ОБЗОР РАСЧЁТОВ С ИСПОЛЬЗОВАНИЕМ

ПЛАСТИКОВЫХ КАРТ В СЕТИ ИНТЕРНЕТ

Данный обзор состоит из четырёх статей - 'Описание нынешнего рынка приёма интернет-платежей', 'Мошенничество с пластиковыми картами в сети интернет - как с ним бороться', 'Обзор рискованности, перспективности и прибыльности различных видов интернет-бизнеса в России' и 'Биллинговые компании и их перспективы'.

Статья первая. Варианты приёма платежей с использованием пластиковых карт при расчётах в сети интернет.

На данный момент, в сети интернет существуют три варианта приёма платежей на сайтах, продающих товары (услуги) через сеть интернет:

1.        Приём платежей через платёжную систему (интернет-пеймент гейтвей / internet payment gateway / - ИПГ), который обеспечивает приём транзакции и её транспорт к процессинговому центру (ПЦ) банка-эквайера (БЭ), в котором обслуживается фирма, владеющая сайтом. В этом случае эквайринговой точкой для международных платёжных систем (МПС) является сам сайт, продающий товары (услуги), а значит возможные санкции МПС налагаются именно на фирму-владельца сайта. То есть риски перед МПС здесь несёт непосредственно продавец товаров (услуг).

2.        Приём платежей через биллинговую компанию (биллинг), которая также, как платёжная система, берёт на себя функцию транспорта транзакции до ПЦ БЭ, но при этом выполняет ещё ряд функций - мониторинг рисков, управление ими, организацию доступа к детальной статистике по транзакциям и обеспечение расчётов с владельцами сайтов, подключённых к биллингу. В данном случае эквайринговой точкой, видимой МПС, является сам биллинг, а все его клиенты (сайты, подключённые к биллингу) не видны МПС. Соответственно, возможные санкции со стороны МПС применяются в данном случае не непосредственно к продавцу товаров (услуг), а к биллингу как к эквайринговой точке - то есть к организации, не продающей что-либо, а обслуживающей платежи.

3.        Приём платежей непосредственно сайтом, который сам обеспечивает транспорт транзакции до ПЦ БЭ - т.е. прямое подключение торговца к ПЦ БЭ. Это нечасто встречающийся вариант подключения и риски здесь распределяются точно также как и в п. 1.

Рассмотрим преимущества и недостатки каждого варианта как для банка, занимающегося интернет-эквайрингом, так и для интернет-магазинов, продающих товары и услуги в сети интернет. Для большего удобства начнём с третьего варианта.

Итак, вариант N3 - когда точка продажи товаров (услуг) подключена напрямую к ПЦ БЭ. Это наиболее архаичный путь приёма платежей, имеющий право на существование (по моему мнению) либо в условиях неразвитости инфраструктуры сети интернет как торговой площадки, либо при обслуживании очень крупного интернет-магазина с большим оборотом (хотя бы несколько сотен тысяч долларов в месяц). Ведь здесь все участвующие стороны вынуждены помимо выполнения своих непосредственных функций заниматься несвойственным им делами. То есть БЭ и его ПЦ вынуждены разрабатывать программное обеспечение для приёма платежей не от POS -терминалов и ATM , а данных через интернет и следить за состоянием интернет-каналов до ПЦ, а интернет-магазин вынужден помимо самой торговли заниматься ещё и обеспечением транспорта транзакции до ПЦ БЭ, обеспечением дорогостоящей защиты своего сервера от кражи данных о кредитных карточках своих клиентов, мониторингом транзакций с целью выявления потенциально мошеннических транзакций, вести суппорт, связанный не только непосредственно с продажами, но и по вопросам, касающимся транзакций. Если даже банк и захочет брать на себя несвойственные ему функции (по существу, заниматься непрофильным бизнесом), то торговая точка (интернет-магазин) должна потратить очень много денег на организацию решения непрофильных вопросов (стартовые издержки), а также тратить много времени и сил на решение этих вопросов в процессе своей деятельности (постоянные издержки). Вот почему это под силу только торговцам с большими оборотами. Причём безубыточность занятий вышеперечисленными непрофильными для продавцов функциями при наличии нескольких сотен тысяч долларов оборота в месяц - это ещё мой оптимистичный прогноз (если, конечно, подходить к делу серьёзно и не надеяться на 'авось пронесёт' - особенно в деле защиты от мошенничества).

Вариант N1 - обслуживание через ИПГ, обеспечивающего приём транзакции и её транспорт до ПЦ БЭ. Этот вариант приёма платежей несомненно уже гораздо прогрессивнее, чем подключение торговцев непосредственно к ПЦ БЭ. Ведь ИПГ уже является организацией, специализирующейся на этих операциях и должен осуществлять приём платежей, их транспорт до ПЦ и обеспечивать защиту конфиденциальных данных у себя на сервере гораздо лучше, чем интернет-магазин. Кроме этого, с БЭ снимаются дополнительные заботы по обеспечению приёма платежей из сети интернет - это также берёт на себя ИПГ. Магазинам становится гораздо легче подключаться, так как специалисты ИПГ разрабатывают простую схему подключения к нему, рассчитанную на неспециалистов и которая не требует специальных навыков или знания терминов типа 'стандарт ISO 8583 87 г.'. Со специалистами же ПЦ и БЭ работники ИПГ разговаривают на одном языке и способны реализовывать гораздо более сложные в техническом плане варианты транспорта транзакций в ПЦ.

