Форум по программам и оборудованию > >

Правомерность использования программных решений для оплаты карточками...

24.05.2018 3:03


[ОТВЕТИТЬ]
07.05.2015 22:10
MWWRuza
 
Здравствуйте!
Вобщем, с экварингом имел до этого дело только от Сбербанка... На всех кассах работают их решения, типа SBPilot, если под DOS, или PilotNT если под Windows. На кассах с Windows используется АТОЛовский драйвер платежных систем, магнитная полоса карты считывается на картридере клавиатуры, и если есть чип - требует ее вставить уже в ПИН-пад банка. Такая особенность построения софта - ККС АРМ-2 или IS-Market 4. Ну нет в нем отдельной кнопки "Оплата картой", после выхода на экран окошка с итоговой суммой, проводишь карточкой через картридер кассы, и запускается ПилотНТ, на него передается с софта кассы сумма в копейках и содержимое 2-ой дорожки карты...
Все было нормально, и вопросов не возникало, но, с недавних пор к нам в город пришел банк ФинСервис... Демпинговой политикой начал потихоньку двигать СБЕР... И пошли проблемы... У них свой софт(TRPOS от компании Ланит), который в принципе совместим с драйвером АТОЛ "Платежные системы", но... Они ставят не отдельные пин-пады, а полнофункциональные терминалы, которым нужен отдельный кабель для интенета, и с пронраммой вяжется через COM порт... И все бы ничего, на кассы у меня заведено по два кабеля(на всякий случай:)), но, считывание карты через карт-ридер кассы их не устраивает, якобы из соображений безопастности, типа это уже года два как запрещено... А как-же СБЕР, с их пилотами и пин-падами??? Ребята и не знают??? Бред какой-то... Ну нет у меня в IS-Market отдельной кнопки для безнала... Он на карту банка реагирует, когда ее считываешь на кассе... Их инженера чуть инфаркт не хватил, когда он в логе увидел содержимое 2-ой дорожки карты... Нельзя говорит, и все тут... Но, при этом, их софт прекрасно ловит эту инфу, и работает в таком режиме! Так, что, считывать другую, "левую" карту рпросто для активации платежа по карте в софте карты не получится...

Кто что слышал по этой теме? Это все действительно так, или перегиб конкретного банка? Если это действительно запрещено, тогда весь СБЕРОВСКИЙ программный экваринг через их Пилоты тоже вне закона... Но ведь работает у всех? Что с этим делать? Кто-то сталкивался?
08.05.2015 00:28
KirillHome
 
Как я думаю, разговор идёт приблизительно об этом - ЦБ документально оформил запрет на выпуск банками карт без чипа с 1 января 2015 года

В частности, есть такая фраза
Цитата:
В свою очередь при разработке систем мобильного банкинга должна обеспечиваться защита информации, обрабатываемой в процессе пользования системой, либо программный запрет на запись такой информации на мобильное устройство по окончании сеанса.
А дальше - надо разбираться - к чему апеллируют, что запрещено, что можно.
08.05.2015 08:22
student
 
Цитата:
MWWRuza Их инженера чуть инфаркт не хватил, когда он в логе увидел содержимое 2-ой дорожки карты...
сбер кстати тоже "запрещает" хранить где либо 2-ю дорожку кроме озу и то только на момент транзакции (но вероятнее всего смотрит на это сквозь пальцы)
именно из-за этого они сейчас все переводят на обработку карты на самом пинпаде - т.е. всовывание чипа\прокатка карты\ввод пина\ввод 4-х последних\все подтверждения делаются самим покупателем на пинпаде, не на клаве кассы - кассир только сидит и ждет (карточку в руки даже не берет) когда покупатель сам все сделает и вылезут слипы
м.б. это и правильно, только иногда покупатели пугаются и начинает очередь кучковаться, да и кассиру не совсем удобно - нет контроля процесса - ну не видит он что там на пинпаде творится, а сберовских окошек никаких нет :(

мы у себя (укмвин) даже спец режим под это запили, чтобы хоть что то кассиру отображалось :)

инпас (пульсар-сервер, смартконнектор, дуалконнектор) так же из тех кто все всегда обрабатывает на пинпаде (правда бывают и там исключения) - с их слов согласно международным соглашениям (VISA) хранить можно только маскированный номер карты...
08.05.2015 10:26
MWWRuza
 
