Бесконтактная оплата Samsung/Apple/Google/MIR Pay

Сообщений: 1214Регистрация: 15.11.2016 Репутация: 342

09.01.2017 16:24

За Самсунг не скажу (не знаю), а у Эппла та же самая токенизация. При этом злой умышленник, даже овладев реквизитами карты, не сможет ее привязать на свой телефон, т.к. карта привяжется лишь через высылку пароля на зарегистрированный в банке-эквайере телефон (типа привязка через 3д-секьюре).

Сообщений: 13365Регистрация: 25.10.2012 Репутация: 886

09.01.2017 17:20

SergeyVladimirovich, с привязкой понятно, так и думал, что 3ds используется и обязательно.

Как эти операции отображаются у эмитента, это интересно. По логике вещей и судя по процедуре привязки в дальнейшем бесконтактные операции идут как CNP-транзакции. Отличаются ли они от обычных CNP-транзакций (оплата в Интернете по реквизитам карты)?

С обычной бесконтактной карты можно получить и номер и другие сведения. А тут как? И какой номер карты будет виден?

И про Apple Pay возникает вопрос с оплатой в Интернете, они декларируют и функцию оплаты в Интернете, а не только бесконтактную. Как это происходит? Эквайеру передаются реквизиты привязанной карты или эквайер для этого поддерживает оплату через Apple Pay при помощи этой самой токенизации?

Ушёл на ФинФорумс и ХраниДеньги

SergeyVladimirovich Сообщений: 1214Регистрация: 15.11.2016 Репутация: 342	#4 09.01.2017 17:32 Эквайеру передается токен и только. А эмитент по этому токену идентифицирует вас и карту списания. Эквайер реквизитов карты не видит ни от вас, ни от эмитента.
	3

Сообщений: 13365Регистрация: 25.10.2012 Репутация: 886

09.01.2017 17:49

SergeyVladimirovich, это понятно, это суть токенизации. Отсюда и из информации из вашей ссылки выше можно сделать два вывода:
При оплате в Интернете через Apple Pay такую возможность должен поддерживать сам мерчант и его эквайер.
Для эмитента авторизация при помощи токена отличается от иных видов авторизаций, то есть такую бесконтактную оплату он может отличить от других CNP-транзакций.

Интересно почитать как все эти моменты по бесконтактной оплате зафиксированы в договорах по банковским картам в части использования аналога собственноручной подписи.

Ушёл на ФинФорумс и ХраниДеньги

Сообщений: 1214Регистрация: 15.11.2016 Репутация: 342

09.01.2017 19:59

Цитата
tempur пишет: можно сделать два вывода

Абсолютно логично. Согласен.

Цитата
tempur пишет: как все эти моменты по бесконтактной оплате зафиксированы в договорах по банковским картам в части использования аналога собственноручной подписи

Вот этого пока ни у кого не видел, не читал...

Сообщений: 7446Регистрация: 15.07.2014 Репутация: 318

с 18.04.2023

09.01.2017 20:04

Цитата
SergeyVladimirovich пишет: За Самсунг не скажу (не знаю), а у Эппла та же самаятокенизация.

Скажу за Samsung Pay smile:D

Тоже применяется токенизация. На базе реальной карты создаётся виртуальная с весьма приличным сроком жизни. И далее генерируются токены.

Цитата
tempur пишет: А как в системах типа Samsung/Apple/Android Pay реализована привязка реальных карт для бесконтактной оплаты?

Привязка идёт через сервис самого банка.
ТО есть вбиваешь данные карты - потом читаешь согласшение на over900 страниц, и потом приходит СМс для выпуска виртуальной карты.

Цитата
tempur пишет: И второй вопрос - если у карты с чипом и магнитной полосой операция прошла только по магнитной полосе, то риски по ней несет эквайер. А как с этим при бесконтактной оплате через указанные системы?

При тех платежах что я делал по MST - эмуляция магнитной полосе, платеж проходит точно так же как по нечипованной карте.
Так что в принципе риск несёт эквайер, так как с точки зрения терминала телефон идентичен магнитной полосе.
Но при совершении транзакции всё равно генерируется токен - так что при разбирательсве думаю это будет видно что оплата была не по реальной карте.
Тем более Бин виртуальной карты висит на МПС

Цитата

tempur пишет:
Допустим, злоумышленник завладел полными реквизитами карты, привязал её по реквизитам в указанных системах и совершил покупку с бесконтактной оплатой. Как оспорить такую транзакцию? Для эмитента они видны как обычные операции по реквизитам или как-то иначе?

А как он может это сделать?
При привязке карты приходит смс на номер зарегистрированного телефона

То есть злоумышленик должен иметь доступ как к карте человека либо её реквезитам так и к номеру привязанмоу к карте

Если же карта была уже привязана к телефону то для оплаты нужен или отпечаток или пинкод от Samsung Pay

Так что мошеничества посредством MST в принципе возможны но крайне маловероятны

Сказали «Спасибо»: 1

Сообщений: 7446Регистрация: 15.07.2014 Репутация: 318

с 18.04.2023

09.01.2017 20:05

Цитата

SergeyVladimirovich пишет:

Цитата
tempurпишет:как все эти моменты по бесконтактной оплате зафиксированы в договорах по банковским картам в части использования аналога собственноручной подписи

Вот этого пока ни у кого не видел, не читал...