К недостаткам этого варианта относится то, что интернет-магазинам всё равно необходимо заниматься 'непрофильным делом' - а именно отслеживать потенциально мошеннические (фродовые) транзакции и вкладывать в организацию и обеспечение этого процесса немалые деньги. Здесь перед интернет-магазинами опять-таки встаёт дилемма - либо необходимо вкладывать в защиту от мошенничества немалые деньги, что под силу только очень крупным по доходам магазинам, либо не делать ничего, а потом разводить руками и говорить 'ну вот видите как получилось:'. На данный момент, к сожалению, чаще всего происходит второй сценарий - особенно это касается сайтов, продающих что-либо без физической доставки товара (а именно этот тип сайтов наиболее успешно ведёт бизнес в сети и обеспечивает основные обороты БЭ, ИПГ и т.д.). Кроме этого, российские ИПГ, действующие в данный момент на рассматриваемом рынке обслуживания платежей с использованием пластиковых карт (платёжные системы Assist и Cyberplat ), не предоставляют возможностей интернет-магазинам мониторить риски, так как, принимая транзакции на своём сервере (и это правильно!), не дают интернет-магазину никакой информации, по которой можно было бы судить о подозрительности пришедшей транзакции (и вот это уже неправильно). В итоге даже интернет-магазины, желающие активно управлять рисками (а не ждать прихода чарджбэков сложа руки), не имеют возможности это делать, так как не видят основные параметры транзакции (как единичной, так и в целом общее количество транзакций по своему сайту). В целом же ИПГ, работающие на российском рынке, можно отнести не чисто к варианту N1, а к промежуточному между вариантами N1 и N2. То есть эти ИПГ берут на себя часть функций, свойственных биллингам, но при этом декларируют свою ответственность исключительно в вопросах транспорта транзакции и обеспечении недоступности конфиденциальных данных никому кроме них и ПЦ БЭ (что, естественно, абсолютно необходимо, но так же абсолютно недостаточно для обеспечения безопасности интернет-эквайринга в полном смысле этого слова). Но об этом мы поговорим чуть ниже, когда закончим обсуждение достоинств и недостатков каждого из 'чистых вариантов'.

Вариант N2 - обслуживание через биллинг, который также, как платёжная система, берёт на себя функцию транспорта транзакции до ПЦ БЭ, но при этом выполняет ещё ряд важных функций. Наипервейшая из этих функций - это предупреждение и выявление потенциально мошеннических транзакций ещё до прихода чарджбэков по этим транзакциям (мониторинг рисков и управление ими). Биллинг, в отличии от ИПГ, кровно заинтересован в эффективном управлении рисками, так как его (биллинга) жизнь ограничена жизнью его как эквайринговой точки, зарегистрированной в МПС.   А значит, если начнутся неприятности у него как у эквайринговой точки из-за большого количества недействительных операций (чарджбэков), и эта эквайринговая точка попадёт под штрафы МПС, то эти штрафы придётся выплачивать самому биллингу (и это правильно - ведь он берёт на себя мониторинг и управление рисками и должен деньгами отвечать за уровень своего профессионализма в этом вопросе). Соответственно, среди биллинговых компаний существует своеобразный 'естественный отбор' - если компания способна противостоять онлайновому мошенничеству и не превышает допустимых МПСами уровня чарджбэков - значит он продолжает жить и развиваться дальше. Если же уровень профессионализма security department биллинга не очень высок, тогда вряд ли этот биллинг проживёт долго (обслуживаясь в одном банке) - или он 'умрёт' естественной смертью', не выдержав груза чарджбэков и последующих штрафов от МПС, либо будет искать новые БЭ, через которые он сможет проработать несколько следующих месяцев.

Естественно, когда приходят чарджбэки и сопутствующие им штрафы, биллинги стараются не изымать деньги из своего кармана - в конце концов не они продавали товары (услуги) - биллинг только обслуживал платежи на сайтах, подключённых к нему. Соответственно, он эти деньги постарается 'изъять' с владельцев этих сайтов. И то, насколько ему удастся это сделать, зависит от того, как построена система финансовых взаиморасчётов биллинга с сайтами, которые он обслуживает и то, насколько точно security department биллинга сумел спрогнозировать уровень чарджбэков на каждом сайте. При этом необходимо построить систему финансовых взаиморасчётов с сайтами, обслуживающимися на этом биллинге и согласовать эту систему с системой борьбы с мошенничеством таким образом, чтобы, во-первых, иметь возможность сделать точный прогноз о возможном уровне чарджбэков по каждому конкретному клиенту биллинга, а во-вторых - обеспечить достаточное количество средств на лицевом счёте клиента биллинга для покрытия этих прогнозируемых убытков. Причём эти суммы, временно удерживаемы (холдируемые) на счету клиентов биллинга, должны быть чётко обоснованы расчётами, иначе, если этих сумм не хватит на возмещение чарджбэков, то придётся биллингу вытягивать из карманов свои деньги. Если же холдируемые суммы будут неоправданно велики, то клиенты этого биллинга просто перейдут на обслуживание в другие биллинги. То есть в борьбе с мошенничеством и создании резервов на случай прихода чарджбэков и возможных штрафов, необходимо помнить, что обслуживание платежей через интернет - это чрезвычайно конкурентная среда, поэтому всё надо делать сообразно рискам - не больше, но и не меньше.

