пин код при оплате картой когда надо вводить
Когда запрашивается PIN-код при оплате?
Заметил, что люди часто рассуждают о причинах не запроса PIN-кода, либо наоборот удивляются, почему вдруг он потребовался. Пытаясь объяснить, в каких ситуациях необходим PIN-код, я запутался и решил собрать данные и написать статью.
Теория
Сначала разберемся с картами
Не чипованые магнитные карты встречаются редко, но все же до сих пор используются. Ответственность за утерянные средства нес банк, но появился стандарт EMV (международный стандарт для операций по банковским картам с чипом), который позволил банкам перенести ответственность за утерянные средства на торгующие организации, не поддерживающие EMV, иначе на держателя карты (если он не сможет доказать что ни имеет никакого отношения к операции). Оборудование, не поддерживающее EMV, оставлено, в связи с тем, что покупка оборудования, поддерживающего новый стандарт является не выгодной для организаций. Выходит, если в магазине старое оборудование, смогут обслуживать с любой картой, но если у клиента чипованая поддерживающая стандарт EMV карта, ответственность несет магазин, если магазин против — ему придется покупать новое оборудование.
В итоге получаем два типа карт: поддерживающие EMV и не поддерживающие. Есть и другие платежные карты, но они используются банками локально и нас не интересуют.
Далее разберемся c PIN-кодом
Запрашивать PIN-код или подпись терминал будет ссылаясь на CVM-лист чип-карты и опираясь на свой режим. Сколько людей — столько и мнений, кто-то за подпись, кто-то против. На деле у всех банков по разному. Одни банки забивают в карту приоритет на подпись, другие на PIN-код, а третьи позволяют перенастроить карту через банкомат по желанию клиента.
Теперь о торговом оборудовании
Я не нашел конкретной информации, как настраивают терминалы в магазинах, но понял, что они тоже содержат определенные настройки, которые, например, позволяют требовать подпись вместо PIN-кода, даже если у карты стоит приоритет PIN-кода, но только если сумма не превышает определенного лимита. Такой режим необходим в магазинах, где в очереди много клиентов при небольших суммах. Этот режим, если я не ошибаюсь называется Offline, переносит ответственность на магазин, даже если используется оборудование EMV.
Результат
Исходя из выше написанного я составил таблицу, чтобы вычислить, в каком случае будет запрашиваться PIN-код:
Зеленым отмечены самые безопасные операции, красным — самые опасные. В столбце ответственные (за утерянные средства) в некоторых ячейках указал две/три стороны, думаю, кто именно, зависит от конкретного тарифного плана. (поправьте меня, если я не прав). Синим отмечены безопасные операции, при условии, что не была прочитана магнитная лента.
Безопасность
Скомпрометировать данные можно у любой карты, если прочитана магнитная лента и введен PIN-код. У скомпрометированной карты злоумышленник сможет совершить покупки только в торговых точках с оборудованием, не поддерживающем EMV. Карту, поддерживающую EMV, нельзя будет использовать в банкоматах (в ленте есть запись, что карта имеет чип). А по карте без EMV злоумышленник кроме покупок сможет совершать операции и в банкомате, например, снять деньги.
Обратите внимание на такую, достаточно распространенную, ситуацию: оператор проводит магнитную ленту, «тормозит», замечая, что у карты есть чип (либо «сильно тормозит», увидев сообщение на дисплее о чипе), затем вставляет карту как положено и просит ввести PIN-код. В этом случае вы тоже скомпрометируете данные своей карты, ведь, возможно, оператор сделал это нарочно.
В любом случае, мы всегда можем отказаться вводить PIN-код, чтобы не скомпрометировать его. Для этого после запроса PIN-кода необходимо нажать на терминале красную клавишу, после чего кассир увидет на экране «Клиент отказался вводить PIN-код» и у него будет выбор принять подпись (нажать «продолжить») вместо PIN-кода или отказать в операции (нажать «отмена»). Не знаю, как вы, но лично я не знал об этой функции и думал, что красная кнопка для полной отмены операции. Конечно, оператор может возмущаться, но на это есть простой ответ «Не помню PIN-код» или «Не знаю его» (есть кредитные карты, к которым не выдают конверт с PIN-кодом).
