Banques. Cotisations et dépôts. Transferts d'argent. Prêts et impôts

Qu'est-ce que l'authentification du titulaire de la carte. Que signifie la notification "Désolé, pas de données pour votre authentification" ? Technologies innovantes et sécurité

Beaucoup d'entre nous achètent des biens sur divers sites du réseau. Après avoir regardé le produit suivant, nous commençons à saisir les détails de paiement, y compris les informations sur notre carte bancaire. Après avoir rempli les données spécifiées et essayé d'effectuer un paiement, nous pouvons rencontrer le message " Malheureusement, il n'y a pas de données pour votre authentification. Veuillez recevoir s'il vous plait Nouvelle liste mots de passe à usage unique à un guichet automatique ou inscrivez-vous dans le mobile services bancaires ". Que signifie ce message dans Sberbank et comment résoudre le problème ? Essayons de comprendre.

Ce qu'il faut savoir sur la protection des données dans une banque avec 3D-Secure

La sécurité des achats en ligne est l'une des tâches les plus importantes pour les banques et les systèmes de paiement. La croissance du nombre de ces achats attire de nombreux attaquants qui souhaitent accéder aux données des utilisateurs, puis voler de l'argent sur les comptes bancaires de ces utilisateurs. Pour éviter de tels scénarios, les banques utilisent activement une variété de technologies, dont l'une est la technologie populaire 3D-Secure.

"" est un protocole XML spécial qui prend en charge la sécurité des règlements dans le réseau en utilisant cartes de paiement. La codification « 3D » signifie l'utilisation de trois domaines indépendants (D) :

  • une banque desservant une chaîne de magasins spécifique ;
  • banque - l'émetteur de la carte de paiement ;
  • domaine du système de paiement (Visa, Master Card et autres).

Une étape importante dans l'identification de paiement du client dans 3D-Secure est la saisie d'un mot de passe de confirmation sur une page sécurisée du réseau. Un tel mot de passe ne peut être obtenu que par téléphone via SMS, ce qui réduit considérablement les chances d'un attaquant d'intercepter et de modifier un tel mot de passe. Après avoir entré le mot de passe, le paiement est confirmé et le produit sélectionné est payé.


 L'utilisation de SMS avec un mot de passe permet de sécuriser les achats en ligne

Aucune donnée pour votre authentification - qu'est-ce que cela signifie

Le message "Désolé, pas de données pour votre authentification" signifie généralement que la technologie 3D-Secure n'est pas connectée à votre carte. Par conséquent, vous ne pouvez pas confirmer votre achat par SMS. Identifier votre identité dans le système est également difficile.

Outre l'absence de 3D-Secure, les causes du problème peuvent être les suivantes :

  • Le système n'est pas connecté à votre carte bancaire les services bancaires mobiles , qui utilise également la confirmation par SMS. Dans le même temps, en plus de la vérification de l'utilisateur, banque mobile offre de nombreuses possibilités de surveillance et de contrôle De l'argent placé sur vos comptes bancaires ;
  • Votre carte n'est pas destinée aux paiements via Internet. Cela se produit avec les cartes électroniques les plus simples et les moins chères. Ces cartes sont rares de nos jours. La plupart des banques sont passées à l'émission de cartes Visa et Master Card avec des fonctionnalités de base standard;
  • Votre carte bancaire n'a pas été activée, ou sa validité a déjà expiré. Dans ce cas, vous recevrez également une notification concernant le manque de données pour l'authentification dans Sberbank.

Comment résoudre le problème du manque de données pour l'authentification ? Découvrons-le.

Étape 1 : Activez votre carte

Si vous n'avez pas encore activé votre nouvelle carte, il sera nécessaire d'effectuer la procédure pour son activation, y compris la confirmation par SMS. Rendez-vous dans la succursale la plus proche de Sberbank pour terminer la procédure d'activation.

Étape 2 : Vérifiez la date d'expiration de votre carte

Prenez votre carte et assurez-vous qu'elle n'a pas expiré. Habituellement, le mois et l'année d'expiration de la carte sont indiqués sur la face avant de la carte. Si cette période touche à sa fin, visitez la Sberbank et renouvelez votre carte.


 Cette carte a expiré en novembre 2017

Étape 3. Obtenez une nouvelle carte bancaire Sberbank

Si vous avez utilisé la carte (électronique) la moins chère jusqu'à présent, nous vous recommandons de la remplacer par une carte bancaire moderne du niveau Visa Classique ou Mastercard Standard. Ces cartes prennent en charge toute la gamme des transactions de paiement de base, y compris le paiement de biens et de services via Internet.

Étape 4. Appelez le centre de contact Sberbank

Appelez le centre d'appels de la Sberbank numéro gratuit 900 vous permettra de résoudre le problème "Aucune donnée pour votre authentification". Appelez le numéro indiqué et dites au spécialiste l'essence du dysfonctionnement qui s'est produit. Habituellement, après cela, le service Mobile Banking sera activé pour vous et vous pourrez effectuer des achats via Internet à l'aide d'un SMS de confirmation.

Appelez la hotline

Étape 5. Connectez les services bancaires mobiles via un guichet automatique Sberbank

Vous pouvez également activer le service bancaire mobile au guichet automatique Sberbank le plus proche. À en juger par les avis des titulaires de carte, cette option n'est pas disponible dans tous les guichets automatiques, il vaut donc la peine d'essayer plusieurs guichets automatiques.

Procédez comme suit :


Mots de passe à usage unique dans un guichet automatique Sberbank

Jusqu'en février 2016, il était également possible de recevoir 20 mots de passe à usage unique dans un guichet automatique de la Sberbank, à l'aide desquels le paiement Internet nécessaire était confirmé.

Vérifier avec une liste de mots de passe

Cette technique s'est avérée assez vulnérable. Le fraudeur a récupéré un chèque rejeté avec les 20 mots de passe spécifiés, a eu accès au compte personnel de l'utilisateur, après quoi il a eu la possibilité de retirer de l'argent du compte d'un tel utilisateur 20 fois.

Compte tenu d'une pratique aussi triste, la Sberbank a décidé de refuser d'imprimer un mot de passe à l'aide d'un guichet automatique. Désormais, la confirmation de paiement s'effectue exclusivement par SMS sur le téléphone du client.

