RU137815U1 - PAYMENT CARD HOLDER AUTHENTICITY INSPECTION SYSTEM - Google Patents

PAYMENT CARD HOLDER AUTHENTICITY INSPECTION SYSTEM Download PDF

Info

Publication number
RU137815U1
RU137815U1 RU2012141090/08U RU2012141090U RU137815U1 RU 137815 U1 RU137815 U1 RU 137815U1 RU 2012141090/08 U RU2012141090/08 U RU 2012141090/08U RU 2012141090 U RU2012141090 U RU 2012141090U RU 137815 U1 RU137815 U1 RU 137815U1
Authority
RU
Russia
Prior art keywords
payment
card
payment card
acquirer
data
Prior art date
Application number
RU2012141090/08U
Other languages
Russian (ru)
Inventor
Петр Федорович Кутис
Роман Рафикович Хафизов
Original Assignee
Пэйче Лтд.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Пэйче Лтд. filed Critical Пэйче Лтд.
Priority to RU2012141090/08U priority Critical patent/RU137815U1/en
Application granted granted Critical
Publication of RU137815U1 publication Critical patent/RU137815U1/en

Links

Images

Landscapes

  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)

Abstract

Система проверки подлинности держателя платежной карты в режиме удаленного доступа, содержащая аппаратно-программный комплекс эквайрера, выполненный с функцией приема платежей посредством введения данных о платежной карте и сведений об устройстве, через которое данные об этой карте введены, через сервер управления потоком транзакций между инфраструктурами эмитентов платежных карт, инфраструктурой держателей карты и платежной инфраструктурой, выполненный с функцией направления данных о платежной карте и устройстве в аппаратно-программный комплекс эмитентов платежных карт для аутентификации введенного номера платежной карты устройства и передачи данных, соответствующих найденным сведениям о платежной карте и устройстве, на сервер аппаратно-программного комплекса эквайрера, выполненного с функцией направления плательщику на устройство, через которое данные об этой карте введены, запроса для подтверждения кодовой идентификации платежной карты и функцией приема от пользователя ответа на запрос, содержащего данные кодовой идентификации платежной карты и с функцией выдачи разрешения на проведение платежа через сервер аппаратно-программный комплекс эквайрера.A remote card holder’s cardholder authentication system that contains the hardware and software of an acquirer that is configured to accept payments by entering payment card information and device information through which data on this card is entered through a transaction flow control server between issuer's infrastructures payment cards, the infrastructure of cardholders and payment infrastructure, performed with the function of sending data about the payment card and device to the hardware-software Amm complex of payment card issuers for authentication of the entered payment card number of the device and transfer of data corresponding to the found information about the payment card and the device to the server of the hardware and software complex of the acquirer, executed with the function of sending a request to the payer to the device through which data about this card is entered to confirm the code identification of the payment card and the function of receiving from the user a response to the request containing the data of the code identification of the payment card and with the functions her authorization for payment through the hardware-software complex acquirer server.

Description

Полезная модель относится к области экваиринга, а именно к области безопасности безналичных расчетов с помощью платежных карт международных платежных систем (МПС), таких как Visa, MasterCard, JCB International, AmericanExpress и другие. Полезная модель может быть применена для проверки подлинности держателя платежной карты при совершении им платежа удаленно, без личного присутствия. В данном случае имеются ввиду распространенные в последнее время онлайн платежи на веб-сайтах магазинов и платежных систем или платежи при заказе услуги или товара по телефону. В последнем случае плательщик посредством голосом сообщает данные платежной карты для списания с нее средств в пользу торгово-сервисного предприятия (ТСП) за оказание последним услуги или предоставление товара.The utility model relates to the field of acquiring, and in particular to the field of security of non-cash payments using payment cards of international payment systems (MPS), such as Visa, MasterCard, JCB International, AmericanExpress and others. The utility model can be used to verify the authenticity of a payment card holder when making a payment remotely, without a personal presence. In this case, we mean recent online payments on the websites of stores and payment systems, or payments when ordering a service or product over the phone. In the latter case, the payer communicates by voice the data of the payment card for debiting funds from it in favor of the trade and service company (TSP) for the latter to provide services or provide goods.

Известно, что удаленный прием карт к оплате осуществляется путем передачи плательщиком в банк-эквайрер через ТСП, посредника или напрямую основных параметров карт. Параметры карт отображены (в некоторых случаях эмбоссированы) на самой карте, а именно: номер карты, срок действия карты, специальный код проверки, и иногда имя держателя карты. Далее эти данные эквайрер сообщает эмитенту через систему связи МПС в виде формализованных сообщений в соответствии с протоколом ISO 8583. После получения сообщения эмитент проверяет корректность переданных данных и если карта с полученными данными действительно существует и по ней разрешены подобные операции, осуществляет перечисление средств с карты на счет эквайрера. Таким образом, для осуществления платежа достаточно знать параметры карты, что позволяет с легкостью применять различные схемы мошенничества, когда плательщик не является держателем карты, но знает ее параметры (подглядел, сфотографировал или просто временно завладел картой). Главной проблемой такого мошенничества является обязательство эквайрера возместить средства, списанные с карты при опротестовании операции ее истинным держателем, что значительно повышает риски при оказании услуги экваиринга, в том числе с использованием удаленных платежей.It is known that remotely accepting cards for payment is carried out by transferring the payer to the bank-acquirer through a TSP, an intermediary, or directly the main parameters of the cards. Card parameters are displayed (in some cases embossed) on the card itself, namely: card number, card expiration date, special verification code, and sometimes the name of the card holder. Further, the acquirer informs the issuer through the MPS communication system in the form of formalized messages in accordance with the ISO 8583 protocol. After receiving the message, the issuer verifies the correctness of the transmitted data and if the card with the received data really exists and similar operations are allowed on it, transfers funds from the card to Acquirer account. Thus, to make a payment it is enough to know the card parameters, which makes it easy to apply various fraud schemes when the payer is not the card holder, but knows its parameters (peeping, taking a picture or just temporarily holding the card). The main problem of such fraud is the acquirer’s obligation to reimburse the funds debited from the card when protesting the operation by its true holder, which significantly increases the risks of providing the service of acquiring, including using remote payments.