Надеюсь, эта информация была для вас полезной.
Особенности бесконтактной оплаты: как прикладывать карту к терминалу в магазине
Карты с бесконтактной технологией оплаты сегодня выпускают все российские банки, в том числе Сбербанк, Тинькофф, Альфа Банк и т.д.. Если у клиента пластиковый продукт не поддерживает функцию paypass, можно заказать перевыпуск, так как скорее всего это старая карточка. Новые по умолчанию имеют значок paypass для совершения оплаты в одно касание.
Какие карты бесконтактные?
Технология бесконтактной оплаты на картах обозначена значком «волны». Сегодня им оснащаются по умолчанию все пластики, выпускаемые российскими банками, не зависимо от типа платежной системы VISA, Mastercard, МИР. Этот знак у многих ассоциируется со знаком беспроводного интернета WIFI.
Знак означающий, что карточка поддерживает бесконтактную оплату.
Наличие такой маркировки на пластиковом продукте означает возможность совершения бесконтактных покупок. Следовательно, нет необходимости передавать карточку продавцу для ее сканирования. Достаточно поднести ее к терминалу, чтобы списалась нужная сумма со счета.
Банковская карта с бесконтактным чипом — безопасный платежный инструмент, так как обладает функцией защиты. Деньги не могут списаться с баланса пока вы стоите в очереди в магазине, случайно махнули ею, или провели кошельком, в котором она находится перед терминалом.
Чтобы оплата в одно касание сработала, необходимо расположить карту с функцией бесконтактной оплаты в непосредственной близости от терминала — не более 4 см. Иначе считыватель, установленный в терминал, не сможет распознать данные с карточки.
Как пользоваться бесконтактной картой?
Чтобы оплатить покупку в магазине, аптеке, на АЗС, в ресторане и т.д. картой с функцией бесконтактной оплаты, необходимо поднести ее к терминалу, который имеет значок NFC. Это расшифровывается, как Near field communication, что в переводе на русский язык означает «ближняя связь без контакта».
Предварительно кассир сканирует товар, чтобы определить его стоимость. Сумма, требуемая к оплате, высвечивается на экране терминала. Остается поднести пластик к нему и дождаться характерного звукового сигнала. Его можно услышать через 2-3 секунды.
Вводить пин-код при бесконтактной оплате необходимо при превышении лимита. До 1000 рублей можно потратить с баланса без пин-кода.
Как прикладывать карту к терминалу для оплаты
Перед тем, как приложить карту к терминалу для оплаты, убедитесь в том, что сумма, указанная на его экране верная. Затем поднесите пластиковый продукт тыльной стороной (задней), на которой видна магнитная лента и указан CVV код. Подождите 1-3 секунды, чтобы прозвучал сигнал, означающий списание денежных средств, затем уберите пластик.
Прикладывать карту с функцией бесконтактной оплаты к терминалу необходимо задней стороной, то есть магнитной лентой. Расположение значка «волны» вверху или внизу не имеет значение.
Когда вводить пин-код
Вводить пин-код при бесконтактной оплате картой или телефоном необходимо при превышении установленного лимита. По умолчанию от составляет 1000 рублей. Соответственно, если сумма покупки не превышает 999 рублей, вводить пин-код не нужно.
По желанию клиент может увеличить лимит, но банковские организации не рекомендуют это делать, так как при утере или краже у мошенников появится шанс снять большую сумму со счета.
Как платить телефоном
Чтобы сделать оплату еще более комфортной, можно привязать карточку к телефону и совершать платежи с него. Для этого мобильное устройство должно иметь встроенный NFC-модуль. Затем, чтобы подключить к нему оплату картой, нужно выполнить все шаги по инструкции.