При организации борьбы с мошенничеством необходимо также не 'отлучать' владельцев обслуживающихся сайтов от этой борьбы, а наоборот - привлекать их к ней.

Немного поясню эту мысль: Для того, чтобы люди покупали в интернет-магазине (да и в обычных реальных магазинах тоже), необходимо, чтобы был поток посетителей в этом магазине - тогда не все эти посетители, но некоторые из них и совершат покупку. При этом естественно, что чем больше посетителей и чем лучше качество этих посетителей (то есть если интернет-магазин торгует ноутбуками, то вряд ли много людей, пришедших с сайта, где рассказывается как заработать 20 долларов в месяц, практически ничего не делая, окажутся покупателями), тем больше этот магазин сделает продаж. Зачастую владельцы магазинов не сами обеспечивают этот поток посетителей, а заключают соглашение с так называемыми адвертайзерами (от слова advertise - рекламировать) о том, что те будет обеспечивать поток посетителей на сайт интернет-магазина и, если кто-либо из их посетителей купит какой-либо товар (услугу), то адвертайзер, приведший этого покупателя, получит определённый процент от суммы денег, которую данный посетитель оставил в этом интернет-магазине. Соответственно мошенничеством с целью извлечения прибыли имеет возможность заниматься не только держатель карточки (купивший что-либо в интернет-магазине и желающий отказаться от платежа, получив уже всё что ему нужно) или владелец интернет-магазина, но и адвертайзер, получающий процент с каждой транзакции.

Для того, чтобы привлечь владельца сайта на свою сторону в деле борьбы с мошенничеством (а ведь владелец сайта сам заинтересован в этом, так как чарджбэки всё равно придётся в конечном случае выплачивать ему, да и размер временно удерживаемой суммы с продаж в качестве резерва тоже зависит от количества недействительных операций), необходимо предоставлять ему в статистике максимально большое количество параметров по продажам на его сайте с разбивкой по его адвертайзерам. Самый простой пример участия владельца сайта в борьбе с мошенничеством - это показывать ему не только количество успешно проведённых транзакций, но и количество отказов в авторизации, причём ещё лучше - с причинами отказа. Если владелец сайта видит, что по какому-то из его адвертайзеров процент неуспешных транзакций слишком превышает этот процент по другим адвертайзерам, то в этом случае он вполне может написать биллингу письмо и отказаться от услуг этого адвертайзера. Это только один пример из того, как можно привлечь владельцев сайтов на свою сторону в борьбе с фродовыми транзакциями.

Схема работы с биллингом, на мой взгляд, также более удобна и для БЭ. Банкам выгоднее работать с одной-двумя крупными компаниями, чем с сотней мелких. Тем более при равных оборотах у профессиональной компании процент чарджбэков будет гораздо меньше. Это связано с тем, что небольшим компаниям просто не под силу заниматься разработкой программного обеспечения для предупреждения мошенничества, содержать профессиональную команду для анализа результатов мониторинга и т.д. Кроме того, все возникающие технические вопросы владельцы сайтов решают с биллингом (это происходит и при работе через ИПГ) - то есть работники ПЦ и БЭ при том же самом обороте затрачивают гораздо меньше времени. Да и, кроме того, задача сайтов - хорошо продавать, там редко водятся профессиональные финансисты и менеджеры, способные управлять рисками. А вот биллинговой компании без этого - никуда. И проконтролировать работникам БЭ то, как ведётся мониторинг и управление рисками в одной компании гораздо легче, чем в нескольких десятках, а то и сотнях.

Риски. Теперь по поводу рисков (я рассматриваю риски от МПС, а не, скажем, риск потери товара от того, что товар был получен мошенническим путём) - кто при каждой из схем работы несёт риски перед МПСами. По правилам платёжных систем, риски несут эквайринговые точки. Если они не способны выполнить свои финансовые обязательства (по пришедшим чарджбэкам от держателей карт и по штрафам, наложенным МПСами на торговые точки за превышение допустимого уровня чарджбэков), то эти обязательства переходят на БЭ, который обслуживает данную эквайринговую точку. То есть:

-           При варианте N1 риски несёт владелец сайта (интернет-магазина). В случае, если он не способен погасить финансовые обязательства, произошедшие вследствие наступления этих рисков, то ответственность переходит к БЭ.

-           При варианте N2 ситуация такая же. ИПГ находится 'сбоку' и никак не несёт ответственность по рискам интернет-магазина.

-           При варианте N3 риски несёт биллинговая компания, которая (если у неё налажена работа на должном уровне конечно) распределяет эти риски между своими клиентами. Если клиенты неспособны погасить задолженность, это делает биллинговая компания. Если биллинговая компания, в свою очередь, неспособна погасить задолженность, то риски перед МПСами переходят на БЭ.

Какая ситуация по каждому из трёх вариантов приёма платежей наблюдается в данный момент на российском рынке. Здесь я постараюсь рассмотреть, какие из тех вариантов, которые я описал выше, присутствуют на данный момент на рынке и какими особенностями они обладают.