Conclusion

Dans notre article, nous avons analysé ce que "Malheureusement, il n'y a pas de données pour votre authentification" dans Sberbank, et que faire lorsque vous recevez ce message. Plus d'une manière simple La solution au problème consiste à connecter les services bancaires mobiles à votre carte. Une telle connexion peut être établie soit via un guichet automatique Sberbank, soit en appelant le numéro d'assistance gratuit 900. Une fois connecté, vous pourrez effectuer tous les achats nécessaires sur Internet.

Lors d'achats sur le World Wide Web, certains utilisateurs peuvent rencontrer le message "Malheureusement, il n'y a pas de données pour votre authentification". Une telle phrase peut apparaître à la place de la confirmation de paiement attendue. Pour savoir quoi faire dans de tels cas, vous devez comprendre les raisons de la génération d'un tel message.

Qu'est-ce que l'authentification

L'authentification est une procédure de vérification (dans la plupart des cas 3D-Secure) des informations personnelles du payeur. Le processus est conçu pour protéger contre l'accès criminel aux données carte bancaire et protéger son propriétaire contre activités frauduleuses tiers. L'utilisation de 3D-Secure est gratuite pour un utilisateur de carte bancaire. Le système est basé sur trois composants indépendants :

La partie de l'action du système qui est visible pour l'utilisateur est la génération d'un code à usage unique pour effectuer un paiement. Le code doit venir au numéro de téléphone de l'utilisateur lié aux données de la carte. Cette combinaison numérique a une durée de validité d'autorisation limitée à dix minutes. Si le code n'est pas venu, cela signifie que le système "n'a pas de données pour votre authentification", et il bloquera la tentative de paiement.

Raisons de l'erreur

Pour résoudre la question, qu'est-ce que cela signifie "Malheureusement, vos données pour votre authentification ne sont pas disponibles", il faut savoir que les principales raisons de générer un message d'erreur sont :

  • la protection n'est pas connectée à la carte ;
  • en utilisant une carte qui n'est pas connectée au service bancaire par Internet ;
  • la carte ne prend pas en charge les paiements en ligne ;
  • la période de validité de la carte a expiré ou elle n'a pas été activée.

De plus, la cause du problème peut être une défaillance technique du système. communications mobiles, ce qui empêche la réception en temps voulu des SMS et le blocage des paiements.

Important! Le système de mots de passe à usage unique obtenus via un guichet automatique a été désactivé en 2016, car il présentait de graves failles de sécurité. Lorsque vous essayez d'utiliser de tels codes, il est également possible de générer un message d'erreur.

Que faire lorsqu'un problème survient

Lorsque les principales erreurs de génération du message "il n'y a pas de données pour votre authentification" sont indiquées, il devient clair de quelle manière l'obstacle aux achats dans les magasins en ligne peut être surmonté. Dans l'ordre des articles listés :

  1. La connexion du système de sécurité 3D peut être effectuée de deux manières (peu importe laquelle) :
  • visiter une succursale de la Caisse d'épargne et remplir une demande appropriée;
  • via l'application en ligne Sberbank.
  • Installez l'application Internet Banking et associez-y une carte. Cela peut être fait sans quitter la maison.
  • La carte plastique ne prend pas en charge les paiements via le réseau mondial. Une telle carte peut être en plastique des catégories les plus basses. Dans ce cas, la seule issue est d'émettre et d'en obtenir un plus approprié.
  • Si la période de validité a expiré et qu'elle est bloquée, la solution au problème consistera à en réémettre une nouvelle. Si le plastique n'est pas activé, vous devez effectuer cette procédure simple en vous rendant au bureau du service de sécurité ou via le guichet automatique le plus proche. Lors de l'exécution de la procédure, le SMS sera envoyé au numéro de téléphone lié.

    • Important! Si les solutions proposées n'ont pas éliminé la cause première qui génère le message "malheureusement, vos données d'authentification ne sont pas disponibles", Sberbank aidera à éliminer l'obstacle.

    Pour ces questions et d'autres, veuillez contacter les spécialistes par téléphone soutien technique en visitant une succursale établissement de crédit, dont l'adresse peut être trouvée sur le World Wide Web.

    La prévalence des services bancaires par Internet et des cartes en plastique parmi la population a rendu ce domaine attrayant pour les fraudeurs. Le nombre de clients bancaires touchés par les cybercriminels ne cesse d'augmenter. Afin de changer la tendance, Sberbank utilise une technologie de sécurité spéciale sur ses produits en plastique - 3D Secure.

    But de la technologie

    Il existe aujourd'hui un grand nombre de plateformes de trading en ligne. Ils utilisent des cartes de crédit pour le paiement. De nombreux escrocs profitent de l'insécurité de ces sites pour voler les fonds des particuliers qui effectuent des achats. Pour éviter cela, le système 3D-Secure a été créé.

    Il a été développé à l'origine par Visa et s'appelait Verified by Visa. Un peu plus tard, un système similaire a été adopté par le système de paiement. Système MasterCard. Malgré le fait que la technologie a été créée il y a relativement longtemps, les Banques russes l'introduire très lentement dans le foyer marché financier. L'une des entreprises qui connectent leurs clients à cette technologie est Sberbank.

    L'essence de 3D Secure est l'utilisation de codes spéciaux qui ne sont disponibles que pour le propriétaire du plastique, qui doivent être utilisés pour effectuer des transactions sur la carte. Sans cette technologie, l'acheteur de la boutique en ligne n'a qu'à saisir les données suivantes :

    • nom Prénom;
    • numéro en plastique (débit ou crédit);
    • durée de validité de la carte bancaire utilisée ;
    • Code CVV (situé au dos du plastique).

    Dans une situation normale, ces données suffisent pour effectuer un achat. Si la technologie 3D-Secure est connectée au plastique, son propriétaire sera redirigé vers la page Sberbank, où, avant d'effectuer un achat, il subira une authentification Sberbank 3DS. Qu'est-ce que c'est et comment passer par cette procédure?

    Après redirection, le propriétaire du plastique recevra un code spécial sur le téléphone, qui devra être saisi dans le champ approprié sur le site. Si le code correct est saisi, l'achat se poursuivra.

    3D Secure augmente-t-il la sécurité des transactions par carte

    Selon les experts, l'introduction de la technologie peut augmenter considérablement la sécurité. transferts d'argent. Ceci est réalisé en raison du fait que le numéro de téléphone auquel le message est reçu n'est disponible que pour les employés de la banque. Les vendeurs de places de marché n'ont pas accès à ces informations. De plus, le nombre de codes est limité, chacun d'eux n'est valable que 10 minutes. De ce fait, la protection opérations en espèces monte vraiment.

