СПОСОБ ОПЛАТЫ ТОВАРОВ И УСЛУГ ДЛЯ ТРАДИЦИОННОЙ И ЭЛЕКТРОННОЙ КОММЕРЦИИ
Вид РИД
Изобретение
1. Область техники, к которой относится изобретение
Изобретение относится к области платежных систем на основе банковских пластиковых карт, а также к области мобильной связи, а именно к способам оплаты товаров и услуг для традиционной и электронной коммерции с использованием технологий платежных систем на основе банковских пластиковых карт и мобильных терминалов, сетей сотовой связи и сети Интернет, и может найти широкое применение для значительного повышения безопасности и упрощения процесса платежей, в качестве универсальной технологии платежей при любых видах коммерции.
2 Уровень техники
Известен способ оплаты товаров и услуг в рамках традиционной и электронной коммерции на основе банковских пластиковых карт (1, 7), заключающийся в том, что Плательщик в рамках традиционной или электронной коммерции тем или иным образом выбирает товар или услугу, после чего авторизует свою банковскую карту у Продавца - получателя платежа с помощью некоторого контактного или бесконтактного pos-терминала или, в случае электронной коммерции, у некоторого посредника - интернет-эквайера с использованием защищенных технологий авторизации (2, 3, 5). После чего Получатель платежа самостоятельно (через систему обслуживающего банка) или через посредника обращается по сети одной из платежных систем к хранилищу банковских карт Банка-эмитента предъявленной банковской карты (процессинговому центру) с выставленным счетом, а процессинговый центр производит авторизацию данной банковской карты, на основе полученных идентификационных параметров банковской карты, и принимает решение об оплате на основе анализа этих параметров, лимитов и ограничений, установленных банком-эмитентом и владельцем пластиковой карты, а также условию (для дебетовых пластиковых карт), что сумма счета должна быть меньше остатка на счете предъявленной карты. При положительной авторизации и выполнении заданных условий оплаты система процессингового центра списывает сумму выставленного счета с лицевого счета карты, после чего сообщает Получателю платежа результат по оплате выставленного счета, а Получатель платежа сообщает об этом Плательщику. Известна также реализация данного способа с помощью использования вместо пластиковой карты мобильного терминала с инсталлированным в нем программным средством (мобильное приложение, электронный кошелек), заключающаяся в том, что в мобильном приложении содержатся в зашифрованном виде параметры авторизации карты, а считывание этих параметров производится Получателем платежа бесконтактным способом или по сети Интернет (3, 4, 5). При этом процедура авторизации и выставления счета в рамках традиционной коммерции производится аналогично карточной технологии, а в электронной коммерции мобильное приложение используется как терминал соединения по мобильной сети и сети Интернет с электронным магазином, а также как устройство ввода идентификационных параметров карты через клавиатуру мобильного терминала в систему интернет-эквайера. Дальнейшее взаимодействие бесконтактного pos-терминала с процессинговым центром в рамках традиционной коммерции и системы интернет-эквайера с Процессинговым центром в рамках электронной коммерции осуществляется аналогично (5, 6, 7).
Вторым направлением повышения безопасности оплаты по банковским картам является инициативное управление состоянием счета банковской карты с помощью посылки SMS с мобильного телефона или открытие дополнительного субсчета (8, 9). Однако это направление не является универсальным для всех международных банковских платежных систем ни с точки зрения использования его одновременно в традиционной и электронной коммерции, ни с точки зрения значительного повышения безопасности. Кроме того, решение на основе SMS не удовлетворяют техническим требованиям современных процессинговых центров по временным характеристикам, а решения на основе дополнительных субсчетов могут применятся только для отдельных банков, а не всей системы в целом.
Исходя из вышеизложенного за прототип целесообразно взять первое направление, как базовое решение, в том числе и для второго направления.
Под процессинговым центром банка-эмитента пластиковой карты понимается комплекс аппаратно-программных средств, имеющий базу данных, в которой хранятся как идентификационные параметры карты (ФИО владельца, номер банковской карты, срок действия и CVV), так и состояние лицевого банковского счета карты, а также технологические процедуры и соответствующим образом защищенные протоколы авторизации для связи с автоматизированной банковской системой банков-эмитентов пластиковых карт, Интернет-эквайерами, другими центрами и сетью платежной системы.
