Cryptopedia — Энциклопедия финансов и криптовалют

Модель четырёх углов в платежах: безопасность

by

Модель четырёх углов — это фундаментальная схема организации платёжных систем, которая определяет взаимодействие между четырьмя ключевыми участниками: держателем карты, продавцом, банком-эмитентом и эквайером. Эта система, введённая в 1990-х годах, обеспечивает безопасность транзакций через стандарты PCI DSS и криптографические технологии, защищая платежи от мошенничества и несанкционированного доступа.

📋 Краткое описание
Модель четырёх углов — это стандартная схема платёжных карт, включающая держателя карты, продавца, эмитента и эквайера. Система обеспечивает безопасность через стандарт PCI DSS и криптографические технологии, гарантируя надёжность и защиту от мошенничества.

Схема в системах платежей по картам

Модель четырёх углов (Four Corners Model), часто называемая четырёхсторонней схемой, является наиболее распространённой схемой платёжных карт в системах платежей по картам во всём мире. Эта модель была введена в 1990-х годах. Это удобная для пользователя система платежей по картам, основанная на межбанковской системе клиринга и экономической модели, построенной на многосторонних комиссионных сборах (MIF), выплачиваемых между банками или другими платёжными учреждениями.

Наиболее значительное преимущество использования модели четырёх углов заключается в том, что банковские карты принимаются везде. Дополнительные преимущества включают:

  • Гарантию того, что продавец получит платёж
  • Надёжность и безопасность благодаря снижению риска мошенничества
  • Отслеживаемость как средство борьбы с отмыванием денег

Безопасность в моделях четырёх углов стандартизирована через стандарт безопасности данных платёжных карт (PCI DSS). Стандарт PCI предписывается брендами карт, но администрируется советом по стандартам безопасности платёжных карт (Payment Card Industry Security Standards Council).

Описание

Модель четырёх углов предусматривает несколько потоков между четырьмя компонентами, которые выполняют различные функции. Однако система представляет собой чрезвычайно сложный механизм, требующий процессов клиринга и расчётов.

В модели продавец подключается к своему эквайеру, который подключается через схему к эмитенту карты держателя карты. Обычно между продавцом и эквайером действует один или несколько третьих лиц, выступающих в качестве коммутатора или шлюза.

Как правило, эмитент отличается от эквайера. Когда это происходит, возникает необходимость в межбанковских процессах. Эти процессы включают передачу денег и компенсацию между задействованными банками.

Модель четырёх углов начинается с действия держателя карты, совершающего покупку с использованием своей платёжной карты у продавца. Продавец инициирует поток аутентификации своему банку-эквайеру, а затем банк-эквайер отправляет информацию банку-эмитенту. Этот поток отправляется через обширную сеть коммутаторов, шлюзов и серверов, управляемых соответствующей сетью платёжной схемы.

Возвращаемый поток авторизации будет бинарным — либо положительный (авторизован), либо отрицательный (отклонен) ответ. На этом этапе обычно происходит один из следующих сценариев:

  • Положительная авторизация обычно приводит к тому, что продавец доставляет приобретённые товары или услуги и выдаёт печатный чек.
  • Отрицательный ответ приводит к тому, что продавец повторно вводит информацию о карте или запрашивает другой способ оплаты.

Модель четырёх углов также может быть применена к другим сценариям платежей, включая использование банкомата, где положительная авторизация приведёт к выдаче банкнот и квитанций о транзакции держателю карты. Однако отрицательный ответ приведёт к отклонению банковской карты и отсутствию выдачи средств.

Часто модель четырёх углов трансформируется в трёхугольную модель (трёхстороннюю схему). Это происходит, когда банк-эквайер пропускается, и поток авторизации направляется коммутаторами и шлюзами непосредственно эмитенту. Пропуск банка-эквайера ускоряет транзакцию и создаёт меньше проблем в платёжной сети.

Участники

Модель четырёх углов включает четырёх участников: держателя карты, продавца, эмитента и эквайера.

