Лимит авторизации что это
Покупки в авторизации не учитываются МКБ: что это такое?
Клиенты МКБ уже давно стали замечать, что в МКБ (Московский Кредитный Банк) в истории покупок появились операции, которые не были учтены для расчета кэшбэка. Отсюда возник вполне здравый вопрос: почему такое вообще происходит и что с этим делать.
Что это такое?
Сразу следует сказать, что паниковать не нужно. Речь идет о неоплаченных авторизациях. Выглядеть это может следующим образом: в движении по карте за указанный клиентом периодом будет указана сумма платежного лимита. Условно: 50 055,04 рублей. А в графе неоплаченных авторизаций будет стоять сумма, например, 0, 66 руб. 
При этом неиспользованный лимит на конец отчетного периода будет равен 50 тысячам руб. Сумма остатка собственных средств составляет 55,70 руб. Минимальным остатком в данном случае является 0.
Авторизация по карте представляет собой один из процессов, связанных с дистанционным разрешением банком-эмитентом, то есть, учреждением, которое выпустило карту, проводить расходные операции с применением карты или счета.
При этом сначала необходимая для совершения покупки сумма будет заблокирована, а ее фактическое списание произойдет уже после того, как в банк поступят документы, платежные требования, которые подтвердят осуществление покупки.
Отсюда можно сделать вывод, что неоплаченная авторизация в выписке будет означать, что данная сумма покупка еще не была подтверждена. То есть, в расчете кэшбэка она пока не участвует. Лишь после того, как операция будет полностью завершена, тогда сумма войдет в расчет. При этом на счете произойдет ее блокировка. То есть, в балансе она уже отражаться не будет. Условно, если у человека было 50 тысяч рублей на карте, а он купил товары на сумму 600 рублей, то на счете будет 54 400.
При этом 600 р. Будут заморожены, но пока что они не поступили на счет продавца. Увидеть это можно по значку часиков рядом с операцией. Когда деньги будут зачислены продавцу, этот значок исчезнет, а рядом со строкой операции будет указан кэшбэк, который потом зачислится клиенту на счет.
Может ли сумма вернуться на счет?
Если по каким-то причинам авторизация не пройдет, то деньги будут возвращены. Однако, такое происходит очень редко. Если платежный чек был получен покупателем, то сумма обязательно будет списана. А вот если этого не произойдет, то тогда речь уже будет идти о техническом сбое. В этом случае возврат просто необходим.
Что такое авторизация банковской карты
Авторизация банковской карты — это проверка ее на возможность выполнения финансовой операции. Она всегда случается, когда держатель желает оплатить покупку, списав деньги с карточного счета. Для клиента это проходит практически моментально, но за эти пару секунд успевают пройти разные проверки и запросы.
Разберемся, что такое авторизация банковской карты, как вообще проходит этот процесс. По каким причинам может быть отказано в авторизации и выполнении платежа. Все особенности проверки карточки — на Бробанк.ру.
Что означает авторизация банковской карты
В последнее время все больше финансовых операций уходят в онлайн. Оборот наличных средств снижается, граждане все чаще оплачивают свои покупки картой. И каждый раз, когда они это делают, происходит авторизация карты или проще говоря — ее проверка на возможность выполнения операции.
Авторизация по карте — это механизм “общения” между банком-эмитентом, банком-эквайером и процессинговым центром. В результате такого диалога определяется, возможно ли проведение оплаты. Если да, авторизация проходит успешно, система дает добро.
Если по каким-то причинам финансовая операция не может быть проведена, авторизация отменяется. На терминале, через который совершалась покупка, появляется соответствующая надпись. Если транзакция проводилась онлайн, сообщение об отмене появляется в отдельном окне.
Как проходит авторизация банковской карты при онлайн-оплате
Для покупателя все предельно просто — он прикладывает (вставляет) карту к терминалу, система пару секунд думает, после выносит решение и одобряет проведение платежа. Но за эти пару секунд происходит авторизация банковской карты, состоящая из следующих шагов:
Несмотря на много задействованных “лиц” и множество запросов операция для покупателя проводится предельно быстро. Весь процесс автоматизированный и занимает не больше пары секунд. В некоторых случаях, если есть проблемы со связью, может случиться небольшая задержка.