Под Интернет-посредником (интернет-эквайером) понимается некоторая организация, имеющая комплекс аппаратно-программных средств, связанных по сети Интернет с системами Интернет-магазинов, а через сеть платежных систем с процессинговыми центрами. В рамках электронной коммерции Интернет-магазины, при выставлении счета покупателю (Плательщику), переадресовывают его по сети Интернет на интернет-эквайера, в Интернет интерфейс которого Плательщик вводит параметры авторизации карты, которые затем вместе со счетом за товар или услугу от Продавца-получателя платежа передаются в процессинговый центр Банка-эмитента карты.
Под защищенными технологиями авторизации пластиковых карт в сети Интернет понимаются технологии 3D-secure, например Visa 3D Secure или MasterCard Secure Code.
Под контактным pos-терминалом понимается некоторое техническое устройство, куда помещается банковская карта с магнитной полосой или специальным чипом, на которых в защищенном виде записаны идентификационные параметры карты (фамилия и имя владельца карты, номер карты, срок ее действия, CVV - код), которые передаются pos-терминалом в процессинговый центр.
Под бесконтактным (пассивным или активным, например, на основе NFC технологий) pos-терминалом понимается техническое устройство, которое считывает параметры авторизации на некотором расстоянии от карты или мобильного терминала, оснащенных соответствующими устройствами бесконтактного обмена информацией, например NFC.
Под мобильным терминалом понимается любое техническое устройство (мобильный телефон, смартфон и т.д.), осуществляющее по сети сотовой связи голосовое соединение и соединение по сети Интернет.
Под мобильным приложением понимается программное обеспечение, инсталлированное на мобильном терминале Плательщика-владельца банковской карты, осуществляющее взаимодействие с бесконтактными pos-терминалами или с программными средствами Интернет-магазинов Получателя платежа-продавца, а также по сети Интернет с программными средствами интернет-эквайеров или программными средствами других посредников, участвующих в проведении расчетов.
Под одноуровневой авторизацией понимается авторизация только самого пользователя (например, по логину и паролю), в то время как под многоуровневой авторизацией понимается, например, одновременная авторизация технического средства пользователя, программных средств пользователя, банковской карты и самого пользователя.
Наличие мобильного приложения позволяет Плательщику производить оплату товара и услуги как с банковской карты, так и когда это возможно, с мобильного приложения (мобильный интернет-банкинг). Мобильное приложение регистрируется в процессинговом центре банка-эмитента по договору с владельцем банковской карты путем регистрации его номера мобильного терминала и выделение владельцу банковской карты его параметров авторизации в виде логина и пароля. В большинстве случаев мобильное приложение реализуется средствами стандартного web-браузера или на основе Java-интерфейсов с использованием web-сервисов. При авторизации мобильного приложения не осуществляется авторизация банковской карты, а осуществляется авторизация пользователя для управления карточным счетом. После регистрации мобильного приложения владелец банковской карты «закачивает» его в мобильный терминал и производит его инсталляцию. Таким образом, при идентификации Плательщика через мобильный терминал происходит одноуровневая авторизация. При этом в случае оплаты по банковской карте, а это происходит в подавляющих случаях традиционной коммерции и в большинстве случаев электронной коммерции, мобильное приложение не участвует в процессе оплаты.
Известный способ и его различные реализации предусматривают совмещение выставления счета и согласие Плательщика на оплату выставленного счета путем авторизации предъявляемой им пластиковой карты или авторизации мобильного приложения осуществляющего доступ к карточному счету.
Таким образом, за известный способ принимается такой способ, который использует все известные способы оплаты в рамках традиционной коммерции, в том числе банковские контактные и бесконтактные карты, мобильные терминалы с инсталлированным на них мобильным приложением и оснащенные устройствами бесконтактных технологий, контактные и бесконтактные pos-терминалы, а в рамках электронной коммерции реализующий системы безопасности на основе 3D-secure и «виртуальные» банковские карты.
Известный способ и его реализации имеют следующие особенности технологии:
1. Известно, что ввод информации с клавиатуры любого терминала, может быть подвергнут несанкционированному считыванию информации злоумышленником различными средствами, также известно, что во время нахождения информации в буфере системы, производящей прием информации, эта информация с помощью dos-атак может быть похищена злоумышленниками. Также известно, что с помощью фишинга, пользователь может обманным путем перенаправлен на сайт-двойник злоумышленников, где введет секретные параметры, а кроме этого с помощью dos-атак такое перенаправление может быть осуществлено злоумышленниками автоматически.
2. При использовании в традиционной коммерции обычной банковской карты участвует некоторый человек, который осуществляет авторизацию этой карты (продавец, официант и т.д.), у которого карта может находиться некоторое время и который может легко визуально считать идентификационные параметры банковской карты.