Ну, вобщем понятно... Надо давить на ККС, что-бы они в свой софт встраивали кнопку "Оплата по карте", при нажатии на которую в драйвер платежных систем, кроме команды на его активацию, прилетала бы только сумма, и никаких считываний карты на кассе...
Вобщем-то, это правильно, но, как с ними бодаться на эту тему... Блин, сложный вопрос... Заставить что-то поменять в уже написанном и работающем софте - это целая проблема... Попробую позвонить, что скажут...
08.05.2015 10:47
baggio
 
ИМХО... я вам предлогаю не морочиться...
1. Действительно послать к разработчику т.к. разработчик под требование платежной системы и разрабатывал сей функционал... т.е. т.з. разработали сам банк а производитель кассового по его реализовал... есть акт сдачи и т.д.
2. Катать 2-ю дорогу на карте без толку, все карты сейчас с чипом и всё одно попросит вставить чипом в терминал... т.к. считывателя чипа на кассе нет и врятли будет...
2. То что это отдельный терминал с отдельным кабелем интернета я думаю даже лучше (небось и разъем под симку есть на экстренный случай)
3. Основная проблема как я понимаю это не увидеть 2-ю ддоргу а хранить её в виде который можно потом прочитать сторонним людям... нужно просто часть второй дороги запикивать в логе и всё а в компорт посылать нормальные данные... а это не совсем глобальная доработка...
08.05.2015 11:01
MWWRuza
 
Ну, в принципе можно конечно и так:
Цитата:
нужно просто часть второй дороги запикивать в логе и всё а в компорт посылать нормальные данные... а это не совсем глобальная доработка...
Но, потом начнется гиморой по поводу того, что "а вдруг какой-то троян или спец. программа злоумышленников будет сниферить трафик COM-порта, и вести свой лог скрытый" и т.п...
Поэтому, изменить логику работы, добавив кнопку, и полностью убрав считывание карты на кассе, и соответственно передачу данных через порты - мера более радикальная. Снимаются сразу все вопросы. Все, что происходит с картой внутри терминала, это проблемы банка. На кассе этих данных просто нет, и сохранить(украсть) их просто невозможно... Раз и навсегда "отделить мух от котлет", и все.
08.05.2015 11:33
student
 
Цитата:
MWWRuza На кассе этих данных просто нет, и сохранить(украсть) их просто невозможно... Раз и навсегда "отделить мух от котлет", и все.
хранить хоть что то все равно придется если есть условие что возрат можно делать только на ту карту по какой была продажа - банки это не отслеживают, у них операция возврата аналогична продаже только с обратным знаком - т.е. чисто теоретически возвратами можно переводить средства с карточки на карточку :)
08.05.2015 12:29
baggio
 
Цитата:
MWWRuza Но, потом начнется гиморой по поводу того, что "а вдруг какой-то троян или спец. программа злоумышленников будет сниферить трафик COM-порта, и вести свой лог скрытый" и т.п...
1. Логировать компорт крайне сложно. порт занимается монопольно.
2. Основная проблема не в том чтобы перехватить данные второй дороги... а в том чтобы в одних руках не оказалась вторая дорога + CSV (проверочный код) на обратной стороне. вот тут у кассира + "техника" имеющего доступ в лог есть поле для "коррупции". только при наличии 2-х этих хреней можно чтото реально попробовать провернуть у нас в России.
3. Вести лог того какую карту прокатали всё одно надо т.к. помимо возвратов как уже сказал Олег, может быть разная камиссия на визу\мастеркард\цирус и т.д. это можно будет отследить только в бэке... значит бэку его нужно отдавать. отдавать выбор типа карты на откуп кассиру не вариант... всё одно накосячат....
так что...
08.05.2015 13:39
sh00r00p
 
Цитата:
baggio 1. Логировать компорт крайне сложно. порт занимается монопольно.
2. Основная проблема не в том чтобы перехватить данные второй дороги... а в том чтобы в одних руках не оказалась вторая дорога + CSV (проверочный код) на обратной стороне. вот тут у кассира + "техника" имеющего доступ в лог есть поле для "коррупции". только при наличии 2-х этих хреней можно чтото реально попробовать провернуть у нас в России.
3. Вести лог того какую карту прокатали всё одно надо т.к. помимо возвратов как уже сказал Олег, может быть разная камиссия на визу\мастеркард\цирус и т.д. это можно будет отследить только в бэке... значит бэку его нужно отдавать. отдавать выбор типа карты на откуп кассиру не вариант... всё одно накосячат....
так что...
По поводу первого. Логировать ком порт можно в обе стороны довольно просто, есть готовые снифферы, которые можно разобрать. Применительно к АРМ кассира уже наверно сложно, тут не скажу.
08.05.2015 14:41
Ferus
 