Причины отказа в проведении операции
Бывает так, что операция проведения оплаты с карточки невозможна, тогда система после обработки запроса дает отрицательное решение. Это значит, что по каким-то причинам оплата невозможна, продавец не сможет получить деньги, поэтому в сделке отказывается.
Поводы для отказа:
В этом случае банк-эмитент не сможет передать деньги за покупку продавцу, списав их с карточного счета, поэтому случается отмена операции.
Если вы не понимаете, почему так случилось, звоните на горячую линию банка, обслуживающего пластик.
Когда сумма покупки уйдет в магазин
Деньги с карточного счета сразу списываются, но они никуда не уходят, а просто зависают на некоторое время. Если заглянуть в онлайн-банк в перечень проведенных расходных операций, эти транзакции будут отмечены значком. Это значит, что средства просто заблокированы, но никуда не ушли.
Авторизация операций занимает до трех дней. Это время нужно для сообщений между банками и передачи средств на счет продавца. То есть магазин не получает деньги моментально, они будут у него примерно через 3 дня. Несмотря на то, что деньги фактически еще не ушли со счета, воспользоваться ими будет невозможно.
Голосовая авторизация при оплате картой
Это метод авторизации, который можно назвать устаревшим, он практически не применяется. Можно сказать, что в этом случае подтверждение операции проводится продавцом вручную.
Голосовая авторизация предполагает, что сам продавец звонит банку-эквайеру с целью узнать, возможна ли такая операция. И только после ручной проверки и положительном ответе товар отдается покупателю.
По факту такая авторизация платежа давно канула в Лету и не применяется на рынке. Это пережиток прошлого, на замену которого пришли автоматически технологии.
Что такое код авторизации банковской карты
После совершения операции в торговой точке покупатель получает чек, который содержит различную информацию. Это не только сведения о покупке, но и платежные данные. В том числе код авторизации.
При положительном решении о покупке банк присваивает операции нужный код, по факту он покупателю не нужен. Но если вдруг произошел отказ, и клиент не понимает, в чем причина, тогда при обращении на горячую линию поможет указание кода отказа. Оператор его расшифрует и даст ответ.
Авторизация пластиковых карт при получении займа
МФО, выдающие онлайн-займы, применяют свою авторизацию платежных средств потенциальных заемщиков. Им нужно убедиться, что карта действующая, принадлежит самому заемщику, на нее может быть совершен перевод одобренного займа.
Для этого микрофинансовая организация после указания клиентом реквизитов своей карты (для зачисления одобренного микрокредита) блокирует на карточном счету небольшую сумму. Эти деньги вскоре возвращаются обратно. При этом совершается классическая авторизация. Если все прошло успешно, карта проверена, она может использоваться для получения займа.
Вопросы и ответы
Что такое авторизация кредитной карты?
При проведении авторизации не имеет значения тип карты. Если она кредитная, делается аналогичный запрос на возможность проведения операции. Отказ может случиться по причине недостатка кредитного лимита или в случае блокировки банком-эмитентом кредитного счета.
Как узнать код авторизации банковской карты?
Если операция совершалась в магазине, код будет указан на чеке. Даже если операция была отказной, продавец все равно выдаст чек, где будет отражаться нужная информация. При выполнении оплаты онлайн код найдете в электронной квитанции или в банкинге.
Что такое неоплаченные авторизации по карте?
Это финансовые операции, которые пока что не проведены. После оплаты деньги фактически уходят со счета в течение 3-х дней. На этот срок они зависают на счету заблокированными и являются пока что неоплаченными. Пользоваться этими деньгами невозможно, вскоре они окончательно уйдут с карточного счета.
Что значит превышена сумма авторизации по карте?
Это означает, что клиент превысил предусмотренные лимиты на расходные операции. Поэтому банк отказал в проведении следующей. Она будет возможна, когда откроется новый лимит. Ограничения бывают ежесуточными и ежемесячными.
Когда нужно подтверждать авторизацию ПИН-кодом?
Обычно достаточно приложить карту к терминалу или вставить ее в устройство. Но если сумма операции большая, требуется введение ПИН-кода. Если речь о карточке Виза, ПИН нужен при оплате на сумму более 3000. Если МИР — от 1000 рублей.