3. При использовании в традиционной коммерции бесконтактных банковских карт (типа «электронный кошелек») существуют ограничения по оплате товара, поскольку контроль Плательщиком состояния списанных средств затруднен, что позволяет их использовать в основном как «транспортные» карты.
4. При использовании банковских карт в электронной коммерции параметры авторизации вводятся в систему интернет-эквайера по сети Интернет с клавиатуры компьютера, при этом имеется единственный уровень авторизации - авторизация по параметрам карты, в то время как сам Плательщик не авторизуется и не идентифицируется.
5. При использовании мобильного терминала с инсталлированным на нем Мобильным приложением в электронной коммерции его авторизация с использованием 3D-secure возможна только в том случае, когда выбор товара или услуги производится непосредственно с мобильного терминала, оснащенного мобильным приложением, поскольку переадресация Плательщика с интернет-магазина на интернет-эквайера возможна только с того устройства, с которого производится выбор товара или услуги.
6. При использовании мобильного терминала с инсталлированным на нем мобильным приложением в традиционной коммерции, оно возможно только при авторизации через бесконтактные pos-терминалы, что исключает данную технологию на существующей сети платежных систем с обычными pos-терминалами, а значит, не позволяет пользователю осуществить платеж с обычной карты.
7. Мобильное приложение по прототипу взаимодействует с системами интернет-магазинов и процессинговыми центрами на основе web-сервисов, имеющих изъяны в безопасности и подверженные dos-атакам.
Известный способ может быть реализован устройством, содержащим устройство Плательщика (банковская карта и/или мобильный терминал с инсталлированным на нем программным приложением, эмитирующим банковскую карту), pos-терминалы Получателя платежей (контактные, бесконтактные, в том числе активные или пассивные), программно-аппаратный комплекс интернет-магазинов, сеть платежной карточной системы, процессинговый центр банка-эмитента, систему посредника Интернет-эквайера, а также каналы связи на основе сети Интернет и сети мобильной связи.
Известный способ реализуется следующим образом.
Плательщик, имеющий счет в некоторой банковской или небанковской организации получает банковскую карту, скачивает на свой мобильный терминал мобильное приложение. При этом мобильное приложение представляет из себя стандартный или оригинальный браузер, который взаимодействует с процессинговым центром через автоматизированную банковскую систему на основе web-сервисов, авторизация пользователя производится путем ввода в мобильное приложение логина и пароля Плательщика - владельца банковской карты, а регистрация производится путем выделения этих авторизационных параметров для данного владельца карты. Для оплаты товаров или услуг в рамках традиционной коммерции путем авторизации карты Плательщик помещает в контактный pos-терминал обычную банковскую карту или в бесконтактный пассивный pos-терминал бесконтактную пластиковую карту, или к бесконтактному pos-терминалу подносит мобильный терминал, оснащенный бесконтактными приемо-передатчиками. Для оплаты товаров и услуг в рамках электронной коммерции при выборе этих товаров и услуг по сети Интернет с любого терминала, в том числе мобильного, Плательщик переадресовывается на систему интернет-эквайера и вводит идентификационные параметры имеющейся у него карты с клавиатуры терминала, через который осуществляется выбор товара. В случае, когда выбор товара или услуги производится с мобильного терминала при переадресации мобильного приложения на систему интернет-эквайера, авторизация может производится путем ввода логина и пароля. Интернет-эквайер связывается с процессинговым центром и производит авторизацию банковской карты и передает счет Продавца-получателя платежа. После успешной авторизации карты в процессинговом центре и достаточности суммы на лицевом счете карты для оплаты выставленного счета, производится списание суммы счета с лицевого счета карты в пользу Получателя платежа. После чего Получателю платежа и Плательщику непосредственно на мобильный терминал или через Получателя платежа передается уведомление об оплате счета. В рамках традиционной коммерции Получатель платежа печатает чек в двух экземплярах, один из которых подписывается Плательщиком и остается у Получателя платежа.
Однако известному способу и его реализациям присущи следующие основные недостатки:
1. В рамках традиционной коммерции при оплате по банковским картам контактным способом существуют угрозы безопасности связанные с тем, что при авторизации карты параметры карты находятся не только на магнитной полосе или чипе карты, но и визуально отражаются на самой карте, а значит, могут быть несанкционированно считаны, а затем использованы в электронной коммерции.
2. Использование «виртуальных» банковских карт (без магнитной полосы и/или чипа) как способа защиты в электронной коммерции не позволяет расплачиваться ими в рамках традиционной коммерции.
3. В рамках традиционной коммерции при оплате по банковским картам бесконтактным способом существует угроза безопасности в части несанкционированного пополнения суммы на карте.