    Lorsqu'il est connecté banque mobile, le code sera envoyé par message au numéro attaché au plastique. Ainsi, vous pouvez rapidement le saisir et le compléter. achats en toute sécurité. Pour voler des fonds, le fraudeur aura besoin non seulement de plastique, mais aussi du téléphone de son propriétaire. Auparavant, une liste de codes pouvait être imprimée à un guichet automatique, mais aujourd'hui, l'institution financière a abandonné cette pratique.

    Trois domaines sont utilisés pour l'opération (avec lesquels la partie 3D dans le nom de la technologie est liée). C'est le domaine :

    1. La banque qui dessert le site Internet.
    2. Une banque qui sert un client particulier.
    3. Le système de paiement auquel appartient le plastique.

    Malgré ces précautions, la mise en œuvre de la technologie a un coût élevé. Certains d'entre eux sont affectés à plateformes de trading. Toutes les boutiques en ligne ne sont pas connectées à cette technologie. Si elle n'est pas disponible, une carte dont la protection est activée ne pourra pas être utilisée ou il n'y aura pas de processus d'authentification du propriétaire. Les attaquants, ayant obtenu les informations nécessaires, peuvent utiliser cette faille pour frauder.

    Par conséquent, bien que le système vous permette d'augmenter la sécurité des paiements, il n'est pas garant à 100% de la sécurité des fonds des clients de la banque. À cet égard, il est recommandé de n'utiliser que des sites Internet de confiance connectés à ce service.

    Connexion

    Les personnes qui ont émis du plastique à la Sberbank relativement récemment peuvent ne pas s'inquiéter de connecter la technologie à leur produit de carte. Aujourd'hui, une institution financière implémente automatiquement le service sur toutes les cartes de la classe Classic et au-dessus. Si la carte a été reçue il y a longtemps, avant même l'utilisation de 3D Secure, ou si le plastique fait partie des premiers types de produits de carte, vous devrez l'activer vous-même.

    Il existe deux façons d'activer 3D Secure. Sberbank vous permet de faire ceci :

    1. Par une visite personnelle à l'une des succursales. Il est nécessaire de contacter un employé d'une institution financière avec une demande correspondante et de soumettre une demande écrite pour connecter le plastique à la protection.
    2. à distance. Vous pouvez utiliser les services bancaires par Internet de Sberbank et activer vous-même la technologie.

    La technologie coûte cher. Les banques doivent dépenser beaucoup d'argent pour sa mise en œuvre. Il n'est pas obligatoire et n'est utilisé que si l'institution financière le souhaite. Malgré cela, la connexion à la protection ne s'accompagne pas de la récupération des fonds auprès du client. Pour les propriétaires de plastiques, c'est gratuit. L'utilisation de la technologie est également gratuite.

    A noter qu'il est impossible de désactiver la technologie après son activation. Il vise à protéger les intérêts des propriétaires de plastiques et de leurs fonds stockés à la Sberbank. Une institution financière souhaite préserver les fonds de ses clients. Les employés de la Sberbank ne laisseront donc pas le titulaire de la carte désactiver 3D-Secure. Une telle opportunité n'est tout simplement pas offerte.

    Avantages de la protection

    Pour introduire la technologie, il faut dépenser des sommes importantes. Malgré cela, les institutions financières, y compris la Sberbank, prennent une mesure similaire. Ceci est fait non seulement pour la sécurité des clients existants, mais aussi pour attirer de nouveaux citoyens vers la coopération. Plus les clients utilisent les plastiques Sberbank, plus le revenu total d'une institution financière est élevé.

    Qu'est-ce que 3D Secure sur une carte bancaire Sberbank pour les clients de cette institution ? Tout d'abord, c'est une opportunité de fiabiliser les achats en ligne. Une fois connecté à la technologie, le risque d'être victime d'escrocs et de perdre des fonds personnels est considérablement réduit. C'est le principal avantage du système 3D Secure. En plus de cela, le système a également les points forts suivants :

    • pendant le processus de paiement, le système vérifie à la fois la banque du magasin auquel les fonds sont transférés et l'institution financière qui a émis le plastique;
    • toutes les données relatives aux cartes sont stockées sur un serveur sécurisé de la Sberbank. En cas d'accès à ceux-ci, l'entière responsabilité du vol de fonds incombe à la banque et non au client ;
    • l'authenticité de chaque traduction est vérifiée.

    3D Secure est un système unique de protection des paiements sur Internet à l'aide de codes de confirmation spéciaux. Sa mise en œuvre augmente considérablement la sécurité des fonds qui sont stockés sur les plastiques des clients des banques. Les produits de cartes modernes (au-dessus du niveau d'entrée) sont automatiquement connectés à la technologie. Si, pour une raison quelconque, la carte n'est pas connectée à 3D Secure, un citoyen peut s'adresser à la banque avec une application correspondante ou utiliser les services bancaires par Internet. Chez Sberbank, la connexion à la technologie et son utilisation sont gratuites.

    Accès client à distance à votre compte bancaire(comptes) pour effectuer des règlements avec une entreprise commerciale (service) lors d'un achat sans espèces ou dans le but d'obtenir de l'argent à un guichet automatique (agence bancaire) ou à toute autre fin est impossible sans une authentification fiable du client par sa banque . Toute personne demandant l'accès à un compte bancaire aux fins d'exécution transaction financière et (ou) pour obtenir des informations sur l'état du compte, au moment de la demande d'accès au compte est pour la banque dans laquelle le compte est ouvert, uniquement par la personne effectuant la transaction (PLO). La première tâche de la banque est de vérifier les droits du LSO à accéder au compte X afin de l'utiliser pour diverses transactions lorsque le LSO accède au compte bancaire X. En d'autres termes, la banque doit vérifier la validité de l'égalité "LSO = Client de la banque A, ayant droit d'accès au compte X". La vérification de cette égalité comporte deux parties : 1) vérifier que LSO = Client de la banque A, et 2) vérifier que le client A a le droit d'accéder au compte X. Vérifier le respect de la première partie n'est rien d'autre que résoudre le problème d'authentification par la banque LSO. La vérification de la deuxième partie est basée sur les données Compte client dans Système d'Information une banque qui détermine à quelles ressources et avec quels droits le client a accès.