В настоящее время со стороны МПС активно навязывается дополнительная мера защиты от мошенничества. Это модель аутентификации 3-D Secure, которая позволяет провести аутентификацию плательщика на защищенном сайте эмитента. 3-D Secure является XML-протоколом, который используется как дополнительный уровень безопасности для онлайн-кредитных и дебитных карт, двухфакторной аутентификации пользователя. Он был разработан МПС Visa с целью улучшения безопасности Интернет-платежей. На его основе Visa предложила клиентам услугу Verified by Visa (VbV). Услуги, основанные на данном протоколе также была приняты MasterCard, под названием MasterCard SecureCode (МСС), и JCB International, как J/Secure.Currently, the IPU is actively imposing an additional measure of protection against fraud. This is a 3-D Secure authentication model that allows authentication of the payer on the issuer's secure site. 3-D Secure is an XML protocol that is used as an additional level of security for online credit and debit cards, two-factor user authentication. It was developed by Visa IPU to improve the security of Internet payments. Based on it, Visa offered its customers the Verified by Visa (VbV) service. Services based on this protocol have also been adopted by MasterCard, under the name MasterCard SecureCode (MCC), and JCB International, as J / Secure.

Порядок действия протокола подробного изложен в документе «3-D Secure system overview», размещенном на публичном ресурсе сети интернет по адресу -https://partnernetwork.visa.com/vpn/global/retrieve_document.do7documentRetrievalld=119. Суть протокола 3-D Secure состоит в аутентификации держателя карты именно эмитентом, для чего эмитенту необходимо осуществить ряд дополнительных мер по приведению своей аппаратно-программной инфраструктуры в соответствие возможностям использовать протокол 3-D Secure.The detailed protocol procedure is described in the “3-D Secure system overview” document posted on a public Internet resource at the following address: -partnernetwork.visa.com/vpn/global/retrieve_document.do7documentRetrievalld=119. The essence of the 3-D Secure protocol is to authenticate the cardholder with the issuer, for which the issuer needs to take a number of additional measures to bring its hardware and software infrastructure in line with the capabilities of using the 3-D Secure protocol.

Основные и решающие недостатки протокола 3-D Secure:The main and decisive disadvantages of the 3-D Secure protocol:

1) В настоящее время более половины эмитентов, не участвуют в модели аутентификации 3-D secure или участвуют неполноценно. Данный факт не позволяет эквайреру гарантированно проверять большинство держателей карт, что снижает эффективность протокола 3-D Secure. Особенно эмитенты мотивированы не участовать в модели ввиду переноса на них ответственности за возможное мошенничество в случае успешной аутентификации держателя карты с помощью протокола 3-D Secure.1) Currently, more than half of issuers do not participate in the 3-D secure authentication model or are not fully involved. This fact does not allow the acquirer to be guaranteed to check most cardholders, which reduces the effectiveness of the 3-D Secure protocol. Especially issuers are motivated not to participate in the model due to the transfer of responsibility for possible fraud on them in case of successful authentication of the cardholder using the 3-D Secure protocol.

2) Большая нагрузка на плательщика в виде постоянных переходов с одной веб-страницы на другую. Данный факт снижает доверие плательщиков к ТСП и желание осуществлять платежи на сайтах ТСП. В самом общем виде этот факт влияет на ТСП таким образом, что во избежание потери клиентов ТСП отказывается поддерживать протокол 3-D Secure, беря риски мошенничества на себя. Однако такая ситуация в целом подрывает доверие к продуктам МПС, что в2) A large load on the payer in the form of constant clicks from one web page to another. This fact reduces the trust of payers to TSPs and the desire to make payments on TSP sites. In its most general form, this fact affects TSPs in such a way that, in order to avoid loss of customers, TSP refuses to support the 3-D Secure protocol, taking on the risks of fraud. However, this situation as a whole undermines confidence in the products of the Ministry of Railways, which in

свою очередь влечет снижение участия карт в безналичных платежах через интернет, удерживающих значительную долю платежей в мире.this in turn entails a decrease in the participation of cards in non-cash payments via the Internet, which hold a significant share of payments in the world.

