1. РЕСПУБЛИКА КАЗАХСТАН
(19) KZ (13) B (11) 28976
(51) G06Q 20/00 (2012.01)
КОМИТЕТ ПО ПРАВАМ
ИНТЕЛЛЕКТУАЛЬНОЙ СОБСТВЕННОСТИ
МИНИСТЕРСТВА ЮСТИЦИИ РЕСПУБЛИКИ КАЗАХСТАН
ОПИСАНИЕ ИЗОБРЕТЕНИЯ
К ПАТЕНТУ
(21) 2011/1645.1
(22) 27.12.2011
(45) 15.09.2014, бюл. №9
(31) а2010/11024
(32) 28.12.2010
(33) TR
(72) СЕНЕР, Танер (TR)
(73) ТУРКСЕЛЛ ТЕКНОЛОЖИ АРАШТИРМА энд
ГЕЛИСТИРМЕ АНОНИМ ШИРКЕТИ (TR)
(74) Русакова Нина Васильевна; Жукова Галина
Алексеевна; Ляджин Владимир Алексеевич
(56) RU 2008141288 A, 27.04.2010
RU 2006119884 A, 27.12.2007
MX 2010010812 A, 20.12.2010
KZ 23589 A4, 15.12.2010
(54) СИСТЕМА И СПОСОБ ДЛЯ
ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПРИ
СОВЕРШЕНИИ ПОКУПОК С
ИСПОЛЬЗОВАНИЕМ ДЕБЕТОВЫХ КАРТ И
КРЕДИТНЫХ КАРТ БЕЗ ИХ ФИЗИЧЕСКОГО
УЧАСТИЯ
(57) Изобретение касается системы (1) и способа
(100), преодолевающим проблемы с безопасностью
при совершении покупок с использованием
дебетовой карты или кредитной карты через
интернет, по телефону или по почте при помощи
мобильной подписи. При использовании системы
(1) и способа (100) по данному изобретению для
обеспечения безопасности при совершении покупок
без физического участия дебетовых и кредитных
карт, целью является использование мобильной
подписи для удостоверения в том, что при
совершении покупок с использованием дебетовой
карты или кредитной карты без ее физического
участия карты используются именно их
держателями.
(19)KZ(13)B(11)28976
2. 28976
2
Изобретение имеет отношение к системе и
способу, преодолевающим проблемы с
безопасностью при совершении покупок с
использованием дебетовой карты или кредитной
карты через интернет, по телефону или по почте при
помощи мобильной подписи.
Предпосылки создания изобретения
В настоящее время используют различные
способы для совершения покупок через интернет, по
телефону или по почте с использованием дебетовой
карты и кредитной карты. Поскольку продавец и
покупатель не присутствуют в одном и том же месте
во время совершения этих трансакций, продавец не
может физически видеть используемую дебетовую
или кредитную карту. Таким образом, POS-
терминал, который требует физического наличия
карты для совершения покупки, не может быть
использован при выполнении данной трансакции.
Соответственно, в настоящее время используют
различные способы для обеспечения безопасности и
предотвращения несанкционированного
использования в таких трансакциях, которые
называют трансакциями без физического участия
карты (известны специалистам как трансакции
"CNP" - Card-Not-Present).
Покупки, предполагающие сообщение продавцу
приведенной на карте информации в письменном
виде или устно, являются наиболее
распространенными. Если данный способ
используют для совершения покупок через
интернет, то информацию передают в поля данных
на интернет-странице, на которой совершают
покупки; телефонному оператору, если данный
способ используют для совершения покупок по
телефону; продавцу в письменном виде, если
данный способ используют для совершения покупок
по почте. Продавец передает информацию, такую
как номер карты, срок действия, держатель карты,
адрес для выставления счета (в некоторых случаях),
касающуюся карты, а также стоимость покупки, в
банк посредством защищенной инфраструктуры,
которая предоставляется ему банком; после
контроля точности касающейся карты информации
банк переводит с карточного счета на счет продавца
сумму, соответствующую стоимости покупки, и
покупка считается совершенной. Поскольку
упомянутый способ основан на том, что касающаяся
карты информация может быть известна только
держателю карты, то считается, что запрашивание
данной информации будет достаточным для
обеспечения безопасности.
