12.12.2019
10,142 Просмотры
Карты Сбербанка сейчас очень распространены, все больше держателей расплачиваются ими как в обычных супермаркетах, так и в интернет-магазинах. Необходимо знать правила безопасности для того, чтобы защитить себя от возможных мошенников, а также разбираться во всех данных, указанных на самой пластиковой карте и в конверте.
Код CVC – это код идентификации карточки, это еще один уровень безопасности, наряду с пин-кодом. Он предотвращает все списывания средств, являющиеся несанкционированными. Обычно это уместно для покупок в интернете. Некоторые расчетные карточки не имеют этого кода, например: MasterCard, VisaElectron, Maestro.
Это не говорит о том, что они небезопасны, просто предназначены для другого – для снятия наличных средств и покупок в обычных магазинах. На дебетовых картах всегда есть коды. Так, они нужны для интернета, когда обладатель карты не может подтвердить личность своим присутствием. Код CVC находится в регламентированном месте – под магнитной полосой справа от графы личной подписи. Используются три последние цифры.
Card Verification Code зашит в магнитную полоску, невозможно узнать, как и CVV.
Так, смоделируем ситуации покупки в интернет-магазине с проблемой, которая перед нами стоит. При вводе всех данных карты, последним спрашивают номер с задней стороны и высылают SMS на номер телефона.
Если выдается ошибка CVC, то нужно попробовать ввести его еще раз. Банк сразу же отклоняет операцию, если код ошибочен, пользователь получит уведомление с этой информацией сразу же.
Не нужно путать его с CVC2 – он находится сзади почти в середине под полосой черного цвета. Может выдавать ошибку CVC как раз потому, что пользователь перепутал, какой из кодов писать в какую графу.
Главная причина ошибки кода CVC может быть в том, что не подключена у пользователя опция «3D-Securе», то есть, не приходит SMS от банка при оплате.
Если ее подключить, то смошенничать будет затруднительно – вору придется завладеть еще и вашим телефоном.
Если ошибка все еще светится, нужно обратиться к работникам Сбербанка по номеру 900 или в диалоге через приложение. Нужно знать, что услуга подключается не сразу, нужно подождать какое-то время.
Также срок одноразового кода может быть исчерпан, тогда нужно запросить новый.
Когда покупатель прикрывает рукой клавиатуру при вводе пин-кода, когда он прячет заднюю часть карты с CVC, это выглядит забавно, потому что это не гарантия безопасности!
Важная информация для обладателей карт – на некоторых сайтах при покупке не спрашивают код с задней стороны карты, хотя многие убеждены, что без этой информации покупку совершить не удастся. Например, в «Амазоне» это возможно.
Таким образом, нельзя сообщать никакие из данных носителя: ни номер, ни срок действия, ни имя и фамилию, ни тем более CVC. Сотрудники Сбербанка не могут звонить с посторонних номеров, для связи с пользователями у них есть либо номер 900, либо час в приложении Сбербанк Онлайн. Не следует также вводить свои коды CVV и CVC на сайтах, которые не гарантируют безопасность, ведь часто мошенники создают специальные клоны, то есть, когда совпадает оформление, но вам ничего не продадут, только деньги спишут.
Невозможно будет вернуть транзакцию, если она осуществлена через этот фейковый сайт, поэтому нужно быть внимательным. Также не нужно заполнять формы оплаты в ненадежных местах. Обезопасить себя, подключив SMS-уведомления об операциях. В случае, если уже произошло списание средств не вами, нужно срочно заблокировать носитель.
