Bankir.Ru
11 декабря, воскресенье 01:29

Объявление

Свернуть
Пока нет объявлений.

ПИН/пароль для разовой операции

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • ПИН/пароль для разовой операции

    Коллеги,
    Столкнулся с неведомым мне
    Наш merchant сообщил, что клиент пытается ввести в терминал ПИН для разовой покупки по карте Master Gold (сумма операции – десятки тысяч долларов). Естественно, ничего у него не получилось, т.к. у нас нет такой опции и техничесую ее реализацию я не представляю, да и в Правилах МПС я не видел упоминания о возможности сотворения подобного. Клиент тряс перед продавцом бумажками с ПИНами/паролями для разовых операций и божился, что подобную операцию он проводил в Москве. Ваши коммментарии, встречался кто-нибудь с подобными условиями проведения транзакций?

    зы: карта американского банка:

  • #2
    Батенька, пошлите Вы его ... в его банк-эмитент. Это какая-то доморощенная фича - разовые ПИНы. Этакое, понимаете ли, новое слово в науке...
    Yak

    Комментарий


    • #3
      zet
      "На свете много, друг Горацио, того, что и не снилось нашим мудрецам"

      А клиент не рассказал, где в Москве он таким образом платил? И ещё вопрос - без всяких там паролей операция прошла?

      Комментарий


      • #4
        #paul "На свете много, друг Горацио, того, что и не снилось нашим мудрецам"

        Вот и я о том же вдруг пока я спал, что-то новенькое появилось.

        Так ушел клиент, отказался от проведения операции по обычной методике: "не получится иначе", - говорит (вся информация со слов продавца).
        Общение между продавцом и клиентом проходило на английском - посему кто кого как понял остается загадкой и общение было недолгим.

        Комментарий


        • #5
          Что-то я не понял, а что такое "разовая" операция? Может кто-нибудь объяснит, чем она отличается от "обычной" операции?

          Может речь в данной истории идет о банальной PBT для Master'а при покупке?

          Комментарий


          • #6
            Sign Off
            Был бы рад такому простому объяснению. Ввожу доп. информацию:
            клиент до этого уже был в магазине и ему разъяснили, что операции с вводом ПИНа не осуществляются. Он ушел думать, советоваться с эмитентом, пришел на следующий день и ... см. выше. Не хочется думать, что он того ..., с головой или с английским Торговец. Хотя вероятность есть.
            По поводу разовый операции: в целях безопасности по каждой карте существует лимит расходов (в смысле если банк об заботится), если выше либо referral, либо отказ. Посему: клиент, зная что будет очень крупная покупка (как в нашем случае) - информирует свой банк: прошу установить на такой то день, такой то лимит разовой операции - практика Bank of America.
            Далее рассуждения и фантазии: теоретически, могут существовать пароли, с помощью которых банк распознает именно эту операцию.
            Встречный вопрос: какой Банк в Москве делает PBT по Master?

            Комментарий


            • #7
              2 zet

              >Встречный вопрос: какой Банк в Москве делает PBT по Master?

              В Москве ИМХО никакой. Но это уже к Andrei_T вопрос.

              ЗЫ. До Maestro бы руки у экваеров дошли. Хотя вот будет 1 января 2002, вот и ... пооспариваем денежков, а?

              Комментарий


              • #8
                В принципе данная услуга есть и предоставляется обычно при разовых платежах через Интернет.
                В частности данную услугу предоставляет 1ОВК выдавая клиенту список одноразовых паролей для подписи платежак при выполнении платежей через Интернетбанкинг

                ZON

                Комментарий


                • #9
                  2 ZON

                  ИМХО речь ведете об on-us'e. А для not-on-us куда экваеру совать ентот с позволения сказать "пароль"?

                  Комментарий


                  • #10
                    Sign Off.
                    Нда, с Maestro прям анекдот какой-то. Что- то не видно шевеления в банковских массах по этому поводу. А мы с Вами уже наизготове...
                    To All & Moderator
                    Чего ждем то коллеги?
                    зы. вроде была такая тема, тогда щас модератор туда перенесет это сообщение

                    Комментарий


                    • #11
                      На сколько я понял речь шла именно об таких одноразовых паролях предоставляемых клиентам для оплаты услуг, других одноразовых паролей я не знаю Да и это только из режима экономии, а если клиент дуб и пытается всунуть куда не попадя свой пароль то это его проблемы

                      Комментарий


                      • #12
                        Чего вы на американца набросились?! Может и не врет он. Насколько я представляю, теоретически такое возможно. Почему бы нет? ПИН ведь проверяет эмитент. И если эмитент с кардхолдером заранее "обменялся" таблицей разовых ПИНов, то он сможет легко проверять эти разовые ПИНы. Чего только не удумают для повышения безопасности! Понятно что так сложнее "подсмотреть" ПИН, если он все время разный.
                        Уверен что в Штатах исторически так сложилось, что далеко не все банки генерят ПИНы так, чтобы они были известны только клиенту. Одно время у них был очень распространен такой подход, что клиент сам свой желаемый ПИН указывал в заявлении (ну просто чтобы не забыть), а банк этот ПИН естественно хранил у себя и сверял при авторизации.
                        Да и наш почтенный КардЦентр одно время грешил этим - хранил ПИНы и за скромную плату мог всегда ПИН воспроизвести, если клиент его утерял. Конечно только по просьбе банка! :-))
                        А воспользоваться америкоз мог своим разовым ПИНом в Москве в банкомате.

