Привет Хабр, давно ничего не публиковал, поэтому начну с небольшой заметки моего бытового опыта пользования Samsung Pay. В конце концов кроме работы экспертом в ChronoPay я еще и среднестатистический покупатель. Я не являюсь поклонником техники Apple, но в их системе принцип тот же что и у Samsung — и на мой взгляд обе системы имеют один решительный недостаток который пока никак не устранить.
И так, технологии бесконтактной оплаты на основе технологии NFC появились уже давно. Был ряд приложений ещё под старые Samsung’и, позволяющие эмитировать виртуальные карты и использовать их.
Было всё это крайне не удобно — сначала введи пин на телефоне, запусти приложение, введи пин в приложении. Уже 100 раз можно был достать карту и оплатить. Сейчас же достаточно поднести палец (сканирование отпечатка) и система работает. Хотя особой разницы доставать карту или телефон всё равно не вижу.
Samsung как и Apple пошли по пути разделения interchange fee — поэтому они поддерживают тех эмитентов, с кем уже договорились. Кстати, это достаточно удобно, больше не нужно выпускать какие-то виртуальные карты, вы просто фотографируете свою карту и верифицируете её смской. Я без проблем добавил карту Альфа-Банка, а вот ВТБ24 так и не смог.
Если не вдаваться в генерацию разных токенов и технологии работы, то единственный плюс для меня — то, что карту мою теперь никто не скопирует. Хотя и процесс нацеливания телефона излучающей стороной на терминал иногда представляет целую эпопею — карта никак не хочет считываться. А в технологию воспроизведения магнитной полосы на карте я не верю — она старая и высоко-рисковая с точки зрения friendly fraud’а.
Собственно, никакой революции здесь не произошло. Просто производители телефонов захотели получать кусочек того самого интерченджа, что получают банки. Только вот меня всегда смущал тот факт, что поднося карту или вставляя её в терминал вы никогда не контролируете ход оплаты — а если кассир ошибся, и у вас вместо 1 тыс руб спишут 100 тыс? Подтверждение операций оплаты уже несколько лет назад было реализовано, даже у отмирающих систем электронных денег.
Такого вопроса не дождешься от Samsung/Apple Pay:
Почему же Visa/MasterCard до сих пор этого не сделали? Ведь куда удобней было бы не платить смартфоном, а подтверждать каждую операцию со смартфона — тогда смартфон действительно бы стал настоящим кошельком. Вы же не выкладываете всё содержимое своего бумажника кассиру, чтобы тот сам отсчитал нужную сумму?
Основная причина сдерживающая такое развитие – это отнюдь не наличие интернета или возражения розницы, что такое поведение сильно уменьшит пропускную способность у кассы (пока держатель карты будет искать свой телефон и что-то там нажимать). Но по поводу последнего можно смело предложить, например, сети магазинов Магнит начать обучать своих кассиров — что ленту нужно разбирать начиная не от себя, а от покупателя, чтобы освободить место следующему покупателю.
Нет, основная причина кроется в правилах МПС (Visa/MasterCard), да и скопированных с них правила ПС МИР. Оказывается МПС штрафуют эмитентов за превышения интервала операции авторизации. Т.е. если эмитент постоянно отвечает на запросы авторизации (разрешение проведения платежа) больше 10-15 секунд он получит приличный штраф от МПС.
Интересно на сколько бы такая технология могла уменьшить количество мошенничества по картам? Хотя больше интересно, а нужно ли это нашим эмитентам? Думаю с их точки зрения гораздо интереснее просто продавать страховку от мошенничества и не забивать себе голову лишними вопросами.
