Организация оплаты с использованием кредитной карты
В качестве решения начального уровня рассмотрим платежную систему CyberPlat, представленную на российском рынке банком «Платина». Она допускает использование кредитных карт для оплаты покупателями, зарегистрированными или не зарегистрированными в платежной системе.
Работа CyberPlat при обслуживании держателей банковских пластиковых карт, не зарегистрированных в системе, строится по следующей схеме (Рис.91):
Рис.91. Работа платежной системы CyberPlat
1. Покупатель через сеть Internet подключается к информационному серверу Магазина, формирует корзину товаров и выбирает форму оплаты по кредитным картам.
2. Магазин формирует заказ и переадресует Покупателя на сервер авторизации, сообщая дополнительно код Магазина, номер заказа и его сумму.
3. Сервер авторизации устанавливает с Покупателем соединение по защищенному протоколу (SSL) и принимает от Покупателя параметры его кредитной карты (номер карты, дату окончания ее действия, имя держателя в той транскрипции, которая использована в записи на карте). Информация о карте передается в защищенном виде только на сервер авторизации и не предоставляется Магазину при выполнении операций Покупателем.
4. Сервер авторизации производит предварительную обработку принятой информации и передает ее в Банк.
5. Банк проверяет наличие Магазина в системе, проверяет соответствие операции установленным системным ограничениям. По результатам проверок формируется запрет или разрешение проведения авторизации транзакции в карточную платежную систему.
6. При запрете на авторизацию Банк передает серверу авторизации отказ от проведения платежа; сервер, в свою очередь, передает отказы Покупателю (с описанием причины) и Магазину (с номером заказа).
7. При разрешении авторизации запрос на авторизацию передается через закрытые банковские сети банку-эмитенту карты Покупателя или процессинговому центру карточной платежной системы, уполномоченному банком-эмитентом.
8. При положительном результате авторизации, полученном от карточной платежной системы, Банк передает эту информацию авторизационному серверу, который, в свою очередь, передает положительные результаты авторизации Покупателю и Магазину (с номером заказа). Банк осуществляет перечисление средств на счет Магазина в соответствии с существующими договорными отношениями между ним и Магазином. Магазин оказывает услугу (отпускает товар).
9. При отказе в авторизации Банк передает серверу авторизации отказ от проведения платежа, а сервер информирует об этом Покупателя, указывая причину, и Магазин, сообщая номер заказа.
Более простой механизм организации платежа предусматривает предварительную регистрацию держателя пластиковой карты на авторизационном сервере. Держатель банковской кредитной карты (Visa, MasterCard, Diners Club, JCB и т.д.) регистрируется в платежной системе CyberPlat, указывая:
· персональные данные (фамилию, имя, отчество, паспортные данные, адрес электронной почты, телефон, почтовый адрес);
· параметры своей карты (название платежной системы, к которой она принадлежит, номер, дату окончания действия, имя держателя в той транскрипции, в которой сделана запись на карте).
Информация о карте передается в защищенном виде только в Банк при регистрации Покупателя и не предоставляется иным участникам процесса.
Процедура покупки товаров в Магазинах для пользователей, зарегистрированных на сервере авторизации, осуществляется по следующей технологии (Рис.92):
Рис.92. Платеж предусматривает предварительную регистрацию держателя пластиковой карты на авторизационном сервере
1. Покупатель через Internet подключается к информационному серверу Магазина, формирует корзину товаров и направляет Магазину запрос на выставление счета.
2. Магазин в ответ на запрос Покупателя направляет ему подписанный своей ЭЦП счет, в котором указывает наименование товара (услуги), стоимость товара (услуги), код Магазина, время и дату совершения операции. С гражданско-правовой точки зрения этот счет является предложением заключить договор (офертой).
3. Покупатель подписывает своей ЭЦП предъявленный ему счет и отправляет его обратно в Магазин, совершая тем самым акцепт. Договор считается заключенным с момента подписания Покупателем выставленного ему счета. В данной электронной системе счет, подписанный Покупателем, становится чеком.
4. Подписанный двумя ЭЦП (Магазином и Покупателем) чек направляется Магазином в Банк для авторизации.
5. Банк производит обработку подписанного чека: проверяет наличие в системе Магазина и Покупателя; проверяет ЭЦП Покупателя и Магазина; проверяет соответствие операции на установленные системные лимиты; сохраняет копию чека в базе данных Банка.
6. В результате проверок формируется разрешение или запрет проведения авторизации транзакции в карточную платежную систему.
7. При запрете авторизации Банк передает Магазину отказ от проведения платежа; Покупатель получает отказ с описанием причины.
8. При разрешении авторизации в соответствии с договором между Банком и Покупателем Банк увеличивает сумму оплаты на величину своей комиссии. Виды и размер комиссий определяются действующими тарифами Банка. Запрос на авторизацию передается через закрытые банковские сети банку-эмитенту карты Покупателя или процессинговому центру карточной платежной системы, уполномоченному банком-эмитентом.
9. При положительном результате авторизации, полученном от карточной платежной системы, Банк передает Магазину разрешение на оказание услуги (отпуск товара); Магазин оказывает услугу (отпускает товар). Банк осуществляет перечисление средств на счет Магазина согласно существующим договорным отношениям между Банком и Магазином.
10. При отказе в авторизации Банк передает Магазину отказ от проведения платежа. Покупатель получает отказ с описанием причины.
В качестве документального подтверждения совершенной сделки у каждой из сторон остаются подписанные ЭЦП чеки, удостоверяющие факт совершения сделки и имеющие юридическую силу.
Основная проблема, присущая обоим вариантам рассмотренной платежной системы, состоит в необходимости хранить критическую информацию всех участников на сервере авторизации. Компрометация или подмена сервера авторизации приводит к серьезной компрометации всей системы.