely known (in particular, from [D1], [D2]) aspects of payment card systems not provided so as not to obscure its essence.
Предварительно, для идентификации держателя карты в процессинговом центре эмитента карты регистрируется номер мобильного телефона держателя карты.Previously, for identification of the card holder, the card holder’s mobile phone number is registered in the processing center of the card issuer.
Предполагается, что новыми средствами или настройкой имеющихся программно-аппаратных средств в ПЦ эмитента реализуются функции, обеспечивающие возможность обеспечения следующего функционала:It is assumed that with new tools or customization of existing hardware and software in the issuer's PC, functions are implemented that provide the ability to provide the following functionality:
- аутентификация поступающих запросов в виде SMS-сообщений на изменение параметров активности карт (СА с SMS-интерфейсом - сервер аутентификации с SMS-интерфейсом);- authentication of incoming requests in the form of SMS messages to change the activity parameters of cards (CA with SMS interface - authentication server with SMS interface);
- аутентифицированное изменение параметров активности карт по поступающим запросам от держателей карт через СА с SMS-интерфейсом, а также анализ поступающих авторизационных транзакций с выдачей разрешения на проведение стандартной процедуры авторизации, а также корректировка параметров активности карт при успешном проведении авторизации (ПАИПАК - подсистема аутентифицированного изменения параметров активности карты);- authenticated change of card activity parameters for incoming requests from card holders via a CA with an SMS interface, as well as analysis of incoming authorization transactions with permission to conduct a standard authorization procedure, as well as adjustment of card activity parameters when authorization is successful (PAIPAK - authenticated change subsystem card activity parameters);
- хранение зарегистрированных номеров мобильных телефонов держателей карт и параметров активности карт (БД ПА - база данных параметров активности карт).- storage of registered mobile phone numbers of cardholders and card activity parameters (PA database - database of card activity parameters).
При реализации заявленного способа выполнение авторизуемых операций с использованием банковских карт состоит из 2-х последовательно выполняемых фаз.When implementing the inventive method, the execution of authorized operations using bank cards consists of 2 sequentially executed phases.
Изначально параметры карт в процессинговом центре эмитента карт, определяющие возможность авторизации операций по ним (например, статус карты или зарегистрированные в процессинговом центре эмитента лимиты активности карты), имеют значения, не допускающие проведения любых авторизационных транзакций по картам.Initially, the parameters of the cards in the processing center of the card issuer that determine the possibility of authorization of operations on them (for example, the status of the card or the limits of activity of the card registered in the processing center of the issuer) have values that do not allow any authorization transactions with the cards.
Фаза 1
Изменение параметров карты, определяющих возможность авторизации операций по ней.Change card parameters that determine the possibility of authorizing operations on it.
На этапе 1 держатель карты направляет в процессинговый центр эмитента карты запрос на разрешение операций по карте в виде неголосового сообщения (SMS-сообщения) с использованием мобильного телефона или подобного ему устройства с номера мобильного телефона, предварительно зарегистрированного в процессинговом центре эмитента карты. Формат и содержание сообщения определяются ПЦ и предварительно известны держателю карты. Формирование и отправка сообщения может производиться с использованием специально разработанного программного обеспечения телефона/смартфона, возможный вариант реализации его интерфейса приведен на Фиг.4 и 5.At
Далее, на этапе 2 СА с SMS-интерфейсом, являющийся элементом ПАИПАК получает направленный держателем карты запрос и на этапе 3 осуществляет аутентификацию держателя карты по номеру мобильного телефона, с которого отправлен запрос.Further, in step 2, the CA with the SMS interface, which is a PAIPAC element, receives a request sent by the card holder and in step 3 authenticates the card holder by the mobile phone number from which the request was sent.