Загрузка…
76
51
076
9859
116
603
Insufficient funds
Not sufficient funds
Decline, not sufficient funds
— банк-эмитент удерживает дополнительные комиссии с держателя карты. Это может возникать в случаях погашение кредита посредством интернет-платежа, либо если договор на обслуживание банковской карты предусматривает дополнительные комиссии;
— происходит конвертация из валюты покупки в валюту карты. Убедитесь, что средств на карте достаточно для покрытия комиссии за конвертацию валют. Некоторые банки-эмитенты устанавливают комиссии на конвертацию валют как-правило в пределах 1%
50
5
9905
180
Transaction declined
Do not honor
Do not Honour
Transaction declined
Возможные причины:
— карта заблокирована или на ней установлен статус
— на карте не установлен лимит на оплату в интернет, либо этот лимит недостаточный
— сработали настройки системы безопасности банка-эмитента
— сработали ограничения по сумме или количеству операций по карте у банка-эмитента
— банк-эмитент установил ограничения на проведение данного типа транзакций
— по карте не разрешены международные платежи (доместиковая карта)
— банк-эмитент установил ограничение на транзакции с двойной конвертацией валют (DCC)
— банк-эмитент установил ограничения на транзакции в данной валюте
— банк-эмитент установил ограничения на транзакции в данной стране
— банк-эмитент в США ограничил по карте операции в валюте, отличной от USD
— банк-эмитент в США ограничил по карте операции в странах бывшего СНГ и других рисковых регионах
55
055
12
902
9882
9912
Invalid transaction
Invalid transaction card / issuer / acquirer
Decline reason message: invalid transaction
95
095
61
061
121
9861
9863
Decline, exceeds withdrawal amount limit
Exceeds amount limit
Exceeds withdrawal limit
Withdrawal limit would be exceeded
Withdrawal limit already reached
— на карте не установлен лимит операций в интернет или он уже достигнут или будет достигнут с текущей транзакцией
— общий лимит по сумме для операций покупок по карте уже достигнут или будет достигнут с текущей транзакцией
— карта не открыта для расчетов в интернет
— на карте не активирован сервис 3D-Secure из-за чего операции в интернет без 3D-Secure пароля попадают под ограничения банка-эмитента
65
065
82
082
9860
Activity count exceeded
Exceeds frequency limit
Maximum number of times used
— на карте не установлен лимит операций в интернет или он уже достигнут или будет достигнут с текущей транзакцией
— общий лимит по количеству операций покупок по карте уже достигнут или будет достигнут с текущей транзакцией
— карта не открыта для расчетов в интернет
— на карте не активирован сервис 3D-Secure из-за чего операции в интернет без 3D-Secure пароля попадают под ограничения банка-эмитента
57
119
Not permitted to client
Transaction not permitted on card
Transaction not permitted to card
Decline, transaction not permitted to cardholder
Transaction not permitted to card
Not permitted to client
Decline, transaction not permitted to cardholder
Function Not Permitted To Cardholder
Банк эмитент отклонил транзакцию так как она не может быть осуществлена для этой карты или клиента.
Возможные причины (более детально смотрите по банку-эквайеру выше):
— данный карточный продукт не рассчитан для такого типа операции
— для данной карты не настроен такой тип операции на стороне банка-эмитента
58
120
Decline, transaction not permitted to terminal
Not permitted to merchant
The requested service is not permitted for terminal
Function Not Permitted To Terminal
Txn Not Permitted On Term
211
N7
9881
Bad CVV2
Decline for CVV2 Failure
CVV2 is invalid
Invalid CVV2
Decline Cvv2 failure
CVV2 код также может называться CVC2, CID, CSC2 код.
В некоторых случаях такой код отказа может возвращаться и при вводе неверного срока действия карты.