Итак, начнём опять с варианта N3 - то есть приёма платежей на сайте, который подключён напрямую к ПЦ БЭ. На данный момент эта схема постепенно отмирает (если уже не умерла вовсе), так как на рынке появились уже более прогрессивные варианты бизнеса типа работы с ИПГ (единым техническим оператором) или биллинговой компанией и, в свою очередь, ещё не появились столь крупные интернет-магазины типа Амазона, которым было бы по плечу тащить на себе воз 'непрофильных' проблем, которые подразумевает этот вариант приёма платежей. Хотя в будущем, когда электронная коммерция в РФ приобретёт такой размах, что появятся интернет-магазины-гиганты, я думаю, что этот вариант снова может возродиться. Всё будет зависеть от экономической эффективности.

Вариант N2 - работа через биллинговую компанию - то есть каждый владелец сайта работает как субмерчант биллинговой компании. Это вариант существует. Но пока имеет место чёткое разделение по сайтам, которые обслуживаются биллингами. В основном это продажа цифрового контента - то есть сайты для взрослых, продажа программного обеспечения путём скачивания его с сервера поставщика, продажа услуг хостинга и т.д. В то же время необходимо отметить, что это наиболее прибыльный сегмент рынка в сети (о прибыльности и рискованности разных видов электронного бизнеса мы поговорим в третьей части данного обзора) и именно на нём и делаются основные деньги в электронной коммерции не только в России, но и во всём мире. Кроме того, именно в этих сегментах рынка наши электронные бизнесмены успешно и на равных конкурируют со своими зарубежными коллегами. Но неверно думать, что я стараюсь 'агитировать' банки за работу с биллингами - везде есть свои проблемы. Я только пытаюсь предложить Вам своё видение этого вопроса и проанализировать ситуацию.

Необходимо отметить, что во многих случаях опыт работы БЭ с биллингами нельзя назвать удачным. Это связано с тем, что, во-первых, именно в тех сферах бизнеса, которые обслуживают биллинги, наиболее распространены попытки совершения онлайнового мошенничества, а во-вторых, биллинговые компании создавались в основном дилетантами в этой области. Вспомните сколько банков появилось в начале 90-х годов в России и сколько из них выжили? С биллинговыми компаниями произошло то же самое - в эту сферу деятельности ринулись дилетанты а, так как специалистов в этой сфере на тот момент не было вообще, то банкам, принимавшим на обслуживание эти биллинговые компании, не было из кого выбирать. Вспомните как миллионы людей несли деньги в банк 'Чара', 'МММ', 'Хопёр-инвест' и т.д. Да и банкиры немало повкладывали денег в ГКО. Тем не менее никто не говорит сейчас о том, что банки не нужны, так как был банк 'Чара', что не стоит покупать газпромовские ценные бумаги из-за того, что ценные бумаги выпускали 'МММ' и 'Хопёр-инвест'. Так же и с биллингами - период эйфорического увлечения возможностями, которые открыл для бизнеса интернет, вынес на поверхность много пены в лице дилетантов, создавших программное обеспечение для биллинга 'на коленке' и посчитавших, что транзакцию нужно только принять - а там деньги получены, пропиты или прогуляны - и всё - больше никаких проблем. Конечно и мошенники залезали в этот бизнес. Но сейчас ситуация меняется. И, как ни странно, людей, работающих в сфере предоставления биллинговых услуг, заставил профессионализироваться кризис электронной коммерции, начавшийся в 2000-м году. Точно так же, как работников банковской сферы России заставил меняться кризис 1998 г. Банки, которые 'обожглись' на дилетантах, начали очень взвешенно подходить к оценке предприятий, которые хотят обслуживаться у них по интернет-эквайрингу. И это правильно. Неправильным является то, что банки, к сожалению, не представляют себе того, какие требования надо выдвинуть биллингам и к организации приёма карт, к мониторингу и управлению рисками, чтобы сделать этот бизнес безопасным и начать зарабатывать (и неплохо зарабатывать) на этом рынке. То есть банкам необходимо определиться, чего в этой деятельности они опасаются, откуда исходят риски, какие меры должен принять биллинг для минимизации рисков и как банк может это проконтролировать. До тех пор, пока банки не определятся конкретно с этими вопросами, рынок платежей через российские финансовые структуры развиваться не будет, владельцы сайтов будут подключаться к зарубежным биллингам и все обороты будут идти через зарубежные банки.

Биллинговые компании принимают на себя ответственность перед банком м МПС за все транзакции, которые проходят через них - то есть несут ответственность за приём транзакции на своём сервере (биллинги, как компании, специализирующиеся на приёме платежей, обязаны защитить конфиденциальные данные держателей карточек от перехвата во время передачи этих данных броузером кардхолдера на сервер биллинга, защитить свой сервер от взлома и т.д.), транспорт транзакции до ПЦ БЭ, мониторинг входящих транзакций на предмет выявления потенциально мошеннических транзакций, мониторинг транзакций и после их совершения на предмет выявления фрода. За каждый процесс, который биллинговые компании выполняют, эти компании несут ответственность - то есть если придёт чарджбэк, то этот чарджбэк придёт не на сайт, который обслуживается биллингом, а на сам биллинг (с точки зрения МПС и БЭ). И это, в принципе, правильно, так как каждый должен нести ответственность за те задачи, решение которых он взял на себя. Другое дело, что перед тем, как начать работать с биллинговой компанией, необходимо убедиться в её профессионализме - то есть в том, как налажено обеспечение процесса безопасности на каждой из стадий. А 'стричь' все биллинговые компании 'под одну гребёнку' - это, на моё взгляд, то же самое, что сравнивать 'Альфа-банк' или 'МДМ' с банком 'Чара'. О том, каким я вижу 'правильный' биллинг, я расскажу в четвёртой статье данного обзора.