    Il existe différents moyens et technologies associées pour authentifier les LSO. est un moyen éprouvé et largement utilisé d'identification (authentification) de la personne effectuant la transaction. Une carte plastique permet à la banque d'identifier le compte X accédé par LSO, et aussi avec une bonne fiabilité (comme le montre la pratique, avec une probabilité d'au moins 99,92%) de résoudre le problème de vérification de l'égalité "LSO = Client de la banque avec accès au compte X". La valeur de 99,92 % provient du fait qu'aujourd'hui niveau moyen la fraude à la carte dans le monde ne dépasse pas 8 pb. P

    La crédibilité de l'authentification d'une personne effectuant une transaction à l'aide d'une carte plastique est la pierre angulaire de la technologie des cartes plastiques. Dans la mesure où la technologie permet à la banque - émettrice de la carte d'être sûre que l'opération a été effectuée à l'aide de sa carte (banque émettrice) et que l'opération est effectuée par le titulaire légal de la carte - le client de la banque émettrice, auquel le carte a été émise par la banque sur la base d'un accord entre la banque et le client , dépend de la viabilité de la technologie de la carte dans son ensemble. C'est pourquoi les systèmes de paiement et les banques accordent tant d'attention aux problèmes de sécurité des cartes et allouent des fonds considérables pour assurer un haut niveau de sécurité des transactions par carte. Principalement suite à la prise de conscience que la technologie d'authentification LSO utilisant des cartes à bande magnétique n'offre plus le niveau de fiabilité requis, on assiste aujourd'hui à une migration massive des banques vers une technologie nettement plus sécurisée basée sur .

    Lors de l'utilisation de cartes, l'authentification LSO est généralement une procédure distribuée dans laquelle tous les participants à la transaction sont impliqués : le commerçant, la banque qui dessert le commerçant, le réseau de paiement et, enfin, la banque dans laquelle le compte du client est accessible pour le paiement. Les rôles de chaque participant à la procédure d'authentification LSO sont importants (par exemple, le réseau authentifie la banque de service, la banque de service, à son tour, authentifie le commerçant, ce dernier remplit des fonctions importantes pour l'authentification LSO qui lui est déléguée par l'émetteur ( Système de paiement)). Cependant, le dernier mot décisif - la conclusion sur le caractère équitable de l'égalité "LSO = Client de la Banque avec accès au compte" - est prononcé par l'émetteur de la carte, et donc la responsabilité de la décision dans la plupart des cas (à l'exception de CNP les transactions n'utilisant pas le 3D-Secure et les cartes à piste magnétique servies dans des terminaux pouvant fonctionner sur puce) est à la charge de l'émetteur de la carte.

    Noter. CNP - Card Not Present - le type de transactions par carte de paiement effectuées en l'absence du titulaire de la carte, c'est-à-dire sans présenter physiquement la carte au commerçant (en règle générale, lors d'un achat sur Internet).

    Modèle multi-facteurs d'authentification LSO

    En ce qui concerne les cartes, un modèle d'authentification à trois facteurs est généralement utilisé pour l'authentification LSO par une banque.

    Facteur 1. Vérification de quelque chose que le LSO a et qui indique son lien avec la banque. Dans notre cas, il s'agit de vérifier si le LSO a une carte en plastique et de confirmer le fait que la carte a été émise par la banque.

    Facteur 2. Vérification de quelque chose que seul le LSO a besoin de savoir et peut être vérifié par la banque (peut-être indirectement, en utilisant d'autres participants à l'opération dans laquelle le LSO est authentifié). Dans notre cas, il s'agit d'un code PIN connu uniquement du LSO (peut être vérifié par la banque émettrice, éventuellement à l'aide de la carte de l'émetteur, si la carte est à microprocesseur et que l'émetteur lui a délégué cette fonction), et (ou ) la signature du LSO (la signature du client est initialement certifiée par la banque lors de l'émission d'une carte à un client et est vérifiée par l'émetteur indirectement, via un point de vente). Pour se conformer aux lois de certains pays, lors de l'utilisation de cartes à puce, la vérification du code PIN et de la signature du client est parfois appliquée simultanément.

    Facteur 3. Vérifier quelque chose qui est unique au client de la banque (ne peut pas être transféré physiquement à une autre personne) et est associé à la carte qui lui a été délivrée. Lorsque paiements sans numéraire- il s'agit des informations biométriques du client de la banque, enregistrées pour être stockées dans la puce de la carte. La conformité des informations biométriques du client de la banque, enregistrées dans la puce de la carte, avec les informations biométriques relatives aux ALPC est vérifiée.

    Aujourd'hui, en règle générale, un modèle à deux facteurs (facteurs 1 et 2) est utilisé. Les méthodes de vérification biométrique commencent tout juste à être introduites pour les détenteurs de cartes à puce.

    Notez que la logique du modèle d'authentification multifacteur est évidente. Tout d'abord, la banque doit comprendre que la carte sur laquelle l'opération va être effectuée est bien sa carte, c'est-à-dire la carte a été émise par la banque (facteur 1). Étant donné que les détails de la carte déterminent son titulaire, alors évidemment la prochaine question à laquelle l'émetteur doit répondre est - ma carte est-elle entre les mains de mon client, à qui j'ai délivré la carte afin de fournir au client un accès à distance à mon compte ? Le facteur 2 est utilisé pour répondre à cette question.

    La vérification si le LSO dispose d'une carte émise par une banque (facteur 1) s'effectue en plusieurs étapes à l'aide de :

    • inspection par le vendeur de l'entreprise commerciale apparence cartes (vérification des logos de la banque et du système de paiement, hologrammes, micro-impression spéciale imprimée sur la carte, symboles secrets en relief (pratiquement inutilisés aujourd'hui), etc.), ainsi que dans le cas d'une carte à microprocesseur - utilisant une authentification de carte dynamique hors ligne ;
    • vérification par la banque de service du fait que la société commerciale où l'opération est effectuée est effectivement desservie par cette banque (la banque a un accord avec la société de commerce pour la gestion de la carte présentée au paiement) ;
    • vérification par l'émetteur du numéro de carte, de sa date d'expiration, des valeurs secrètes CVC/CVV (CVC2/CVV2) et, dans le cas d'une carte à puce, réalisation d'une authentification dynamique de la carte en ligne.