Цитата:
baggio 1. Логировать компорт крайне сложно. порт занимается монопольно.
...
Достаточно много софта уже есть, которые способны мониторить занятые порты. Сам пользуюсь иногда, когда свой софт под железяки нужен.
08.05.2015 17:46
baggio
 
1. я не говорил что это не возможно.
2. для мониторинга порта нужно понимать скорость\биты\контроль потоком... мониторить на неверной скорости толку 0...
3. Если ты уже на компе и установил вредоносное ПО на порядок легче перехватить 2 дорогу с ридера, т.к. они в 90% случаем клавиатурные.
4. для мониоринга также важна ОС то что мониторится в ХР может не работать в 7 и 8, кроме того нужны админские права.
5. я не знаю ни одного вредоносного ПО которое мониторило бы компорты, есть подозрения что этим может грешил stuxnet, но достоверных данных нет...
6. Для любого вирусописателя доступ к аппаратным девайсам достаточно сложен, всё вредоносное ПО которое я знаю оперирует с програмоной частью... туже 2 дорогу проже вычепить из памяти зная адрес для нормального вирусописателя это проще чем мониторить компорт...

Бритва аккама.. это чтото вроде науной фантастики...
08.05.2015 20:42
MWWRuza
 
Какая разница... Ну трудно перехватить ком порт, можно логировать клаву, картридер действительно клавиатурный... Или из памяти достать... Поэтому и не хотят они, что-бы карты читались на кассе.
Сейчас номера карт попадают не только в логи, но и в БД, и передаются в БЭК... Мне они в принципе в БЭКЕ не нужны - за все годы, сколько я с этим работаю, ни одна фирма даже не пыталась что-то анализировать, на тему карт разных платежных систем... Но, судя по ответам в теме - это иногда делают...

Поэтому и возникла тема, а можно ли??? Или всетаки категорически нет?
08.05.2015 20:50
MWWRuza
 
Опять же возвраты... Если не хранить номера карт в АРМе, то как контролировать возвраты... После праздника задам этот вопрос инженеру банка, послушаю, что скажет...

Хотя, по возвратам, слипы то вроде содержут частично замаскированный номер карты, можно по нему... Но, это только вручную... Хотя, кого это волнует... Скажут, пусть кассир проверяет карту при возврате, сверяя со своей копией слипа, и все тут... А то, что это долго, неудобно, будет очередь собираться на кассе и т.д. - "проблемы народа вождя не е**т..."
08.05.2015 21:47
KirillHome
 
Цитата:
MWWRuza Опять же возвраты...
Скажут, пусть кассир проверяет карту при возврате, сверяя со своей копией слипа, и все тут... А то, что это долго, неудобно, будет очередь собираться на кассе и т.д. - "проблемы народа вождя не е**т..."
И за какой срок будут храниться слипы у кассира? Возврат по безналу может быть и не в день продажи....
09.05.2015 17:43
student
 
Цитата:
MWWRuza Опять же возвраты... Если не хранить номера карт в АРМе, то как контролировать возвраты...
я писал выше - хранится только маскированный номер и тип карты (укмвин) -так с самого начала закладывалось - сбер настоял при заключении договора партнерства
при возврате с полученной дорожки (не важно с клавы кассы или от пинпада) формируется маскированный номер и сравнивается с тем что есть :) в базе
конечно теоретически может пересечься, но на безрыбье и рак свистнет. . .
из практики (укмвин) за последние 9 лет не пересекалось ещё ни разу в более чем 300-т магазинах (ну или по крайней мере никто не жалился)
14.05.2015 19:23
MWWRuza
 
Вобщем, ККС непрошибаемы, договориться о переделке софта не удалось...
Вышли из положения, как временная(нет ничего более постоянного - чем временное) мера, использованием карточки-пустышки, просрочка или что-то подобное. Проводим ею по клавиатурному ридеру, терминал активируется, и уже на нем считывается реальная карта клиента... В принципе - все работает... А возвраты... Пусть вручную отслеживают, не так это часто, тем более по карте.
27.07.2015 18:56
MWWRuza
 
Пришла мне сегодня идея в голову, как побороть это безобразие, правда проверить пока не получилось...