1. Держатель карты

Держатель карты — это потребитель, которому был выдан платёжную карту его банком или другим финансовым учреждением. Держатель карты не владеет этой картой. Вместо этого она остаётся собственностью выдавшего финансового учреждения, то есть эмитента. Держателю карты предоставляется право использовать карту.

Как правило, держатель карты имеет счёт в выдавшем финансовом учреждении, напрямую связанный с платёжной картой, например дебетовую карту банка. Это не всегда так, например, когда корпоративные кредитные карты или карты для топлива выдаются сотрудникам.

2. Продавец

Часто называемый «акцептором», продавец — это поставщик, получающий платёж от держателя карты/потребителя. Продавец принимает платежи по картам за товары или услуги, которые он продаёт держателю карты.

Примеры продавцов включают:

  • Розничные магазины
  • Рестораны
  • Отели
  • Заправочные станции

Банкомат (ATM) также считается продавцом, несмотря на то, что это полностью автоматизированная машина. Его основная роль — принимать платёжные карты.

3. Эмитент

Эмитент — это банк или другое финансовое учреждение, которое выдаёт платёжную карту держателю карты. Обычно существует три различных типа платёжных карт:

  • Дебетовая карта
  • Кредитная карта
  • Предоплаченная карта

Эмитент выдаёт платёжные карты от имени платёжной сети карт. Такие сети включают:

  • Visa
  • Mastercard
  • Discover
  • American Express
  • Europay
  • JCB

Сеть платёжных карт также может быть частной закрытой сетью, такой как национальная схема.

Банк-эмитент занимается производством своих платёжных карт и управлением криптографией, связанной с картами. Обычно это делается с помощью компании-интегратора карт.

4. Эквайер

Эквайер предоставляет инструменты, используемые продавцом для приёма платёжных карт. Часто эквайер — это система третьей стороны, которая может не быть напрямую банком, где у продавца есть счёт. Эквайер обычно предоставляет продавцу оборудование и программное обеспечение, необходимые для обработки транзакций с платежами по картам.

Эквайер управляет окончательными кодами возврата для платёжных транзакций. Эти коды будут либо авторизацией платежа, либо отклонением транзакции. Роль эквайера в модели четырёх углов — авторизовать платёж от держателя карты продавцу при покупке товара или услуги.

Технология

Модель четырёх углов требует сквозных безопасных транзакций. Эти транзакции зашифрованы и должны быть защищены на каждом углу. Использование специализированных инструментов, таких как аппаратные модули безопасности (HSM) и автоматизированное управление ключами, является неотъемлемой частью модели.

Аппаратные модули безопасности

Криптография требуется между всеми участниками модели четырёх углов. Множество криптографических ключей и операции должны выполняться в защищённой среде, такой как аппаратный модуль безопасности (HSM). HSM необходимы для обработки растущего числа транзакций и защиты от атак опытных киберпреступников.

  • Держатели карт: если их платёжная карта имеет чип, что обязательно для транзакций EMV, это действует как микропортативный HSM.
  • Продавцы: небольшой бизнес обычно имеет один или несколько платёжных терминалов (также называемых POS-терминалами) с защищённой памятью и криптографическим оборудованием, которые позволяют машинам действовать как небольшие HSM. Изолированные платежи банкоматов группируются, и управляются POS-терминалы. Эти концентраторы требуют подключённых к сети HSM для обеспечения безопасности транзакций при их сборке.
  • Эмитенты: им нужны HSM для выдачи карт, хранения ключей и управления криптографией, связанной с картами. Эмитентам также нужны HSM для авторизации криптографического потока.
  • Эквайеры: согласно модели четырёх углов, эквайеры должны управлять всеми финансовыми ключами терминалов продавцов и обрабатывать криптографический поток к эмитенту. Эти процессы требуют большого количества производительных и надёжных HSM.

