Организация оплаты с использованием кредитной карты

В качестве решения начального уровня рассмотрим платежную систему CyberPlat, представленную на российском рынке банком «Платина». Она допускает использование кредитных карт для оплаты покупателями, зарегистрированными или не зарегистрированными в платежной системе.

Работа CyberPlat при обслуживании держателей банковских пластиковых карт, не зарегистрированных в системе, строится по следующей схеме (Рис.91):

Рис.91. Работа платежной системы CyberPlat

1. Покупатель через сеть Internet подключается к информационному серверу Магазина, формирует корзину товаров и выбирает форму оплаты по кредитным картам.

2. Магазин формирует заказ и переадресует Покупателя на сервер авторизации, сообщая дополнительно код Магазина, номер заказа и его сумму.

3. Сервер авторизации устанавливает с Покупателем соединение по защищенному протоколу (SSL) и принимает от Покупателя параметры его кредитной карты (номер карты, дату окончания ее действия, имя держателя в той транскрипции, которая использована в записи на карте). Информация о карте передается в защищенном виде только на сервер авторизации и не предоставляется Магазину при выполнении операций Покупателем.

4. Сервер авторизации производит предварительную обработку принятой информации и передает ее в Банк.

5. Банк проверяет наличие Магазина в системе, проверяет соответствие операции установленным системным ограничениям. По результатам проверок формируется запрет или разрешение проведения авторизации транзакции в карточную платежную систему.

6. При запрете на авторизацию Банк передает серверу авторизации отказ от проведения платежа; сервер, в свою очередь, передает отказы Покупателю (с описанием причины) и Магазину (с номером заказа).

7. При разрешении авторизации запрос на авторизацию передается через закрытые банковские сети банку-эмитенту карты Покупателя или процессинговому центру карточной платежной системы, уполномоченному банком-эмитентом.

8. При положительном результате авторизации, полученном от карточной платежной системы, Банк передает эту информацию авторизационному серверу, который, в свою очередь, передает положительные результаты авторизации Покупателю и Магазину (с номером заказа). Банк осуществляет перечисление средств на счет Магазина в соответствии с существующими договорными отношениями между ним и Магазином. Магазин оказывает услугу (отпускает товар).

9. При отказе в авторизации Банк передает серверу авторизации отказ от проведения платежа, а сервер информирует об этом Покупателя, указывая причину, и Магазин, сообщая номер заказа.

Более простой механизм организации платежа предусматривает предварительную регистрацию держателя пластиковой карты на авторизационном сервере. Держатель банковской кредитной карты (Visa, MasterCard, Diners Club, JCB и т.д.) регистрируется в платежной системе CyberPlat, указывая:

· персональные данные (фамилию, имя, отчество, паспортные данные, адрес электронной почты, телефон, почтовый адрес);

· параметры своей карты (название платежной системы, к которой она принадлежит, номер, дату окончания действия, имя держателя в той транскрипции, в которой сделана запись на карте).

Информация о карте передается в защищенном виде только в Банк при регистрации Покупателя и не предоставляется иным участникам процесса.

Процедура покупки товаров в Магазинах для пользователей, зарегистрированных на сервере авторизации, осуществляется по следующей технологии (Рис.92):

Рис.92. Платеж предусматривает предварительную регистрацию держателя пластиковой карты на авторизационном сервере

1. Покупатель через Internet подключается к информационному серверу Магазина, формирует корзину товаров и направляет Магазину запрос на выставление счета.

2. Магазин в ответ на запрос Покупателя направляет ему подписанный своей ЭЦП счет, в котором указывает наименование товара (услуги), стоимость товара (услуги), код Магазина, время и дату совершения операции. С гражданско-правовой точки зрения этот счет является предложением заключить договор (офертой).

3. Покупатель подписывает своей ЭЦП предъявленный ему счет и отправляет его обратно в Магазин, совершая тем самым акцепт. Договор считается заключенным с момента подписания Покупателем выставленного ему счета. В данной электронной системе счет, подписанный Покупателем, становится чеком.

4. Подписанный двумя ЭЦП (Магазином и Покупателем) чек направляется Магазином в Банк для авторизации.

5. Банк производит обработку подписанного чека: проверяет наличие в системе Магазина и Покупателя; проверяет ЭЦП Покупателя и Магазина; проверяет соответствие операции на установленные системные лимиты; сохраняет копию чека в базе данных Банка.

6. В результате проверок формируется разрешение или запрет проведения авторизации транзакции в карточную платежную систему.

7. При запрете авторизации Банк передает Магазину отказ от проведения платежа; Покупатель получает отказ с описанием причины.

8. При разрешении авторизации в соответствии с договором между Банком и Покупателем Банк увеличивает сумму оплаты на величину своей комиссии. Виды и размер комиссий определяются действующими тарифами Банка. Запрос на авторизацию передается через закрытые банковские сети банку-эмитенту карты Покупателя или процессинговому центру карточной платежной системы, уполномоченному банком-эмитентом.

9. При положительном результате авторизации, полученном от карточной платежной системы, Банк передает Магазину разрешение на оказание услуги (отпуск товара); Магазин оказывает услугу (отпускает товар). Банк осуществляет перечисление средств на счет Магазина согласно существующим договорным отношениям между Банком и Магазином.

10. При отказе в авторизации Банк передает Магазину отказ от проведения платежа. Покупатель получает отказ с описанием причины.

В качестве документального подтверждения совершенной сделки у каждой из сторон остаются подписанные ЭЦП чеки, удостоверяющие факт совершения сделки и имеющие юридическую силу.

Основная проблема, присущая обоим вариантам рассмотренной платежной системы, состоит в необходимости хранить критическую информацию всех участников на сервере авторизации. Компрометация или подмена сервера авторизации приводит к серьезной компрометации всей системы.