В случае если аутентификация пройдена успешно (указанный номер мобильного телефона зарегистрирован в ПЦ и, возможно, параметры запроса, ссылающиеся на конкретную карту указывают на принадлежность этой карты держателю карты с зарегистрированным в ПЦ номером мобильного телефона, с которого отправлен запрос) ПАИПАК на этапе 5 осуществляет изменение параметров карты, определяющих возможность авторизации операций по ней, новые параметры отражаются в БД ПА для соответствующей карты.If authentication is successful (the indicated mobile phone number is registered in the processing center and, possibly, the request parameters that refer to a specific card indicate that the card belongs to the card holder with the mobile phone number registered in the processing center from which the request was sent), PAIPAK performs
Далее, после отражения новых параметров в БД ПА на этапе 6 направляется ответное неголосовое сообщение (SMS-сообщение) на зарегистрированный в ПЦ номер мобильного телефона держателя карты с целью его уведомления об успешности обработки запроса.Then, after reflecting the new parameters in the PA database at
В случае если аутентификация не пройдена, изменение параметров карты, определяющих возможность авторизации операций по ней, не производится. При этом возможно направление на зарегистрированный в ПЦ номер мобильного телефона держателя карты неголосового сообщения (SMS-сообщения) о не успешной попытке изменения параметров карты.If authentication is not passed, changing the card parameters that determine the possibility of authorizing operations on it is not performed. In this case, it is possible to send a non-voice message card holder (SMS message) to the mobile phone number registered in the PC about an unsuccessful attempt to change the card parameters.
Результатом выполнения фазы 1 является изменение параметров карты, определяющих возможность авторизации операций по ней в состояние, позволяющее провести держателю карты авторизуемую операцию (или несколько операций, в зависимости от установленных в запросе параметров).The result of
Фаза 2Phase 2
Проведение операций по карте, требующих авторизации.Carrying out operations on the card requiring authorization.
После выполнения фазы 1 операции по карте могут быть совершены держателем в любое удобное для него время. Тем не менее, подразумевается, что фаза 1 непосредственно предшествует фазе 2.After performing
На этапе 7 держатель карты осуществляет использование карты, а именно проводит операцию выдачи наличных в банкомате, в POS-Cash, оплачивает товары или услуги, предъявляя карту мерчанту, проводит операцию оплаты в сети Интернет и т.п. Операция на этапе 7 проводится обычным (как предусмотрено условиями использования карты) способом.At
На этапе 8 в результате использования карты происходит формирование и передача в ПЦ эмитента карты авторизационного запроса на проведение операции.At
Фронт-офис ПЦ эмитента захватывает авторизационную транзакцию. Полученный ПС Авторизации авторизационный запрос на этапе 9 проходит проверку с использованием ПАИПАК, на котором ПАИПАК анализирует зарегистрированные в БД ПА параметры карты, определяющие возможность авторизации операций по ней.The front office of the issuer's HRC captures an authorization transaction. The authorization request received by the Authorization Substation in step 9 is verified using PAIPAC, where PAIPAC analyzes the card parameters registered in the PA database that determine the possibility of authorizing operations on it.
Если на этапе 9 ПАИПАК определено, что зарегистрированные в БД ПА параметры карты, определяющие возможность авторизации операций по ней, позволяют проведение операции, то осуществляется этап 11, на котором ПС Авторизации проводится стандартная процедура авторизации, в рамках которой осуществляются, в частности, следующие проверки допустимости выполнения запрошенной операции:If it is determined at PAIPAK stage 9 that the card parameters registered in the PA database that determine the possibility of authorizing operations on it allow the operation to be performed, then step 11 is performed, at which the Authorization substation carries out the standard authorization procedure, in which the following checks are carried out, in particular admissibility of the requested operation:
- статус, срок действия и подлинность карты;- status, validity and authenticity of the card;
- достаточность средств для осуществления операции;- sufficiency of funds for the operation;
- допустимость типа операции;- the validity of the type of operation;
- ограничения по разовой или суточной сумме операций или другие ограничения.- restrictions on a one-time or daily amount of operations or other restrictions.
При успешном прохождении стандартной процедуры авторизации на этапе 12 ПАИПАК осуществляет корректировку в БД ПА параметров карты, определяющих возможность авторизации операций по ней с учетом успешности проведения последней операции.Upon successful completion of the standard authorization procedure at step 12, PAIPAK adjusts the parameters of the card in the PA database that determine the possibility of authorizing operations on it taking into account the success of the last operation.