Из уровня техники известна система проверки подлинности держателя платежной карты, описанный в заявке US 2010/0280946, G06Q 40/00, опубл. 04.11.2010, в которой перед проведением платежа создают авторизационный запрос, включают в авторизационный запрос заранее неизвестный держателю карты проверочный код, отправляют авторизационный запрос эмитенту, запрашивают проверочный код у держателя карты и по правильности кода, сообщенного держателем платежной карты, судят о подлинности самого держателя платежной карты, причем проверочный код передают в стандартном авторизационном запросе, основываются на том, что доступ к платежной информации частных лиц в банках строго ограничен и для доступа к платежной информации эмитент произведет аутентификацию владельца счета, который является держателем карты; получают введенный держателем карты код и па основании соответствия переданного и полученного кодов судят о подлинности держателя платежной карты. Принято в качестве прототипа.The prior art system of authentication of the holder of the payment card described in the application US 2010/0280946, G06Q 40/00, publ. 11/04/2010, in which an authorization request is created before the payment is made, a verification code unknown to the cardholder is included in the authorization request, an authorization request is sent to the issuer, a verification code is requested from the cardholder and the correctness of the code provided by the payment card holder is used to judge the holder’s authenticity payment card, and the verification code is transmitted in a standard authorization request, based on the fact that access to payment information of individuals in banks is strictly limited and for I access to payment information, the issuer will authenticate the account holder who is the card holder; they receive the code entered by the cardholder and, on the basis of the correspondence of the transmitted and received codes, they judge the authenticity of the payment card holder. Adopted as a prototype.

Однако данная система обладает недостатком, заключающимся в том, что запрос кода осуществляется с переводом держателя карты на страницу эмитента, при этом в патенте не дается точный параметр запроса и порядок включения в него проверочного кода. В связи с этим в данном решении не достигается достаточная безопасность проведения платежных операций с применением карты так как отсутствует разделение каналов посылки сведений о платеже и сведений, подтверждающих платеж, и отсутствия обмена информацией между эквайером и держателем карты с целью подтверждения его подлинности.However, this system has the disadvantage that the code request is carried out with the transfer of the card holder to the issuer's page, while the patent does not give the exact request parameter and the procedure for including the verification code in it. In this regard, this decision does not achieve sufficient security for conducting payment transactions using the card, since there is no separation of the channels for sending payment information and information confirming the payment, and there is no exchange of information between the acquirer and the card holder in order to confirm its authenticity.

Настоящая полезная модель направлена на достижение технического результата, заключающегося в повышении безопасности проведения платежных операций с применением карты за счет разделения каналов посылки сведений о платеже и сведений, подтверждающих платеж, а также за счет дополнительного по сравнению с прототипом обмена информацией между эквайером и держателем карты с целью подтверждения его подлинности.This useful model is aimed at achieving a technical result consisting in increasing the security of conducting payment transactions using a card by separating the channels for sending payment information and information confirming the payment, as well as through additional exchange of information between the acquirer and the card holder compared to the prototype the purpose of confirming its authenticity.

Указанный технический результат достигается тем, что в системе проверки подлинности держателя платежной карты перед проведением платежа создают авторизационный запрос на небольшую сумму, включают в авторизационный запрос заранее неизвестный держателю карты проверочный код, отправляют авторизационный запрос эмитенту, запрашивают проверочный код у держателя карты и по правильности кода, сообщенного держателем платежной карты, судят о подлинности самого держателя платежной карты, проверочный код передают в стандартном авторизационном запросе, основываются на том, что доступ к платежной информации частных лиц в банках строго ограничен и для доступа к платежной информации эмитент произведет аутентификацию владельца счета, который является держателем карты; запрашивают проверочный код у держателя карты на платежной странице без перевода держателя карты на сайт эмитента, получают введенный держателем карты код и на основании соответствия переданного и полученного кодов судят о подлинности держателя платежной карты.The indicated technical result is achieved by the fact that in the authentication system of the payment card holder, an authorization request for a small amount is created before the payment is made, a verification code unknown to the card holder is included in the authorization request, an authorization request is sent to the issuer, a verification code is requested from the card holder and the code is correct , reported by the payment card holder, they judge the authenticity of the payment card holder, the verification code is transmitted in a standard authorization m request, based on the fact that access to payment information of individuals in banks severely restricted and access to payment information, the issuer will make authentication of the account holder, who is the cardholder; they request a verification code from the card holder on the payment page without transferring the card holder to the issuer's website, receive the code entered by the card holder and, based on the correspondence of the transmitted and received codes, judge the authenticity of the payment card holder.

Настоящая полезная модель иллюстрируется примером исполнения конкретной системы, представленной на чертежах, где:This utility model is illustrated by an example of the execution of a specific system shown in the drawings, where:

фиг. 1 - представлен алгоритм работы системы проверки подлинности держателя платежной карты;FIG. 1 - presents the algorithm of the authentication system of the payment card holder;

фиг. 2 - блок-схема архитектуры системы проверки подлинности держателя платежной карты;FIG. 2 is a block diagram of the architecture of an authentication system of a payment card holder;

фиг. 3 - связи в системе проверки подлинности держателя платежной карты на основе блок-схемы по фиг. 2.FIG. 3 shows communications in an authentication system of a payment card holder based on the flowchart of FIG. 2.