Другим способом, используемым для
обеспечения безопасности и предотвращения
несанкционированного использования, является
использование нового поля данных, называемого
верификационным кодом (известен специалистам
как CVV, CVC), состоящим из трех или четырех
цифр для каждой карты. Данное поле данных
генерируется для каждой карты путем прохождения
через некоторые фильтры с использованием номера
карты и срока действия. Код скрыт внутри
магнитной полосы или записан с лицевой или
обратной стороны карты, в зависимости от ее типа.
Верификационные коды (CVV1, CVC1), скрытые
внутри магнитной полосы, известны держателю
карты и используются для обеспечения
безопасности при трансакциях с физическим
участием карты, в то время как верификационные
коды (CVV2, CVC2), записанные с лицевой или
обратной стороны карты, являются
вспомогательными и используются для обеспечения
безопасности в трансакциях без физического
участия карты. В наиболее распространенном
способе совершения покупок через интернет, по
телефону или по почте с использованием карт,
имеющих эти коды, данное поле данных отсылают в
банк дополнительно к касающейся карты
информации (номер карты, срок действия,
держатель карты, адрес для выставления счета).
Банк проверяет данное поле данных подобно другим
полям данных и не разрешает трансакцию при
наличии любой неточности. Упомянутый способ
обеспечивает защиту при условии, что это новое
поле данных может быть известно только банку и
держателю карты.
Другим безопасным способом совершения
покупок является предоставление второго пароля
каждой карте в дополнение к ее паролю (PIN-коду).
Данный пароль, который используют при
совершении покупок через интернет, известен
только банку и держателю карты и не хранится на
карте, внутри ее магнитной полосы или на ее
микросхеме. После того, как держатель карты ввел
информацию о своей карте при совершении покупки
по данному способу, который называют
"SecureCode" в системе MasterCard и "3-D secure" в
системе Visa, пользователь направляется на другую
веб-страницу, предоставляемую банком, и у него
запрашивается ввод второго пароля. Трансакция
разрешается или не разрешается в зависимости от
того, правильно ли введен пароль. Трансакция с
введением пароля будет продолжена с обеспечением
безопасности, поскольку веб-страница, на которую
направляется пользователь, принадлежит банку, а
банк знает второй пароль. В упомянутом способе
безопасность обеспечивается вторым паролем,
который не хранится на карте и известен только
банку и держателю карты. Таким образом, для
использования данного способа необходима
контрольная веб-страница, которая предоставляется
банком.
Способы, разработанные для обеспечения
безопасности при совершении покупок с
использованием дебетовых карт и кредитных карт
через интернет, по телефону или по почте с
использованием упомянутых выше способов,
остаются недостаточно эффективными. Дебетовые и
кредитные карты могут быть использованы для
совершения покупок без их физического участия не
только держателями карт, но и другими лицами.
Проверки при совершении покупки только лишь
касающейся карты информации недостаточно,
потому что касающаяся карты информация, включая
верификационный код, предусмотренный для
обеспечения безопасности, размещена на самой
карте. К этой информации может быть легко
3. 28976
3
получен доступ в случае, если карта украдена или
магнитная полоса скопирована. Второй пароль,
используемый для совершения покупок через
интернет, представляет собой еще один пароль,
который держателю карты необходимо запоминать
в дополнение к первоначальному паролю карты, и
его использование вызывает трудности.
Запоминание и защита данного пароля накладывает
дополнительное обязательство на держателя карты.
Кроме того, данный пароль может быть использован
только для совершения покупок через интернет и
его использование сопряжено с затратами, которые
должен понести банк для того, чтобы быть
интегрированным посредством контрольной
страницы с каждым сайтом, на котором совершают
покупки. Соответственно, способы, которые
разработаны для совершения покупок без
физического участия карты, не могут быть
признаны безопасными.
В патентном документе Кореи №KR20090091051
описан способ, в котором использована
аутентификация по сотовому телефону для
гарантирования безопасности платежей с
использованием кредитных карт в онлайновом
режиме. Блок ввода информации для
аутентификации показывает пользователю экран
платежа с использованием кредитной карты. Через
этот экран платежа вводят информацию для
аутентификации. После того, как информация для
аутентификации передана блоком SMS-
аутентификации, блок разрешения трансакции
разрешает завершение трансакции.
