Правомерность использования программных решений для оплаты карточками... : Другие вопросы

Здравствуйте!
Вобщем, с экварингом имел до этого дело только от Сбербанка... На всех кассах работают их решения, типа SBPilot, если под DOS, или PilotNT если под Windows. На кассах с Windows используется АТОЛовский драйвер платежных систем, магнитная полоса карты считывается на картридере клавиатуры, и если есть чип - требует ее вставить уже в ПИН-пад банка. Такая особенность построения софта - ККС АРМ-2 или IS-Market 4. Ну нет в нем отдельной кнопки "Оплата картой", после выхода на экран окошка с итоговой суммой, проводишь карточкой через картридер кассы, и запускается ПилотНТ, на него передается с софта кассы сумма в копейках и содержимое 2-ой дорожки карты...
Все было нормально, и вопросов не возникало, но, с недавних пор к нам в город пришел банк ФинСервис... Демпинговой политикой начал потихоньку двигать СБЕР... И пошли проблемы... У них свой софт(TRPOS от компании Ланит), который в принципе совместим с драйвером АТОЛ "Платежные системы", но... Они ставят не отдельные пин-пады, а полнофункциональные терминалы, которым нужен отдельный кабель для интенета, и с пронраммой вяжется через COM порт... И все бы ничего, на кассы у меня заведено по два кабеля(на всякий случай:)), но, считывание карты через карт-ридер кассы их не устраивает, якобы из соображений безопастности, типа это уже года два как запрещено... А как-же СБЕР, с их пилотами и пин-падами??? Ребята и не знают??? Бред какой-то... Ну нет у меня в IS-Market отдельной кнопки для безнала... Он на карту банка реагирует, когда ее считываешь на кассе... Их инженера чуть инфаркт не хватил, когда он в логе увидел содержимое 2-ой дорожки карты... Нельзя говорит, и все тут... Но, при этом, их софт прекрасно ловит эту инфу, и работает в таком режиме! Так, что, считывать другую, "левую" карту рпросто для активации платежа по карте в софте карты не получится...

Кто что слышал по этой теме? Это все действительно так, или перегиб конкретного банка? Если это действительно запрещено, тогда весь СБЕРОВСКИЙ программный экваринг через их Пилоты тоже вне закона... Но ведь работает у всех? Что с этим делать? Кто-то сталкивался?

Как я думаю, разговор идёт приблизительно об этом - [ ЦБ документально оформил запрет на выпуск банками карт без чипа с 1 января 2015 года ]

В частности, есть такая фраза
А дальше - надо разбираться - к чему апеллируют, что запрещено, что можно.

сбер кстати тоже "запрещает" хранить где либо 2-ю дорожку кроме озу и то только на момент транзакции (но вероятнее всего смотрит на это сквозь пальцы)
именно из-за этого они сейчас все переводят на обработку карты на самом пинпаде - т.е. всовывание чипа\прокатка карты\ввод пина\ввод 4-х последних\все подтверждения делаются самим покупателем на пинпаде, не на клаве кассы - кассир только сидит и ждет (карточку в руки даже не берет) когда покупатель сам все сделает и вылезут слипы
м.б. это и правильно, только иногда покупатели пугаются и начинает очередь кучковаться, да и кассиру не совсем удобно - нет контроля процесса - ну не видит он что там на пинпаде творится, а сберовских окошек никаких нет :(

мы у себя (укмвин) даже спец режим под это запили, чтобы хоть что то кассиру отображалось :)

инпас (пульсар-сервер, смартконнектор, дуалконнектор) так же из тех кто все всегда обрабатывает на пинпаде (правда бывают и там исключения) - с их слов согласно международным соглашениям (VISA) хранить можно только маскированный номер карты...

Ну, вобщем понятно... Надо давить на ККС, что-бы они в свой софт встраивали кнопку "Оплата по карте", при нажатии на которую в драйвер платежных систем, кроме команды на его активацию, прилетала бы только сумма, и никаких считываний карты на кассе...
Вобщем-то, это правильно, но, как с ними бодаться на эту тему... Блин, сложный вопрос... Заставить что-то поменять в уже написанном и работающем софте - это целая проблема... Попробую позвонить, что скажут...

ИМХО... я вам предлогаю не морочиться...
1. Действительно послать к разработчику т.к. разработчик под требование платежной системы и разрабатывал сей функционал... т.е. т.з. разработали сам банк а производитель кассового по его реализовал... есть акт сдачи и т.д.
2. Катать 2-ю дорогу на карте без толку, все карты сейчас с чипом и всё одно попросит вставить чипом в терминал... т.к. считывателя чипа на кассе нет и врятли будет...
2. То что это отдельный терминал с отдельным кабелем интернета я думаю даже лучше (небось и разъем под симку есть на экстренный случай)
3. Основная проблема как я понимаю это не увидеть 2-ю ддоргу а хранить её в виде который можно потом прочитать сторонним людям... нужно просто часть второй дороги запикивать в логе и всё а в компорт посылать нормальные данные... а это не совсем глобальная доработка...

Ну, в принципе можно конечно и так:
Но, потом начнется гиморой по поводу того, что "а вдруг какой-то троян или спец. программа злоумышленников будет сниферить трафик COM-порта, и вести свой лог скрытый" и т.п...
Поэтому, изменить логику работы, добавив кнопку, и полностью убрав считывание карты на кассе, и соответственно передачу данных через порты - мера более радикальная. Снимаются сразу все вопросы. Все, что происходит с картой внутри терминала, это проблемы банка. На кассе этих данных просто нет, и сохранить(украсть) их просто невозможно... Раз и навсегда "отделить мух от котлет", и все.

хранить хоть что то все равно придется если есть условие что возрат можно делать только на ту карту по какой была продажа - банки это не отслеживают, у них операция возврата аналогична продаже только с обратным знаком - т.е. чисто теоретически возвратами можно переводить средства с карточки на карточку :)

1. Логировать компорт крайне сложно. порт занимается монопольно.
2. Основная проблема не в том чтобы перехватить данные второй дороги... а в том чтобы в одних руках не оказалась вторая дорога + CSV (проверочный код) на обратной стороне. вот тут у кассира + "техника" имеющего доступ в лог есть поле для "коррупции". только при наличии 2-х этих хреней можно чтото реально попробовать провернуть у нас в России.
3. Вести лог того какую карту прокатали всё одно надо т.к. помимо возвратов как уже сказал Олег, может быть разная камиссия на визу\мастеркард\цирус и т.д. это можно будет отследить только в бэке... значит бэку его нужно отдавать. отдавать выбор типа карты на откуп кассиру не вариант... всё одно накосячат....
так что...

По поводу первого. Логировать ком порт можно в обе стороны довольно просто, есть готовые снифферы, которые можно разобрать. Применительно к АРМ кассира уже наверно сложно, тут не скажу.

Достаточно много софта уже есть, которые способны мониторить занятые порты. Сам пользуюсь иногда, когда свой софт под железяки нужен.