Почему оплата может «не пройти»
Есть множество причин, по которым может не пройти оплата картой в одно касание.
Преимущества и недостатки карт с бесконтактной оплатой
Карты с бесконтактной оплатой являются удобными и надежными, хотя без минусов не обошлось. Но в начале расскажем о преимуществах данного платежного инструмента:
Среди минусов можно отметить:
Чтобы оплата картой с технологией paypass сработала, необходимо находиться в непосредственной близости от терминала. Также важно убедиться, что он имеет соответствующий значок или наклейку, свидетельствующую об установленном модуле NFC. В противном случае операция не осуществится, и деньги останутся на балансе.
Если пластик в кармане, кошельке, сумке, преподнесенные к нему терминал не сможет считать информацию, так как посторонние предметы будут препятствовать.
Если случайно приложить карту к терминалу дважды, деньги не спишутся повторно, так как после первого платежа выходит чек, а оплата закрывается. Все же, если совершится повторное списание, незамедлительно попросите кассира отменить платеж.
Кошелек в большинстве случаев препятствует передаче информации от карточки к терминалу, поэтому кассир попросит вынуть ее. Если не хотите доставать лишний раз пластик, активируйте на телефоне функцию paypass и подносите к устройству его.
Оплата кредитной картой в магазине
Кредитная карта – удобный платёжный инструмент. Именно поэтому многие используют её сегодня для оплаты товаров в торговых точках. АО КБ Ситибанк предлагает большое разнообразие кредитных карт на выгодных условиях. Оставить заявку на карту можно на сайте банка, а в случае положительного решения можно воспользоваться услугой бесплатной доставки карты.
Нередко у потребителя возникают определённые вопросы при использовании кредитной карты. Давайте попробуем ответить на них.
Что делать, если при оплате товара картой просят предъявить документы?
Во-первых, вам необходимо тщательно изучить договор, в котором прописываются условия использования кредитной карты. В договоре может быть указано, в каких случаях представитель торговой организации (кассир) может попросить предъявить документ, удостоверяющий личность, в каких случаях вы обязаны предъявить этот документ. Во-вторых, проверка документа может быть записана в инструкции банка-эквайера для торговой точки. Требование о предъявлении документа может быть продиктовано суммой операции или подозрениями кассира о принадлежности кредитной карты человеку, который ей расплачивается. Например, в случае несоответствия подписей в чеке и на кредитной карте.
Что делать, если просят ввести пин-код?
Здесь многое зависит от банка-эмитента кредитной карточки. Одни банки не разрешают проводить оплату без введения пин-кода, другие позволяют своим клиентам выбирать способ подтверждения операции оплаты: подпись или ввод пин-кода.
Также многое зависит от настроек терминала, через который проводится оплата. В некоторых случаях есть возможность провести оплату по чипованной карте без ввода пин-кода и даже без подписи. Такое возможно в крупных торговых точках, где установлены терминалы, позволяющие провести расчёты с клиентом без связи с банком, выпустившим карту, т.е. в режиме offline. Это сделано для того, чтобы ускорить процесс обслуживания клиентов и сократить очереди в кассы. При этом настройки терминалов могут быть установлены таким образом, что оплата до 1000 рублей идентификации не требует, а свыше 1000 рублей должна сопровождаться вводом пин-кода.
Зачем нужен чек?
Чек является основным платёжным документом, поэтому его нужно не просто сохранить, а ещё и проверить. Необходимо проверять в чеке сумму, дату проведения операции и последние 4 цифры номера своей кредитной карты. Если вдруг по ошибке будет списана большая сумма, чем должна быть, то оспорить транзакцию вы не сможете, потому что уже подтвердили её, поставив свою подпись. Никто не будет разбираться, проверяли вы чек или нет.
Зачем нужна выписка по карточному счёту?