Сущность изобретения
Целью данного изобретения является создание
системы и способа, в которых используется
мобильная подпись для удостоверения в том, что
при совершении покупок с использованием
дебетовой карты или кредитной карты без ее
физического участия карты используются именно
их держателями.
Подробное описание изобретения
Система и способ, реализующие цели
изобретения, показаны на прилагаемых графических
фигурах, где:
Фиг.1 представляет собой схематическое
изображение системы по изобретению.
Фиг.2 представляет собой блок-схему способа,
обеспечивающего функционирование системы по
изобретению.
Элементы, показанные на графических фигурах,
обозначены следующими позициями:
1. Система
2. Средство подачи
3. Подсистема продаж
4. Средство передачи
5. Средство сравнения
6. Средство верификации
7. Провайдер услуг мобильной подписи
8. Мобильное устройство
100. Способ
U. Держатель карты
В. Банк
Система (1), которая осуществляет верификацию
того, является ли покупатель владельцем дебетовой
или кредитной карты, используемой им при
осуществлении трансакции перевода стоимости
покупки со счета покупателя на счет продавца при
совершении покупки без физического участия
карты, включает в себя:
- по меньшей мере одно средство (2) подачи, где
вводится касающаяся карты информация держателя
карты, запрашивающего оплату;
- по меньшей мере одну подсистему (3) продаж,
взаимодействующую с держателем (U) карты и
получающую информацию держателя (U) карты из
средства (2) подачи;
- по меньшей мере одно средство (4) передачи,
которое обеспечивает возможность безопасной
передачи информации держателя (U) карты,
имеющейся в подсистеме (3) продаж, в банк (В),
причем трансакция с банком (В) осуществляется без
физического участия карты, а также уведомляет о
необходимости верификации с использованием
мобильной подписи;
- по меньшей мере одно средство (5) сравнения,
которое осуществляет сравнение информации
держателя (U) карты, имеющейся в базе данных
банка (В), и касающейся карты информации,
полученной из подсистемы (3) продаж;
- по меньшей мере одно средство (6)
верификации, которое осуществляет проверку
аутентичности держателя (U) карты и проверяет,
получено ли разрешение держателя карты на
совершение покупки без физического участия
карты;
- по меньшей мере одного провайдера (7) услуг
мобильной подписи, который передает в банк (В)
информацию относительно того, совершается ли
трансакция покупки без физического участия карты
с ведома держателя (U) карты, путем передачи
запроса на подтверждение мобильной подписью
держателю (U) карты через мобильное устройство
(8), имеющее мобильную подпись.
В предпочтительном варианте осуществления
изобретения банк (В) хранит для каждой дебетовой
и кредитной карты информацию относительно того,
разрешено ли по данной карте совершение покупки
без ее физического участия с проверкой при помощи
мобильной подписи. Банк (В) также хранит
информацию относительно того, получено ли
подтверждение от держателя карты (U) в устной или
в письменной форме относительно верификации при
совершении покупок без физического участия карты
в соответствии со способом (100) по настоящему
изобретению. Информация о действительном
телефонном номере, принадлежащем держателю
карты, также хранится в банках (В) для
верификации при совершении покупок без
физического участия карты с использованием
мобильной подписи. Кроме того, держатель карты
должен подтвердить в устной или в письменной
форме, что телефонный номер, который будет
активно использован при осуществлении способа
(100), принадлежит ему. Этот телефонный номер
должен иметь мобильную подпись,
4. 28976
4
предоставленную провайдером (7) услуг мобильной
подписи (MSSP).
В предпочтительном варианте осуществления
изобретения, средство (2) подачи подает в
подсистему (3) продаж касающуюся карты
информацию, такую как номер карты, срок действия
карты, имя и фамилия держателя карты, адрес для
выставления счета, верификационный код карты
(CVC2), держателя карты (U), сделавшего запрос на
совершение покупки без физического участия
карты.