Стоит обратить внимание, если банк эмитент использует динамический код CVV2, генерируемый на короткий промежуток времени в клиент-банке — срок жизни такого CVV2 кода мог истечь на момент совершения операции
058
59
059
62
062
9858
104
Restricted card
Restricted status
Decline, restricted card
Card is restricted
Your card is restricted
— операции по карте в данном регионе/стране не разрешены
— на карте установлен статус, ограничивающий платежи
— для карты не доступны интернет-платежи
56
056
Отказ может возникать в таких случаях:
— оплата картой локальной платежной системы за рубежом. Например картой платежной системы МИР за пределами РФ, картой платежной системы ПРОСТИР за пределами Украины
— оплата картами оплата AMERICAN EXPRESS, Diners Club,JCB, China Union Pay, Discover которые не поддерживаются платежным провайдером
— оплата картой Monobank в счет микро-кредитной организации (погашение кредита), либо выдача кредит. Монобанк блокирует операции в адрес МФО по некоторым типам карт
Монобанк, если карта этого банка
100
1000
Decline (general, no comments)
General decline, no comments
General decline
54
101
Expired card
Decline, expired card
Expired card
Pick-up, expired card
Card expired
— срок действия карты закончился
— указан неверный срок действия карты
— карта была перевыпущена с новым сроком
14
111
9852
1012
305113
Card number does not exist
Invalid card number
No such card
Decline, card not effective
Invalid card
Wrong card number
— неверный номер карты
— карта не действительна
— оплата картой локальной платежной системы за рубежом. Например картой платежной системы МИР за пределами РФ, картой платежной системы ПРОСТИР за пределами Украины
— оплата картами оплата AMERICAN EXPRESS, Diners Club,JCB, China Union Pay, Discover которые не поддерживаются платежным провайдером
— операции по карте в данном регионе/стране не разрешены
— на карте установлен статус, ограничивающий платежи
909
42
7
07
108
9875
207
42
External Decline Special Condition
Special Pickup
Pick up card (special)
Pick up card, special condition (fraud account)
Pick-up, special conditions
Decline, refer to card issuer’s special conditions
122
63
89
Decline, security violation
Security violation
— карточный счет заморожен или заблокирован
— ограничения правил безопасности (система Antifraud на стороне любого из участников)
Банк-эквайер (банк, обслуживающий торговую точку) или к платежному провайдеру
200
76
114
21
Invalid account
Decline, no account of type requested
No To Account
— счет карты закрыт или заблокирован
— по счету запрещены расходные операции
— карта не действительна
— неверный номер карты
— оплата картой локальной платежной системы за рубежом. Например картой платежной системы МИР за пределами РФ, картой платежной системы ПРОСТИР за пределами Украины
— оплата картами оплата AMERICAN EXPRESS, Diners Club,JCB, China Union Pay, Discover которые не поддерживаются платежным провайдером
— операции по карте в данном регионе/стране не разрешены
— на карте установлен статус, ограничивающий платежи
— карта не предназначена для расчетов в интернет
74
074
907
911
910
9872
91
291
82
908
810
Unable to authorize
Decline reason message: card issuer or switch inoperative
Destination not available
Issuer or switch inoperative
Issuer unavailable
Time-out at issuer
Decline reason message: card issuer timed out
Decline reason message: transaction destination cannot be found for routing
Transaction timeout
Ошибка связи: таймаут
Недоступен эмитент/эквайер
Таймаут при попытке связи с банком-эмитентом. Как правило такая ошибка возникает при проблемах технического характера на стороне любого из участников: банка-эквайера, банка эмитента, платежной системы Visa/MasterCard/МИР.
В первую очередь необходимо обратиться в банк-эквайер для выяснения причины и определения, на чьей стороне неисправности.
Банк-эквайер (банк, обслуживающий торговую точку) или к платежному провайдеру
Банк-эмитент (при получении 91 кода)
15
815
92
No such card/issuer
No such issuer
Invalid Issuer
811
96
0
4
04
44
43
200
104
Pick-up (general, no comments)
Pick up card
Your card is restricted
Hot Card, Pickup (if possible)
Hold — Pick up card
Pick-up, restricted card
Pick-up, card acceptor contact card acquirer
Также причиной может быть то, что карта только что выпущена и первой операцией для нее должна быть операция смены PIN-кода
205
110
13
567
9913
9867
Invalid advance amount
Decline, invalid amount
Invalid amount
— слишком маленькая сумма. Если карта открыта в валюте, убедитесь, что сумма транзакции не менее 1 цента доллара США или 1 Евро цента
— слишком большая сумма
— из суммы транзакции невозможно удержать сумму комиссии платежного провайдера. Убедитесь, что сумма транзакции не меньше суммы всех комиссий
— ограничения на карте плательщика на стороне банка, который выпуcтил карту.