Например, если держателем карты предварительно было разрешено проведение одной операции, то на этапе 12 ПАИПАК изменяет параметры карты, определяющие возможность авторизации операций по ней на не допускающие проведения любых авторизационных транзакций по карте.For example, if a cardholder had previously been allowed to carry out one operation, then at step 12 PAIPAK changes the card parameters that determine the possibility of authorizing operations on it to prevent any authorization transactions on the card.
Если на этапе 9 ПАИПАК определено, что зарегистрированные в БД ПА параметры карты, определяющие возможность авторизации операций по ней, запрещают проведение операции, то осуществляется этап 10, на котором происходит отказ в авторизации без проведения ПС Авторизации стандартной процедуры авторизации.If it is determined at PAIPAK stage 9 that the card parameters registered in the PA database that determine the possibility of authorizing operations on it prohibit the operation, then step 10 is performed, at which authorization is denied without the Authorization Substation using the standard authorization procedure.
Далее, на этапе 13 Фронт-офис ПЦ эмитента формирует и направляет ответ на авторизационный запрос, разрешающий или запрещающий проведение запрошенной на этапе 7 операции. Соответственно, в зависимости от полученного на этапе 13 ответа, операция на этапе 14 завершается предоставлением запрошенной услуги (снятие наличных, проведение операции оплаты и т.п.) или же отказом в ее осуществлении.Next, at
Результатом выполнения фазы 2 является разрешение или запрещение запрошенной авторизуемой операции в зависимости от установленных параметров карты, определяющих возможность авторизации операций по ней и корректировка этих параметров в случае успешного проведения операции.The result of phase 2 is the permission or prohibition of the requested authorized operation, depending on the installed parameters of the card, determining the possibility of authorizing operations on it and adjusting these parameters in case of a successful operation.
Следует отметить, что благодаря наличию фазы 1, возможность проведения несанкционированных (мошеннических) операций на фазе 2, проиллюстрированных на Фиг.3, ограничена периодом времени, в котором параметры карты, определяющие возможность авторизации операций по ней, находятся в разрешающем состоянии. Таким образом, в случае применения фазы 1 для разрешения проведения единственной операции непосредственно перед проведением фазы 2 практически исключается возможность несанкционированного использования карты.It should be noted that due to the presence of
Используемая терминологияTerminology used
Авторизационная транзакция (Authorization) - совокупность операций для получения разрешения или отказа, предоставляемого банком-эмитентом для проведения операции на определенную сумму с использованием банковской карты, порождающее обязательство эмитента по исполнению операции на упомянутую сумму, запрашиваемая сумма блокируется на счете клиента.Authorization transaction (Authorization) - a set of operations for obtaining permission or refusal provided by the issuing bank to conduct a transaction for a certain amount using a bank card, which generates the issuer's obligation to execute the operation for the said amount, the requested amount is blocked on the client’s account.
Аутентификация (Authentication) - подтверждение подлинности данных и субъектов информационного взаимодействия исключительно на основе самих полученных данных (при информационном взаимодействии данные получены от заявленного отправителя и неискажены).Authentication - confirmation of the authenticity of data and subjects of information interaction solely on the basis of the data received themselves (in the case of information interaction, data is received from the declared sender and is not distorted).
Держатель карты (Cardholder) - физическое лицо, пользующееся услугами Банка-эмитента для совершения банковских операций, имеющее счет в банке, являющееся пользователем банковской карты на основании договора с Банком-эмитентом.Cardholder - a natural person who uses the services of the issuing Bank for banking operations, has a bank account, is a user of a bank card on the basis of an agreement with the issuing bank.