                        Комментарий


                        • #13
                          Поддерживаю SignOff. Немного перефразирую вопрос. Чем ввод PIN отличается в одном и другом международном случае? Или это общий подход банка для всех опреаций. А чо? Нагенерил массу ключей для верификации PIN (стэндин правда придется закрыть) и нагенерил кучу PINов под разными ключами. Алгоритм IBM3264 это позволяет. Меняешь PVK ключ после каждой транзакции.

                          Комментарий


                          • #14
                            Provider
                            Что-то больно сложно.
                            Проще:
                            - Один ключ.
                            - Куча пинов.
                            - Столько же оффсетов.
                            - Каждая проверка PVV = Полученный PVV + оффсет.
                            Или я не прав?

                            А на вскидку, разовый ПИН - чушь. Запутатся можно.
                            Вввел один ПИН. Запрос не дошел, или еще чего. У клиента +1, а на хосте = 0.
                            И кирдык всей технологии.

                            Комментарий


                            • #15
                              2 > Ema Nymton
                              Я просто один из возможных вариантов реализации привел, придумал за минуту, не претендуя на абсолютную истину. Конечно синхронизировать все тяжело, согласен. Ну тут всякие извращения возможны, если очень хочется извратиться то всегда можно, инструкцию например для клиента выпустить, попробуйте предыдущий и т. д. Я бы никогда на такое не пошел.

                              Комментарий


                              • #16
                                Provider попробуйте предыдущий ... и помните, что у Вас осталось только две попытки... одна попытка... кирдык!
                                Не, никогда не поверю, что америкосовские банки могут пойти по такому пути. Их главная сила - в простоте. Да и как иначе - с миллионами клиентов? Пол-страны юзают карточки, а вторая половина сидит на клиентском хот-лайне, и объясняет особенности технологии разовых пинов? Мой приятель говорит, что пользуясь интернет-банком для получения выписки по карте в экранную форму вводит тот же ПИН, что и в банкомат - во как! Какие там разовые ПИНы, блин - все просто как дважды два.
                                Думаю, в конкретном случае было что-то другое.
                                Yak

                                Комментарий


                                • #17
                                  to yak
                                  Думаю, это вполне мог быть маленький банчок, каких в Штатах тысячи.
                                  У такого банка клиентов - ну от силы 100 тысяч, из них тех, кому необходимо снимать крупные суммы по КРЕДИТНОЙ карте в банкоматах - скажем, 500 (согласитесь, что для США это исключение). Но это скорее всего лучшие клиенты.
                                  Очень несложно этим 500 клиентам предоставить таблицу переменных ПИН-кодов. "Америки" тут они не изобрели. Классическая простейшая технология дистанционной идентификации клиентов.

                                  Комментарий


                                  • #18
                                    По поводу КЦ могу сказать, что PIN клиента никогда не хранился в каком-либо открытом виде. Просто есть техническая возможность сделать так, что для перевыпущенной карты PIN не изменится. Поэтому для клиента, который забыл PIN можно перевыпустить PIN конверт. Когда из КЦ уходил Межкомбанк, то по просьбе банка перевыпускали все карточки. Все PIN конверты передавали в другой процессинг. Интересно, что там с ними делали?

                                    Комментарий


                                    • #19
                                      to Provider
                                      Вот-вот! и я о том же. Мне тоже такой вариант предлагали в том ПЦ, куда Межком уходил. Вы говорят, сделайте как Межком - попросите КЦ они вам все ПИНы выдадут, и мы будем спокойно ваши старые карты обслуживать по этим ПИНам, чтоб не перевыпускать карты по новой.
                                      С точки зрения безопасности, по-моему, все равно хранятся ли ПИНы в явном виде, или их в любой момент можно воспроизвести.
                                      Интересно, а сейчас у КЦ тоже есть такая "техническая возможность"
                                      А у кого-нибудь еще (в банках или ПЦ) есть такие "возможности"?

                                      Комментарий


                                      • #20
                                        2 > Nerez
                                        С точки зрения безопасности, по-моему, все равно хранятся ли ПИНы в явном виде, или их в любой момент можно воспроизвести.

                                        Не согласен. Принципиальная разница. Кстати КЦ недавно проверял RAMP 2, суровая достаточно проверка, комиссия из EPI + наемники из фирм производителей оборудования. По производству PIN в частности была детальная проверка всей технологии и всех технических возможностей. По производству PIN никаких претензий не было.

                                        Комментарий


                                        • #21
                                          Provider
                                          Вот такой вопрос.
                                          А почему КЦ ключи Межкома просто не передал в другой ПЦ?
                                          Проблем бы не было.

                                          Комментарий


                                          • #22
                                            2 > Ema Nymton

                                            Согласен, это было бы легче. Но видимо не договорились ...

                                            Комментарий

                                            Пользователи, просматривающие эту тему

                                            Свернуть

                                            Присутствует 1. Участников: 0, гостей: 1.

                                            Обработка...
                                            X