Вариант N3 - работа через интернет-пеймент-гейтвей (ИПГ). В данный момент на российском рынке существует несколько компаний, которые работают в этой сфере. Те, что можно вспомнить 'навскидку' - это 'Электронный торговый ряд банка 'Менатеп СПб'', ИПГ, специализирующиеся на приёме кредитных карт Автобанка, Гута-банка и питерского Промстройбанка. Но вышеперечисленные ИПГ по объёму и доле рынка не сравнить, конечно, с такими ИПГ как 'Киберплат' и 'Ассист'. Поэтому, рассматривая состояние рынка приёма платежей с помощью кредитных карт в сети интернет через ИПГ, я буду рассматривать именно работу через эти две компании, так как достоверных цифр об оборотах через ИПГ найти мне не удалось, а 'на глаз' эти компании и занимают лидирующее положение среди ИПГ на рынке интернет-эквайринга в России (правда, на сайте компании 'Ассист' утверждается, что доля рынка, занимаемая этой компанией, составляет более 80%, а на сайте компании 'Киберплат' утверждается, что именно через 'Киберплат' проходит 85-90% всех платежей).

Рассматриваемые ИПГ ('Киберплат' и 'Ассист') принимают на себя ответственность исключительно за транспорт транзакции до ПЦ БЭ. Между тем, указанные компании заявляют, что производят мониторинг транзакций на предмет выявления фродовых операций - и это тоже похвально. Но, к сожалению, процесс мониторинга транзакций у этих компаний происходит таким образом, что торговец, подключённый к этим ИПГ, абсолютно лишён возможности видеть детали транзакции (я не говорю о полном номере карты - это правильно, что торговцу не даётся полный номер карты - неизвестно как у него обстоит с безопасностью его сервера, кто имеет доступ к конфиденциальным данным, существует ли вообще какое-либо разграничение доступа и т.д.). Соответственно, торговец напрочь лишён возможности самостоятельно мониторить риски и управлять ими и вынужден надеяться лишь на эффективность мониторинга ИПГ. Но в случае прихода чарджбэков, как-то сразу всеми забывается, что транзакции мониторились-то ИПГ и торговец не имеет никакой возможности влиять на уровень недействительных операций на своём сайте - ответственным за превышение уровня чарджбэков остаётся торговец. Поэтому, по-моему мнению, нынешние ИПГ, действующие в России, нельзя назвать 'чистыми' ИПГ - они берут на себя почти все функции биллинговой компании за исключением ответственности за антифродовый мониторинг. По сути и 'Ассист', и 'Киберплат' в России являются биллингами, находящимися в привилегированных условиях - они не несут никакого результата за свою работу (за исключением приёма транзакции на своём сервере и транспорта транзакции до ПЦ БЭ). Правда, справедливости ради, необходимо отметить, что у компании 'Ассист' существуют так называемые третий и четвёртый варианты подключения к ИПГ, при которых торговец может принимать транзакции у себя на сервере и передавать данные о транзакции в 'Ассист'. Эти варианты возможны по согласованию с расчётным банком, в котором обслуживается торговец. Но, на мой взгляд, давать возможность торговцу принимать транзакции у себя на сервере - это тоже 'передёргивание' со стороны ИПГ. Это можно допускать только после тестирования сервера торговца на защищённость от взлома и его способности обеспечить конфиденциальность полученных от держателя карты данных. Я при этом не имею в виду биллинговые компании, так как они не являются обычными торговцами, а являются (так же как и ИПГ) расчётными системами в сети интернет.

Я ни в коей мере не могу упрекать системы мониторинга рисков и управления ими компаний 'Ассист' и 'Киберплат'. Именно 'не могу', так как просто не знаю как они действуют, какие транзакции принимают, а какие - отвергают. И этого не знает никто, кроме сотрудников этих компаний, даже торговцы, обслуживающиеся у них. Всё покрыто завесой секретности - как в 'старые добрые времена'. И именно этот факт - то, что торговец не может влиять на антифродовую политику своего сайта, отвечая при этом за её эффективность - и является, на мой взгляд, главным препятствием развития рынка интернет-эквайринга в России. Ведь банки, обслуживая интернет-торговца, имеют в виду, что мониторинг рисков и управление ими осуществляется интернет-магазином, а интернет-магазин уверен в том, что эти функции хорошо выполняет ИПГ - но по любому у него нет ни малейшей возможности эффективно делать это самому. При этом ИПГ выполняет-таки мониторинг и управление рисками, но когда приходят чарджбэки, то выясняется, что виноват интернет-магазин. А в чём он виноват, скажите мне? В том, что ИПГ принял покупателя с его сайта и получил все данные о нём, ПЦ авторизовал транзакцию, а торговец от ИПГ получил уведомление о том, что 'всё ОК'? И для банка ещё хорошо, если ему попался богатый владелец интернет-магазина. Тогда банк его ещё в случае чего 'прижать' сможет и получить недостающие на чарджбэки деньги. А если попался не очень богатый? Тогда банк со скрипом, но вынимает-таки деньги из своего кармана - портить-то отношения с МПС не хочется! В итоге у нас оказываются двое разочарованных в электронной коммерции (БЭ и торговец) и один 'как бы сбоку' (ИПГ). И становится ещё на один банк меньше среди тех, кто хочет (и должен) зарабатывать на электронной коммерции.