4. В рамках электронной коммерции при оплате по банковским картам плательщику необходимо вводить в систему Интернет-эквайера через клавиатуру по сети Интернет параметры авторизации карты, что является угрозой несанкционированного завладения параметрами авторизации карты путем атак злоумышленников на компьютер плательщика, атак типа фишинга, а также различных атак на систему интернет-эквайера.
5. В рамках электронной коммерции, при выборе товара или услуги, с другого устройства, нежели мобильное приложение, существует угроза безопасности за счет фишинга, а также угроза безопасности за счет атак на компьютер плательщика.
6. Системы интернет-экваеров, Интернет-магазинов и процессинговых центов, взаимодействующих с мобильным приложением на основе web-сервисов подвержены атакам злоумышленников с целью завладения параметрами авторизации карт.
Таким образом, использование оплаты по банковским картам в рамках электронной коммерции, несмотря на использование защищенных технологий 3D-secwe и «виртуальных карт», не дают значительного повышения уровня безопасности оплаты, а использование дополнительного мобильного приложения для мобильного терминала, даже в совокупности с бесконтактными технологиями, снимает только некоторые угрозы безопасности и не обеспечивает универсальность расчетов в рамках традиционной и электронной коммерции, поскольку является уникальным для каждого банка-эмитента.
3. Раскрытие изобретения
Поскольку, все угрозы безопасности касаются несанкционированного доступа к идентификационным параметрам пластиковой карт, по которым в прототипе производится их авторизация, желательно отказаться от этих параметров как авторизационных и сделать их только идентификационными, т.е. пригодными только для идентификации лицевого счета. В этом случае любые атаки злоумышленников на эти параметры станут нецелесообразными. Однако в этом случае должна быть введены дополнительные средства защиты, одновременно не нарушающие сложившуюся технологию оплаты традиционной и электронной коммерции, единообразные для традиционной и электронной коммерции и оставляющие Плательщику выбор использования старых или новых технологий оплаты по банковским картам. При этом необходимо, чтобы владелец банковской карты мог использовать существующую сеть оплаты банковских платежных систем и совместно с банком-эмитентом мог выбирать степень и уровень безопасности, осуществляемых им платежей.
Целью изобретения является универсальность технологий расчетов как в рамках традиционной с использованием любых существующих контактных и бесконтактных типов pos-терминалов, так и электронной коммерции, при использовании Интернет и мобильных технологий, с уровнем безопасности превышающем безопасность при расчетах по банковским картам любого вида.
Поставленная цель достигается тем, что способ оплаты товаров и услуг для традиционной и электронной коммерции, заключающийся в том, что оплату производят путем идентификации банковской карты плательщика, идентификационные параметры которой отражают в базе данных процессингового центра, или авторизуют мобильное программное приложение, инсталлированное на мобильном терминале плательщика и однозначно связанное с банковской картой плательщика, при этом плательщики для оплаты счета вводят через контактный или бесконтактный pos-терминал или в систему интернет-эквайера идентификационные параметры карты, а получатели платежа вводят реквизиты счета со стоимостью товара, при этом идентификационные параметры карты и реквизиты счета совместно поступают в процессинговый центр банка-эмитента, который авторизует карту и проводит списание средств с лицевого счета карты, после чего процессинговые центры посылают уведомление о состоявшемся платеже, как Плательщику, так и Получателю платежа, согласно изобретению номер мобильного телефона и мобильное приложение Плательщики регистрируют в зашифрованном виде в специальном центре авторизации совместно с параметрами банковской карты, а в базе данных процессингового центра, под управлением системы банков-эмитентов для эмитированной им банковской карты, вводят дополнительный параметр «согласие на оплату счета», при этом решение процессингового центра об авторизации карты и списании средств с лицевого счета карты принимают процессинговые центры, которые анализируют наличие этого параметра и, при его наличии, обращаются по защищенной сети Интернет через специальный центр авторизации, а затем по мобильной сети, к мобильному приложению плательщиков, а после согласия плательщиков с выставленным счетом, выраженное путем управления мобильным приложением, авторизуют мобильное приложение и принимают ответ плательщиков, после чего передают ответ плательщиков по закрытым каналам сети Интернет в процессинговые центры, которые на основании этого ответа производят или нет авторизацию и списывают средств с лицевого счета.