лимит авторизации
Смотреть что такое «лимит авторизации» в других словарях:
РАСХОДНЫЙ ЛИМИТ (ЛИМИТ АВТОРИЗАЦИИ) — предельная сумма денежных средств, доступная держателю банковской карты в течение определенного периода для совершения операций с использованием банковских карт … Словарь понятий и терминов, сформулированных в нормативных документах российского законодательства
Расходный лимит — предельная сумма денежных средств, доступная держателю банковской карты в течение определенного периода для совершения операций с использованием банковских карт. Синонимы: Лимит авторизации См. также: Карточные счета Авторизация банковских… … Финансовый словарь
ЛА — ликвидация аварий нефт. энерг. ЛА Ла Лавочкин самолёт конструкции С. А. Лавочкина ОКБ имени С. А. Лавочкина в маркировке самолётов авиа, в маркировке ЛА Словарь: Словарь сокращений и аббревиатур армии и спецслужб. Сост. А. А. Щелоков. М.: ООО… … Словарь сокращений и аббревиатур
Платёжные карты — Банковские карты Visa и Mastercard Банковская карта пластиковая карта, привязанная к лицевому счёту одного из банков. Используются для платежей, в том числе через Интернет. Часто используется выражение «кредитная карта» или «кредитка», но оно… … Википедия
Банковская карта — Банковские карты Visa и Mastercard Банковская карта пластиковая карта, привязанная к лицевому счёту одного из банков. Используются для платежей, в том числе через Интернет. Часто используется выражение «кредитная карта» или «кредитка», но оно… … Википедия
Зарплатная карта — Банковские карты Visa и Mastercard Банковская карта пластиковая карта, привязанная к лицевому счёту одного из банков. Используются для платежей, в том числе через Интернет. Часто используется выражение «кредитная карта» или «кредитка», но оно… … Википедия
Зарплатная карточка — Банковские карты Visa и Mastercard Банковская карта пластиковая карта, привязанная к лицевому счёту одного из банков. Используются для платежей, в том числе через Интернет. Часто используется выражение «кредитная карта» или «кредитка», но оно… … Википедия
Кредитная карточка — Банковские карты Visa и Mastercard Банковская карта пластиковая карта, привязанная к лицевому счёту одного из банков. Используются для платежей, в том числе через Интернет. Часто используется выражение «кредитная карта» или «кредитка», но оно… … Википедия
Кредитные карты — Банковские карты Visa и Mastercard Банковская карта пластиковая карта, привязанная к лицевому счёту одного из банков. Используются для платежей, в том числе через Интернет. Часто используется выражение «кредитная карта» или «кредитка», но оно… … Википедия
Платежные карты — Банковские карты Visa и Mastercard Банковская карта пластиковая карта, привязанная к лицевому счёту одного из банков. Используются для платежей, в том числе через Интернет. Часто используется выражение «кредитная карта» или «кредитка», но оно… … Википедия
Платёжная карта — Банковские карты Visa и Mastercard Банковская карта пластиковая карта, привязанная к лицевому счёту одного из банков. Используются для платежей, в том числе через Интернет. Часто используется выражение «кредитная карта» или «кредитка», но оно… … Википедия
В предыдущих своих опусах я описывал один из способов правильного использования кредитных карт. В этой статье, я постараюсь разъяснить читателю некоторые особенности проведения операций по картам, как кредитным так и дебетовым. Особо, правда, углубляться я не планирую, но некоторые «особо интересные» вопросы постараюсь разъяснить.
Итак. Стандартный алгоритм работы любой карты выглядит так:
Рассмотрим чуть подробнее. Проверка действительности карты и ее владельца осуществляется многими способами, например введением пин-кода при онлайн авторизации, связью с банком и проверкой подписи, звонком в банк, проверкой кода 3DS при операциях в интернет и так далее. Способов много и не все они «онлайн» есть и «оффлайновые», к примеру авторизация по технологии бесконтактных платежей может производится только по данным карты, без связи с банком. В ряде случаев, при небольших суммах авторизация может вообще не производится, терминал фиксирует авторизационную информацию карты и не связываясь с банком дает «добро» на операцию. Это связано еще и с тем, что карты оборудованные чипом и модулем бесконтактных платежей могут содержать в себе как модуль оффлайн проверки PIN, так и хранить на себе сумму доступных средств клиента.