Комментарии (64)
shifttstas
31.01.2017 20:37+1Я так проблемы то которая у Apple Pay не увидел, что бы оплатить нужно риложить палец и поднести телефон к терминалу, сумма всегда пишется на терминале и сразу же отображается в Apple Pay (не нужно SMS информирование и интернет)
TC40
31.01.2017 20:56-1Телефон хранит несколько токенов (пять помоему), так что без интернета оплата действительно будет работать. А СМС нужно не для Эла, у нас закон требует уведомлять держателя карты о списании.
motpac
31.01.2017 21:04-1Ничего не требует закон, я исправно плачу 59 руб в месяц по карте Альфа-банк, чтобы приходили СМС. Когда не платил — СМС не приходили, даже push из приложения не приходили.
TC40
31.01.2017 21:09http://base.garant.ru/12187279/2/#block_9 — пункт 4. если не информировал то по закону можно оспраивать операцию.
zikasak
31.01.2017 22:42+2>Оператор по переводу денежных средств обязан информировать клиента о совершении каждой операции с использованием электронного средства платежа путем направления клиенту соответствующего уведомления в порядке, установленном договором с клиентом.
Не вижу требования уведомлять именно через СМС. Вижу лишь то, что обязан уведомлять, а способ задается договоров с банком. Хоть Почтой России уведомляй.
AnisimovAM
01.02.2017 05:27+1У меня была кредитная карта в Альфа-Банке, и каждый месяц на электронную почту приходила выписка по карте со всеми операциями за месяц.
Igor_O
31.01.2017 21:42+1у нас закон требует уведомлять
Не совсем. Держатель карты имеет право отказаться от уведомления. А банк имеет право брать, примерно, сколько хочет за уведомления… (хотя, вроде, все банки договорились, что 60 р. в месяц — нормально)…
shifttstas
31.01.2017 21:48У вас это где? У нас нет — смс не обязательны. Я даже больше скажу — лучше не получать смс, так свои траты вы еще рассказываете оператору
zikasak
31.01.2017 22:41Разве у Apple не полностью оффлайн? Насколько знаю, у них телефон сам все генерирует (и токены в т.ч.).
ivanesi
31.01.2017 20:50+1В Китае карта привязывается к приложению, приложением можно сканировать qr-code и самому ручками вводить сумму, оплату подтверждаешь 6 значным пином. Такое чаще всего в ресторанах. А в магазинах обычно приложение генерирует штрих-код, который считывают на кассе.
motpac
31.01.2017 21:01+2Маленький комментарий на счет Apple Pay — возврат покупки, оплаченной телефоном/часами превращается в кромешный ад для покупателя и продавца. Технология генерирует совсем другой номер карты, который не отображается целиком НИГДЕ! Если с пластиком всё просто, показал карту, с нее ввели нужный цифры и отменили покупку, то с Apple Pay засада. Меня пару раз уже предупреждали в магазинах одежды, что возврат вещей будет очень сложным, с походами в бухгалтерию, подписанием кучи актов и ожидания бабла на счет.
shifttstas
31.01.2017 21:49+1Это криворукие/профнепригодные кассиры вам попадались, возврат по Apple Pay происходит ровно так же, как и оплата — по NFC
xapienz
01.02.2017 09:33У Samsung Pay есть отдельная кнопка отмены, после нажатия на которую надо поднести телефон к терминалу, и всё получится
Pentoxide
01.02.2017 09:55Оформлял возврат по платежу сделанным ApplePay, просили просто приложить телефон еще раз к считывателю, вернулось в течении недели.
cmdx
31.01.2017 21:15Я без проблем добавил карту Альфа-Банка, а вот ВТБ24 так и не смог
Единственная проблема с ВТБ24 была в том, что нужно было позвонить в поддержку, набрать в тоновом режиме номер карты и после переключения на второго специалиста сообщить ему дату и сумму когда вы физически пользовались картой — снимали деньги или платили в магазине. Если карта до этого в основном использовалась только для онлайн-покупок, то это будет непростой квест )
teifo
31.01.2017 22:53В принципе самый главный критерий качества любой услуги, на мой взгляд — это проверка ее на не штатную/спорную/проблемную ситуацию. Потому что как только начинают проблемы, то сразу спадают розовые очки, о том какой качественный производитель, какое классное обслуживание и прочие.
muzhig
31.01.2017 22:25Хотя особой разницы доставать карту или телефон всё равно не вижу.