— достигнуты лимиты на стороне банка-эквайера.
948
102
202
9934
59
Suspected fraud
Decline, suspected fraud
Также, возможно, что банк-эмитент заблокировал карту/счет в связи с подозрительными действиями, скиммингом, компрометацией
800
904
30
030
9874
574
Format error
Decline reason message: format error
41
540
208
9840
Lost Card, Pickup
Pick up card (lost card)
Lost card
Lost card, pick-up
Pick-up, lost card
93
124
Violation of law
Decline, violation of law
909
96
Decline reason message: system malfunction
System malfunction
01
02
107
108
Refer to card issuer
Decline, refer to card issuer
Decline, refer to card issuer special conditions
Refer to issuer
Также причиной может быть то, что карта только что выпущена и первой операцией для нее должна быть операция смены PIN-кода
43
209
057
9841
Pick up card (stolen card)
Pick-up, stolen card
Stolen card
Stolen card, pick-up
Lost/Stolen
Lost or stolen card
6000
106
Pre-authorizations are not allowed within this context.
Merchant is not allowed preauth
03
3
109
9903
20003
Invalid merchant
Decline, invalid merchant
Также причиной может быть некорректно переданный идентификатор мерчанта в транзакции
Коды ответов
Результатом выполнения и критерием успешности любой операции является Код ответа (Responce Code (RC)). В рамках протокола ISO 8583 он передается в поле 39 ответного сообщения. Формат RC зависит от версии ISO 8583: в версии ISO 8583:1987 он двузначный, в версии ISO 8583:1993 — трехзначный. Главным образом будем рассматривать обмен в рамках версии 1987 г., по причине ее большей распространенности. При этом заметим, что каждый конкретный разработчик ПЦ использует различные подходы к обеспечению совместимости между версиями: какие-то хосты передают в рамках P2H три символа RC, при этом, в случае если обмен выполняется в рамках версии 1987 г., заполняя лидирующий символ (первый слева) нулем. В других случаях ПЦ выполняет конвертацию трехзначного RC версии 1993 г. — в его двузначный эквивалент версии ISO 8583:1987 и в таком виде отправляет его на POS.
Коды ответов можно разделить на успешные и негативные. Негативным является любой ответ, кроме явного ответа «Одобрено» либо его семантического эквивалента. При этом причиной может быть как техническая ошибка, так и отказ эмитента в выполнении той или иной операции.
Ниже приведем наиболее распространенные RC, разбив их на две условные группы — Технические и Сервисные.
Технические RC
В это группу включим основные коды ответов, полученные в результате тех или иных технических сбоев, либо ошибок при заполнении сообщения. Заметим, что вариативность причин возникновения любого их описанных ниже RC более или менее широка, и в рамках материала дана исключительно в целях примера.
00 — Approved (Одобрено). Транзакция завершена успешно.
12 — Invalid Transaction (Неверная транзакция). Неверны какие-либо параметры транзакции. Допустим, поля сообщения заполнены таким образом, что из них следует, что операция Выдача наличных выполняется в торговом POS-терминале. Что, в общем случае, недопустимо.
13 — Invalid Amount (Неверная сумма). Поле 4 (Сумма) заполнено неверным значением. Данный RC может возникнуть в случае срабатывания какого-либо лимита, либо в рамках операций, подразумевающих предварительную авторизацию с ее последующим завершением (например, предварительное бронирование услуг с последующим расчетом).