А что, если на свободную клавишу клавиатуры запрограммировать последовательность, аналогичную последовательности на магнитной полосе, со всеми префиксами и суфиксами? Ну, типа того: "%123456?" и энтер в конце? Будет работать? Никто чего-то аналогичного не пробовал?
28.07.2015 08:41
baggio
 
Должно работать. почему нет?
28.07.2015 08:42
baggio
 
стоп... в клаву может так много не прошиться символов на кнопу...
а так должно...
28.07.2015 10:01
MWWRuza
 
Не знаю, сегодня попробую в течении дня добраться до одного из магазинов, и проверить... Но, как я понял, АРМу много символов и не надо - он одинаково реагирует и на банковскую карту, где символов очень много, и на скидочную, где обычный ЕАН13... Есть надежда, что и на меньшее количество символов должно сработать, главное префикс - "%", суфикс - "?" и энтером завершить... А длина самой дорожки не сильно важна, может и несколько символов хватит... Вобщем, пробовать надо...

PS Если не прокатит, то можно попробовать на тех-же дельфях написать утильку, которая будет висеть резидентом и по "горячей" комбинации клавиш, будет в клавиатурный порт нужную последовательность отдавать... Но, это уж на крайний случай...
А вообще ККС непрошибаемы - куча переписки и т.д., на эту тему, оказывается у них "есть вариант", как инициировать платеж банковской картой, не прокатывая ее через клавиатуру! Присылают инструкцию, как это настроить, через жо**(через добавление средства платежа "талон", и переименовании его в ФРе в КАРТА), я мучаюсь, настраиваю, не работает!!! Точнее, появляется при оплате выбор средства платежа, в ФР проходит как оплата по карте, в том числе и по Z-отчету, но банковскую программу даже и не пытается запускать... Оказывается, это решение у них для "автономного" терминала, не подключенного к кассе!!! Спрашивается, а что-же вы мне мозги пудрили , неужели сразу не понятно, что мне нужен вариант работы с пинпадом к кассе подключенным... Стоило ли время терять... Вобщем, как разговор слепого с глухим ...
28.07.2015 10:41
MWWRuza
 
Вот, нашел в интернете описание Posiflex KB-4000B:
Цитата:
Программируемая клавиатура posiflex kb-4000 - 40-клавишная программируемая клавиатура с ударопрочной водонепроницаемой матричной конструкцией. Ресурс нажатия клавиш - 15 млн. Касаний.
Клавиатура поддерживает запись до 255 ascii-символов/сканкодов на клавишу, программное обеспечение для программирования для dos и windows 3.x/9x/2000/nt. Ресурс нажатий клавиш составляет около 15 млн. Касаний. Объем внутренней энергонезависимой памяти для хранения запрограммированных клавиш составляет 8 кб.
У меня, правда не на всех кассах такие клавы, на части Spark какой-то, но, я надеюсь там ситуация аналогичная...
28.07.2015 17:14
MWWRuza
 
Ну, что... Попробовал! Запрограммировал на одну из кнопок %1234567890123? Энтер. Клава проглотила.
Работает, в принципе нормально, но, в пин-паде надо настроечку одну поправить, в tlv-шнике. Если карта с чипом, то все нормально, если только с магнитной полосой, то не предлогает считать ее на пин-паде. Позвонил в банк, знакомому, который как раз этим занимается, он подсказал, что в "общих настройках", пункт "Тип терминала", есть настойка - читать магнитную полосу на пин-паде или на клавиатуре кассы. Она сейчас переключена на клавиатуру кассы, так, как до этого активация платежа по карте не проходила по другому.
29.07.2015 23:37
MWWRuza
 
Сегодня переделал 6 касс в двух магазинах на работу по "кнопочке". Девочки-кассирши довольны, аж пищат Оказывается, самые главные проблемы(для них ) были в потертых карточках клиенов с чипами... Когда дорожка уже не читается, но есть чип - клиенты орать начинали - ну есть же чип, в чем проблемы? В других магазинах таких проблем нет! А некоторые возмущались, зачем карту с чипом сначала по клавиатуре прокатываете, а потом в терминал вставляете? Что-то вы "химичите", наверное деньги сп***ь хотите! . Вобщем, с помощью запрограммированной "кнопочки", проблеммы ушли полностью... И с банковскими в случае проблем будет легче разбираться, раньше у них козырь был - вы карту считываете в клавиатуре, поэтому и сбой, а теперь только в их оборудовании. Все, мне они уже ничего не смогут предъявить - с любыми наездами - типа "это у вас проблемы!" идут они лесом...
Опции темы


Часовой пояс GMT +3, время: 03:03.

 

Форум сделан на основе vBulletin®
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd. Перевод: zCarot и OlegON
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.