Устройство для реализации заявляемого способа включает в себя: устройство Плательщика (банковская карта и/или мобильный терминал с инсталлированным на нем программным приложением, эмитирующим банковскую карту), pos-терминалы Получателя платежей (контактные, бесконтактные, в том числе активные или пассивные), система Интернет-магазинов в виде программно-аппаратного комплекса, сеть платежной карточной системы, процессинговый центр банка-эмитента, систему посредника Интернет-эквайера, центр авторизации, а также каналы связи на основе сети Интернет и сети мобильной связи.
Таким образом, технология работы устройства следующая: Плательщик, имеющий счет в некоторой банковской или небанковской организации, получает банковскую карту, согласует с банком эмитентов условия «согласия на оплату счета» и регистрирует мобильное приложение в базе данных специального центра авторизации. Под специальным центром авторизации понимается комплекс технических средств и баз данных, в которых хранятся в зашифрованном виде все идентификационные параметры мобильных приложений, зарегистрированных Плательщиками-владельцами банковских карт, а также изменяемые параметры «согласия на оплату счета». Центр авторизации оснащен защищенными технологическими процедурами обработки запросов к базе данных, в том числе авторизационных, и соответствующим образом защищенные протоколы авторизации для связи с процессинговыми центрами, платежными системами и Интернет-магазинами. Потенциальный плательщик - владелец банковской карты - скачивает мобильное приложение на свой мобильный терминал и вводит в него параметры своей банковской карты, при этом все регистрационные параметры мобильного приложения и введенные параметры карты в зашифрованном виде хранятся в мобильном приложении. При этом в базе данных процессингового центра данная банковская карта помечается специальным параметром - «согласие на оплату счета», означающим, что при авторизация карты необходимо получить согласие Плательщика с выставленным счетом. Согласованные между владельцем карты и банком-эмитентом состояния этого параметра, например состояния «на все платежи меньше некоторой суммы не требовать согласие», хранятся в базе данных процессингового центра, а все состояния, устанавливаемые Плательщиком, например, «на платеж поступивший в течение n-часов, давать автоматическое согласие», хранятся в базе данных специального центра авторизации. Таким образом, параметр «согласие на оплату счета», может находиться в нескольких состояниях, совместное управление которыми, включающее возможность устанавливать эти состояния, в том числе время действия этого параметра и лимиты на списание, осуществляется совместно банком-эмитентом и владельцем банковской карты или самостоятельно Плательщиком. Для оплаты товаров или услуги в рамках традиционной коммерции путем идентификации карты Плательщик помещает в контактный pos-терминал банковскую карту или в бесконтактный пассивный pos-терминал - бесконтактную пластиковую карту, или к бесконтактному pos-терминалу подносит мобильный терминал. Для оплаты товаров и услуг в рамках электронной коммерции при выборе этих товаров и услуг по сети Интернет с любого устройства, в том числе компьютера или мобильный терминала, Интернет-магазин переадресовывает устройство Плательщика на систему интернет-экваейра, в которую плательщик через клавиатуру устройства вводит параметры идентификации с имеющийся у него карты. При поступлении параметров идентификации карты в базу данных процессингового центра производится идентификация карты, анализ достаточности суммы на счете для оплаты выставленного счета и анализ наличия и состояний параметра «согласие на оплату счета». При наличии параметра «согласие на оплату счета» и при его состоянии, требующем обращения в центр авторизации, процессинговый центр по защищенным каналам связи обращается в центр авторизации, который в свою очередь обращается по мобильным каналам связи к мобильному приложению, при этом запрос на согласие с выставленным счетом производится одновременно в режиме Интернет соединения и в режиме мобильных коротких сообщений, что дает возможность безусловно доставить этот запрос, вне зависимости от того, присутствует ли мобильный терминал Плательщика в сети Интернет. Получив запрос на получение согласия на оплату счета, Плательщик, управляя мобильным приложением, направляя зашифрованный ответ в режиме Интернет-соединения или в режиме короткого сообщения путем многоуровневой авторизации мобильного приложения в центре авторизации. После получения через мобильное приложение авторизованного согласия на оплату счета, центр авторизации по защищенному каналу передает его в процессинговый центр. При получении согласия Плательщика на оплату счета, процессинговый центр производит авторизацию карты и списание суммы счета с лицевого счета карты в пользу Получателя платежа. После чего Получателю платежа и Плательщику непосредственно на мобильный терминал или через Получателя платежа передается уведомление об оплате счета. В рамках традиционной коммерции Получатель платежа печатает чек в двух экземплярах, один из которых подписывается Плательщиком и остается у Получателя платежа. В случае отсутствия параметра «согласие на оплату счета» оплата счета производится по технологии прототипа.
Применительно к способу заявитель считает необходимым выделить следующие развития и/или уточнения совокупности его существенных признаков, относящиеся к частным случаям выполнения или использования.