Согласно настоящей полезной модели система реализует проверку подлинности держателя карты. Система позволяет именно эквайреру осуществлять проверку держателя карты путем использования существующих стандартов и традиций взаимодействия эквайрера, эмитента и держателя карты. Проверка не требует существенных усилий от плательщика в максимальном количестве случаев и в то же время позволяет эквайреру независимо от других партнеров, включая эмитента, осуществлять проверку подлинности держателей МПК.According to a true utility model, the system implements cardholder authentication. The system allows the acquirer to verify the card holder by using existing standards and traditions of interaction between the acquirer, issuer and the card holder. Verification does not require significant efforts from the payer in the maximum number of cases and at the same time allows the acquirer, independently of other partners, including the issuer, to verify the authenticity of the IPC holders.

Система проверки подлинности держателя платежной карты в режиме удаленного доступа содержит аппаратно-программный комплекс эквайрера, выполненный с функцией приема платежей посредством введения данных о платежной карте и сведений об устройстве, через которое данные об этой карте введены, через сервер управления потоком транзакций между инфраструктурами эмитентов платежных карт, инфраструктурой держателей карты и платежной инфраструктурой, выполненный с функцией направления данных о платежной карте и устройстве в аппаратно-программный комплекс эмитентов платежных карт для аутентификации введенного номера платежной карты устройства и передачи данных, соответствующих найденным сведениям о платежной карте и устройстве, на сервер аппаратно-программного комплекса эквайрера, выполненного с функцией направления плательщику на устройство, через которое данные об этой карте введены, запроса для подтверждения кодовой идентификации платежной карты и функцией приема от пользователя ответа на запрос, содержащего данные кодовой идентификации платежной карты и сThe authentication system of the payment card holder in remote access mode contains the hardware and software complex of the acquirer, which is configured to receive payments by entering data on the payment card and information about the device through which data on this card is entered through the transaction flow control server between the infrastructures of payment issuers cards, the infrastructure of cardholders and the payment infrastructure, made with the function of sending data about the payment card and device to the hardware-software a wide range of payment card issuers for authenticating the entered payment card number of the device and transmitting data corresponding to the found information about the payment card and the device to the server of the hardware and software complex of the acquirer, configured to send a request to the payer to the device through which data about this card is entered to confirm the code identification of the payment card and the function of receiving from the user a response to the request containing the data of the code identification of the payment card and with

функцией выдачи разрешения на проведение платежа через сервер аппаратно-программный комплекс эквайрера.the function of issuing permission to make payments through the server hardware and software complex of the acquirer.

Задачи, решаемые такой системой:Tasks solved by such a system:

1) Эквайрер может всегда осуществить проверку подлинности держателя МПК при его попытке проведения платежа в ТСП.1) The acquirer can always verify the authenticity of the holder of the IPC when he tries to make a payment in the TSP.

2) Проверка подлинности держателя МПК должна быть осуществлена в реальном режиме времени до момента списания средств с его карты в ходе платежа. Т.е. при поступлении запроса на проведение платежа эквайрер сначала проводит проверку с использованием изобретения, что незначительно и допустимо увеличивает длительность процедуры платежа.2) The verification of the authenticity of the holder of the IPC must be carried out in real time until the moment the funds are debited from his card during the payment. Those. upon receipt of a request for payment, the acquirer first verifies using the invention, which slightly and allowably increases the duration of the payment procedure.

3) Проверка должна осуществляться с использованием уже доступных возможностей МПС, эмитента и самого держателя МПК, а именно:3) The audit should be carried out using the already available capabilities of the Ministry of Railways, the issuer and the IPC holder itself, namely:

• МПС предоставляет систему связи для передачи формализованных сообщений к любому эмитенту МПК, что позволяет воздействовать на систему эмитента для надежного сообщения ей сигнала;• MPS provides a communication system for transmitting formalized messages to any issuer of the IPC, which allows acting on the issuer's system to reliably signal to it;

• любой эмитент следует практике конфиденциальности счетов и сообщает детали операций только владельцу счета или МПК, за исключением случаев вмешательства государственных представителей, что исключает доступ к сигналу мошенников;• any issuer follows the practice of confidentiality of accounts and reports the details of operations only to the owner of the account or IPC, with the exception of cases of interference by government representatives, which excludes access to the signal of fraudsters;

• практически любой эмитент позволяет в реальном режиме времени уточнить состояние счета, а также часто и автоматически информирует о всех изменениях счета МПК, при этом обязательно сообщает назначение изменений, которые по требованиям МПС должны содержать и название (обозначение) ТСП.• almost any issuer allows real-time clarification of the status of the account, and also often and automatically informs about all changes in the account of the IPC, while always reporting the purpose of the changes, which, according to the requirements of the IPU, must also contain the name (designation) of the TSP.

4) Эквайрер должен иметь возможность проверить держателя карты любого эмитента, любой страны, независимо от валюты платежа, валюты страны и валюты карты, т.к. для проверки используется буквенно-цифровое обозначение ТСП.4) The acquirer should be able to check the card holder of any issuer, any country, regardless of the payment currency, country currency and card currency, because for verification, the alphanumeric designation of the TSP is used.