В предпочтительном варианте осуществления
изобретения подсистема (3) продаж, получив
касающуюся карты информацию, поданную с
использованием средства (2) подачи, передает в
банк (В) в порядке осуществления трансакции
покупки касающуюся карты информацию и
касающуюся покупки информацию, такую как
стоимость покупки, дата покупки, информация о
продавце и другие поля данных, установленные
банком (В) как обязательные.
В предпочтительном варианте осуществления
изобретения после получения банком (В)
касающейся карты информации и касающейся
покупки информации средство (5) сравнения
проверяет, верно ли поданы все поля данных, путем
сравнения касающейся карты информации с
информацией в его базе данных.
В предпочтительном варианте осуществления
изобретения средство (4) передачи отличается от
известных подсистем для работы без физического
участия карты. Средство (4) передачи получает
только запросы на трансакции без физического
участия карт и всегда использует мобильную
подпись для их верификации. Средство (4) передачи
предполагает, что подсистемы (3) продаж,
отсылающие запросы, отсылают только запросы,
удовлетворяющие этим условиям. Средством (4)
передачи дается отрицательный ответ подсистеме
(3) продаж в случае, если запросы получены в
отношении карт, которые не поддерживают
трансакции без физического участия карт, или
имеют место обстоятельства, делающие
невозможной верификацию с использованием
мобильной подписи.
В предпочтительном варианте осуществления
изобретения провайдер (7) услуг мобильной
подписи (известный специалистам как "mobile-
signature service provider", MSSP) имеет
защищенную инфраструктуру, которая может
получать запросы, передаваемые банком (В) в
соответствии со стандартом на услуги мобильной
подписи (известны специалистам как "mobile
signature service, MSS), установленным Европейским
институтом по стандартизации в области
электросвязи (известным специалистам как
"European Telecommunications Standards Institute",
ETSI), доставлять полученные им запросы по
указанному телефонному номеру и доставлять
данный с использованием телефона ответ в банк (В)
тем же способом.
Средство (6) верификации содержит адрес
сервера веб-сервиса, поддерживаемого провайдером
(7) услуг мобильной подписи (MSSP), для отсылки
провайдеру (7) услуг мобильной подписи (MSSP)
запросов на подпись, к которым привязан
определенный телефонный номер; он имеет
защищенный протокол, посредством которого эти
запросы отсылаются и принимаются.
Способ (100) осуществления верификации с
использованием мобильной подписи того, является
ли покупатель владельцем дебетовой или кредитной
карты, используемой им при осуществлении
трансакции перевода стоимости покупки с
банковского счета держателя (U) карты на
банковский счет продавца при совершении покупок
без физического участия карты, включает
следующие операции:
- подача касающейся карты информации
держателя (U) карты, запросившего совершение
покупки без физического участия карты, в
подсистему (3) продаж с использованием средства
(2) подачи (операция 101);
- передача касающейся карты информации и
касающейся покупки информации из подсистемы
(3) продаж в банк (В) через подсистему (4)
передачи, которая имеет защищенную
инфраструктуру (операция 102);
- сравнение касающейся карты информации с
информацией держателя (U) карты в средстве (5)
сравнения (операция 103);
- верификация касающейся карты информации
средством (6) верификации и выдача разрешения на
совершение покупки (операция 104);
- передача подтверждения продажи в мобильное
устройство (8) держателя (U) карты через
провайдера (7) услуг мобильной подписи (операция
105);
- утверждение держателем (U) карты запроса на
оплату путем ввода своего пароля мобильной
подписи (операция 106) и;
- осуществление платежа путем перевода
стоимости покупки с банковского счета держателя
(U) карты на счет подсистемы (3) продаж (операция
107).
Средство (2) подачи в системе (1) по
изобретению выполнено с возможностью
выполнения следующих операций:
- в случае, если держатель (U) карты совершает
покупку через интернет, - передача касающейся
карты информации в подсистему (3) продаж
посредством интернет-страницы с вводом
касающейся его карты информации в поля данных
на странице, предоставляемой сайтом подсистемы
(3) продаж, на котором совершают покупку, при
помощи клавиатуры, и с подтверждением вводимой
информации;
- в случае, если держатель (U) карты совершает
покупку по телефону, - передача касающейся карты
информации в подсистему (3) продаж устно; и
- в случае, если держатель (U) карты совершает
покупку по почте, - передача касающейся карты
информации в подсистему (3) продаж путем записи
касающейся карты информации в предварительно
подготовленную форму или бланк для оформления
покупки.