Выписку по карточному счёту нужно делать регулярно. В выписке содержится информация о сумме долга, начисленных процентах и размере обязательного платежа. Необходимо проверять корректность указанной информации: суммы проводимых операций, наличие лишних операций. Если с карты были списаны средства за одну покупку 2 раза, в банк необходимо написать заявление, на основании которого он проведёт проверку и возвратит деньги обратно на карту. Выписка – очень полезная штука и не нужно пренебрегать ей.
Также полезной услугой является СМС-информирование о проведении операции по карте. Подключив её, вы всегда будете в курсе списания денежных средств с карты в режиме реального времени.
Таким образом, зная основные нюансы использования кредитной карты, не стоит страшиться использовать её в повседневных расчётах, тем более что этот процесс вы можете полностью контролировать, подключив услугу СМС-информирования и регулярно запрашивая выписку по счёту.
Комментарии пользователей:
У меня есть зарплатная и кредитная карты виза. По обеим в магазинах просят ввести код. Мне это нравится. Мало ли потеряю карту и кто захочет, может чипированную провести в терминале без кода. Ввод кода прежде всего гарантирует безопасность снятия средств с карты. Я, правда, иногда путаю пин-код, но если пользоваться регулярно обеими, то легко запомнить оба кода.
СМС-информирование можно было не включать лет 10 назад, когда оплата картой в магазинах являлась событием, посмотреть на которое собирались целые толпы. Сегодня же карты фактически полностью заменили наличный расчет и мало кто их продавцов удивится, если по карте оформленной на женщину станет закупаться мужчина. И в этом случае, незамеченной вами сразу утери карты, СМС позволяет как минимум оперативно её блокировать,.
Есть ли жизнь без ПИН-кода
При оплате пластиковой картой для подтверждения того, что именно вы являетесь ее держателем, иногда нужно ввести ПИН-код, иногда поставить подпись на чеке, а порою строгий кассир требует и того и другого. Портал Банки.ру решил выяснить, как определяется способ верификации карточного платежа и в чем преимущество каждого из этих способов.
Бытующее среди держателей банковских карт мнение, что чипованная карта обязательно требует ввода ПИН-кода при оплате, а карта без чипа обходится подписью на чеке, в корне неверно. Возможны самые разные варианты. Все зависит от того, как банк-эмитент настроил карту, а банк-эквайер – торговый терминал. Более того, представления эмитента и эквайера о безопасности и удобстве могут не совпадать. Из-за этого могут случаться неожиданности, не всегда приятные.
В соответствии со стандартами международных платежных систем, есть пять CVM (Card Verification Method) – способов, которыми держатель карты при совершении платежа подтверждает (верифицирует) свою личность.
Зашифрованный офлайн-ПИН – самый современный и защищенный способ верификации. Платежный терминал запрашивает ПИН-код, плательщик набирает его на клавиатуре терминала. Полученный ПИН-код терминал зашифровывает с помощью встроенного криптографического чипа и передает в EMV-чип карты на проверку. Такая верификация происходит быстро, а ПИН-код достаточно надежно защищен от кражи. Данный метод работает только при проведении платежа по EMV-чипу и требует наличия криптографического чипа в терминале.
Незашифрованный офлайн-ПИН работает почти так же, как и зашифрованный, с той лишь разницей, что терминал передает ПИН-код в EMV-чип карты в открытом виде. Соответственно, криптографический чип не нужен, но риск компрометации ПИН-кода техническими средствами (например, если платежный терминал заражен вредоносной программой) возрастает.
Онлайн-ПИН – самый старый способ верификации с ПИН-кодом. Клиент набирает на клавиатуре ПИН-код, терминал из ПИН-кода и номера карты формирует ПИН-блок, зашифровывает его (причем используется шифр многократно менее стойкий, чем в случае зашифрованного оффлайн-ПИН), и передает для проверки в процессинговый центр банка-эмитента. Следует учесть, что эмитент ПИН-кодами выпущенных им карт не обладает. Он хранит лишь вычисленное на основе ПИН-кода и номера карты проверочное значение, которое и сравнивает с проверочным значением полученного ПИН-блока после его расшифровки.