Колоссальная разница заключается в том, что вам в принципе вообще не нужно брать с собой бумажник. Это вин, я считаю.
ЗЫ: три месяца пользуюсь исключительно самсунг-пэем, ни разу не было никаких проблем на кассах (если не считать кассиров, которые с пеной у рта доказывают, что уж их-то терминал точно слишком старый, чтобы можно было заплатить телефоном- ровно до того момента, как из терминала весело зашуршит чек об успешной оплате)
В общем, я супер доволен, считаю, за подобными технологиями будущее, а карты- в топку!
BigD
31.01.2017 23:47+1К сожалению, ещё много терминалов не поддерживают бесконтактную оплату. Москва.
fuCtor
01.02.2017 05:59+1В Samsung используется другая технология (на пару с NFC), для старых терминалов используется MST (Magnetic Secure Transmission) http://redroid.ru/how-works-samsung-pay/
В этом плане более универсально выходит.
Dreadd
31.01.2017 23:11Пользуюсь несколько месяцев, очень нравится. Единственное что было не очень удобно (хотя с точки зрения безопасности наверное правильно): был в поездке за рубежом, оплатил пару раз покупки. После чего сбербанк в своей навязчивой заботе заблокировал мою карту на всякий случай, и она сама моментально удалилась из телефона. Перезвонили и разблокировали, но так как карты с собой не было добавить её обратно на месте я не смог.
o4karek
01.02.2017 00:06+1С помощью Samsung Pay можно очень успешно платить в режиме эмуляции магнитной полосы. Пробовал несколько раз — в большинстве случаев срабатывало вполне успешно. Это реально работает и выглядит очень прикольно :)
А в остальном — да, это очень удобно. Единственное, что смущает — это когда терминал спрятан под стойкой (так достаточно часто бывает). В этом случае телефон отдавать совсем не хочется.
BupycNet
01.02.2017 00:25+2По правилам и карту нельзя передавать на самом деле.
ksil
01.02.2017 17:22А пруф дайте? Не с целью докопаться.
fuCtor
02.02.2017 17:01Не пруф, но достаточно аргументированные обсуждения на тему
http://www.banki.ru/forum/?PAGE_NAME=read&FID=38&TID=278574/
http://bankomatchik.ru/forums/32/4222
LibertyPaul
01.02.2017 01:46+1ленту нужно разбирать начиная не от себя, а от покупателя, чтобы освободить место следующему покупателю
«Лента» имеет свойство автоматически двигаться, когда кассир с нее снимает товары.
Antervis
01.02.2017 06:49есть существенная разница между «достать телефон и нажать на сканер» и «залезть во внутренний карман, достать портмоне, вытащить из него карту, вставить карту, ввести пин».
teifo
01.02.2017 10:49+1У меня большой телефон, мне проще достать карту из кармана, чем достать телефон из кармана и боятся его случайно уронить:) Тем более, чем меньше телефон знает, тем лучше.
Jetmanman
01.02.2017 07:42+1На моём не РСТ Galaxy S7 не доступен Samsung Pay, а еще говорят, что никакой разницы между евротест и Ростест телефонами нет, оказывается есть.
m08pvv
01.02.2017 09:04Разница в версии официальной прошивки. Если обновите прошивку на официальную с регионом SER (Россия), то всё будет работать.