14 — Invalid Card Number(Неверный номер карты). Неверно заполнено поле 2 (Номер карты), либо имеет место быть попытка выполнить транзакцию по карте, отсутствующей в базе данных эмитента.
15 — Invalid Issuer (Неверный эмитент). Такой RC обычно отправляется авторизационной платформой ПС и говорит о том, что маршрут отправки операции эмитенту не найден (в большинстве случаев, по причине неверного БИНа карты).
30 — Format Error (Ошибка формата данных). Возникает в результате тех или иных ошибок при заполнении сообщения в рамках определенного диалекта. Например, какое-либо поле превышает допустимое количество символов, либо вообще отсутствует, либо заполняется в неверном формате и/или кодировке. При этом ряд ПС, в случае отправки данного RC, направляет в ответном сообщении дополнительное поле с конкретным указанием на ошибочный элемент входящего сообщения.
88 и 89 — Cryptographic Failure (Криптографическая ошибка). Транзакция отклонена по причине ошибок криптографии. К примеру, таких как, ошибка шифрования пинблока, ошибка проверки цифровой подписи и других.
96 — System Error (Системная ошибка). В общем случае ошибка свидетельствует о том, что произошел сбой на каком-либо из этапов обмена. Как правило, в рамках ПЦ эквайрера, однако нам известны случаи, когда данный RC передавался и в рамках H2H.
Сервисные RC
К сервисным RC можно отнести коды ответов по операциям в рамках которых отсутствовали технические ошибки, а отказ был получен по причине ограничений доступа к тому или иному сервису со стороны эмитента или ПС, либо других условий, не связанных с техническими проблемами.
00 — Approved (Одобрено). Транзакция завершена успешно.
01 — Refer to Call Issuer (Позвоните эмитенту). Для завершения транзакции необходимо связаться с эмитентом.
04 — Capture Card (Изъять карту). Эмитент или ПС направил команду на изъятие карты.
05 — Do Not Honor (Не оплачивать). Отказ без объяснения причины. В подавляющем большинстве случаев такой RC отправляется эмитентом. Причины также следует уточнять у эмитента.
41 — Lost Card (Карта утеряна). Попытка выполнить операцию по карте, помеченной в БД эмитента или ПС как утерянная.
43 — Stolen Card (Карта украдена). Попытка выполнить операцию по карте, помеченной в БД эмитента или ПС как украденная.
51 — Not Sufficient Funds (Недостаточно средств). Сумма операции превышает сумму доступных средств на карточном счете.
52 и 53 — No Checking/Saving Account. Попытка выполнить операцию с неверным карточным счетом.
54 — Expired Card (Карта просрочена). Попытка выполнить операцию по карте с истекшим сроком действия.
55 — Incorrect PIN (Неверен пин). При выполнении операции с онлайн-пинкодом он был введен некорректно.
57 — Transaction Not Permitted to Issuer/Cardholder (Транзакция не разрешена для Эмитента/Держателя карты). Попытка выполнить операцию, не разрешенную для конкретного эмитента или держателя карты.
58 — Transaction Not Permitted to Acquier/Terminal (Транзакция не разрешена для Эквайрера/Терминала). Попытка выполнить операцию, не разрешенную для конкретного эквайрера или терминала.
Таков список наиболее часто встречающихся кодов ответа, имеющих одинаковые значения для всех ведущих ПС. Заметим, что их число несколько шире и варьируется в зависимости от конкретного диалекта ПС. Например в рамках спецификации Visa могут присутствовать RC, отсутствующие у Mastercard, и наоборот.
Оффлайновые коды ответов
В общих чертах следует коснутся и оффлайновых RC. К ним относятся коды, сгенерированные программным обеспечением POS-терминала. Поскольку в данном случае обмен выполняется не в рамках ISO 8583, а условия возникновения таких RC наступают в процессе т.н. EMV Transaction Flow, ограничимся общим описанием (Вопросы APDU/EMV-обмена будут подробно освещены в будущих материалах).