5) Эквайрер должен иметь возможность использовать функционал автоматического оповещения эмитентом держателей своих МПК, что увеличивает простоту и скорость получения сигнала держателем МПК5) The acquirer should be able to use the functionality of automatic notification by the issuer of the holders of their IPC, which increases the simplicity and speed of receipt of the signal by the holder of the IPC

6) Применение системы не должно вызывать дополнительных изменений в аппаратно-промышленном комплексе эмитента и МПС, а также не6) The application of the system should not cause additional changes in the hardware-industrial complex of the issuer and the Ministry of Railways, as well as not

должно требовать дополнительных переходов плательщика по интернет-сайтам эмитентов и платежных систем. Достаточно только ввести значение сигнала в дополнительном поле на странице ввода данных МПК.must require additional payer clicks on the websites of issuers and payment systems. It is enough to enter the signal value in the additional field on the IPC data entry page.

Система позволяет в ходе взаимодействия систем эквайрера и эмитента передать сигнал «Э», состоящий из буквенно-цифрового кода (код известен только эквайреру) от эквайрера к держателю МПК. После передачи сигнала «Э» эквайрер запрашивает у плательщика сигнал «Д», который как предполагается, будет получен на стороне эмитента. Результатом действия системы является разность отправляемого и принимаемого сигналов на стороне Эквайрера. Если плательщик сообщает значение сигнала «Д» соответствующее значению сигналу «Э», то проверка подлинности держателя МПК считается успешной, риск операции считается минимальным. В противном случае проверка считается неуспешной, держатель МПК считается непроверенным, риск операции высокий.The system allows during the interaction of the acquirer and the issuer systems to transmit an “E” signal consisting of an alphanumeric code (the code is known only to the acquirer) from the acquirer to the IPC holder. After transmitting the “E” signal, the acquirer asks the payer for the “D” signal, which is supposed to be received on the issuer's side. The result of the system is the difference between the sent and received signals on the side of the Acquirer. If the payer reports the value of the signal “D” corresponding to the value of the signal “E”, then the authentication of the holder of the IPC is considered successful, the risk of the operation is considered minimal. Otherwise, the check is considered unsuccessful, the holder of the IPC is considered unverified, the risk of surgery is high.

Более подробно система может быть реализовано в следующем виде (фиг.1).In more detail, the system can be implemented in the following form (figure 1).

1) Аппаратно-программный комплекс (далее - система) эквайрера, получив запрос на совершение платежной операции от ТСП, в режиме реального времени воздействует на систему эмитента. Воздействие заключается в направлении в адрес системы эмитента формализованного потока данных, вызывающих операцию преавторизации (блокирование средств на МПК) на определенную заранее известную небольшую сумму. При этом используется карта, данные которой указал плательщик при попытке платежа. Результатом воздействия является изменение системы эмитента таким образом, что в ней фиксируется изменение счета МПК. В ходе направления потока данных в обязательном поле потока, предусматривающем указание кода ТСП, в пользу которого блокируются средства, система эквайрера указывает сигнал «Э» в виде в виде короткой (не более 10 символов) буквенно-цифровой последовательности, обозначающей код одного из нескольких ТСП заранее зарегистрированных в МПС. Количество ТСП может быть любое, рекомендуется использовать от 50 до 100. Выбор ТСП осуществляется с использованием любого генератора случайного числа.1) The hardware and software complex (hereinafter referred to as the system) of the acquirer, having received a request for a payment transaction from the TSP, acts in real time on the issuer's system. The impact consists in sending a formalized data stream to the issuer's system that causes the pre-authorization operation (blocking funds on the IPC) for a certain predetermined small amount. In this case, a card is used, the data of which the payer indicated when trying to pay. The result of the impact is a change in the issuer's system in such a way that it changes the account of the IPC. During the direction of the data flow in the required flow field, which provides for the identification of the TSP code, in favor of which funds are blocked, the acquirer system indicates the signal “E” in the form of a short (no more than 10 characters) alphanumeric sequence indicating the code of one of several TSPs pre-registered in the IPU. The number of TSP can be any, it is recommended to use from 50 to 100. The choice of TSP is carried out using any random number generator.

2) Далее система эквайрера сообщает плательщику, что необходимо узнать сигнал «Э» у эмитента в составе параметра, указывающего код ТСП, в пользу которого совершено блокирование средств на его карте, и сообщить эквайреру в составе сигнала «Д». Эмитент самостоятельно обеспечивает надежную аутентификацию держателя МПК и раскрывает ему информацию об измененном счете МПК, где скрыт сигнал «Э».2) Further, the acquirer system informs the payer that it is necessary to find out the “E” signal from the issuer as part of the parameter indicating the TSP code in favor of which funds have been blocked on its card, and inform the acquirer as part of the “D” signal. The issuer independently provides reliable authentication of the IPC holder and discloses information about the modified IPC account to him, where the “E” signal is hidden.