Проверка доступности суммы тоже используется далеко не всегда. Некоторые компании могут провести операцию и без проверки. Часто это происходит в ситуациях когда онлайн проверка доступности суммы просто невозможна. Например в самолете или при оплате картой на круизном судне. Еще интереснее вариант когда сумма для снятия заранее неизвестна. Это, к примеру, службы такси или компании предоставляющие в аренду автомобили. В этих случаях авторизация чаще всего проходит на какую-то минимальную сумму, вроде 1 рубля или на заранее оговоренную сумму блокировки, вроде 200 долларов. Но сумма списания по факту может быть совершенно любой.
Временная блокировка средств, если они вообще блокировались, стандартна для операций по которым сумма изначально известна. Стандартные операции покупки в магазине или снятия наличных в банкомате, операции перевода. Тут все просто, какая сумма пришла в запросе на авторизацию, такая и блокируется. Но что же дальше?
2. Дальше начинается подготовка к проведению транзакции. Банк-эквайер, то есть банк обслуживающий точку продаж или банкомат, или тот самый процессинг на интернет сайте получает документы о проведении операции. Этими документами могут быть как электронные выписки или выгрузки операционной выписки банкомата, так и бумажные документы. Есть и очень экзотические способы, например копии чеков для операций проведенных «голосом», но они чрезвычайно редки. Получив документы банк формирует файлы клиринга. Эти файлы представляют из себя электронную таблицу определенного формата передаваемую МПС посредством онлайн систем и подписанную электронной подписью банка. МПС в свою очередь формирует файлы клиринга для банков-эмитентов, то есть банков выпустивших вашу карту. Далее банк-эмитент, получает свой файл клиринга, часто по несколько раз в день и осуществляет операцию по переводу денежных средств в пользу банка-экваера. В этот момент деньги списываются со счета карты, происходит то, что называется транзакцией. Блокировка средств, если она была, заменяется на реальное списание.
Хочу лишь обратить внимание на некоторые особенности поведения системы «авторизация-транзакция» и показать некоторые интересные моменты:
1. Авторизация не равна транзакции. При проведении авторизации деньги никуда не уходят, они остаются в банке. Если указана сумма авторизации то данная сумма уменьшает доступный баланс карты, но не счета. Фактически вы можете иметь дебетовый счет на котором лежит 100000 рублей и карту привязанную в этому счету на которой доступен 1 рубль. Просто у вас есть авторизация на 99999 рублей. При этом в нормальном банке, если на сумму остатка на счете начисляются проценты, то на всю сумму проценты продолжат начисляться, до тех пор пока авторизация не превратится в транзакцию и деньги не будут фактически перечислены.
Авиакомпании вообще творят полный «беспредел». Особенно это относится к покупке авиабилетов у авиакомпаний США. Там авторизация может пройти на одну сумму, к примеру 1000 долларов, а списаний по факту может быть 3, две по 478 долларов и одна на 44. Честное слово! Сам так покупал 
Но вернемся к тому как нам эту особенность использовать для себя?
Предположим у вас есть карта с которой вы можете в расчетном периоде с 10 по 10 каждого месяца бесплатно снять в банкоматах 150 тыщ рублей. И в этом расчетном периоде вы уже сняли 150 тыщ. На улице 8-тое число. Нам нужно еще 100 тысяч. Ждать 10? Можно и не ждать. Если ваш банк оперирует с датами транзакций, а не с датами авторизаций, Можно почти спокойно снять деньги и 8-го. Вероятность того, что в банке они будут списаны не раньше 10-го очень велика. Хотя это риск. Ваш риск, банк может среагировать уж очень быстро, за день. И от бесплатности не останется ничего. Учитывайте этот момент.
Путешествия банковской транзакции
Некоторое время назад на Хабре уже мелькали посты о работе банкоматов: один и два, но оба они описывали принципы работы банкоматов и вообще карточного процессинга весьма поверхностно.
Для интересующихся под катом много подробностей работы карточного процессинга банка (много букв).
Как выглядит упрощённая схема работы работы процессингового центра банка:
Процессинг
FrontEnd — отвечает за online сообщения: общение с банкоматами и POS-терминалами, передача авторизаций карт в VISA.
BackEnd — отвечает за offline: закрытие операционного дня, обмен финсообщениями с VISA.