По дороге к эмитенту ПИН-блок проходит множество промежуточных узлов, на каждом из которых он потенциально может быть скомпрометирован. Скорость выполнения этого метода верификации относительно невысока и сильно зависит от способа подключения торговой точки к процессинговому центру банка-эквайера. Естественно, онлайн-ПИН не работает в случае оффлайн-авторизации, когда у торговой точки нет подключения к банку-эмитенту. Для проверки ПИН-кода карты без чипа может использоваться только этот способ.
Проверка подписи выглядит нетехнологично и доставляет немало проблем магазину – из-за нее ему необходимо долгое время хранить чеки с подписями клиентов. Однако есть у этого метода верификации и несколько преимуществ. Во-первых, он не требует подключения терминала к эмитенту, то есть работает при оффлайн-авторизациях. Во-вторых, укравшему карту злоумышленнику, пусть даже он узнал ПИН-код, будет сложно выдать себя за держателя карты – нужно достоверно изобразить подпись, образец которой обязательно должен иметься на обороте карты. Увы, далеко не всегда кассиры удосуживаются сверить подпись. Не все даже проверяют наличие образца на карте.
Этот вид верификации позволяет достаточно легко опротестовать авторизацию, в отличие от методов с вводом ПИН-кода: если подпись на чеке не совпадет с подписью держателя, банк будет вынужден вернуть ему деньги. Конечно же, вкупе с невнимательностью многих кассиров, это оставляет широкие возможности для мошенничества со стороны особо хитроумных держателей карт. Но банки тоже не лыком шиты: опротестовав авторизацию с верификацией по подписи, держатель может, к примеру, столкнуться с требованием предъявить банку все чеки за все оплаты за последние три месяца.
No-CVM означает отсутствие верификации вообще и используется в тех случаях, когда сумма авторизации невысока и нет нужды запрашивать верификацию. Чаще всего он применяется для бесконтактных платежей при сумме менее 1 тыс. рублей.
Важно понимать, что онлайн-ПИН и офлайн-ПИН могут использоваться при оплате одной и той же картой, в зависимости от обстоятельств, и, по сути, это разные ПИН-коды – один проверяется в чипе карты, другой в процессинговом центре банка-эмитента. Чтобы не морочить держателю карты голову, банки-эмитенты эти коды всегда делают одинаковыми. Но есть разница при смене ПИН-кода: офлайн-ПИН меняется через банкомат, онлайн-ПИН могут поменять в банке, по звонку держателя. При первой возможности они синхронизируются. Обычно банки предлагают держателям лишь один из способов смены ПИН-кодов.
Итак, есть пять методов верификации, и современная чиповая карта обладает ими всеми. Метод, который будет использоваться при совершении очередной оплаты, определяется настройками как EMV-чипа, так и терминала – оба устройства должны «договориться» о том, какой из приемлемых для обеих сторон методов они будут использовать.
Для этого в чип карты загружается CVM-список – файл, определяющий, какие способы верификации поддерживает карта и какие более предпочтительны. К примеру, в этом списке может значиться, что предпочтительным способом является шифрованный офлайн-ПИН. В случае отказа от него должен применяться незашифрованный офлайн-ПИН. В случае отказа от него применяется онлайн-ПИН, далее в случае отказа запрашивается подпись, при отказе от которой операция отклоняется. В терминале есть аналогичный CVM-список, и при выполнении операции он сравнивается со списком в чипе. В результате применяется наиболее предпочтительный из способов, указанных как допустимые в обоих списках.
Рекомендации Visa и MasterCard касательно порядка приоритета способов верификации несколько различаются: так, если Visa рекомендует ставить онлайн-ПИН выше, чем проверку подписи, у MasterCard подпись имеет более высокий приоритет, а в картах Maestro способ No-CVM должен отсутствовать.