Некоторые меня спросят - так каким же на мой взгляд должен быть 'правильный ИПГ'? Вроде и то, что ИПГ не даёт возможности мониторить транзакции торговцу не есть хорошо, и в то же время я говорю о том, что действительно, одной из задач ИПГ является приём транзакции у себя на сервере и недопущение попадания конфиденциальных данных (номера карты) в руки торговца. Вроде бы и так плохо, и по-другому плохо. Но это не совсем так. Поэтому я опишу сейчас то, как я вижу 'правильный ИПГ'. Точнее, как я вижу варианты превращения российских ИПГ в 'правильные'. Поэтому дам два описания ИПГ и их функций для двух вариантов - для ИПГ, не владеющего хорошей (с точки зрения экспертов - экспертом может выступить БЭ, если обладает 'продвинутыми' сотрудниками, разбирающимися в данном вопросе) защитой от фрода и для ИПГ, владеющего таковой.

1.        ИПГ, не имеющий (пока) хорошей антифродовой системы. Этот вариант может применяться только непродолжительное время - пока специалисты ИПГ не разработают эту самую защиту от фрода, которая сможет эффективно противостоять онлайновому мошенничеству. При этом варианте я вижу, что ИПГ должен принимать транзакции у себя на сервере (однозначно это необходимо), определять все возможные параметры пользователя, производящего транзакцию (от IP -адреса до определения, включены ли у этого пользователя cookies и java - script ) и, кроме уведомления о результатах авторизации, сообщать владельцу интернет-магазина все эти параметры, а также те реквизиты, которые клиент ввёл в форму подписки (за исключением полного номера карты - в конце концов, можно передать номер карты в формате 4111-хххх-хххх-1111). То есть email , телефон, адрес - всё, за исключением полного номера карты. В таком случае интернет-магазин действительно может строить систему борьбы с мошенничеством и эффективно противостоять сетевым мошенникам. Обратите внимание - я употребил слово 'может' - не факт, что интернет-магазин будет строить систему борьбы с мошенничеством - скорее всего отдельно взятый интернет-магазин просто 'не потянет' создание эффективно работающей антифродовой системы - но, во всяком случае, будет хотя бы иметь возможность мониторить риски и управлять ими. Повторюсь - такой вариант ИПГ не сможет долго существовать в конкурентной среде, так как по мере появления ИПГ второго типа, банки просто будут отказываться от обслуживания интернет-магазинов, подключённых к этому ИПГ из-за наличия повышенного риска.

2.        ИПГ, имеющий хорошую антифродовую систему. Этот вариант, на мой взгляд, и является тем самым 'правильным' ИПГ, который рано или поздно вытеснит конкурентов на рынке (я не имею в виду биллинги - просто на рынке останутся 'правильные' ИПГ и биллинги). Такой ИПГ также принимает транзакции у себя на сервере, но, помимо обеспечения транспорта транзакции, ещё осуществляет и антифродовый мониторинг - но только такой, который понятен торговцу и который может обеспечить эффективную борьбу с онлайновым мошенничеством. Более того, торговец может варьировать параметры этой антифродовой системы - делать их либо мягче, либо жёстче. И, в зависимости от того, какие параметры 'выставил' для себя торговец, БЭ может оценить необходимый для себя уровень резервов, который должен создать этот торговец для покрытия возможных чарджбэков. Вот тогда, когда торговец имеет возможность пользоваться классной антифродовой системой, на разработку которой потрачены сотни тысяч долларов, когда торговец может сознательно ужесточать либо смягчать параметры антифродового мониторинга, когда он будет видеть в своей статистике сколько транзакций было отвергнуто, по каким причинам, какие параметры у принятых транзакций - тогда и можно будет требовать, чтобы торговец нёс риски, связанные с его интернет-магазином. И банк, в котором обслуживается торговец, тоже может осуществлять мониторинг клиентского потока своего торговца на основании данных, полученных от ИПГ. В этом случае ИПГ действительно может отвечать за транспорт транзакции в ПЦ, а остальные риски перекладывать на торговца и БЭ (естественно, ИПГ должен также отвечать за то, что он правильно определяет параметры транзакции - например, если ИПГ утверждает, что данный email не относится к бесплатным, то это так и должно быть - а то клиент выставит 'галочку' в пункте 'Отсекать транзакции с бесплатным email -адресом', а ИПГ возьмёт и посчитает бесплатный email -адрес за не бесплатный).

 

Если я недостаточно ясно описал данный вариант ИПГ, то Вы можете посмотреть пример на примере интернет-пеймент-гейтвея ' Plug ' n Pay' (сайт http://www.plugnpay.com/). Это ИПГ, который процессит транзакции через несколько крупных процессинговых центров США (на западе процессинговые центры в основном независимы и не принадлежат какому-либо определённому банку) и принимает на обслуживание клиентов, которые работают через ряд американских банков. У него имеется демо-статистика, которую я и предлагаю осмотреть Вам в качестве примера того, какие функции и как должен осуществлять 'правильный' на мой взгляд ИПГ. Итак, начнём экскурсию. Для этого Вам нужно знать только логин и пароль в демо-статистику. Логин: pnpdemo , пароль: pnpdemo . В самой демонстрационной статистике Вы можете нажимать любые кнопки и производить любые действия - для этого всё и предназначено.