    Sans aucun doute, l'authentification dynamique d'une carte à microprocesseur (hors ligne et (ou) en ligne) a élevé le niveau de fiabilité de l'authentification LSO d'un facteur 1 (et, par conséquent, l'authentification LSO en général) à un niveau qualitativement nouveau et beaucoup plus élevé. La contrefaçon d'une carte à microprocesseur supportant les procédures d'authentification dynamique est une entreprise très coûteuse.

    À ce jour, le moyen le plus fiable et le plus universel d'authentifier le LSO conformément au facteur 2 est la vérification du code PIN. Cela est dû au fait que le code PIN est le secret le plus difficile pour les fraudeurs parmi tous les détails d'une carte à bande magnétique, car il n'est pas stocké sur la carte. Par conséquent, l'utilisation d'un code PIN est le moyen le plus fiable de sécuriser les transactions effectuées à l'aide de cartes à bande magnétique. Dans le cas général, le code PIN est une séquence de chiffres décimaux saisie par les LSO lors d'une transaction par carte. La taille du code PIN varie de 4 à 12 chiffres (en pratique, dans la plupart des cas - quatre chiffres). Le code PIN est entré à l'aide d'un module cryptographique spécial qui fait partie du terminal (ATM, terminal de point de vente, etc.) - PIN-Pad ou PIN Entry Device (PED) - et doit être transmis à l'hôte de l'émetteur, où il est vérifié. La connaissance du secret par le LSO, connu du titulaire de la carte sur laquelle la transaction est effectuée, est une bonne raison de croire que le LSO et le titulaire de la carte sont la même personne.

    Les systèmes de paiement imposent des exigences strictes sur les procédures de gestion et de transmission des codes PIN (PIN Security Requirements), ainsi que sur les dispositifs d'entrée de code PIN, formulées dans la norme PCI PTS (Payment Card Industry PIN Transaction Security).

    Carte plastique comme moyen d'identification (authentification) de LSO

    Une carte plastique est un support d'informations qui :

    • identifie le système de paiement (association de banques à laquelle appartient l'émetteur de la carte), l'émetteur de la carte, le produit de la carte, le titulaire de la carte - le client de la banque ;
    • détermine les conditions d'utilisation de la carte (mode de traitement de la transaction en ligne (hors ligne), nécessité de réaliser la transaction uniquement à l'aide d'un terminal électronique, nécessité de saisir un code PIN, géographie d'acceptation, validité de la carte, etc.) ;
    • contient des éléments de protection de la carte contre la falsification et des informations permettant d'authentifier la carte et son titulaire (logo et hologramme du système de paiement, logo de l'émetteur de la carte, photo du titulaire de la carte, valeurs de vérification spéciales CVV/CVC, CVV2/CVC2 , garantissant l'intégrité des données de la carte, la signature du titulaire de la carte, etc., dans les cartes à microprocesseur - clés secrètes et, éventuellement, le code PIN du titulaire de la carte). Il convient de noter que de nombreuses informations de carte qui étaient auparavant utilisées pour la vérification visuelle chez un commerçant ne sont plus utilisées. Ces détails invalides incluent, par exemple, les symboles secrets en relief du système de paiement, la micro-impression, etc. Cela est dû à la faible efficacité de ces éléments de sécurité des cartes et à la migration de la technologie des cartes vers de nouveaux moyens électroniques de traitement des transactions, dans lesquels le rôle du vendeur du commerçant dans le processus d'authentification du titulaire de la carte est réduit au minimum.

    La carte contient les logos du système de paiement et de la banque émettrice, ainsi que des informations appelées détails de la carte : numéro de carte, date d'expiration de la carte, code de service, nom du titulaire, informations spéciales générées par l'émetteur et utilisées par lui pour l'authentification à distance de la carte. Certaines de ces informations sont appliquées sur le plastique de la carte à l'aide d'une impression ou d'un gaufrage spécial et sont lues visuellement et tactilement pendant la transaction. Ces informations sont utilisées par le vendeur du commerçant pour effectuer ce que l'on appelle l'autorisation vocale, dans laquelle le commerçant contacte par téléphone le service d'autorisation vocale de la banque et lui communique des informations sur les coordonnées du commerçant, de la carte, du titulaire de la carte et de l'opération. en cours d'exécution. Aujourd'hui, l'autorisation vocale est extrêmement rarement utilisée et les moyens électroniques d'acceptation des cartes prédominent dans le monde. Pour les points d'acceptation de cartes où seules quelques transactions par mois sont effectuées, comme alternative aux terminaux de point de vente électroniques assez coûteux, des terminaux mobiles (point de vente mobile, ou mPOS) sont apparus, qui sont un lecteur connecté à un téléphone portable, sur lequel un programme est installé qui gère les échanges de données entre un tel terminal et l'hébergeur de sa banque de desserte.

    Une partie des informations est appliquée à la bande magnétique et (ou) au microprocesseur (puce) situé sur la carte. Les informations d'une bande magnétique ou d'une puce sont lues à l'aide de dispositifs spéciaux appelés lecteurs de cartes ou lecteurs de cartes. Terminaux électroniques dans une entreprise commerciale (appelés terminaux de point de vente), ainsi que les distributeurs automatiques de billets (GAB) sont équipés de lecteurs de cartes similaires, ou simplement de lecteurs.

    Noter. POS - Point de vente, lit. - point de vente.

    La banque de service fournit un support pour l'infrastructure d'acceptation des cartes plastiques, qui comprend généralement des distributeurs automatiques de billets, des distributeurs automatiques de billets et des entreprises commerciales et de services. La banque de service conclut des accords avec les commerçants pour la gestion des cartes plastiques, garantissant au commerçant un remboursement pour les transactions effectuées avec les cartes de toute banque participant au système de paiement.

    Certains systèmes de paiement (par exemple, VISA et MasterCard) garantissent en outre au commerçant le remboursement des transactions effectuées avec les cartes de ce système de paiement. Une garantie supplémentaire est émise en cas effondrement financier banque de service et son incapacité à rembourser le commerçant pour les achats effectués avec des cartes plastiques. Dans ce cas, le système de paiement règle avec la société commerciale les transactions par carte qui y sont effectuées au lieu de la banque qui a fait faillite. La garantie du système de paiement augmente la confiance de l'entreprise commerciale dans le remboursement des fonds pour les achats non monétaires. Cette confiance sous-tend la technologie des paiements par cartes plastiques.

