Чи є життя без ПІН-коду
При оплаті пластиковою карткою для підтвердження того, що саме ви є її власником, іноді потрібно ввести ПІН-код, іноді поставити підпис на чеку, а часом суворий касир вимагає і того, й іншого. Портал Банки.ру вирішив з'ясувати, як визначається спосіб верифікації карткового платежу і в чому перевага кожного з цих способів.
Побутова серед власників банківських карток думка, що чіпована карта обов'язково вимагає введення ПІН-коду при оплаті, а картка без чіпа обходиться підписом на чеку, в корені невірно. Можливі різні варіанти. Все залежить від того, як банк-емітент налаштував картку, а банк-екваєр – торговельний термінал. Більш того, уявлення емітента та еквайєра про безпеку та зручність можуть не збігатися. Через це можуть траплятися несподіванки, які не завжди приємні.
Відповідно до стандартів міжнародних платіжних систем, є п'ять CVM (Card Verification Method) – способів, якими власник картки під час здійснення платежу підтверджує (верифікує) свою особу.
Зашифрований офлайн-ПІН - найсучасніший і захищений спосіб верифікації. Платіжний термінал запитує ПІН-код, платник набирає його на клавіатурі терміналу. Отриманий ПІН-код термінал зашифровує за допомогою вбудованого чіпа криптографічного і передає в EMV-чіп карти на перевірку. Така верифікація відбувається швидко, а ПІН-код досить надійно захищений від крадіжки. Даний метод працює тільки при проведенні платежу за EMV-чіпом і вимагає наявності криптографічного чіпа в терміналі.
Незашифрований офлайн-ПІН працює майже так само, як і зашифрований, з тією різницею, що термінал передає ПІН-код в EMV-чіп карти у відкритому вигляді. Відповідно, криптографічний чіп не потрібен, але ризик компрометації ПІН-кодутехнічними засобами (наприклад, якщо платіжний термінал заражений шкідливою програмою) зростає.
Онлайн-ПІН - найстаріший спосіб верифікації з ПІН-кодом. Клієнт набирає на клавіатурі ПІН-код, термінал із ПІН-коду та номери карти формує ПІН-блок, зашифровує його (причому використовується шифр багаторазово менш стійкий, ніж у разі зашифрованого оффлайн-ПІН), та передає для перевірки до процесингового центру банку-емітента . Слід врахувати, що емітент ПІН-кодами випущених ним карток не має. Він зберігає лише обчислене на основі ПІН-коду та номера картки перевірочне значення, яке і порівнює з перевірочним значенням отриманого ПІН-блоку після його розшифровки.
Важливо розуміти, що онлайн-пін і офлайн-пін можуть використовуватися при оплаті однією і тією ж карткою, залежно від обставин, і, по суті, це різні ПІН-коди - один перевіряється в чіпі карти, інший в процесинговому центрі банку-емітента . Щоб не морочити власнику карти голову, банки-емітенти ці коди завжди роблять однаковими. Але є різниця при зміні ПІН-коду: офлайн-СІН змінюється через банкомат, онлайн-СІН можуть поміняти в банку, за дзвінком власника. За першої можливості вони синхронізуються. Зазвичай банки пропонують власникам лише один із способів зміни ПІН-кодів.
Отже, є п'ять методів верифікації, і сучасна чипова карта має всі вони. Метод, який буде використовуватися при здійсненні чергової оплати, визначається налаштуваннями як EMV-чіпа, так і терміналу – обидва пристрої повинні «договоритися» про те, який із прийнятних для обох сторін методів вони використовуватимуть.
Для цього в чіп карти завантажується CVM-список - файл, що визначає, які способи верифікації підтримує карта і які кращі. Наприклад, у цьому списку можезначитися, що кращим способом є шифрований офлайн-СІН. У разі відмови від нього слід застосовувати незашифрований офлайн-СІН. У разі відмови від нього застосовується онлайн-СІН, далі у разі відмови запитується підпис, при відмові від якого операція відхиляється. У терміналі є аналогічний CVM-список і при виконанні операції він порівнюється зі списком у чіпі. В результаті застосовується найбільш кращий із способів, зазначених як допустимі в обох списках.