На практике CVM-список, загруженный в терминал, зависит как от технических возможностей самого терминала, так и от политики банка-эквайера, а CVM-список в чипе карты банк-эмитент полностью определяет из собственных соображений об удобстве держателей и безопасности операций.
Банки.ру запросил несколько крупных банков об их предпочтительных методах верификации. Пресс-служба Альфа-Банка ответила, что «все ЧИПовые карты, которые эмитирует Альфа-Банк, всегда требуют ввода ПИН-кода в случаях, если операция совершается в банкомате; операция, совершается в POS-терминале, ПИН-код требуется и ПИН-пад (клавиатура терминала. – Прим. ред.) исправен; операция совершается бесконтактным способом и сумма операции больше 1 тыс. рублей (или соответствующего эквивалента, если операция совершается в валюте, отличной от рублей РФ); в иных случаях, если операция совершается в POS-терминале и банк-эквайер установил обязательную верификацию держателя карты путем ввода ПИН-кода».
Отметим, что это наиболее частый случай, отечественные банки ПИН-кодам доверяют больше. Начальник управления пластиковых карт ВТБ 24 Александр Бородкин также заявил, что «все карты, эмитируемые ВТБ 24, требуют введения ПИН-кода».
Но есть у нас банки, предпочитающие проверку подписи. «У клиентов банка «Авангард» есть возможность выбора приоритета верификации по подписи или ПИН-коду, изменить приоритет можно в любом банкомате банка, – рассказала порталу Банки.ру начальник процессингового центра «Авангарда» Людмила Хлыстун. – По умолчанию у наших карт действительно установлен приоритет верификации по подписи. Это связано с тем, что, к сожалению, в российских торговых сетях до сих пор часто не обеспечены условия для защищенного ввода ПИН-кода при оплате покупок. Есть риск, что его могут увидеть посторонние люди. Но если клиент не часто сталкивается с ситуациями незащищенного ввода ПИН-кода, то он может установить для своей карты приоритет верификации по ПИН-коду».
Аналогично поступает и Тинькофф Банк. «Для вновь выпущенных карт мы по умолчанию устанавливаем как приоритет подписи, так и ввода ПИН-кода, – сообщили нам в пресс-службе банка. – При этом клиенты Тинькофф Банка могут сами выбрать приоритетный способ подтверждения операций по картам: с помощью подписи или посредством ввода ПИН-кода – для этого нужно позвонить в кол-центр, сообщить о своем намерении и совершить контактную операцию по чипу в банкомате или ТСП (торгово-сервисном предприятии. – Прим. ред.)».
Что на самом деле лучше – ПИН-код или подпись – вопрос непростой. Когда в магазине вы вводите ПИН-код, его может увидеть много кто, например покупатель, стоящий за вами в очереди. Терминал, скорее всего, передаст ваш ПИН-код в банк вполне безопасно, а вот подглядеть ПИН-код глазами или камерой совсем не сложно.
Мало кто знает, но во многих случаях покупатель может отказаться от ввода ПИН-кода, если, например, считает это небезопасным, или просто забыл его. Для этого при запросе ПИН-кода надо просто нажать кнопку отмены ввода на клавиатуре терминала. Обычно она хорошо заметна, так как окрашена в красный цвет. В этом случае терминал должен предложить вам следующий по приоритету после ПИН-кодов метод верификации – то есть проверку подписи. У кассира на дисплее терминала появится сообщение, что клиент от ввода ПИН-кода отказался.
Не каждый банк позволяет своим клиентам такие вольности. Альфа-Банк сообщил, что «для карт, которые эмитирует Альфа-Банк, такой сценарий не поддерживается, так как в случае отказа от ввода ПИН-кода держателем карта запретит проведение такой операции».
PIN-код при оплате картой — точки над i
После прочтения нескольких статей на хабре о пластиковых картах, POS терминалах и сопутствующих вещах, мне показалось, что эта тема довольно интересна сообществу. В данной небольшой публикации я хочу окончательно разобрать тему ввода PIN–кода на POS терминалах и ответить, наконец, в меру своих знаний, на вопрос: почему же в одних случаях требуется ввод PIN, а в других — нет?