    L'une des tâches les plus importantes de tout système de paiement est de créer une infrastructure largement répartie géographiquement pour accepter les cartes. Une telle infrastructure d'acceptation de cartes rend l'utilisation de la carte attractive pour son porteur et son émetteur. C'est pour créer une infrastructure développée d'acceptation des cartes que les efforts de nombreuses banques participant au système de paiement sont nécessaires.

    Noter. Évidemment, la tâche de créer une infrastructure pour accepter les cartes dans la terminologie mathématique est le problème inverse de l'émission des cartes. Plus il y a de cartes circulant dans un système de paiement, plus il est intéressant pour un commerçant d'accepter les cartes de ce système de paiement et, par conséquent, plus il est facile de créer une infrastructure d'acceptation des cartes. Au contraire, plus l'infrastructure d'acceptation des cartes est développée, plus il est facile pour les banques d'attirer leurs clients en émettant des cartes de système de paiement.

    Authentification de LSO sur l'exemple d'une opération d'achat par carte de paiement

    On a déjà noté que dans la technologie carte, l'authentification LSO dans le cas général a un caractère distribué. Tous les participants au traitement de la transaction, y compris le commerçant, la banque de service, l'émetteur de la carte et, enfin, le titulaire de la carte lui-même, participent à l'authentification LSO. Illustrons cela par l'exemple d'une opération d'achat sans numéraire avec une carte dans une entreprise commerciale.

    Lorsqu'un client de la banque A présente une carte plastique à un commerçant de la banque servante B pour régler un achat, le commerçant doit d'abord s'assurer que, conformément à l'accord avec la banque servante B, l'opération sur la carte présentée pour le paiement sera remboursé - le magasin recevra de la banque de service l'argent de la banque pour l'achat effectué par le client de la banque A. En d'autres termes, le commerçant doit s'assurer que l'émetteur A et la banque de service B sont membres du même système de paiement. Visuellement, cela est établi par le logo du système de paiement imprimé sur la carte plastique du client.

    Le processus de paiement se compose généralement de deux parties. La première partie est l'autorisation de transaction (Fig. 1).

    Acheter avec une carte plastique

    Le caissier de l'entreprise commerciale inspecte d'abord visuellement la carte présentée au paiement, vérifiant la présence d'une puce et des attributs obligatoires de la carte (logo et hologramme du système, numéro de carte, date d'expiration, etc.). De plus, les informations nécessaires à l'autorisation de l'opération sont lues sur la carte plastique (à l'aide d'un lecteur de terminal de point de vente ou visuellement, s'il s'agit d'une autorisation vocale), et, éventuellement, des informations supplémentaires sont demandées au client pour l'authentifier ( personnel un numéro d'identification(signature) du client, nom du client, autres informations le vérifiant). Le caissier ajoute des informations sur l'achat aux informations reçues - la taille et la devise de la transaction, parfois son type.

    Sur la base des informations collectées, la société commerciale décide de la technologie pour effectuer l'opération (par bande magnétique ou puce), ainsi que du mode d'autorisation de la transaction - en ligne ou hors ligne. En mode déconnecté, la décision d'autoriser ou de refuser la transaction est prise uniquement par le terminal dans le cas d'une carte à piste magnétique, ou par le terminal et la carte (l'émetteur détermine ses règles de décision dans l'application carte) dans le cas d'une carte à puce. En mode en ligne, une telle décision est prise par l'émetteur de la carte sur la base des données reçues du terminal, de la banque de service et de la carte.

    Le commerçant vérifie également la présence de la carte dans la liste d'arrêt, qui est chargée par la banque de service sur le terminal capable de fonctionner en mode hors ligne. Parfois, afin d'augmenter la vitesse de vérification, cette fonction est exécutée par le commerçant avec la banque de service dans un mode distribué.

    Dans le cas d'une autorisation en ligne, les informations reçues du client et lues sur la carte, ainsi que les informations relatives à l'achat et au point de vente (identifiants du point de vente et de l'accepteur de la carte, mode de saisie des informations de la carte dans le réseau de paiement, description du les capacités de traitement des transactions du terminal, etc.) sont transférées par l'entreprise commerciale à sa banque de service sous la forme d'une demande d'autorisation. A l'aide d'une demande d'autorisation, le commerçant demande à la banque prestataire si elle peut fournir à ce client le service qu'il a demandé. La banque de service doit vérifier les données reçues dans la demande :

    • l'existence d'une société commerciale avec les coordonnées précisées dans la demande et son habilitation à effectuer l'opération demandée ;
    • intégrité des données reçues du terminal ;
    • la présence de la carte dans les listes d'arrêt du système de paiement ;
    • restrictions de traitement des transactions (par exemple, la carte est réservée aux achats dans le pays, la carte doit être utilisée avec contrôle obligatoire code PIN de son titulaire, l'opération doit être effectuée en temps réel, etc.) défini par l'émetteur de la carte ; les restrictions sont enregistrées par l'émetteur lors de la personnalisation de la carte sur la piste magnétique dans la donnée « Service Code » et dans l'application de la puce de la carte (données Application Usage Control, CVM List, etc.), si la carte est à microprocesseur -basé.

    Dans le cas d'une autorisation en ligne, la banque de service demande l'autorisation de fournir un service de carte plastique à la banque émettrice A. Parallèlement, les banques A et B échangent des messages conformément aux règles établies par le système de paiement, de sorte que la syntaxe et la sémantique des messages est claire pour les deux banques.

    L'émetteur A, ayant reçu une demande de la banque de service B, vérifie l'exactitude des informations sur la carte et son titulaire : l'exactitude des détails de la carte et de l'identifiant du titulaire, le statut de la carte dans le système de l'émetteur (active ou bloquée), restrictions d'utilisation de la carte, code PIN, s'il est présenté lors d'une transaction, valeurs CVC/CVV (Chip CVC/iCVV dans le cas d'une carte à puce ou CVC3/dCVV dans le cas d'une carte sans contact), un ARQC cryptogramme pour l'authentification par carte à puce, etc. Après cela, la banque A détermine la suffisance des fonds sur le compte du client pour payer le service demandé par lui. Si toutes les vérifications sont concluantes, la banque A répond à la demande de la banque B avec l'autorisation d'effectuer un achat, après avoir préalablement déduit du compte du client (ou seulement "gelé" sur le compte) le montant de l'achat, éventuellement assorti de certaines commissions fixées par lui (dans le cas d'une transaction d'achat, le retrait de commission du compte du titulaire de la carte est généralement interdit par les règles des systèmes de paiement. Récemment, il y a eu une dérogation à cette règle).

