Здесь приведёна логика процесса совершения платежа через платёжную систему, описание которой можно найти по следующему URL http://nationalpaymentsystem.ya.ru/
В качестве примера проиллюстрирован случай совершения покупки и соответственно осуществления платежа Покупателем (Buyer) – Плательщиком (Payer) на счёт точки продаж (Point-Of-Sales) торгово-сервисного предприятия – Получателя платежа (Payee), необорудованой специальным терминальным устройством, а использующим обычный смартфон с соответствующим мобильным приложением.
Мобильное устройство плательщика (Payer’s Device) может представлять собой любое персональное портативное устройство имеющее возможность установления интернет соединения и работы по протоколу TCP/IP. Коммуникационное устройство (Payee’s Device), которым снабжена точка продаж (Point Of Sale – POS), может быть как мобильным, так и стационарным средством имеющим возможность установления интернет соединения и работы по протоколу TCP/IP. Упомянутые выше устройства могут использовать различные технологии организации доступа в сеть интернет, в том числе технологии беспроводной передачи данных (4G/LTE, 3G/ UMTS/CDMA2000, GPRS/EDGE, WiMAX, Wi-Fi).
i Также могут быть рассмотрены случаи, когда мобильным устройством плательщика и/или коммуникационным устройством точки продаж является простейший мобильный телефон. Это не самый характерный случаи, но, тем не менее, он может работать с предлагаемой платёжной системой через Short Message Service Gateway оператора сотовой связи, который подключён к данной платёжной системе.
Процесс платежа, реализуемый в предлагаемой платёжной системе, можно описать следующим образом:
1. Плательщик (Payer) – покупатель товара или услуги, находясь у точки продажи (POS), для осуществления платежа сначала устанавливает соединение с удалённым сервером системы дистанционного банковского обслуживания (ДБО), производит авторизацию в системе ДБО, после чего получает через своё мобильное устройство, снабжённое соответствующим программным обеспечением, необходимую информацию от точки продаж.
1.1. В случае возможности установления прямого соединения между мобильным устройством плательщика и коммуникационным устройством точки продаж с использованием технологий беспроводной высокочастотной связи (например, NFC, Bluetooth, Wi-Fi / Wi-Fi Direct) через это прямое соединение POS направляет следующую информацию:
▪ POS ID – идентификационный номер точки продаж в платёжной системе;
▪ Amount to be paid – сумма к оплате;
▪ Currency (if necessary) – валюта (если отличается от принятой по умолчанию);
▪ Product Information (optional) – Информация о товаре / услуге.
Кроме того плательщик может получить на своё мобильное устройство также и полную информацию о своей покупке (товаре или услуге), если программное обеспечение коммуникационного устройства точки продаж предоставляет возможность формирования и отправки такой информации (например, список приобретаемых товаров / услуг).
В ответ мобильное устройство плательщика направляет через установленное прямое соединение на коммуникационное устройство точки продаж
▪ Transaction ID – номер транзакции, сформированный мобильным устройством плательщика по правилам платёжной системы (фиксируется момент инициализации транзакции плательщиком).
1.2. В случае невозможности установления прямого соединения, указанного в п.1.1, мобильное устройство плательщика может получить идентификационные данные точки продаж либо с RFID-метки, либо с QR-кода, выставленных для всеобщего доступа / обозрения в месте осуществления расчёта.
В этом случае мобильное устройство плательщика может получить только POS ID. Сумму покупки (Amount to be paid) плательщику нужно будет вводить вручную.
1.3. Необходимые данные (POS ID, Amount to be paid), при невозможности получить их перечисленными выше способами, могут быть введены в мобильное устройство (например, feature phone) самим плательщиком.
В этом случае плательщик информацию о точке продаж получает непосредственно от продавца (с витрины), либо использует ранее сохраненные в его мобильном устройстве данные (Favorite / Избранное).
2. Плательщик инициирует отправку запроса на осуществление транзакции в платёжной системе. При этом его мобильное устройство отправляет на удалённый сервер системы ДБО банка плательщика через установленное мобильным устройством плательщика интернет-соединение следующую информацию о платеже (Requested Transaction Data):
▪ Transaction ID – номер транзакции (см. упоминание в п.1.1);
▪ Amount of transaction:= Amount to be paid – сумма к оплате;
▪ Currency (if necessary) – валюта (если отличается от принятой по умолчанию);
▪ Payee ID:= POS ID – идентификационный номер точки продаж, полученный как указано в п.1.
Система ДБО банка плательщика (удалённый сервер) получает информацию о платеже и, идентифицируя плательщика и его мобильное устройство, добавляет к информации о платеже, описанной выше, также
▪ Payer ID – идентификационный номер плательщика в платёжной системе,
а кроме того, формирует уникальный номер транзакции, дополняя полученный Transaction ID ключом транзакции по правилам платёжной системы.