3) Далее плательщик сообщает эквайреру сигнал «Д». Эквайрер производит сравнение значений сигналов «Э» и «Д» и получает сведения о подлинности держателя МПК. При этом если сигналы совпали, то принимается решение о подлинности держателя МПК, т.е. плательщик является держателем МПК и эквайрер инициирует операцию списания средства в рамках платежа, запрошенного ТСП. В случае несовпадения сигналов принимается решение о высокой вероятности мошенничества. В этом случае эквайрер вправе отказать в проведении платежа, запрошенного ТСП по МПК, параметры которой были указаны плательщиком.3) Further, the payer informs the acquirer of the “D” signal. The acquirer compares the values of the signals "E" and "D" and receives information about the authenticity of the holder of the IPC. Moreover, if the signals coincided, then a decision is made on the authenticity of the IPC holder, i.e. the payer is the holder of the IPC and the acquirer initiates the write-off of the funds as part of the payment requested by the TSP. If the signals do not match, a decision is made about the high probability of fraud. In this case, the acquirer has the right to refuse to make the payment requested by the TSP under the IPC, the parameters of which were indicated by the payer.

Алгоритм работы системы приведен схематично на фиг. 1. А на фиг. 2 представлена структурная архитектура этой системы, функционирующей в рамках протокола 3-D Secure. Модель 3-D Secure реализована на основе трех доменов, в которых происходит порождение и проверка транзакций. Домен 1 Эмитента, который включает в себя держателя карты 2 и банк-эмитент 3. Домен 4 Эквайрера, который включает в себя банк-эквайер 5 (MPI) и ТСП 6. Домен 7 взаимодействия, содержит элементы, которые делают возможным проведение транзакций между двумя другими доменами. Он, главным образом, содержит сети 8, сервисы 9 и 10 МПС и блоки 11 связи (соединения по сети).The system operation algorithm is shown schematically in FIG. 1. And in FIG. Figure 2 shows the structural architecture of this system, operating under the 3-D Secure protocol. The 3-D Secure model is implemented on the basis of three domains in which transactions are generated and verified. Issuer domain 1, which includes card holder 2 and issuing bank 3. Acquirer domain 4, which includes acquiring bank 5 (MPI) and TSP 6. Interaction domain 7 contains elements that make it possible to conduct transactions between two other domains. It mainly contains networks 8, services 9 and 10 of the MPS and communication units 11 (network connections).

Домены 1, 4 и 7 независимы в своих правах и являются важной частью процесса передачи информации в общей 3-D Secure-инфраструктуре. Для каждого домена определена собственная сфера ответственности в проведении транзакций. В домене Эмитента 1 банк-эмитент 3 ответственен за аутентификацию плательщика и предоставление верной информации для проведения транзакции. В домене 2 Эквайрера ТСП 6 ответственен за коммерческие отношения с плательщиком, а также гарантию того, что плательщик был направлен в верный банк-эмитент 3 для верификации. В этом жеDomains 1, 4, and 7 are independent in their rights and are an important part of the process of transferring information in a common 3-D Secure infrastructure. Each domain has its own area of responsibility in conducting transactions. In the Issuer's domain 1, the issuing bank 3 is responsible for authenticating the payer and providing the correct information for the transaction. In domain 2 of the Acquirer, TSP 6 is responsible for commercial relations with the payer, as well as the guarantee that the payer was sent to the correct issuing bank 3 for verification. In the same

домене Эквайрер несет ответственность за согласование проведения транзакции через МПС Visa или MasterCard. В домене 7 взаимодействия МПС Visa или MasterCard ответственна за сохранность информации по каждому эмитенту (банк держателя карты, интернет-адрес эмитента) и предоставление данной информации для вынесения решения в случае конфликтных ситуаций.the domain Acquirer is responsible for coordinating the transaction through the Visa or MasterCard MPS. In the interaction domain 7, the Visa or MasterCard MPS is responsible for the safety of information for each issuer (cardholder's bank, the issuer's Internet address) and the provision of this information to make a decision in case of conflict.

Модель 3-D Secure предоставляет стандартный протокол взаимодействия между доменами для обмена и проверки транзакций. Она не вызывает необходимости изменений в отношениях между участниками одного домена. ТСП и Эквайер свободны в выборе любого способа проведения своих транзакций и в управлении отношениями в своих доменах. Эмитенты свободны в выборе любых предпочитаемых ими механизмов для аутентификации держателя карты.The 3-D Secure model provides a standard inter-domain communication protocol for exchanging and verifying transactions. It does not cause the need for changes in the relations between members of the same domain. TSP and Acquire are free to choose any method of conducting their transactions and to manage relations in their domains. Issuers are free to choose any mechanisms they prefer for authentication of the card holder.

В архитектуре 3-D Secure реализован набор специальных серверов для обслуживания потока транзакций во время его жизненного цикла (фиг. 2):The 3-D Secure architecture implements a set of special servers for servicing the transaction flow during its life cycle (Fig. 2):

• В домене 1 Эмитента Сервер Управления Доступом (Access Control Server или ACS) ответственен за управление процессами аутентификации между Покупателем и Эмитентом и гарантирует проведение платежных транзакций для Торговца.• In the Issuer's domain 1, the Access Control Server (ACS) is responsible for managing the authentication processes between the Buyer and the Issuer and guarantees payment transactions for the Merchant.

• В домене 4 Эквайера сервер Merchant Plug-In (или MPI) управляет потоком транзакций между инфраструктурами Visa/MasterCard, инфраструктурой держателей карты и платежной инфраструктурой, созданной Эквайером.• In domain 4 of the Acquirer, the Merchant Plug-In (or MPI) server controls the flow of transactions between Visa / MasterCard infrastructures, the cardholder infrastructure, and the payment infrastructure created by the Acquirer.