    Étant donné que l'autorisation de la Banque A selon les règles de tout système de paiement est une garantie de remboursement des fonds à la Banque B par la Banque A, la banque de service, à son tour, autorise la transaction d'achat à son commerçant, garantissant ainsi à ce dernier un remboursement pour la transaction effectuée utilisant la carte. Dans la plupart des cas, si la banque de service a fourni à l'émetteur des informations fiables et suffisantes (selon les règles du système) pour l'autorisation, la responsabilité de la transaction en cas de litige (litige) incombe à l'émetteur.

    • technologie de carte à microprocesseur (MPC);
    • la technologie des cartes à bande magnétique ;
    • technologie des opérations CNP (Card Not Present).

    Dans les systèmes de paiement, une règle est adoptée : si la technologie supportée par le terminal est moins fiable que la technologie supportée par la carte, alors la responsabilité de la fraude incombe à la banque de service. Cette règle est également appelée transfert de responsabilité. Dans tous les cas où le commerçant fournit la technologie de traitement des transactions la plus fiable prise en charge par l'émetteur de la carte, l'entière responsabilité du résultat de l'autorisation de transaction incombe à l'émetteur de la carte. Aujourd'hui, les systèmes de paiement prennent en charge les transferts de responsabilité pour les transactions par carte à microprocesseur (Chip Liability Shift, Chip & PIN Liability Shift) et le commerce électronique (Merchant Only Liability Shift).

    La seconde partie paiement sans numéraire biens (services) consiste en des règlements entre tous les participants à la transaction. Comme indiqué précédemment, le commerçant reçoit un remboursement pour la transaction d'achat de sa banque de service. La banque de service, à son tour, reçoit un remboursement de la banque émettrice. Le système de paiement agit comme garant des règlements entre banques, et c'est sa fonction la plus importante. Les règlements, en règle générale, sont effectués sans acceptation (c'est-à-dire sans autorisation spéciale de leurs participants) via des comptes spéciaux ouverts par les banques dans les banques de règlement du système de paiement.

    Enfin, la banque émettrice débite la transaction du compte de son client. Ainsi, avec la participation et la garantie du système de paiement, les fonds sont transférés du compte du client vers le compte de la société commerciale.

    La base des règlements entre les participants à une transaction peut être des messages d'autorisation échangés au cours de la transaction entre la banque de service et la banque émettrice. Dans ce cas, à la fin de la journée ouvrée, le système de paiement, sur la base des informations dont il dispose, effectue les règlements de la journée ouvrée écoulée entre toutes ses banques adhérentes. Les systèmes dans lesquels les calculs sont effectués sur la base du trafic d'autorisation sont appelés Single Message System (SMS).

    Parfois, les règles du système de paiement sont telles que pour initier des règlements entre les participants à une transaction, la banque de service doit envoyer un message financier spécial au système de paiement, qui est ensuite transmis à la banque émettrice. Uniquement sur la base de ce message, le système de paiement effectuera des règlements entre ses banques membres pour la transaction effectuée. Le message spécial est appelé une présentation, et les systèmes qui effectuent des calculs basés sur des présentations sont appelés le système à double message (DMS).

    Aujourd'hui, les systèmes de paiement internationaux prennent en charge les deux types de systèmes de règlement - SMS et DMS, en donnant la préférence aux systèmes DMS dans les règlements d'achats autres qu'en espèces.

    Dans le système de paiement, de temps à autre, pour diverses raisons liées à des problèmes techniques lors de l'exécution de transactions individuelles (par exemple, duplication d'une demande d'autorisation par la banque de service) ou à des fraudes, des différends (différends) peuvent survenir entre la banque émettrice et le banque de service. Par exemple, un titulaire de carte peut prétendre n'avoir jamais effectué de transaction pour laquelle de l'argent a été débité de son compte, ou avoir effectué une transaction, mais pour un montant différent. La vie a de multiples facettes et il peut y avoir de nombreux "ou". Pour résoudre les litiges naissants, les systèmes de paiement élaborent des règles prévoyant l'utilisation de messages spéciaux qui, en cas de litige, sont échangés par les banques participant au système.

    En particulier, si la banque émettrice, à la suite d'une enquête initiée par le titulaire de la carte, arrive à la conclusion qu'une transaction effectuée sur la carte de ce client est incorrecte pour des raisons établies par elle, l'émetteur envoie un message spécial au service banque, appelée rétrofacturation (refus de paiement), indiquant le motif du refus de paiement. Sur la base de ce message, le réseau de paiement transfère les fonds associés à l'opération pour laquelle le refus est intervenu du compte correspondant de la banque de service vers le compte de la banque émettrice. L'émetteur transfère ensuite l'argent restitué sur le compte du client.

    Habituellement, conformément aux règles du système de paiement, si la banque de service n'est pas d'accord avec l'avis de l'émetteur, elle peut lui adresser une deuxième présentation. Dans ce cas, l'émetteur comprend que son prochain refus de paiement répété signifiera le début d'un processus d'arbitrage entre les banques participant à la transaction. En règle générale, l'administrateur du système de paiement est l'arbitre dans le litige qui a surgi. La banque peut également tenter de contester la décision de l'administrateur du système en saisissant le tribunal à cet effet.

    Le système de paiement sans numéraire et de paiement des achats par carte bancaire est bien entré dans la modernité. C'est pratique, rapide et ne nécessite pas de compétences particulières. Cependant, les nouvelles technologies impliquent une variété de termes et de concepts peu familiers dans lesquels il est facile de s'embrouiller. Après avoir plongé dans leur essence, vous pouvez facilement appliquer toutes les innovations.

    Dans tout programme, en particulier un programme aussi sérieux que le secteur bancaire, il existe une protection au niveau du programme. Les informations stockées sur un serveur ou dans un autre système ont leur propre identifiant unique et sont protégées par un identifiant et un mot de passe. Cette information n'est connue que de l'utilisateur, donc avant qu'il n'arrive sur ce serveur, deux opérations auront lieu :

    1. L'identification est le processus consistant à fournir à l'utilisateur ses données personnelles.
    2. L'authentification est la vérification et l'acceptation (ou la non-acceptation) de ces informations par le système.