Если тема будет так же интересна сообществу – то в будущем вас ждут еще несколько статей о принципах работы всей этой кухни, всего, что связано с POS-терминальным обрудованием, процессинговыми центрами и пластиковыми картами.
Но для начала предисловие.
Так уж вышло, что работаю я в одном из банков нашей страны. Занимаюсь, собственно, настройкой POS терминалов «с нуля» и до, собственно, ввода в эксплуатацию.
Это моя первая статья, так что заранее прошу прощения за некую сумбурность, равно как и за то, что, возможно, что-либо упущу, ибо все подробности уместить в рамки статьи невозможно.
В первую очередь необходимо будет упомянуть о TMS (Terminal Management Server\Station). Вкратце — это компьютер, на котором работает некоторая программа — центр конфигурирования всех POS терминалов. Именно там создаются так называемые «файлы конфигураций приложения», то есть то, что заливается в POS и характеризует его работу.
В TMS задаются все параметры работы POS, как очень значительные (к примеру, список платежных систем, с которыми работает POS, настройки этих систем, CVM листы, action-коды терминала), так и незначительные (таких, как порядок расположения пунктов меню на экране терминала, или же дизайн чеков).
На выходе в итоге появляется специально упакованный файл, который «понимает» терминал. Этот файл и заливается в терминал.
Теперь о сути: спрашивать или не спрашивать PIN (в случае EMV карты):
На EMV-микросхему карты на этапе загрузки приложения заливается так называемый CVM-лист (CVM – Cardholder Verification Method). Также его можно менять во время транзакции специальным эмитентским скриптом, направляемым с процессингового центра, но эти тонкости я позволю себе отпустить.
Каждый банк-эмитент выбирает CVM-лист исходя из своих требований. Вот пример классического CVM-листа:
Расшифровка выглядит так:
И читается слева направо (заранее прошу прощения за корявую схему от мастера пайнта минус 92 левела):
На самом терминале тоже есть свой, терминальный CVM-лист. Он задается в TMS на этапе составления конфигурационных файлов, которые заливаются в POS. Его настраивает банк – эквайрер, опять же, согласно своим запросам.
Работает же всё весьма просто: во время транзакции два CVM-листа (карты и терминала) сравниваются. Срабатывают только те методы проверки, которые совпадают в обоих листах (по сути выполняется проверка пересечения CVM-листов). Остальные методы отбрасываются!
То есть в данном примере алгоритм таков:
Спросить криптованный PIN (предварительно проверив, есть ли в CVM-листе терминала такой метод), если юзер отказывается (это то самое нажатие красной кнопки на PIN-клавиатуре) – запросить оффлайновый открытый PIN (а отказаться он имеет право – см. картинку), если снова отказывается – запросить онлайн-PIN (проверяется не картой, а хостом), если снова отказался — запросить подпись (от нее уже отказаться нельзя — снова см. картинку). Если же в CVM-листе терминала нет проверки по подписи – метод пропускается (это НЕ приравнивается к отказу!) и используется метод «No CVM» с условием «If not unattended cash and not manual cash and not purchase» (но обычно он мало где используется). Если же и этого метода в CVM-листе терминала нет – то проверка не проходит и транзакция отклоняется.
Естественно, число различных вариаций CVM-листов карт и терминалов — и уж тем более их сочетаний — весьма велико. Так что теперь, думаю, всем стало более ясно, почему карта в устройстве запрашивает PIN, а в другом устройстве та же самая карта просит подпись. И почему другая карта исправно работает с запросом PIN в том же устройстве, а карта, что работает в третьем – тут вообще отказывается работать. Так же надеюсь, что после прочтения данной статьи тема запроса PIN-кодов при оплате с карты стала более понятна и прозрачна и удивляться в магазинах по этому поводу больше не придется.