Для повышения безопасности платежей предпочтительно, чтобы в случае электронной коммерции центр авторизации мог выступать одновременно в роли специального интернет-экваейра, что дает возможность с большей безопасностью производить авторизацию плательщика, в тех случаях, когда он соединяется с Интернет-магазином с мобильного приложения, а не со стороннего терминала. При этом у Плательщика должна иметься возможность выбора, проводить авторизацию карты с мобильного приложения через обычного Интернет-эквайера путем ввода параметров авторизации карты с клавиатуры мобильного терминала или через центр авторизации, выступающий в роли Интернет-эквайера, автоматически, на основе многоуровневой авторизации, совмещая тем самым авторизацию карты и согласие на оплату счета.
С целью дополнительной защиты от атак злоумышленников на центры авторизации целесообразно, чтобы взаимодействие мобильного приложения с центром авторизации осуществлялось на основе клиент-серверных технологий.
Целесообразно предусмотреть возможность ответного взаимодействия по передаче согласия на оплату счета с мобильного приложения по мобильной сети с центром авторизации в режиме коротких сообщений, когда режим Интернет соединения мобильной сети отсутствует или невозможен.
С целью повышения удобства пользования целесообразно, чтобы изменение состояния параметра согласия на оплату счета в центре авторизации осуществлялось Плательщиками со своего мобильного приложения.
В ряде случаев удобно, чтобы при временном отсутствии в момент совершения платежа возможности взаимодействия между центром авторизации и мобильным приложением в связи с отсутствием мобильной связи плательщик мог заранее направлять с мобильного приложения в центр авторизации «согласие на оплату счета» по платежам, проводимыми в ближайшем будущем.
В заключение данного раздела описания необходимо подчеркнуть, что в целом преимущество настоящего изобретения заключается в том, что оно с одной стороны позволяет отказаться от секретности идентификационных параметров банковских карт, которые в визуальном виде отражаются на банковской карте и вводятся с клавиатуры в систему интернет-эквайера, что делает любые атаки злоумышленников с целью несанкционированного получения данных параметров нецелесообразными, а с другой стороны дает возможность использования более защищенной технологии на существующей и перспективной сети продаж международных и национальных карточных платежных систем на основе инновационных решений мобильной связи без перестройки структуры платежных систем и технологий взаимодействия.
Важным преимуществом изобретения является также то, что оно позволяет одновременно использовать как существующие технологии оплаты по любого типа банковским картам, так и предлагаемую технологию оплаты без нарушения целостности существующих технологий.
Изобретение поясняется чертежом.
На фиг.1 изображена блок-схема устройства, реализующего данный способ.
Устройство содержит:
1 - плательщик (покупатель, владелец банковской карты); 2 - банковская карта плательщика (контактная или бесконтактная); 3 - мобильный терминал с инсталлированным на нем мобильным приложением, 4 - компьютер плательщика, 5 - получатель платежа традиционной коммерции (продавец); 6 - контактный pos-терминал (банкомат) продавца; 7 - бесконтактный pos-терминал продавца (пассивный или активный); 8 - система интернет-магазина (продавец электронной коммерции); 9 - сеть международной или национальной платежной системы на основе банковских карт; 10 - процессинговый центр банка-эмитента пластиковых карт; 11 - система интернет-эквайера; 12 - центр авторизации; 13 - мобильная сеть; 14 - сеть Интернет, 15 - устройство процессингового центра для хранения записи параметра «согласие» и его состояний, 16 - устройство процессингового центра для анализа параметров согласия и его состояний, 17 - устройство центра авторизации для регистрации и хранения защищенных параметров терминала, мобильного приложения и банковской карты, 18 - специальный интернет-эквайер, 19 - устройство выбора интернет-экваейра.
Устройство функционирует следующим образом.