• В домене 7 взаимодействия Сервер-Директорий (Directory) Visa/MasterCard ведёт информацию об участниках процесса. В этом же домене Сервер Истории Аутентификаций Visa/MasterCard (Authentication History Server или AHS) надёжно хранит информацию по всем транзакциям и гарантирует её доступность при возникновении конфликтных ситуаций.• In the domain 7 of the Server-Directory interaction, the Visa / MasterCard maintains information about the participants in the process. In the same domain, the Visa / MasterCard Authentication History Server (Authentication History Server or AHS) reliably stores information on all transactions and ensures its availability in the event of a conflict.

• В доменах Эмитента и Эквайера Хостовые системы вовлечены в процесс выверки транзакций в бек-офисе банка для обеспечения клиринговых взаимозачетов между участниками с целью дальнейшей передачи денежных средств. В соответствии с протоколом 3-D Secure эмитенты несут ответственность за аутентификацию владельцев карточек.• In the domains of the Issuer and the Acquirer, Host systems are involved in the process of reconciling transactions in the back-office of the bank to ensure clearing settlements between participants for the purpose of further transfer of funds. In accordance with the 3-D Secure protocol, issuers are responsible for authenticating cardholders.

На фиг. 3 показан алгоритм осуществления связей в системе путем демонстрации основных шагов передачи информации по транзакции в случае совершения платежа через Интернет.In FIG. Figure 3 shows the algorithm for making connections in the system by demonstrating the basic steps of transmitting transaction information in the event of a payment via the Internet.

Шаг.1. Плательщик выбирает соответствующую страницу на сайте ТСП 6 и вводит необходимую для оформления платежа информацию. Step 1. The payer selects the appropriate page on the TSP 6 website and enters the information necessary for processing the payment.

Шаг.2. MPI посылает в МПС Transaction Verification Request (VeReq), содержащий номер карты (и информацию о типе устройства, если есть). Step 2. MPI sends a Transaction Verification Request (VeReq) to the MPS containing the card number (and device type information, if any).

Шаг.3. МПС находит соответствующего ACS эмитента карты и определяет возможность аутентификации для данного номера карты и типа устройства. Step 3. MPS finds the corresponding ACS of the card issuer and determines the authentication possibility for a given card number and device type.

Шаг.4. ACS проверяет, подписан ли данный держатель карты на сервисе 3-D Secure, и передает результат в МПС. Step 4. ACS checks to see if this card holder is subscribed to the 3-D Secure service, and transmits the result to the MPS.

Шаг.5. Сервер-Директорий возвращает ответ ACS в MPI.Step 5. Directory Server returns an ACS response in MPI.

Шаг.6. MPI отсылает Запрос на Аутентификацию Плательщика (PAReq) на ACS через устройство Плательщика. Step 6. MPI sends the Payer Authentication Request (PAReq) to the ACS through the Payer's device.

Шаг.7. ACS получает PAReq.Step 7. ACS receives PAReq.

Шаг.8. ACS производит аутентификацию Плательщика с помощью процедур, применимых для номера карты (пароль, chip, PIN и т.д.). Далее ACS формирует ответное сообщение (PARes) и подписывает его.Step 8. ACS authenticates the Payer using the procedures applicable to the card number (password, chip, PIN, etc.). Next, ACS generates a response message (PARes) and signs it.

Шаг.9. ACS возвращает PARes в MPI через устройство Плательщика. Также ACS посылает соответствующие данные на Сервер Аутентификации Истории (AHS). Step 9. ACS returns PARes to MPI through the Payer device. ACS also sends the appropriate data to the History Authentication Server (AHS).

Шаг.10. MPI получает PARes.Step 10. MPI receives PARes.

Шаг.11. MPI проверяет подпись PARes (либо выполняя проверку самостоятельно, либо перенаправляя сообщение в отдельные Серверы Проверки (Validation Servers) (на фиг. 3 этот шаг не показан). Step 11. MPI verifies the PARes signature (either by verifying it on its own or by redirecting the message to separate Validation Servers (this step is not shown in Fig. 3).

Шаг.12. ТСП приступает к проведению платежа через Эквайрера.Step 12. TSP proceeds with payment through Acquirer.

Claims (1)