Рекомендації Visa і MasterCard щодо порядку пріоритету способів верифікації дещо різняться: так, якщо Visa рекомендує ставити онлайн-СІН вище, ніж перевірку підпису, MasterCard підпис має більш високий пріоритет, а в картах Maestro спосіб No-CVM повинен бути відсутнім.
На практиці CVM-список, завантажений у термінал, залежить як від технічних можливостей самого терміналу, так і від політики банку-еквайєра, а CVM-список у чіпі картки банк-емітент повністю визначає з власних міркувань про зручність утримувачів та безпеку операцій.
Банки.ру запросив кілька великих банків про їх кращі методи верифікації. Прес-служба Альфа-Банку відповіла, що «всі ЧІПові картки, які емітує Альфа-Банк, завжди вимагають введення ПІН-коду у випадках, коли операція відбувається у банкоматі; операція, що відбувається в POS-терміналі, ПІН-код потрібний і ПІН-пад (клавіатура терміналу. – Прим. ред.) справний; операція відбувається безконтактним способом і сума операції більше 1 тис. рублів (або відповідного еквівалента, якщо операція відбувається у валюті, відмінній від рублів РФ); в інших випадках, якщо операція відбувається в POS-терміналі і банк-екваєр встановив обов'язкову верифікацію власника картки шляхом введення ПІН-коду».
Зазначимо, що цеНайчастіший випадок, вітчизняні банки ПІН-кодам довіряють більше. Начальник управління пластикових карток ВТБ 24 Олександр Бородкін також заявив, що «всі карти, що емітуються ВТБ 24, вимагають введення ПІН-коду».
Але є у нас банки, які віддають перевагу перевірці підпису. «Клієнти банку «Авангард» мають можливість вибору пріоритету верифікації за підписом або ПІН-кодом, змінити пріоритет можна в будь-якому банкоматі банку, – розповіла порталу Банки.ру начальник процесингового центру «Авангарда» Людмила Хлистун. – За замовчуванням у наших карток дійсно встановлено пріоритет верифікації за підписом. Це пов'язано з тим, що, на жаль, в українських торгових мережах досі часто не забезпечено умов для захищеного введення ПІН-коду при сплаті покупок. Існує ризик, що його можуть побачити сторонні люди. Але якщо клієнт не часто стикається з ситуаціями незахищеного введення ПІН-коду, він може встановити для своєї карти пріоритет верифікації за ПІН-кодом».
Аналогічно чинить і Тінькофф Банк. «Для нововипущених карток ми за умовчанням встановлюємо як пріоритет підпису, так і введення ПІН-коду, – повідомили нам у прес-службі банку. – При цьому клієнти Тінькофф Банку можуть самі вибрати пріоритетний спосіб підтвердження операцій з карток: за допомогою підпису або за допомогою введення ПІН-коду – для цього потрібно зателефонувати до кол-центру, повідомити про свій намір і здійснити контактну операцію з чіпа в банкоматі або ТСП ( торгово-сервісному підприємстві – Прим.ред.)».
Що насправді краще – ПІН-код чи підпис – питання непросте. Коли в магазині ви вводите ПІН-код, його може побачити багато хто, наприклад, покупець, який стоїть за вами в черзі. Термінал, швидше за все, передасть ваш ПІН-код в банк цілком безпечно, а ось піддивитися ПІН-код очима чи камерою зовсім нескладно.
Мало хто знає, але в багатьох випадках покупець може відмовитись від введення ПІН-коду, якщо, наприклад, вважає це небезпечним, або просто забув його. Для цього при запиті PIN-коду потрібно просто натиснути кнопку скасування введення на клавіатурі терміналу. Зазвичай вона добре помітна, тому що забарвлена у червоний колір. У цьому випадку термінал має запропонувати вам наступний за пріоритетом після ПІН-кодів метод верифікації – тобто перевірку підпису. У касира на дисплеї терміналу з'явиться повідомлення, що клієнт відмовився від введення ПІН-коду.
Не кожен банк дозволяє своїм клієнтам такі вільності. Альфа-Банк повідомив, що «для карт, які емітує Альфа-Банк, такий сценарій не підтримується, оскільки у разі відмови від введення ПІН-коду власником картка заборонить проведення такої операції».