Плательщик 1 как владелец банковской карты 2 по договору с банком эмитентом помечает карту как требующую согласование на осуществление платежа, после чего банк эмитент устанавливает в базе данных процессингового центра состояние параметра «согласие» в активное состояние, означающее, что при авторизация карты необходимо получать согласие Плательщика 1 с выставленным Получателем платежа 5 в рамках традиционной коммерции счетом или счетом, выставленным системой интернет-магазина 8. Далее Плательщик 1, как владелец банковской карты 2, регистрируется в устройстве 17 центра авторизации 12 через мобильное приложения 3, эмитирующее идентификационные параметры карты, при этом в процессинговый центр 10 поступает из центра авторизации 12 подтверждение готовности мобильного приложения осуществлять функцию согласия с выставленным счетом. Плательщик 1 имеет возможность с мобильного терминала 3 путем многоуровневой авторизации связываться с центом авторизации 12 по мобильной сети 13 в режимах Интернет-соединения или коротких сообщений передавать в центр авторизации изменения состояний параметра «согласие», в том числе ограничения его действия по времени и/или по сумме выставленного Получателем платежа 5 сумме счета. При получении изменений состояния параметра «согласие», центр авторизации передает эту информацию в процессинговый центр 10 по защищенным каналам сети Интернет 14 в устройство 15. Для оплаты услуг в рамках традиционной или электронной коммерции Плательщик 1, может иметь в своем распоряжении: контактную или бесконтактную банковскую карту 2, мобильный терминал с инсталлированным на нем мобильным приложением 3 и компьютер с выходом в сеть Интернет 4. Контактные 6 или бесконтактные 7 pos-терминалы взаимодействую по сети международной платежной системы 9 с процессинговым центром банка-эмитента карты, а системы Интернет-магазинов 8 взаимодействуют по сети Интернет с системами интернет-эквайеров 11, которые в свою очередь взаимодействуют с процессинговыми центрами банков-эмитентов 10. В случае, если Плательщик 1 производит оплату со своей карты через контактный 6 или бесконтактный 7 pos-терминал Получателя платежа 5, Плательщик 1 помещает или прикладывает эту карту 2 к соответствующему pos-терминалу 6 или 7, чем идентифицирует ее. Идентификационные параметры карты вместе со счетом Получателя платежа 5 поступают через сеть платежной системы 9 в процессинговый центр 10. При поступлении параметров идентификации карты 2 в базу данных процессингового центра 10 производится идентификация параметров карты, анализ достаточности суммы на счете для оплаты выставленного счета и анализ параметра «согласие» и его состояний устройством 16. При отсутствии этого параметра процессинговый центр 10 реализует традиционную технологию, а именно идентификационные параметры карты считает авторизационными и производит списание с лицевого счета карты выставленную получателем платежа сумму. При наличии в базе данных процессингового центра 10 для карты 2 параметра «согласие», а анализ состояния этого параметра, проведенный устройством 16 показывает, что необходим запрос на согласие по оплате выставленного счета Плательщиком 1, процессинговый центр 10 по защищенным каналам сети Интернет 14 направляет в центр авторизации 12 запрос на получение согласия Пользователя 1 с выставленным счетом. Центр авторизации 10, на основании параметров карты, находит в устройстве 17 регистрационные данные мобильного терминала и мобильного приложения 3 и по защищенным каналам связи мобильной сети 13 в режимах Интернет-соединения и коротких сообщений направляет на мобильный терминал запрос на получения согласия, передавая одновременно информацию о Получателе платежа 5 и сумме выставленного счета. Плательщик 1 получив данный запрос на оплату счета, управляя мобильным приложением 3, направляет ответ, используя мобильную сеть 13 в режиме Интернет-соединения или, если оно не доступно, в режиме коротких сообщений. При этом производится многоуровневая авторизация мобильного терминала и приложения 3 в центре авторизации 12. Центр авторизации 12 получает ответ Плательщика 1 и передает его по защищенным каналам связи сети Интернет 14 в процессинговый центр 10. При положительном ответе Плательщика 1, процессинговый центр 10 осуществляет авторизацию карты и производит списание с лицевого счета карты выставленную получателем платежа 5 сумму платежа, а при отрицательном ответе или его отсутствии отвергает запрос на оплату счета Получателя платежа 5. Аналогично заявленное устройство функционирует в тех случаях, когда Плательщик 1 производит оплату счета через бесконтактный pos-терминал 7 с мобильного терминала 3. Для случая, когда в рамках традиционной коммерции Плательщик 1 производит оплату выставленного Получателем платежа 5 с помощью мобильного приложения инсталлированного на мобильном терминале 3 через бесконтактный pos-терминал 7, идентификационные параметры карты через мобильное приложение 3 поступают вместе со счетом