Система проверки подлинности держателя платежной карты в режиме удаленного доступа, содержащая аппаратно-программный комплекс эквайрера, выполненный с функцией приема платежей посредством введения данных о платежной карте и сведений об устройстве, через которое данные об этой карте введены, через сервер управления потоком транзакций между инфраструктурами эмитентов платежных карт, инфраструктурой держателей карты и платежной инфраструктурой, выполненный с функцией направления данных о платежной карте и устройстве в аппаратно-программный комплекс эмитентов платежных карт для аутентификации введенного номера платежной карты устройства и передачи данных, соответствующих найденным сведениям о платежной карте и устройстве, на сервер аппаратно-программного комплекса эквайрера, выполненного с функцией направления плательщику на устройство, через которое данные об этой карте введены, запроса для подтверждения кодовой идентификации платежной карты и функцией приема от пользователя ответа на запрос, содержащего данные кодовой идентификации платежной карты и с функцией выдачи разрешения на проведение платежа через сервер аппаратно-программный комплекс эквайрера.
Figure 00000001
A remote card holder’s cardholder authentication system that contains the hardware and software of an acquirer that is configured to accept payments by entering payment card information and device information through which data on this card is entered through a transaction flow control server between issuer's infrastructures payment cards, the infrastructure of cardholders and payment infrastructure, performed with the function of sending data about the payment card and device to the hardware-software Amm complex of payment card issuers for authentication of the entered payment card number of the device and transfer of data corresponding to the found information about the payment card and the device to the server of the hardware and software complex of the acquirer, executed with the function of sending a request to the payer to the device through which data about this card is entered to confirm the code identification of the payment card and the function of receiving from the user a response to the request containing the data of the code identification of the payment card and with the functions her authorization for payment through the hardware-software complex acquirer server.
Figure 00000001
RU2012141090/08U 2012-09-26 2012-09-26 PAYMENT CARD HOLDER AUTHENTICITY INSPECTION SYSTEM RU137815U1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2012141090/08U RU137815U1 (en) 2012-09-26 2012-09-26 PAYMENT CARD HOLDER AUTHENTICITY INSPECTION SYSTEM

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2012141090/08U RU137815U1 (en) 2012-09-26 2012-09-26 PAYMENT CARD HOLDER AUTHENTICITY INSPECTION SYSTEM

Publications (1)

Publication Number Publication Date
RU137815U1 true RU137815U1 (en) 2014-02-27

Family

ID=50152442

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2012141090/08U RU137815U1 (en) 2012-09-26 2012-09-26 PAYMENT CARD HOLDER AUTHENTICITY INSPECTION SYSTEM

Country Status (1)

Country Link
RU (1) RU137815U1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2673982C1 (en) * 2017-12-04 2018-12-03 Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк) Method and system of execution of transactions for delivery of money resources in case of failures in communication channel of self-service machine
RU2698156C1 (en) * 2015-10-27 2019-08-22 Мастеркард Интернэшнл Инкорпорейтед Methods and systems for updating stored cardholder credentials
RU2705455C1 (en) * 2015-09-30 2019-11-07 Мастеркард Интернэшнл Инкорпорейтед Method and system for collecting and generating authentication data reporting

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2705455C1 (en) * 2015-09-30 2019-11-07 Мастеркард Интернэшнл Инкорпорейтед Method and system for collecting and generating authentication data reporting
RU2698156C1 (en) * 2015-10-27 2019-08-22 Мастеркард Интернэшнл Инкорпорейтед Methods and systems for updating stored cardholder credentials
US10943216B2 (en) 2015-10-27 2021-03-09 Mastercard International Incorporated Systems and methods for updating stored cardholder account data
US11687893B2 (en) 2015-10-27 2023-06-27 Mastercard International Incorporated Systems and methods for updating stored cardholder account data
RU2673982C1 (en) * 2017-12-04 2018-12-03 Публичное Акционерное Общество "Сбербанк России" (Пао Сбербанк) Method and system of execution of transactions for delivery of money resources in case of failures in communication channel of self-service machine

Similar Documents

Publication Publication Date Title
US20230013039A1 (en) Mobile services remote deposit capture
JP6294398B2 (en) System and method for mobile payment using alias
AU2014331673B2 (en) Network token system
RU2427917C2 (en) Device, system and method to reduce time of interaction in contactless transaction
RU2556453C2 (en) System and method for authentication of transactions without car with help of mobile device
US20080189209A1 (en) Real-Time Funds Transfer
CN115907763A (en) Providing payment credentials to a consumer
CN111386688B (en) System and method for protecting against relay attacks
RU2005118828A (en) MODE FOR CARRYING multifactorial strong authentication cardholders USING MOBILE PHONE IN A MOBILE COMMUNICATION ENVIRONMENT interbank financial transactions in international payment systems PROTOCOL SPECIFICATIONS FOR 3-D SECURE (VARIANTS) AND SYSTEM implements it
US10970697B2 (en) Transaction mediation method
US20190362348A1 (en) Merchant enrollment for reverse payments
US20160063481A1 (en) System and Method of Electronic Authentication at a Computer Initiated Via Mobile
CN110574032A (en) system and method for generating access credentials
RU137815U1 (en) PAYMENT CARD HOLDER AUTHENTICITY INSPECTION SYSTEM
CN105931035A (en) Payment mark generation method and device
US11574310B2 (en) Secure authentication system and method
RU2530323C2 (en) Method for safe use of bank cards (versions)
RU2555233C2 (en) Method for bank card holder to control authorised transactions in payment system using bank card restricting fraudulent transactions in case of compromise of card
US20210383342A1 (en) System and method for wirelessly receiving and processing a fixed sum
RU2509359C1 (en) Payment confirmation method
CN115956252A (en) Fast cryptocurrency transaction processing
WO2014051470A1 (en) System for verifying the authenticity of a payment card holder
RU127216U1 (en) PAYMENT CARD HOLDER INTENTION CONFIRMATION SYSTEM PAYMENT
WO2014051469A1 (en) System for confirming a payment card holder's intention to carry out a payment
KR20100045043A (en) System and method for managing plural settlement account connected with single affiliated store's card and recording medium