Антифродовая система. У ' Plug ' n Pay' она называется Fraud Track 2. URL для входа в неё - https://pay1.plugnpay.com/admin/fraudtrack/. Логин и пароль Вы знаете.

Итак, мы видим список 'фильтров', из которых имеет возможность выбирать торговец, когда он настраивает защиту своего сайта от мошенничества.

AVS . В первой строчке мы видим 'фильтр' по так называемой AVS ( Address Verification System ). Эта система проверяет соответствие адреса, который кардхолдер указал при совершении транзакции адресу, который находится в VISA / MasterCard Interchanges - то есть адресу, на который держателю карты приходят выписки по его карте (вообще, Вы можете узнать значение каждого 'фильтра', нажав на его название - вылезет маленькое окошко, где на английском языке будет объяснено что это такое и как этот 'фильтр' действует). В данном 'фильтре' Вы можете выбрать один из шести вариантов - от 'Принимать все транзакции' до 'Принимать только транзакции, где совпадает и адрес кардхолдера, и его zip -код, а также транзакции по неамериканским карточкам' ( AVS возможен, к сожалению, только для карточек, эмитированных американскими банками).

CVV 2/ CVC 2:

-           Check to require CVV2/CVC2 data be submitted - Вы можете отметить, хотите ли Вы, чтобы требовалось при транзакции введение CVV 2/ CVC 2.

-           Check to ignore AVS response if CVV 2/ CVC 2 data matches - можно поставить 'галочку', если Вы хотите игнорировать результат проверки AVS при правильном CVV 2/ CVC 2.

-           Check to reject if CVV 2/ CVC 2 information is not available from card holders bank - поставьте 'галочку', если Вы не желаете принимать транзакции, по которым невозможно проверить CVV 2/ CVC 2 при запросе в банк-эмитент.

Customer Emails - поставьте 'галочку', если Вы не хотите, чтобы держателю карты высылалось подтверждение о сделанной покупке на email , который он указал при совершении транзакции.

Merchant Emails - поставьте 'галочку', если Вы не хотите, чтобы Вам (торговцу) высылалось подтверждение о сделанной на Вашем сайте покупке.

Network Merchant - поставьте 'галочку', если Вы хотите, чтобы транзакции на Вашем сайте анализировались с учётом истории транзакций у других торговцев (например, будут отсекаться IP -адреса, с которых у многих других торговцев возникали проблемы). Можно также установить и уровень 'подозрительности этого 'фильтра' - от низкого до высокого.

Check Card Name - поставьте 'галочку', если Вы хотите, чтобы ИПГ проверял формат введения имени держателя карты (защита от указания имени и фамилии в виде ' asdfg aehrard ').

IP Address Frequency Check - здесь Вы можете 'выставить', сколько транзакций с одного IP -адреса Вы позволяете принимать в течении одного часа (можете 'выставить' значение от 5 до 99). Данное ограничение не действует с сеток IP -адресов, которые принадлежат AOL (интернет-провайдеру America On Line ), который 'выпускает' своих пользователей в сеть только через свои прокси-сервера.

Card Number Frequency Check - здесь Вы можете 'выставить', сколько транзакций с номера карты Вы позволяете принимать в течении одного промежутка времени (например 1 транзакцию в течении 3 дней и 6 часов). Можете выбрать от 1 до Unlimited и 'выставить' промежуток времени от 0 часов 0 минут до 33-х дней и 23 часов.

Match Country - поставьте 'галочку', если Вы хотите, чтобы 'отсекались' транзакции, в которых страна биллингового адреса не совпадает со страной, в которой находится банк, выдавший карточку.

Match Zip Code - поставьте 'галочку', если Вы хотите, чтобы 'отсекались' транзакции, в которых Zip Code биллингового адреса не совпадает со штатом указанным кардхолдером в биллинговом адресе (дело в том, что AVS проверяет только цифры - в адресе (номер дома и квартиры) и в zip code . Все буквенные значения (название улицы, города, штата) игнорируются. Это сделано для того, чтобы исключить 'отсечение' транзакций от тех пользователей, которые допустили ошибку в написании улицы, города, штата).

Block Foreign Cards - поставьте 'галочку', если Вы хотите, чтобы 'отсекались' транзакции либо с карт VISA иностранных эмитентов, либо с карт MasterCard , либо и с тех и с других.

Block IP Addr . - поставьте 'галочку', если Вы хотите, чтобы 'отсекались' транзакции с IP -адресов, которые находятся в 'чёрном списке', который Вы сами и можете сформировать здесь же. Вы можете как заблокировать один IP -адрес, так и целую сетку.

Block Bank Bins - поставьте 'галочку', если Вы хотите, чтобы 'отсекались' транзакции с карточек, выпущенными определёнными банками ('фильтр' по бину банка). Нежелательные для Вас бины Вы можете внести здесь же.

Block Proxy - поставьте 'галочку', если Вы хотите, чтобы 'отсекались' транзакции с анонимных прокси-серверов.