    Dans les cas avec cartes bancaires L'authentification implique la confirmation de la propriété de la carte par le titulaire. Vérification des données personnelles indiquées au recto et verso cartes.

    La procédure d'authentification est rapide et ne cause généralement pas d'inconvénients. Il est important de comprendre ici que c'est le seul moyen de protéger votre carte. Aujourd'hui, il existe un grand nombre de sites Internet différents proposant d'acheter rapidement des biens en utilisant carte en plastique. Malheureusement, les escrocs ne pouvaient manquer d'en profiter, et les sites devenaient pour eux un champ d'activités criminelles. Une personne qui décide de faire un achat peut rapidement perdre son fonds propres. Afin de lutter contre les fraudeurs, un système spécial 3D-Secure a été créé.

    Ce système a été développé par Visa, et plus tard MasterCard a également commencé à l'utiliser. Cependant, malgré le fait que le système a été créé il y a longtemps, toutes les banques ne cherchent pas à s'y connecter. Sberbank fait référence aux entreprises dont les clients sont connectés à ce système. Pour fonctionner avec le système 3D Secure, une banque mobile doit être connectée - sans cela, l'utilisation du système est impossible.

    L'essence de 3D Secure est l'utilisation de codes individuels à usage unique qui ne sont connus au bon moment (pendant la période de transaction) que par le titulaire de la carte. L'absence du système 3D Secure oblige l'acheteur à saisir les données de la carte lors de la commande dans les boutiques en ligne :

    • nom et prénom du titulaire de la carte ;
    • numéro de carte long à seize chiffres ;
    • période de validité de la carte ;
    • Code de sécurité CCV situé au dos de la carte.

    3D Secure est beaucoup plus simple : il est redirigé vers la page Sberbank et une procédure rapide d'authentification 3DS est effectuée avant l'achat. L'utilisateur reçoit immédiatement un code sur le numéro de téléphone lié, qui est entré à l'endroit spécifié sur le site. Si tout est fait correctement et en temps opportun, la caisse se déroulera en toute sécurité et sera complète.

    3D Secure et Sécurité

    L'utilisation de la technologie a multiplié par plusieurs la sécurité des transferts d'argent. Ceci s'explique simplement - le code reçu par une personne au téléphone est disponible exclusivement pour l'utilisateur et l'employé de la banque. Les vendeurs des sites Internet n'ont pas accès à ces informations. De plus, chaque code a un délai strict - il est de 10 minutes, ce qui augmente encore la sécurité de l'opération. Il s'avère que pour détourner les fonds stockés sur la carte, le fraudeur a également besoin du numéro de téléphone du propriétaire. Auparavant, une personne recevait une impression d'une liste de codes à usage unique d'employés de banque ou à un guichet automatique. A chaque achat, il en inscrivait un. Maintenant, tout est beaucoup plus simple - un code individuel est fourni au moment de l'achat.

    Le titulaire de la carte et l'acheteur ne se doutent même pas que l'introduction de cette technologie est un projet plutôt coûteux. Les plateformes de trading elles-mêmes ont également subi des coûts - pour cette raison, toutes ne sont pas connectées au système 3D Secure.

    Mais, comme dans tout système le plus avancé, il existe des failles que les escrocs utilisent. Par conséquent, avant d'acheter quelque chose sur Internet, assurez-vous que le service est fiable.

    Pour minimiser le risque de perdre de l'argent, suivez ces directives :

    • ne divulguez pas les informations sur la carte ;
    • ne laissez pas les mots de passe et les numéros de carte sur les sites où les achats ont été effectués ;
    • fixer des limites de dépenses (cela peut être fait en utilisant Sberbank-online);
    • ne perdez pas ou ne laissez pas sans surveillance le téléphone auquel la carte est liée, utilisez le verrouillage automatique du téléphone ;
    • changer périodiquement le code PIN de la carte et compte personnel Sberbank ;
    • en cas de situations suspectes, bloquez la carte et modifiez le mot de passe après sa réémission.

    Connexion

    Pour ceux qui utilisent cartes en plastique Sberbank récemment, il n'est pas nécessaire de faire quoi que ce soit de plus - le système 3D Secure est automatiquement connecté à toutes les cartes nouvellement émises. Si la carte est en circulation depuis longtemps, l'activation est effectuée indépendamment. Pour ce faire, utilisez l'une des deux options suivantes :

    La banque dépense beaucoup d'argent pour utiliser le système, mais cela ne coûte absolument rien au client : l'argent n'est retiré ni pour la connexion ni pour l'utilisation.

    Important. L'utilisateur ne désactive pas le service après l'activation, car il vise à stocker en toute sécurité les fonds des clients dans la Sberbank. L'arrêt n'est pas prévu par les règles.

    Avantages du système de protection

    La Sberbank est prête à assumer les coûts afin d'accroître la sécurité des fonds et d'attirer de nouveaux clients. Plus les gens utilisent les cartes plastiques de la banque, plus la rentabilité d'une institution financière est élevée.

    Le service est automatiquement connecté aux nouvelles cartes émises. Si la carte est en circulation depuis longtemps, l'activation doit être effectuée indépendamment. Pour ce faire, utilisez l'une des deux options suivantes :

    1. Une visite personnelle dans une agence bancaire, où une application est écrite avec une demande de fournir une connexion de carte au système.
    2. Les services bancaires par Internet de Sberbank vous aideront à connecter vous-même cette technologie sans quitter votre domicile.

    Important. L'argent n'est pas retiré ni pour la connexion ni pour l'utilisation.

    Authentification refusée

    Il existe des situations où l'authentification est difficile. En règle générale, lorsque vous essayez d'effectuer un paiement avec une carte Sberbank, les mots suivants s'affichent : "Malheureusement, il n'y a pas de données pour votre authentification."

    Cela se produit lors de l'utilisation de mots de passe à usage unique. La pratique consistant à utiliser des mots de passe à usage unique a été annulée depuis le 22/06/2016. L'authentification à l'aide d'un mot de passe à usage unique envoyé dans un message au téléphone se déroule sans accroc.

    Parfois, le mot de passe n'arrive pas dans le délai imparti. Le problème peut être causé par un problème avec l'opérateur mobile, en particulier lors de la livraison de messages SMS.
    Obtenir Mot de passe à usage unique encore une fois, demandez-le à nouveau, et après un certain temps, il viendra, à moins, bien sûr, que l'opérateur cellulaire échoue.

    Partager avec des amis:
    Messages similaires