Вы когда карту подключаете например Русского стандарта то вам прилетает портянка текста с которой вы соглашаетесь, если надо то могу на своём телефоне перепривязать карту и тут текст выложить

Сообщений: 13365Регистрация: 25.10.2012 Репутация: 886

09.01.2017 20:14

Цитата
animegravitation пишет: На базе реальной карты создаётся виртуальная с весьма приличным сроком жизни.

Было у меня такое предположение, поэтому и спросил - какой номер карты светит смартфон при такой бесконтактной оплате? Выходит, что все эти новомодные Samsung/Apple/Android Pay это лишь разновидность (развитие) давно используемой технологии бесконтактной оплаты через NFC, которая появилась в Android с версии 4.4 в виде технологии Host Card Emulation (HCE). Лишь добавили "привязку" физической карты, которая является своего рода "авторизацией" для выпуска виртуальной карты, привязанной к счету физической карты. Ну и прочие фишки типа MST и оплаты в Интернете по отпечатку.

Цитата
animegravitation пишет: Тем более Бин виртуальной карты висит на МПС

Это как и почему? Эмитент ведь генерирует виртуалки эти в пределах своих диапазонов BIN.

Интересно, Android Pay будет работать на всех смартфонах с NFC и HCE? Или будет как и с Samsung и Apple - только на новых моделях с аппаратными и программными доработками.

Ушёл на ФинФорумс и ХраниДеньги

Сообщений: 7446Регистрация: 15.07.2014 Репутация: 318

с 18.04.2023

#10

09.01.2017 20:18

Цитата

tempur пишет:
Выходит, что все эти новомодные Samsung/Apple/Android Pay это лишь разновидность (развитие) давно используемой технологии бесконтактной оплаты через NFC, которая появилась в Android с версии 4.4 в виде технологии Host Card Emulation (HCE).

Возможно но вроде не совсем так , вечером приведу скрины карт и как это ввообще на самсунг работает

Сообщений: 1214Регистрация: 15.11.2016 Репутация: 342

#11

09.01.2017 20:47

Цитата
tempur пишет: какой номер карты светит смартфон при такой бесконтактной оплате?

Другой

На скрине с эпплпея видно.

Цитата
animegravitation пишет: вам прилетает портянка текста с которой вы соглашаетесь

Точно. На этом же скрине чуть ниже по тексту ссылка на 74страничную пдф-ку... Когда не лень будет, попробую прочесть smile:D

Прикрепленные файлы

IMG_1082.PNG (131.77 КБ) [ Скачать ]

colorprint

Сообщений: 14754Регистрация: 29.09.2007 Репутация: 358 Город: Волгоград

#12

09.01.2017 20:48

Цитата
tempur пишет: Выходит, что все эти новомодные Samsung/Apple/Android Pay это лишь разновидность (развитие) давно используемой технологии бесконтактной оплаты через NFC

самсунг и на терминалах без поддержки NFC работает

АМТ † Холдинг-Кредит † Пушкино † МастерБанк † Евротраст † Западный † Навигатор † Софрино † Волга-Кредит † Транснациональный † Тусар † Русславбанк † Капиталбанк † Кредит-Москва † Росинтербанк † Военно-промышленный банк † Айманибанк † Югра

Сообщений: 13365Регистрация: 25.10.2012 Репутация: 886

#13

09.01.2017 20:55

SergeyVladimirovich, а эту ссылку на PDF как-нибудь можно выцепить и тут опубликовать?

colorprint, это понятно, это лишь другой физический канал бесконтактной оплаты по этой же виртуальной карте. Так понимаю, эмулируется магнитная полоса не реальной физической картой, а именно виртуальной. И это хорошо и правильно.

Ушёл на ФинФорумс и ХраниДеньги

Сообщений: 1214Регистрация: 15.11.2016 Репутация: 342

#14

09.01.2017 21:02

Цитата
tempur пишет: SergeyVladimirovich, а эту ссылку на PDF как-нибудь можно выцепить и тут опубликовать?

Конечно можно. Скачал оттуда на яДиск - https://yadi.sk/i/RxxxVzf8383bej
Эти 74листа у меня - это типовой Универсальный ДБО Сбера.

Изменено: SergeyVladimirovich- 09.01.2017 21:13

Сказали «Спасибо»: 1

tempur Сообщений: 13365Регистрация: 25.10.2012 Репутация: 886	#15 09.01.2017 21:23 SergeyVladimirovich, да, уже посмотрел, там есть про NFC-карты. Ушёл на ФинФорумс и ХраниДеньги
	1

animegravitation Сообщений: 7446Регистрация: 15.07.2014 Репутация: 318 с 18.04.2023	#16 10.01.2017 00:17 Текст при добавлении карты от Райффайзен банк Текст при добавлении карты Русский стандарт Предупреждаю сразу полотна длинные Изменено: animegravitation- 10.01.2017 15:19
	1

Сообщений: 7446Регистрация: 15.07.2014 Репутация: 318

с 18.04.2023

#17

10.01.2017 00:44

Цитата
tempur пишет: Это как и почему? Эмитент ведь генерирует виртуалки эти в пределах своих диапазонов BIN.