HSM (Hardware Security Module) — модуль работы с ключами безопасности (подробнее описано ниже).
Все шифрование производится с помощью алгоритма 3DES.
Подключение к VISA
Online-подключение
Транспортный уровень
Подключение к VISA осуществляется через вполне конкретного провайдера, в 2006 году это был Equant и его партнёр в России — Golden Telecom, как обстоят дела сейчас — я не в курсе.
Получается, что VISA доступна в локальной сети одного провайдера. Это обязательное требование VISA. Для подключения провайдер прокладывает в банк собственный оптоволоконный кабель для основного канала связи и для резервного. Устанавливает конечные маршрутизаторы и выделяет по одному порту на каждом (основной и резервный). Управление маршрутизаторами осуществляется только провайдером.
Итак, связь транспортного уровня с VISA установлена, далее прикладной уровень.
Прикладной уровень
Связь прикладного уровня осуществляется по специальному протоколу, разработанному в VISA в незапамятные времена.
Кроме всего этого все сообщения должны передаваться зашифрованными. Для этого специальные люди — офицеры безопасности — генерируют ключевые последовательности заданной длины на HSM и результаты отправляются в VISA.
Оффлайн-подключение
Оффлайн-подключение — это не что иное, как обмен файлами с информацией обо всех транзакциях, совершённых за операционный день. То есть, если в банкоматах банка «А» были обслужены карты не банка «А». Подробнее об этом чуть ниже в сценарии «Чужой клиент в нашем АТМ».
Стоит немного рассказать про HSM.
HSM — это классический чёрный ящик. При инициализации он генерирует закрытую и открытую компоненту мастер-ключа банка. Закрытую компоненту никто никогда не видит, она всегда остаётся в памяти HSM.
Сам модуль имеет многочисленные уровни защиты от взломов: программного и физического. При малейшем намёке на компрометацию ключа память модуля самоуничтожается без возможности восстановления.
Три части открытой компоненты мастер-ключа записываются на 3 магнитные карты и выдаются офицерам безопасности банка.
Итак, связь с VISA установлена, и всё работает. Теперь нам надо выпускать карты.
При вступлении в VISA банку выдаются так называемые БИНы (Bank Identification Number): то есть подмножества номеров карт доступных для выпуска. Для VISA они всегда начинаются на 4.
БИНы распределены по карточным продуктам, например:
Формат номера выглядит так: допустим, у нас есть карта с номером: 4408 0412 3456 7890
Номер карты состоит из:
Для интересующихся вот здесь описано, как происходит валидация номера карты.
Для каждого БИНа генерируется пара ключей: IWK (issuer working key) и AWK (acquirer working key). Процедура генерации и передачи результата в VISA аналогична описанной выше.
После этого всё это добро прописывается в FrontEnd и BackEnd процессинга. В BackEnd для выпуска карт и их эмбоссирования, вo FrontEnd для обслуживания авторизаций.
Теперь у нас есть связь с VISA и есть выпущенные карты; другими словами, мы осуществили эмиссию карт. Нам осталось сделать эквайеринг.
Банкоматы
Не буду повторяться и описывать, что находится внутри банкомата, это уже описали здесь. Скажу только, что протокол NDC+ (NCR Direct Connect) разработан чёрт знает сколько лет назад корпорацией NCR — одним из ведущих производителей банкоматов на сегодняшний день.
Широко известны три производителя:
Да, и Siemens и IBM когда-то давно производили банкоматы, но впоследствии продали этот бизнес Wincor Nixdorf и Diebold соответственно.
Ваш покорный слуга является сертифицированным инженером как раз таки Wincor Nixdorf. Однако, у нас был один стародавний IBM, который был выпущен ещё до продажи бизнеса и который работал.
Не скажу, что работал он как часы, ибо его всё время приходилось подкручивать и подлаживать, чтобы он хоть как-то дышал, но для него можно было купить запчасти. Правда, стоили они в три раза дороже чем аналогичные для Wincor Nixdorf.
Итак, мы выяснили что есть два протокола по которому работают банкоматы. Мне довелось работать лишь с NDC+, про DDC я только слышал, но никогда не видел.
Поскольку я близко знаком только с Wincor Nixdorf, предположим, что наш банк купил именно их.