5. 28976
5
Средство (4) передачи в системе (1) по данному
изобретению выполнено с возможностью
выполнения следующих операций:
- при совершении покупок через интернет -
передача запроса в банк (В) в течение временного
интервала сеанса, допускаемого интернет-
протоколами, и получение ответа;
- при совершении покупок по телефону -
передача запроса в банк (В) при совершении
держателем (U) карты телефонного звонка и
получение ответа; и
- при совершении покупок по почте - передача
запроса в банк (В) в течение временного интервала,
предварительно оговоренного в договоре купли-
продажи, и получение ответа.
Средство (5) сравнения в системе (1) по данному
изобретению выполнено с возможностью
выполнения операций отмены трансакции покупки в
случае, если по меньшей мере один из элементов
касающейся карты информации неверен, и передачи
посредством средства (4) передачи в подсистему (3)
продаж сообщения о том, что покупка не была
разрешена.
Средство (6) верификации в системе (1) по
данному изобретению выполнено с возможностью
выполнения следующих операций:
- проверка, получено ли подтверждение
держателя (U) карты, и отмена трансакции покупки
в случае, если оно не получено;
- проверка, указан ли держателем (U) карты
действительный телефонный номер, имеющий
мобильную подпись, выданную провайдером (7)
услуг мобильной подписи (MSSP), и отмена
трансакции покупки в случае, если держатель (U)
карты не указал такой телефонный номер;
- отсылка касающейся покупки информации
банка (В) на адрес сервера веб-сервиса провайдера
(7) услуг мобильной подписи (MSSP) в виде запроса
на подтверждение мобильной подписью (SigREQ-
STD) в соответствии со стандартом на услуги
мобильной подписи (известны специалистам как
"mobile signature service, MSS"), установленным
Европейским институтом по стандартизации в
области электросвязи (известным специалистам как
"European Telecommunications Standards Institute",
ETSI). Запрос на подтверждение мобильной
подписью, отсылаемый провайдеру (7) услуг,
содержит такую информацию, как наименование
продавца/фирмы/компании, где совершается
покупка, дата совершения покупки, сумма и валюта
покупки, телефонный номер, указываемый для
верификации держателем карты, совершающим
покупку.
Провайдер (7) услуг мобильной подписи в
системе (1) по данному изобретению имеет
возможность выполнения следующих операций:
- передача на мобильное устройство (8)
держателя (U) карты запроса, содержащего
наименование продавца/фирмы/компании, где
совершается покупка, дату совершения покупки,
сумму и валюту покупки;
- передача держателем карты в банк (В)
подтверждающей информации, которой
подтверждается, что трансакция совершена с его
ведома, с вводом держателем карты своего пароля
мобильной подписи после просмотра касающейся
покупки информации на его мобильном устройстве;
и
- отмена покупки в случае, если пароль
мобильной подписи не введен, введен неверно, если
запрос не достиг мобильного устройства (8),
телефона в течение определенного промежутка
времени, или если не было получено никакого
ответа на запрос в течение определенного
промежутка времени.