В ответ мобильное устройство плательщика через удалённый сервер системы ДБО получает от операционного центра платёжной системы информацию о точке продаж, идентифицированной по Payee ID. Эта информация может содержать полное наименование предприятия торговли или сферы услуг (юридического лица или индивидуального предпринимателя), ИНН, его фактический адрес, логотип / фотографию и другие данные для возможности визуальной идентификации точки продаж плательщиком, чтобы он мог удостовериться, что платит "по адресу". Плательщик подтверждает свою готовность осуществить платёж указанной точке продаж и его мобильное устройство передаёт его согласие через систему ДБО (запрос этого подтверждения по желанию плательщика можно отключить).
i Кроме того, для обеспечения широкого охвата потенциальных пользователей платёжной системы возможно предоставление сервиса также владельцам простейших мобильных телефонов, благодаря использованию технологии SMS (Short Message Service). При этом, для отправки запроса на осуществление транзакции в платёжной системе плательщику необходимо отправить SMS сообщение на номер шлюза (SMS Gateway), указав в тексте сообщения только два параметра:
▪ Amount of transaction:= Amount to be paid – сумма к оплате;
▪ Payee ID:= POS ID – идентификационный номер точки продаж, полученный как указано в п.1.3.
Идентификация плательщика - пользователя мобильного телефона в этом случае может быть осуществлена техническими средствами оператора мобильной связи (например, по ICCID SIM-карты). SMS шлюз в этом случае сам формирует Transaction ID (фиксируя момент получения SMS сообщения) и определяет Payer ID по абонентскому номеру, закреплённому за SIM-картой (USIM в UMTS, R-UIM в СDMA2000).
2". (optional)
В случае, указанном в п.1.1, коммуникационное устройство точки продаж (POS), получив Transaction ID непосредственно от мобильного устройства плательщика, отправляет на удалённый сервер операционного центра платёжной системы через установленное собственное интернет-соединение следующую информацию об ожидаемом платеже (Anticipated Transaction Data):
▪ Transaction ID – номер транзакции (см. упоминание в п.1.1);
▪ Amount of transaction:= Amount to be paid – сумма к оплате;
▪ Currency (if necessary) – валюта (если отличается от принятой по умолчанию);
Операционный центр платёжной системы (удалённый сервер) получает информацию об ожидаемом платеже и, идентифицируя получателя платежа и его устройство (POS), добавляет к информации о платеже, описанной выше, также
▪ Payee ID – идентификационный номер получателя платежа (POS) в платёжной системе,
а кроме того, производит поиск в своём стеке инициализированных плательщиками транзакций идентичной транзакции, сравнивая Transaction ID, Payee ID, Amount of transaction и Currency. В случае отсутствия идентичной транзакции Операционный центр платёжной системы направляет Anticipated Transaction Data в банк плательщика, который фиксирует эти данные в своём стеке ожидаемых платежей.
i Операция, описанная в п.2", не является обязательной, однако, при её осуществлении (в случае наличия технической возможности) будет достигаться более высокий уровень безопасности платежа.
3. Банк плательщика, получив от своего клиента запрос на осуществление транзакции – Requested Transaction Data, оценивает возможность осуществления платежа (например, проверяет остаток на счёте плательщика и удостоверяет действительность идентификатора Payee ID и отсутствие блокировок) и в случае успеха блокирует указанную сумму на счёте плательщика. После этого проверяет, имеется ли в стеке ожидаемых платежей идентичная транзакция, сравнивая Transaction ID, Payee ID, Amount of transaction и Currency. Это дополнительная верификация параметров платежа.
4. Банк плательщика после успешно завершенных операций, указанных в п.3, отправляет в операционный центр платёжной системы подтверждение возможности осуществления платежа. Операционный центр платёжной системы направляет это подтверждение на коммуникационное устройство точки продаж (POS), дополняя его анонимизированной информацией о плательщике. Эта информация может содержать фотографию плательщика, электронное факсимиле его подписи и другие данные для возможности визуальной идентификации плательщика в точке продаж продавцом, чтобы он (продавец) мог удостовериться в добросовестности своего покупателя – плательщика. При этом данные о номере счёта, а также ФИО плательщика остаются неизвестными продавцу.
i В случае отсутствия у сервера операционного центра платёжной системы интернет-соединения с коммуникационным устройством точки продаж (POS), для подтверждения успешного платежа платёжная система через SMS шлюз (SMS Gateway оператора сотовой связи) отправляет на номер мобильного телефона точки продаж SMS сообщение с информацией о поступившем платеже (Amount of transaction), а после получения отчёта о доставке SMS сообщения абоненту операционный центр платёжной системы подтверждает необходимость списания банком плательщика суммы заблокированной на счёте его клиента – плательщика (см. п.3) и осуществления платёжного поручения в пользу получателя платежа – продавца. Операции, указанные ниже в п.5, в этом случае не осуществляются.
5. Коммуникационное устройство точки продаж (POS), получив от платёжной системы подтверждение возможности осуществления платежа и анонимизированную информацию о плательщике, предлагает продавцу – оператору коммуникационного устройства подтвердить его готовность принять указанный платёж от указанного плательщика. При необходимости продавец – оператор коммуникационного устройства может получить на чеке подпись своего покупателя – плательщика и, сличив его с электронным факсимиле, подтвердить своё согласие получить платёж. Коммуникационное устройство точки продаж (POS) передаёт это согласие через операционный центр платёжной системы в банк плательщика.