Jetmanman
02.02.2017 07:06Насколько я понимаю, тогда у кого-то другого работать не будет, люди имей или что то там воруюют от других телефонов например с авто и рады, что кого то кинули, у них то работать будет, а у тех у кого они эти номера украли нет.
m08pvv
02.02.2017 08:29Нет, никто ничего не ворует. IMEI остаётся родной, который написан даже на самом телефоне. Более того, IMEI так просто не сменить, сохранив при этом официальное состояние устройства (официальная прошивка + не «тикнувший» счётчик KNOX). Приложение Samsung Pay проверяет состояние ПО и KNOX и в большинстве случаев вмешательств просто отказывается запускаться (но это не значит, что нельзя заставить работать — любое ПО можно обмануть, другой вопрос сколько это займёт времени и/или денег).
n_demitsuri
03.02.2017 11:51> Было всё это крайне не удобно — сначала введи пин на телефоне, запусти приложение, введи пин в приложении. Уже 100 раз можно был достать карту и оплатить. Сейчас же достаточно поднести палец (сканирование отпечатка) и система работает.
Надо отметить, что это не совсем так. Как когда-то, в том числе тут, обсуждали, это вроде бы зависит от платежной системы их требований. Для мастеркарда да, надо перед оплатой телефоном зайти в приложение и ввести пин, а только потом прикладывать (так, например, в Тиньков-банке). У той же Кукурузы выпускается виза и там можно просто поднести телефон к терминалу, приложение запускается само и оплата проходит.
zikasak
>а если кассир ошибся, и у вас вместо 1 тыс руб спишут 100 тыс.
По опыту: если будете читать, что пишет терминал, то эта ситуация невозможна. Терминал пишет, сколько будет снимать. Точно также терминал пишет, если что-то пошло не так.
TC40
Терминалы разные бывает. Очень часто покупателю дают только девайс для ввода пинкода, а на нём ничего не написано. Да и я в общем говорю — подтверждение транзакции по любой карте будь то магазин или интернет. Люблю контролировать свои расходы сам, тем более это не оставляет возможности мошенникам.
Сейчас же инициатива на стороне магазина — на их оборудовании я ввожу свой пинкод.
ehots
косяк в магазине-баре-еще чем нибудь можно довольно оперативно исправить. При мне был как то случай, официант ввел сумму и не нажал «ввод», дал терминал клиенту и тот ввел пинкод, числа которого просто плюсанулись к сумме, кароче как то получилось что вместо 300р снялось около 5к, отменили тут же и за 5 минут все было возвращено и сделано правильно а не через одно место.
Согласен что если смотреть на терминал такие косяки сводятся к нулю
TC40
Магазины бывают разные, у меня два раза списали с карты сумму в магазине. Отмены я ждал неделю.
Например, АШАН на двойное списание говорит — подождите, они сами вернутся.
Apathetic
Такое и со мной однажды случилось, причем в европейской стране. В результате вместо пары евро списалось на порядок больше. Ничего, разобрались, отменили транзакцию.
aPiks
В таком случае, после получения зарплаты, следуйте в кассу банка, снимайте вручную всю сумму и платите везде наличными, внимательно считайте сдачу и считайте в уме стоимость купленных товаров. Только в таком случае вы можете быть уверенными, что мошенники не завладеют данными вашей карты на 100%. Кстати, сколько плачу в различных терминалах, ни разу не было, чтобы не высвечивалась информация о том, сколько я плачу. К тому же, вам дают чек с указанием списанной суммы, и если списанная сумма окажется выше, чем в чеке — вы вправе требовать возврат средств. И еще, есть технология 3D secure, которая создана как раз таки для подтверждения платежей. Ее можно настроить таким образом, что каждый раз, оплачивая любую покупку, в том числе и беспроводным платежом через Samsung Pay или Apple Pay, вы будете получать СМС с запросом ввести код, который знаете только вы. Так что статья получается ни о чем.
TC40
3ds сделана для защиты торговых точек от friendly fraud. И отнють не для защиты кардхолдеров, как пыаются преподнести банки.
Sly_tom_cat
Ребят, вы о чем вообще!?!