При переводе стоимости совершаемой покупки
без физического участия карты с банковского счета
держателя карты (U) на банковский счет продавца
касающаяся карты информация, такая как номер
карты, срок действия карты, имя и фамилия
держателя карты, адрес для выставления счета, код
безопасности карты (CVC2) держателя (U) карты,
подается в подсистему (3) продаж через средство (2)
подачи (операция 101). Подсистема (3) продаж,
получив касающуюся карты информацию через
средство (2) подачи, передает в банк (В) в порядке
трансакции покупки касающуюся карты
информацию и касающуюся покупки информацию,
такую как стоимость покупки, дата осуществления
покупки, информация о продавце и другие поля
данных, установленные банком (В) как
обязательные (операция 102). Эта передача из
подсистемы (3) продаж в банк (В) осуществляется
через средство (4) передачи, которое имеет
защищенную инфраструктуру. После получения
банком (В) касающейся карты информации и
касающейся покупки информации средство (5)
сравнения проверяет, нет ли неправильных полей,
путем сравнения касающейся карты информации с
информацией в собственной базе данных (операция
103). В случае, если касающаяся карты информация
верна, банк (В) проверяет аутентичность держателя
(U) карты, запрашивающего платеж, с
использованием средства (6) верификации, и дает
подтверждение возможности совершения покупки
(операция 104). Подтверждение покупки поступает
на мобильное устройство (8) держателя (U) карты
через провайдера (7) услуг мобильной подписи
(операция 105), и держателем (U) карты
выполняется верификация трансакции через
провайдера (7) услуг мобильной подписи (операция
106). Таким образом, когда получено
подтверждение от держателя карты, тем самым
подтверждается, что банковская или кредитная
карта использована держателем карты, и трансакция
без физического участия карты успешно
продолжается переводом стоимости покупки с
банковского счета покупателя на банковский счет
продавца (операция 107). Трансакция покупки
успешно завершается передачей информации о том,
что данная трансакция покупки закончена
переводом денег на счет. Если трансакция
верификации завершается ошибкой в мобильном
устройстве (8), то трансакция покупки отменяется, и
о данной ошибке уведомляются подсистема (3)
продаж и держатель карты.
6. 28976
6
При использовании системы (1) и способа (100)
по данному изобретению для обеспечения
безопасности при совершении покупок без
физического участия дебетовых карт и кредитных
карт при совершении покупок без физического
участия дебетовой карты или кредитной карты
удостоверяются в том, что карта используется
именно ее держателем.
Могут быть разработаны различные варианты
реализации системы (1) и способа (100) для
обеспечения безопасности при совершении покупок
с использованием дебетовых карт и кредитных карт
без их физического участия по данному
изобретению, оно не может быть ограничено лишь
раскрытыми примерами; объем изобретения
определяется формулой изобретения.
ФОРМУЛА ИЗОБРЕТЕНИЯ
1. Способ (100) осуществления верификации с
использованием мобильной подписи того, является
ли покупатель владельцем дебетовой или кредитной
карты, используемой им при осуществлении
трансакции перевода стоимости покупки с
банковского счета держателя (U) карты на
банковский счет продавца при совершении покупки
без физического участия карты, отличающийся
тем, что включает следующие операции:
- подача (101) касающейся карты информации
держателя (U) карты, запросившего совершение
покупки без физического участия карты, в
подсистему (3) продаж с использованием средства
(2) подачи;
- передача (102) касающейся карты информации
и касающейся покупки информации из подсистемы
(3) продаж в банк (В) через подсистему (4)
передачи, которая имеет защищенную
инфраструктуру;
- сравнение (103) касающейся карты информации
с информацией держателя (U) карты в средстве (5)
сравнения;
- верификация (104) касающейся карты
информации средством (6) верификации и выдача
разрешения на совершение покупки;
- передача (105) подтверждения продажи в
мобильное устройство (8) держателя (U) карты
через провайдера (7) услуг мобильной подписи;
- утверждение (106) держателем (U) карты
запроса на оплату путем ввода своего пароля
мобильной подписи; и
- осуществление (107) платежа путем перевода
стоимости покупки с банковского счета держателя
(U) карты на счет подсистемы (3) продаж.
2. Способ (100) по п.1, отличающийся тем, что
при выполнении операции (101) подачи
касающейся карты информации держателя (U)
карты, запросившего совершение покупки без
физического участия карты, в подсистему (3)
продаж с использованием средства (2) подачи
сначала подают такую касающуюся карты
информацию как номер карты, срок действия карты,
имя и фамилия держателя карты, адрес для
выставления счета, верификационный код карты
(CVC 2).
3. Способ (100) по п.1 или п.2, отличающийся
тем, что при выполнении операции (102) передачи
касающейся карты информации и касающейся
покупки информации из подсистемы (3) продаж в
банк (В) через подсистему (4) передачи, которая
имеет защищенную инфраструктуру (операция 102),
подсистема (3) продаж, получив касающуюся карты
информацию, поданную с использованием средства
(2) подачи, передает в банк (В) в порядке
осуществления трансакции покупки упомянутую
касающуюся карты информацию и касающуюся
покупки информацию, такую как стоимость
покупки, дата покупки, информация о продавце и
другие поля данных, установленные банком (В) как
обязательные.