6. Плательщик получает уведомление через систему ДБО о произведённом платеже и об изменившемся остатке денежных средств на его счёте. При отсутствии интернет-соединения между сервером систему ДБО и мобильным устройством плательщика такое уведомление высылается через SMS шлюз (SMS Gateway оператора сотовой связи) на номер мобильного телефона плательщика.
7. Банк плательщика после получения уведомления, указанного в п.5, осуществляет кредитовый перевод на основании платёжного поручения своего клиента – плательщика и об успешном проведении которого уведомляет операционный центр платёжной системы, о чем создаются соответствующие записи в реестре платёжной системы. Срок исполнения платёжного поручения регулируется правилами платёжной системы.
i Здесь приведено описание общего случая успешного осуществления платежа. Случаи, при которых, например, невозможно осуществить платёж, а именно
▪ отсутствие достаточной суммы на счёте плательщика;
▪ блокировка счёта точки продаж или счёта плательщика;
▪ невозможность осуществления платежа нарушающего законодательные нормы;
▪ ошибки верификации (несоответствие Requested Transaction Data и Anticipated Transaction Data);
▪ отказ плательщика от оплаты после получения объективных данных о получателе платежа;
▪ отказ точки продаж от получения платежа после получения объективных данных о плательщике;
и другие;
а также случаи когда, например, необходимо отменить ту или иную операцию или произвести возврат денежных средств, здесь не описаны.
Предлагаемая платёжная система является полнофункциональной, её средства и методы позволяют разрешать ситуации подобные отмеченным выше.
... продолжение следует...
Комментарии
Пару недель назад Compass Plus запустил пилот по сходной технологии (MobiCash).
Благодарю за интересную подсказку. К сожалению, мне не удалось с наскока найти релевантную информацию по теме. Буду признателен, если сможете поделиться ссылкой.
Мне удалось найти следующее:
http://www.compassplus.com/press/press-releases/2006/199-mobicashatm-available-wincor-nixdorf-atms
https://www.mobinil.com/en/shop/services/mobicash-11-services
http://www.paymentwall.com/mobicash
http://www.mobicashonline.com/about-us/
Последняя ссылка ближе всего к теме, но там, к сожалению, нет описания механизма работы системы. Остаётся только догадываться. Но по внешним признакам это действительно что-то близкое моей концепции.
В основе технологии MobiCash классический сервис EBPP (Electronic Bill Presentment and Payment) - выставление счета за товары и услуги и его оплата. Особенность MobiCash – счет выставляется в режим реального времени (online), а оплата производится с использованием приложения на смартфоне.
https://play.google.com/store/apps/details?id=com.compassplus.mobicash.merchant
Приложение предназначено для выставления счетов на оплату клиентам платежного сервиса MobiCash. Вновь созданный счет может быть передан на клиентское устройство:
- при помощи ввода уникального идентификатора;
- используя камеру клиентского устройства для сканирования специализированного QR-кода;
- через NFC-интерфейс (только для совместимых устройств на базе Android 4.4.0 и выше).
Кроме того, благодаря данному приложению Вы сможете:
- просматривать информацию о выставленных ранее счетах;
- получать детальную информацию об интересующем счете;
- фиксировать факты оплаты (отказа от оплаты) выбранных счетов.
https://play.google.com/store/apps/details?id=com.compassplus.mobicash.customer
Платежный сервис MobiCash предоставляет простой, безопасный и удобный способ оплаты товаров и услуг с использованием смартфона. Воспользовавшись данным бесплатным приложением Вы сможете:- зарегистрироваться и стать клиентом сервиса;
- выполнить поиск выставленных счетов (номер счета может быть введен вручную, сосканирован с QR-кода, прочитан с NFC-метки);
- получить детальную информацию об интересующем счете;
- выполнить оплату выбранных счетов, указав нужную банковскую карту;
- просматривать историю выставленных счетов и фактов их оплаты.
Спасибо за ссылки.
По части использования технологии NFC, QR-кода и мобильных приложений - да, это о том же.
Но реализация совсем другая. Мобикэш - это по всей видимости надстойка над МПС, т.е. приложение, посредством которого можно со счёта карты через инфраструктуру МПС оплатить счёт переданный плательщику на смартфон (см. screenshot).
Правда остаётся не совсем понятно, как получатель платежа узнает о том, что платёж осуществлён? Остаётся только гадать.
Общая проблема использования смартфонов для совершения транзакций, не достаточный уровень шифрования операции. Поэтому пользователи и отказываются от такого способа передачи данных. Некоторые пользователи, не все конечно.
Согласен, что безопасность операций в системе ДБО - это очень важный вопрос.
В предлагаемой системе предпринята попытка выстроить логику совершения транзакции так, чтобы минимизировать возможности несанкционированого доступа и связанные с ним риски. Теретические уязвимости, конечно, присутствуют. Но ими не так то просто воспользоваться. Нужно завладеть телефоном плательщика, узнать его PIN, вступить в сговор с продавцом или внедриться в систему межбанковской коммуникации.