Платежная система (Payment system) - система обмена транзакциями и взаиморасчетов между сторонами-участниками системы с использованием совокупности информационно-технических средств сторон-участников, подчиняющихся общим регламентирующим правилам перевода финансовых средств между банками и другими кредитно-финансовыми учреждениями, для которой характерны наличие договорной и лицензионной баз, торговой марки, финансовых гарантий, внутренних операционных правил и стандартов.Payment system - a system for the exchange of transactions and mutual settlements between the parties to the system using a combination of information technology of the parties to the parties that are subject to the general regulatory rules for the transfer of funds between banks and other credit and financial institutions, which are characterized by the presence of contractual and licensing bases, trademark, financial guarantees, internal operating rules and standards.
Получатель платежа/Мерчант (Merchant) - юридическое или физическое лицо, пользующееся услугами банка для совершения банковских операций, предприятие торговли (торгово-сервисное предприятие, продавец), осуществляющее продажу товаров и/или услуг, принимающее заказы на покупку, принимающее в качестве средства платежа банковские карты.Payee / Merchant - a legal entity or an individual who uses the services of a bank to conduct banking operations, a trading company (trade and service company, seller) that sells goods and / or services, accepts purchase orders, accepts as a means of payment bank cards.
Операция/Транзакция (Transaction) - инициируемая Клиентом или Получателем платежа совокупность последовательных операций осуществляемых участниками Платежной системы для обслуживания Клиентов - держателей банковских карт (в частности, для осуществления доступа к счету с целью получения информации о состоянии счета, дебетования, кредитования счета, осуществления финансовых расчетов с использованием банковской карты).Transaction - a set of sequential operations initiated by the Customer or the Payee to be performed by the participants of the Payment System to serve Customers who hold bank cards (in particular, to access the account in order to obtain information about the status of the account, debit, credit the account, and carry out financial settlements using a bank card).
Эквайер (Acquirer) - банк-участник Платежной системы, кредитно-финансовое учреждение, которое имеет договорные отношения с предприятием торговли и сервиса (Получателем платежа) на обслуживание с целью принятия данных о транзакциях, совершенных с помощью банковских карт, направляет их в Платежную систему для осуществления расчетов по этим транзакциям.The Acquirer is a participating bank of the Payment System, a financial institution that has a contractual relationship with a trade and service company (Payee) for servicing in order to receive data on transactions made with bank cards, sends them to the Payment system for making settlements on these transactions.
Эмитент (Issuer) - банк-участник Платежной системы, кредитно-финансовое учреждение, которое осуществляет эмиссию (выпускает) банковских карт, получает данные о транзакциях, произведенных Клиентами, осуществляет аутентификацию Клиента и авторизацию транзакции, гарантирует оплату совершенных Клиентами транзакций и относит суммы транзакций на счета Клиентов.The Issuer is a participating bank of the Payment system, a credit and financial institution that issues (issues) bank cards, receives data on transactions made by Clients, authenticates the Client and authorizes the transaction, guarantees payment of transactions made by the Clients and relates the transaction amounts to Customer accounts.
Изобретение было раскрыто выше со ссылкой на конкретный вариант его осуществления. Для специалистов могут быть очевидны и иные варианты осуществления изобретения, не меняющие его сущности, как она раскрыта в настоящем описании. Соответственно, изобретение следует считать ограниченным по объему только нижеследующей формулой изобретения.The invention has been disclosed above with reference to a specific embodiment. Other specialists may be obvious to other embodiments of the invention, without changing its essence, as it is disclosed in the present description. Accordingly, the invention should be considered limited in scope only by the following claims.