Block Email Domains . - поставьте 'галочку', если Вы хотите, чтобы 'отсекались' транзакции, при совершении которых были указаны адреса электронной почты с определённых доменов. Вы можете внести 'нежелательные' домены в список и легко перемещать их из списка 'нежелательных' в список 'разрешённых'. Внеся сюда домены, которые предлагают услуги бесплатной электронной почты, Вы, тем самым, запретите приём транзакций, при совершении которых клиент указал в качестве своего адреса электронной почты почтовый ящик на одном из таких бесплатных доменов.

Bounced Emails - поставьте 'галочку', если Вы хотите, чтобы система проверяла, существует ли указанный клиентом при совершении транзакции адрес электронной почты и доступен ли этот адрес. Вы можете указать URL страницы, на который будет произведён редирект пользователя, который ввёл несуществующий либо недоступный адрес электронной почты. На этой странице Вы можете разместить уведомление клиента о том, что его электронный почтовый ящик недоступен или не существует и попросить клиента повторить попытку транзакции и перепроверить правильность написания email 'а или указать другой email .

Block Country - поставьте 'галочку', если Вы хотите, чтобы 'отсекались' транзакции с IP -адресов определённых стран. Здесь же Вы можете сами определить, транзакции с IP -адресов каких стран Вы не хотите принимать. Интересно, что по умолчанию в 'чёрном списке' стран находится Россия.

Negative Database - здесь Вы можете внести номер карточки в 'чёрный список' и указать при этом причину внесения (карта заявлена как украденная либо по этой карте пришёл чарджбэк). Это поле очень важно для тех торговцев, которые ранее обслуживались на других ИПГ и не хотели бы терять свою базу данных по клиентам, которые сделали чарджбэки. ИПГ это тоже, несомненно, очень выгодно - он бесплатно пополняет свой 'чёрный список'.

Positive Database - здесь Вы можете внести номер карточки в 'белый список' - например, на всякий случай внести сюда карточки Ваших постоянных покупателей, в которых Вы уверены, что они не сделают чарджбэк. Эта функция также полезна для тех, кто перешёл с другого ИПГ.

Я только перечислил Вам настройки, которые может выбрать торговец для защиты своего бизнеса от мошенничества. Напомню, что сама система предупреждения мошенничества и борьбы с ним разработана не интернет-магазином, а самим ИПГ, поэтому и БЭ, и торговец уверены в качестве разработки этой системы. Между тем, торговцу даётся очень большой выбор при построении системы защиты от онлайнового мошенничества своего бизнеса. Не могу не отметить, что все пункты, которые присутствуют в данном разделе, выбраны с тем, чтобы с большой эффективностью бороться с фродом (я наткнулся на этот сайт уже после того, как наша компания разработала свою систему предупреждения и выявления потенциально мошеннических транзакций и поразился, увидев, что принципы работы наших антифродовых систем совпадают где-то на 70% - мы решили перестраховаться и сделали более жёсткую систему защиты от мошенничества).

Но работа ИПГ с торговцем не заканчивается только транспортом транзакции и антифродовой системой. Торговец должен иметь возможность видеть каждую транзакцию со всеми параметрами, которые были указаны кардхолдером при регистрации (за исключением полного номера карты), иметь возможность сделать из своей статистики отмену любой из транзакций, остановить автоматический ребиллинг транзакции (если он есть), изменить клиенту логин и пароль для входа на сайт, послать от имени ИПГ сообщение на email клиента с изменёнными логином и паролем (или со старыми, если клиент прислал владельцу сайта письмо, что он не может найти то сообщение, где Вы ему сообщали эти данные), отменить подписку клиента на свой сайт, занести клиента в 'чёрный список' по всем параметрам (имя, адрес, email , номер карты - а мы ведь торговцу не показываем полностью номер карты - для этого и нужна специальная кнопочка) и т.д. Можно очень долго продолжать, какие услуги, помимо транспорта транзакции должен предоставлять 'правильный' ИПГ своим клиентам - но Вы лучше зайдите в административную зону демонстрационной статистики и посмотрите сами. URL -   https :// pay 1. plugnpay . com / admin / , логин и пароль - те же самые.

Надеюсь, после этого примера Вы поняли, что я имел в виду под 'правильным' ИПГ. Примерно таким, как в этом примере он и должен быть. И главное в этом ИПГ не то, что с таким ИПГ удобно работать торговцу - на это можно было бы (но не нужно) махнуть рукой в России как на 'буржуйские штучки' - наш человек (торговец) привык к трудностям, раз живёт в этой стране. Главное - это то, что такие ИПГ позволяют торговцам реально мониторить и управлять рисками, что приведёт к значительной минимизации этих самых рисков по интернет-эквайрингу для банков, обслуживающих интернет-магазины. А это значит, что больше банков будут обслуживать этот весьма перспективный и очень прибыльный рынок. Да и имидж России в глазах МПС и зарубежных эквайринговых точек рано или поздно исправлять надо - а он исправится - если только чарджбэков меньше будет приходить по транзакциям, где в выписках стоит аббревиатура RU . Впрочем, перспективность и прибыльность разных видов интернет-бизнеса я проанализирую в третьей статье данного обзора. А следующая, вторая статья обзора, будет посвящена мошенничеству с пластиковыми картами в сети интернет. В ней я опишу виды мошенничества, их подвиды, а также особенности каждого вида и подвида сетевого мошенничества, знание которых очень помогает в построении грамотной политики предупреждения и выявления потенциально мошеннических транзакций.