Z1 — OFFLINE DECLINED (Отклонено оффлайн). Было принято решение отклонить транзакцию, не отправляя онлайн-сообщение.
Z3 — NO ONLINE, DECLINED (Нет связи, отклонено оффлайн). POS-терминал предпринял попытку отправить онлайн-запрос, которая закончилась неудачно по причине отсутствия связи. В оффлайне транзакция отклонена.
Y1 — OFFLINE APPROVED (Одобрено оффлайн). Транзакция одобрена без онлайн-обращения к эмитенту. Справедливо для терминалов, поддерживающих оффлайн-транзакции.
Y3 — NO ONLINE, APPROVED (Нет связи, одобрено оффлайн). POS-терминал предпринял попытку отправить онлайн-запрос, которая закончилась неудачно по причине отсутствия связи. В оффлайне транзакция была одобрена. Справедливо для терминалов, поддерживающих оффлайн-транзакции.
SMS-информирование
Достаточно популярная ныне услуга SMS-информирования используется многими держателями карт. Помимо очевидного удобства, являясь в ряде случаев причиной споров, а иногда и скандалов между мерчантом и кардхолдером. Рассмотрим наиболее типичный случай:
- Клиент расплачивается картой.
- Получает SMS о списании суммы услуги/покупки.
- Терминал не печатает чек/зависает/перезагружается.
- Мерчант не имеет на руках успешного чека по операции.
- Клиент утверждает, что операция успешна, при этом ссылается на SMS.
Дальнейший сценарий развития событий зависит от опытности персонала ТСП и многих других факторов.
Первое и самое важное, что следует принимать во внимание в такой ситуации: критерием успешности операции по карте является чек (либо, если речь идет об одобренных ПС терминалах, не оснащенных чековым принтером — его электронный эквивалент), содержащий успешный код ответа и/или его расшифровку. Никакие SMS, полученные клиентом, критерием успешности операции не являются. Ни один диспутный цикл ни по одной претензии не будет рассматривать полученное кардхолдером SMS в качестве аргумента. Основная причина состоит в том, что такая услуга как SMS-информирование никак не специфицирована со стороны ПС. То есть, технические инструменты, в том числе и протоколы/формат обмена, которыми она достигается, зависят от каждого конкретного эмитента. В том числе, может быть реализована и с помощью различных самописных решений. В общем случае, некий условный «SMS-сервер» анализирует запросы к карточному контракту и фиксирует изменения его доступного остатка. Помимо этого, в большинстве случаев могут анализироваться поля 41 (Идентификатор Терминала (Terminal ID)), 42 (Идентификатор Мерчанта (Merchant ID)) и 43 (Имя и местонахождение мерчанта (Card Acceptor Name/Location)) из входящего запроса от эквайрера. Затем эти данные вносятся в «тело» SMS-сообщения и отправляются на номер телефона, который кардхолдер указал при выпуске карты. На выходе получается SMS-сообщение примерно такого формата: «КАРТА, ДАТА/ВРЕМЯ, Тип операции, Сумма, НАИМЕНОВАНИЕ ТСП, ДОСТУПНЫЙ ОСТАТОК».
Подчеркнем ряд важных моментов: фактически, принцип функционирования SMS-сервера базируется на срабатывании триггеров. При этом он может быть настроен на срабатывание при выполнении операции Оплата, но не срабатывать на операцию Отмена оплаты; далее, SMS-сервер ничего «не знает» про состояние каналов связи в момент выполнения операции. Соответственно, не способен «понять», был ли ответ на авторизацию успешно доставлен на POS-терминал. Сумма и комбинации всех этих факторов, а также отсутствие регламентов со стороны ПС, делают SMS-инфо крайне ненадежным источником. Этот факт необходимо учитывать как мерчантам, так и кардхолдерам. Безусловно, качество предоставления такой услуги, как SMS-информирование в последние годы существенно возросло. Однако это не отменяет сказанного выше.