Когда на банкомат поставлен софт, который управляет всеми его многочисленными устройствами — надо подготовить банкомат к работе.
Готовим банкомат
Обучение
Банкомат надо обучить выдавать купюры. Для этого есть специальная процедура: банкомат отсчитывает по 10 листов из каждой кассеты и предлагает оператору ввести реальное количество отсчитанных листов. Если реальное количество отличается — банкомат откорректирует оптопары в тракте выдачи и предложит повторить процедуру.
Из опыта у меня всего пару раз банкомат ошибался, то есть, как правило, они с завода уже неплохо откалиброваны.
Ключи шифрования
В банкомат загружают 2 ключа шифрования:
мастер-ключ (MASTER KEY) — используется для шифрования ПИН-блока введённого клиентом.
коммуникационный ключ (COMM KEY) — для шифрования пакета к FrontEnd процессинга.
На HSM генерируются открытая и закрытая компонента каждого ключа, после чего открытая компонента прописывается во FrontEnd, а закрытая загружается в банкомат.
Оба ключа загружаются в ПИН-клавиатуру (EPP Encrypted Pin Pad) и хранятся только там. По сути EPP — это такой маленький HSM, который не умеет генерировать ключи, но умеет очень хорошо их хранить. Когда я плотно работал с банкоматами — EPP имели 7 ступеней защиты от физического проникновения.
После этого прописываем адрес процессинга, настраиваем VPN или что там придумают бойцы телекоммуникаций, и можно загружать сценарий работы банкомата.
Сценарий
Про сценарий уже было сказано в статье, на которую я ссылался, хочу лишь немного добавить.
Весь сценарий банкомата основан на так называемых ФИТах (Financial Institution Table).
FIT — не что иное, как БИН банка выданный VISA.
Например: для нашего родного банка мы позволим делать переводы с карты на карту, возможность просмотреть детали по вкладу и внести наличные на карточный счёт в дополнение к обычным возможностям (баланс, выдача наличных), а для всех остальных только баланс и выдача.
Таким образом, мы должны загрузить неколько ФИТов в банкомат:
Сценарий проверяет номер карты клиента и работает по первому совпадению в ФИТ-таблице.
Итак, мы полностью подготовили весь комплекс к работе, осталось самое главное: совершить транзакцию.
Транзакция
Самый простой сценарий: наш клиент в нашем АТМ:
Стоит отметить, что всё шифрование на стороне хоста осуществляется при помощи HSM.
То есть шаги 8 и 9 в деталях выглядят так:
Клиент получает свои 100 рублей и уходит довольный, однако это только половина дела.
В этот момент FrontEnd установил клиенту hold — заморозил на его лимите авторизации (доступная к снятию сумма) 100 рублей, но его текущий счёт никак не изменился.
Здесь стоит немного пояснить: в процессинге нет счетов клиентов — движение денег происходит по так называемым «лимитам авторизации». Фактически, лимит авторизации — не что иное, как карточный счёт клиента, но он никак не фигурирует в плане счетов и бухгалтерском балансе.
Другими словами, лимит авторизации есть техническая сущность, которая отражает состояние реального текущего счёта клиента в процессинге. Отличие лимита авторизации в том, что:
Вечером текущего дня или утром следующего дня (но, как правило, это делается ночью) закрывается операционный день. Все авторизации карт и суммы холдов выгружаются из FrontEnd и загружаются в BackEnd, где и происходит движение денег по текущим счетам клиентов. После этого финальные отчёты выгружаются в Автоматизированную Банковскую Систему, где хранятся текущие счета клиентов. На основании этих отчётов происходит реальное движение денег, а также во FrontEnd — новые лимиты авторизации (наш клиент из примера выше получает новый лимит авторизации, который меньше на 100 рублей).
Теперь сложнее: Чужой клиент в нашем АТМ:
Это была только авторизация, то есть реальных денег никто никому не перечислил. Теперь нам надо получить финсообщение об этой транзакции и получить возмещение от другого банка: 200 рублей наших денег, которые мы выдали его клиенту.
Само собой, все такие расчёты осуществляются в долларах, и тут играет роль курсовая разница, но это уже совсем другая история…
UPD: В комментариях, товарищ Spewow привёл ссылку на статью о HSM и криптографии