Получателя платежа 5 через сеть платежной системы 9 в процессинговый центр 10. Далее работа устройства аналогична работе при авторизации карты 2 через бесконтактный pos-терминал 7. При оплате товаров и услуг Плательщиком 1 в рамках электронной коммерции с компьютера 4, Плательщик 1 соединяется по сети Интернет с системой Интернет-магазина 8 с компьютера 4 и производит выбор товара или услуги в Интернет-магазине 8, после чего, в соответствии с протоколом 3D-secure терминал Плательщика 1 переадресовывается по сети Интернет с системы Интернет-магазина 8 на систему интернет-эквайера 11 и Плательщик вводит параметры идентификации с имеющийся у него карты традиционным способ, а именно на клавиатуре своего терминала 4. Далее система Интернет-эквайера 2 соединяется с процессинговым центром 10 и выполняется алгоритм работы устройства, описанный выше для традиционной коммерции, т.е. алгоритм получения согласие Плательщика 1 на оплату счета. В случае, когда выбор товара или услуги производится с мобильного терминала 3, Плательщик 1 имеет возможность выполнить оплату аналогично оплате с компьютера 4 или автоматически. В этом случае необходимо, чтобы центр авторизации 12 функционировал одновременно и в режиме специального интернет-эвайера 18. Кроме того, в системе Интернет-магазина должно иметься устройство для выбора ручной или автоматической оплаты 19, которое позволяет переадресовывать терминал Пользователя 1 в соответствии с технологией 3D-secure на систему обычного 11 или специального 18 интернет-экваейра. При выборе Плательщиком 1 автоматического режима оплаты через устройство 19 системы Интернет-магазина 8, который соединился с системой Интернет-магазина 8 с мобильного терминала 3, система Интернет-магазина осуществляет переадресацию мобильного терминала 3 на специализированного Интернет-эквайера 18. При переадресации мобильного терминала 3 на специализированного интернет-эквайера 18 в автоматическом режиме осуществляется многоуровневая авторизация мобильного приложения 3 и идентификационные параметры карты вместе со счетом Интернет-магазина поступают через сеть платежной системы 9 в процессинговый центр 10. Одновременно в центр авторизации 12 поступает согласие Плательщика 1 с выставленным счетом, поскольку счет выставлялся через уже авторизированное мобильное приложение. При поступлении параметров идентификации карты 2 в базу данных процессингового центра 10 производится идентификация параметров карты, анализ достаточности суммы на счете для оплаты выставленного счета и анализ параметра «согласие на оплату счета» и его состояний устройством 16. При отсутствии этого параметра процессинговый центр 10 реализует традиционную технологию, а именно идентификационные параметры карты считает авторизационными и производит списание с лицевого счета карты выставленную получателем платежа сумму. При наличии в базе данных процессингового центра 10 для карты 2 параметра «согласие», а анализ состояния этого параметра, проведенный устройством 16, показывает, что необходим запрос на согласие по оплате выставленного счета Плательщиком 1, процессинговый центр 10 по защищенным каналам сети Интернет 14 направляет в центр авторизации 12 запрос на получения согласия Пользователя 1 с выставленным счетом. Поскольку центр уже имеет автоматическое согласие Плательщика 1 с выставленным счетом, оно передается в процессинговый центр 10. Центр авторизации 12 осуществляет авторизацию карты 2 и производит списание с лицевого счета карты выставленную системой Интернет-магазина 8 сумму платежа, после чего уведомляет Плательщика 1 и систему Интернет-магазина об осуществлении списания.
Таким образом, устройство, реализующее предлагаемый способ, не только дает возможность производить все существующие и перспективные виды платежей с банковской карты в безопасном режиме, но также позволяет использовать инновационные мобильные технологии на существующей сети и перспективной сети международных платежных систем.
Источники информации
1. «Платежные системы на основе банковских карт», 2007, http://www.plastic-karta.ru/platezhki_bank.html (прототип).
2. «О технологии NFC/NFC и взаимодействие систем» (About NFC\NFC and Interoperability), 2011 г. http://www.nfc-forum.org/aboutnfc/.
3. И.М.Голдовский «ММА eNFC: Мобильная аутентификация». Журнал «Плас» №11, 2007 г.
4. Alexis Moussine-Pouchkine «The Java ЕЕ 6 Programming Model Explained», Oracle. Доклад на конференции «Java Tech Day 2011», http://www.javaone.ru/javaday/program.
5. Муссель К.М. «Способ оплаты товаров и услуг в сети Интернет», патент РФ №2161818.
6. ДБО. Итоги десятилетия. 2011 г. http://bankweb20.com/stati/decade-results.html
7. Муссель К.М. Монография «Предоставление и биллинг услуг связи. Системная интеграция», Изд-во ЭКО-ТРЕНДЗ, 2003 г.
8. Патент US 5326906 (Publication date 1994-09-27) Title «CURRENCY TRANSFER SYSTEM AND METHOD USING FIXED LIMIT CARDS».
9. Патент US 7136835 (Publication date 2006-11-14) Title «CREDIT CARD SYSTEM AND METHOD»,