Бин виртуальной карты идёт от Мастеркарда или Визы

Считал данные карты при оплате .
У неё не только другой номер но и другой БИН
У Русского стандарта бин - 5100 47
А у сгенерированой карты бин - 5447 34
Это бин мастеркарда

Ну и скрины

Выпущенная виртуальная карта

Цифровой номер карты

Момент при оплате

Считанная по NFC информация о виртуальной карте

Цитата
tempur пишет: Интересно, Android Pay будет работать на всех смартфонах с NFC и HCE? Или будет как и с Samsung и Apple - только на новых моделях с аппаратными и программными доработками.

Должен на всех , единственно рут права не должны быть получены наверное

Изменено: animegravitation- 10.01.2017 15:56

tempur Сообщений: 13365Регистрация: 25.10.2012 Репутация: 886	#18 10.01.2017 07:39 animegravitation, спойлеры тут есть, попросите модеров подправить сообщение. За скрины спасибо, позже посмотрю. Ушёл на ФинФорумс и ХраниДеньги
	1

Сообщений: 1214Регистрация: 15.11.2016 Репутация: 342

#19

10.01.2017 09:20

Цитата
animegravitation пишет: Бин виртуальной карты висит на МПС

Цитата
tempur пишет: Это как и почему? Эмитент ведь генерирует виртуалки эти в пределах своих диапазонов BIN

Из скринов уважаемого animegravitation следует, что неправы вы оба: BIN-544734 только указывает на принадлежность карты к МастерКарду, а зарегистрирован он на ZIP NETWORK и принадлежит американской компании Discover Global Network, специализирующейся на обеспечении безопасности цифровых платежей/
По bindb:
Рисунок

и по binbase:
Рисунок

Изменено: SergeyVladimirovich- 10.01.2017 09:29

tempur Сообщений: 13365Регистрация: 25.10.2012 Репутация: 886	#20 10.01.2017 09:36 SergeyVladimirovich, теперь все еще более запутанно с BIN этих виртуалок. Понять бы причину этого. Ушёл на ФинФорумс и ХраниДеньги
	1

Сообщений: 1214Регистрация: 15.11.2016 Репутация: 342

#21

10.01.2017 10:04

Цитата
tempur пишет: теперь все еще более запутанно

tempur, на соответствующей страничке этой компании сказано, что они обеспечивают поддержку цифровых кошельков (wallets) для ApplePay, AndroidPay и в ближайшем будущем SamsungPay. И на этой же страничке есть ссылка "Learn more" про внедряемую ими технологию Discover® Digital Exchange (DDX). Там есть кое-что частично проясняющее.

Сообщений: 13365Регистрация: 25.10.2012 Репутация: 886

#22

10.01.2017 10:49

SergeyVladimirovich, похоже на провайдера услуг токенизации, в России что-то такое продвигала компания, которая сделала приложение Кошелек и позже стала обеспечивать бесконтактную оплату для приложений самих банков. Было бы интересно посмотреть на BIN виртуальных бесконтактных карт, которые существуют в приложениях для Андроид сейчас до внедрения Android Pay.

Ушёл на ФинФорумс и ХраниДеньги

Сообщений: 13365Регистрация: 25.10.2012 Репутация: 886

#23

14.01.2017 22:17

Позволяют ли банки активировать Apple/Samsung Pay на нескольких разных устройствах? Или виртуалку для бесконтактной оплаты дают выпустить только одну?

Вопрос, в частности, актуален для владельцев всяких Apple Watch/Samsung Gear. Первые уже поддерживают бесконтактную оплату, вторые, думаю, позже тоже будут поддерживать.

Ушёл на ФинФорумс и ХраниДеньги

Сообщений: 7446Регистрация: 15.07.2014 Репутация: 318

с 18.04.2023

#24

15.01.2017 16:34

Цитата
tempur пишет: Позволяют ли банки активировать Apple/Samsung Pay на нескольких разных устройствах? Или виртуалку для бесконтактной оплаты дают выпустить только одну?

Не могу проверить ибо в наличии только Note 5 и Note Edge (не поддерживает samsung pay)

Но судя по всему одну реальну карту можно привязать к нескольким устройствам. Тут скорее ограничение на стороне банка будет а не на стороне Samsung PAy

Цитата
tempur пишет: Вопрос, в частности, актуален для владельцев всяких Apple Watch/Samsung Gear. Первые уже поддерживают бесконтактную оплату, вторые, думаю, позже тоже будут поддерживать.

Сам думаю Gears S3 из за бугра заказать - умельцы уже с них вроде платят в РФ smile:D

Плюс скидочка на них есть на американском сайте Самца

Плюс карты можно одинаковые и на часах держать и на смартфоне так что со стороны Самца ограничений точно нет

Изменено: animegravitation- 15.01.2017 16:35