3DS — это только для e-com (онлайн платежи)
В магазине там все POS транзакции — по ним никакого 3Ds не может быть, по определению…
TC40
Моя мысль была более общей, замена карты телефоном — это не революция. когда крадхолдер наконец то сможет сам контролировать свои траты (инициатива перейдёт к нему) — вот это будет прорыв. А pin-код и 3ds — это защита в первую очередь торговой точки, а не держателя карты.
dmitry_dvm
Объясните в чем суть и польза 3ds если САЙТ решает использовать ее или нет? Почему при платежах, например, на амазоне не надо подтверждать кодом из смс? Что это за система безопасности, которую может отменить третье лицо? Представьте, что вы повесили на дверь замок, а закрыт он или нет решают посторонние.
TC40
В смещении ответственности за транзакцию с эквайера на эмитента. За фрод без 3дс платит эквайер, если не сможет доказать что именно держатель карты платил – в большинстве случаев МПС встаёт на сторону держателя карты, который утверждает, что транзакция мошенническая. А это порождает проблему friendly fraud – когда недобросовестный покупатель купив товар решает вернуть платёж. В конечном итоге деньги списываются с торговой точки. Именно для защиты торговых точек от мошенничества и ввели 3ds. А дальше торговая точка сама решает, что ей лучше – удобство платежа или более продвинутая защита от мошенничества. При этом эквайеры не охотно идут на отключение 3ds – потому что у нас в России эквайер платит на второй день, а МПС рассчитывается на третий, т.е. это риск для банка потерять деньги, ведь фрод МПС списывает с эквайера.
dmitry_dvm
Получается 3дс сделали вовсе не для безопасности владельца карты, а всякие рекламы мастеркарда как всегда вранье? А я им верил…
TC40
Не уверен, что конкретно MasterCard или Visa это сами рекламировали. А вот то, что большинство наших эмитентов впаривают это как именно «безопасность держателя карты» — это да.
В США очень давно и хорошо работает закон, если кардхолдер утверждает, что не совершал покупку банк обязан либо вернуть деньги, либо доказать что держатель карты платил. Тут как раз пин-код и 3ds приравниваются к собственноручной подписи. Но даже и в этом случае держатель карты может доказать, что у него украли карту с пин-кодом, например. Такую мошенническую операцию уже будет возмещать не эквайр, а эмитент.
severgun
Аналогия не правильная.
Вам никто не мешает отказаться от покупки в данном магазине.
Если любите аналогии, то тут как прыжок из самолета можно с парашютом, можно без него, а можно отказаться и не прыгать.
TC40
Какая конкретно аналогия?
severgun
Igor_O
Терминал на котором не написано, сколько платить, или панель ввода пинкода, которая не показывает всей информации — прячете все nfc поглубже и поближе друг к другу и или вызываете милицию, или валите, или платите наличными. Я не видел пока панели ввода пин-кода или терминала, не показывающих размер и валюту платежа, и банк «эквайрер».
BigD
СБЕРБАНК терминалы очень тормозные, и кассир пять раз раздраженно попросит оплатить, пока вы смотрите сумму.
Igor_O
Это странно — я последние лет пять или шесть с проблемой «тормозных терминалов» не сталкивался. Во всех местах, где не страшно показывать, что у тебя есть пластиковые карты, удается нормально и достаточно быстро проконтролировать сумму и валюту платежа на дисплее пин-пада или терминала.
По-хорошему, нужно еще проверять, что пин-пад подключен именно к тому устройству, в которое карта вставлена или на котором кассир сумму вводит… Опять же, да вежливость требует не задерживать людей в очереди… Но не за свои же деньги!
severgun
Ой, ладно вам…
Практически все терминалы с выносным pin-pad'ом на дисплее имеют приветственную надпись Enter PIN: / Введите пин: и звездочки отображающие количество введенных символов.
Igor_O
Да. И эта надпись, если не начинать вводить пин, через секунду-две сменяется суммой платежа, а еще через пару секунд — валютой платежа. Да, банк на экране при оплате пин-пады обычно не пишут, но, ЕМНИП, название банка пишется на экране примерно все остальное время.