Claims (3)
держатель карты для предварительного разрешения совершения одной, ограниченного или неограниченного количества операций направляет в процессинговый центр эмитента аутентифицированные запросы на их разрешение, предваряющие совершение операций по карте и изменяющие параметры карты в процессинговом центре эмитента, такие как статус карты или лимиты активности карты,
держатель карты проводит операции по карте, при проведении которых процессинговый центр эмитента карты получает авторизационные транзакции,
процессинговый центр эмитента карты осуществляет обработку поступающих авторизационных транзакций и проводит штатную процедуру авторизации в том случае, если установленные параметры карты в процессинговом центре эмитента, такие как статус карты или лимиты активности карты, разрешают проведение операций, или их отклонение с отказом в авторизации в случае, если установленные параметры карты в процессинговом центре эмитента, такие как статус карты или лимиты активности карты, запрещают проведение операций;
характеризующийся тем, что в качестве идентификатора держателя карты при изменении параметров карты в процессинговом центре эмитента, определяющих возможность авторизации операций по ней, используется номер мобильного телефона, предварительно зарегистрированный в процессинговом центре эмитента карты;
характеризующийся тем, что в качестве метода аутентификации при запросе на изменение параметров карты в процессинговом центре эмитента, определяющих возможность авторизации операций по ней, применяется одно или двусторонний обмен неголосовыми сообщениями между процессинговым центром эмитента карты и держателем карты с использованием мобильного телефона держателя карты или подобного ему устройства с использованием номера мобильного телефона, предварительно зарегистрированного в процессинговом центре эмитента карты.1. A method for a bank card holder to control the possibility of authorization transactions in a payment system using a bank card, limiting the possibility of fraudulent transactions in the event of a card being compromised by managing the card parameters in the processing center of the card issuer that determine the possibility of authorizing operations on it, characterized in that card parameters in the processing center of the issuer that determine the possibility of authorizing operations on it, such as card status or card activity limits, have values that do not allow any authorization transactions on the card and lead to the refusal to authorize by the processing center, which contains steps that allow the card holder to perform operations using the card, in which:
the card holder, for preliminary permission to perform one, limited or unlimited number of operations, sends authenticated requests for their resolution to the issuer's processing center, preceding the execution of card transactions and changing the card parameters in the issuer's processing center, such as card status or card activity limits,
the cardholder carries out card transactions, during which the processing center of the card issuer receives authorization transactions,
the processing center of the card issuer processes incoming authorization transactions and carries out a regular authorization procedure if the set parameters of the card in the processing center of the issuer, such as card status or card activity limits, permit operations, or their rejection with denial of authorization, if the set card parameters in the processing center of the issuer, such as card status or card activity limits, prohibit operations;
characterized in that as an identifier of the card holder when changing the parameters of the card in the processing center of the issuer, determining the possibility of authorizing operations on it, a mobile phone number is used, previously registered in the processing center of the card issuer;
characterized in that, as an authentication method, when requesting a change in the card parameters in the issuer's processing center, determining the possibility of authorizing operations on it, one or two-way non-voice messages are exchanged between the card issuer’s processing center and the card holder using a card holder’s mobile phone or similar devices using a mobile phone number previously registered with the processing center of the card issuer.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2013152835/08A RU2555233C2 (en) | 2013-11-27 | 2013-11-27 | Method for bank card holder to control authorised transactions in payment system using bank card restricting fraudulent transactions in case of compromise of card |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2013152835/08A RU2555233C2 (en) | 2013-11-27 | 2013-11-27 | Method for bank card holder to control authorised transactions in payment system using bank card restricting fraudulent transactions in case of compromise of card |
Publications (2)
Publication Number | Publication Date |
---|---|
RU2013152835A RU2013152835A (en) | 2015-06-10 |
RU2555233C2 true RU2555233C2 (en) | 2015-07-10 |
Family
ID=53285090