Системы управления ключами

Помимо HSM, требуется современная система управления ключами для обеспечения основы управления несколькими ключами в течение их жизненного цикла. Существуют различные типы систем управления ключами, которые могут быть реализованы различными способами.

Основные функции KMS для безопасности платежей включают:

  • Поддержка различных типов и форматов ключей
  • Сертифицированный аппаратный генератор случайных чисел для надёжного создания ключей в HSM
  • Сертифицированное устройство, устойчивое к несанкционированному доступу, для защиты сохранённых ключей
  • Автоматизация для выполнения обычных или утомительных задач
  • Логические элементы управления доступом с надёжной аутентификацией пользователя
  • Защищённый от подделок журнал аудита для проверки соответствия

🔑 Ключевые факты

  • Модель четырёх углов введена в 1990-х годах и является наиболее распространённой схемой платёжных карт в мире
  • Система включает четырёх участников: держателя карты, продавца, эмитента и эквайера
  • Безопасность стандартизирована через стандарт PCI DSS, администрируемый Payment Card Industry Security Standards Council
  • Модель использует многосторонние комиссионные сборы (MIF), выплачиваемые между банками
  • Криптография требуется между всеми участниками и выполняется в защищённых средах (HSM)
  • Система может трансформироваться в трёхугольную модель для ускорения транзакций
  • Авторизация платежа возвращается в виде бинарного ответа: одобрено или отклонено

Как работает модель четырёх углов в платёжных системах

❓ Часто задаваемые вопросы

Что такое модель четырёх углов в платежах?
Это стандартная схема платёжных карт, включающая четырёх участников: держателя карты, продавца, эмитента (банк, выдавший карту) и эквайера (обработчик платежей). Модель обеспечивает безопасную передачу денег и авторизацию транзакций через межбанковскую систему.
Какие преимущества модели четырёх углов?
Основные преимущества включают универсальное принятие карт везде, гарантию получения платежа продавцом, высокую безопасность с низким риском мошенничества и отслеживаемость для борьбы с отмыванием денег.
Что такое PCI DSS и зачем он нужен?
PCI DSS (Payment Card Industry Data Security Standard) — это стандарт безопасности данных платёжных карт, предписываемый брендами карт и администрируемый Payment Card Industry Security Standards Council. Он обеспечивает защиту информации о картах и предотвращает мошенничество.
Какую роль играют аппаратные модули безопасности (HSM)?
HSM — это защищённые устройства, которые выполняют криптографические операции и хранят ключи. Они необходимы для всех участников модели (держателей карт, продавцов, эмитентов и эквайеров) для защиты транзакций от кибератак.
Чем отличается модель четырёх углов от трёхугольной?
В трёхугольной модели банк-эквайер пропускается, и авторизация направляется напрямую эмитенту. Это ускоряет транзакции и снижает нагрузку на платёжную сеть, но используется реже, чем четырёхугольная модель.

💡 Интересные факты

  • Банкомат (ATM) считается продавцом в модели четырёх углов, несмотря на то, что это полностью автоматизированная машина
  • Платёжная карта с чипом действует как микропортативный аппаратный модуль безопасности (HSM) для держателя карты
  • Модель четырёх углов может быть применена не только к покупкам в магазинах, но и к снятию денег в банкоматах, где авторизация определяет выдачу наличных

🔗 Связанные темы

Стандарт безопасности PCI DSSАппаратные модули безопасности (HSM)Системы управления ключами в платежахКриптография в банковских системахЭмитенты и эквайеры платёжных картБезопасность платёжных терминалов (POS)Борьба с мошенничеством в платежах
📄 Материал основан на статье из английской Wikipedia. Лицензия: CC BY-SA 4.0. Текст переведён и адаптирован для Cryptopedia.
18+

Cryptopedia — энциклопедия финансов и криптовалют. Сайт носит исключительно информационный и образовательный характер.

Информация не является инвестиционной рекомендацией. Любые финансовые решения вы принимаете на свой риск.