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2013152835/08A RU2555233C2 (en) | 2013-11-27 | 2013-11-27 | Method for bank card holder to control authorised transactions in payment system using bank card restricting fraudulent transactions in case of compromise of card |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU2555233C2 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2694752C1 (en) * | 2016-03-18 | 2019-07-16 | Мастеркард Интернэшнл Инкорпорейтед | Method and system for pre-transaction decision to pay a partial fee and simulation of partial fee |
RU2695984C1 (en) * | 2018-08-21 | 2019-07-29 | Павел Владимирович Корчагин | System and method of protecting a bank card holder against overspending and theft of funds from its bank card in any banking card usage environment |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2060540C1 (en) * | 1987-09-08 | 1996-05-20 | Детлофф Юрген | Device for business payment, identification and/or management |
RU2117328C1 (en) * | 1998-02-12 | 1998-08-10 | Акционерное общество закрытого типа "Степ Ап" | Method for remote bank services |
FR2795897A1 (en) * | 1999-06-30 | 2001-01-05 | Schlumberger Systems & Service | Secure transaction system for Internet purchases uses link to mobile phone for confirmation of transaction payment |
-
2013
- 2013-11-27 RU RU2013152835/08A patent/RU2555233C2/en not_active IP Right Cessation
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2060540C1 (en) * | 1987-09-08 | 1996-05-20 | Детлофф Юрген | Device for business payment, identification and/or management |
RU2117328C1 (en) * | 1998-02-12 | 1998-08-10 | Акционерное общество закрытого типа "Степ Ап" | Method for remote bank services |
FR2795897A1 (en) * | 1999-06-30 | 2001-01-05 | Schlumberger Systems & Service | Secure transaction system for Internet purchases uses link to mobile phone for confirmation of transaction payment |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2694752C1 (en) * | 2016-03-18 | 2019-07-16 | Мастеркард Интернэшнл Инкорпорейтед | Method and system for pre-transaction decision to pay a partial fee and simulation of partial fee |
US10529016B2 (en) | 2016-03-18 | 2020-01-07 | Mastercard International Incorporated | Method and system for pre-transaction installment payment solution and simulation of installment |
RU2695984C1 (en) * | 2018-08-21 | 2019-07-29 | Павел Владимирович Корчагин | System and method of protecting a bank card holder against overspending and theft of funds from its bank card in any banking card usage environment |
WO2020040663A1 (en) * | 2018-08-21 | 2020-02-27 | Павел Владимирович КОРЧАГИН | Means of protecting a bank card holder from theft of financial resources |
Also Published As
Publication number | Publication date |
---|---|
RU2013152835A (en) | 2015-06-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7299980B2 (en) | Computer readable universal authorization card system and method for using same | |
US8660955B2 (en) | Method and apparatus for consumer driven protection for payment card transactions | |
US20180268407A1 (en) | Apparatus and method for payment authorization and authentication based tokenization | |
US7500602B2 (en) | System for increasing the security of credit and debit cards transactions | |
US20070198410A1 (en) | Credit fraud prevention systems and methods | |
US20130268439A1 (en) | Vtex3 fraud protection system mobile verification protocol (mvp) | |
US20090281945A1 (en) | Payment Processing Platform | |
US8131642B2 (en) | Controlling the value of a plurality of transactions involving payment token | |
WO2003091937A1 (en) | System and method for facilitating a subsidiary card account | |
JP2011507089A (en) | Account risk management and authentication system to prevent unauthorized use of accounts | |
US20040139014A1 (en) | Anti-fraud remote cash transaction system | |
US20040054624A1 (en) | Procedure for the completion of an electronic payment | |
US20130185207A1 (en) | Method and system for online authentication using a credit/debit card processing system | |
WO2009137716A2 (en) | Payment processing platform | |
US20160063481A1 (en) | System and Method of Electronic Authentication at a Computer Initiated Via Mobile | |
El Madhoun et al. | An overview of the emv protocol and its security vulnerabilities | |
RU2695984C1 (en) | System and method of protecting a bank card holder against overspending and theft of funds from its bank card in any banking card usage environment | |
RU2555233C2 (en) | Method for bank card holder to control authorised transactions in payment system using bank card restricting fraudulent transactions in case of compromise of card | |
RU137815U1 (en) | PAYMENT CARD HOLDER AUTHENTICITY INSPECTION SYSTEM | |
RU2772239C1 (en) | System and method for ensuring security of cash transactions via bank cards | |
KR20030082018A (en) | Method of a credit card approval using interactive short message service | |
RU2816675C2 (en) | System and method for protection against theft of funds during contact and contactless payment from bank card | |
US20220261789A1 (en) | Personal identifiable information verification for decentralized network services | |
AU2018101938A4 (en) | An Electronic Payment System for Transport | |
WO2011137558A1 (en) | Network finance device and method thereof |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM4A | The patent is invalid due to non-payment of fees |
Effective date: 20171128 |