4. Способ (100) по любому из предшествующих
пунктов, отличающийся тем, что после получения
банком (В) касающейся карты информации и
касающейся покупки информации при выполнении
операции сравнения касающейся карты информации
с информацией держателя (U) карты в средстве (5)
сравнения средство (5) сравнения проверяет, верно
ли поданы все поля данных, путем сравнения
касающейся карты информации с информацией в
его базе данных.
5. Система (1), которая осуществляет
верификацию того, является ли покупатель
владельцем дебетовой или кредитной карты,
используемой им при осуществлении трансакции
перевода стоимости покупки со счета покупателя на
счет продавца при совершении покупки без
физического участия карты, содержащая:
- по меньшей мере одно средство (2) подачи, где
вводится касающаяся карты информация держателя
карты, запрашивающего оплату;
- по меньшей мере одну подсистему (3) продаж,
взаимодействующую с держателем (U) карты и
получающую информацию держателя (U) карты из
средства (2) подачи;
отличающаяся тем, что она включает в себя:
- по меньшей мере одно средство (4) передачи,
которое обеспечивает возможность безопасной
передачи информации держателя (U) карты,
имеющейся в подсистеме (3) продаж, в банк (В),
причем трансакция с банком (В) осуществляется без
физического участия карты, а также уведомляет о
необходимости верификации с использованием
мобильной подписи;
- по меньшей мере одно средство (5) сравнения,
которое осуществляет сравнение информации
держателя (U) карты, имеющейся в базе данных
банка (В), и касающейся карты информации,
полученной из подсистемы (3) продаж;
- по меньшей мере одно средство (6)
верификации, которое осуществляет проверку
аутентичности держателя (U) карты и проверяет,
получено ли разрешение держателя карты на
совершение покупки без физического участия
карты;
- по меньшей мере одного провайдера (7) услуг
мобильной подписи, который передает в банк (В)
7. 28976
7
информацию относительно того, совершается ли
трансакция покупки без физического участия карты
с ведома держателя (U) карты, путем передачи
запроса на подтверждение мобильной подписью
держателю (U) карты через мобильное устройство
(8), имеющее мобильную подпись.
6. Система (1) по п.5, отличающаяся тем, что
средство (2) подачи подает в подсистему (3) продаж
такую касающуюся карты информацию держателя
карты (U), сделавшего запрос на совершение
покупки без физического участия карты, как номер
карты, срок действия карты, имя и фамилия
держателя карты, адрес для выставления счета,
верификационный код карты (CVC 2).
7. Система (1) по п.5 или п.6, отличающаяся
тем, что подсистема (3) продаж, получив
касающуюся карты информацию, поданную с
использованием средства (2) подачи, передает в
банк (В) в порядке осуществления трансакции
покупки касающуюся карты информацию и
касающуюся покупки информацию, такую как
стоимость покупки, дата покупки, информация о
продавце и другие поля данных, установленные
банком (В) как обязательные.
8. Система (1) по одному из п.п.5-7,
отличающаяся тем, что после получения банком
(В) касающейся карты информации и касающейся
покупки информации средство (5) сравнения
проверяет, верно ли поданы все поля данных, путем
сравнения касающейся карты информации с
информацией в его базе данных.
9. Система (1) по любому из п.п.5-8,
отличающаяся тем, что средство (4) передачи,
которое получает запросы на трансакции без
физического участия карт (CNP) и всегда
использует мобильную подпись для их
верификации, дает отрицательный ответ подсистеме
(3) продаж в случае, если запросы получены в
отношении карт, которые не поддерживают
трансакции без физического участия карт, или
имеют место обстоятельства, делающие
невозможной верификацию с использованием
мобильной подписи.
10. Система (1) по одному из п.п.5-9,
отличающаяся тем, что провайдер (7) услуг
мобильной подписи имеет защищенную
инфраструктуру, которая может получать запросы,
передаваемые банком (В) в соответствии со
стандартом на услуги мобильной подписи (MSS),
установленным Европейским институтом по
стандартизации в области электросвязи (ETSI),
доставлять полученные им запросы по указанному
телефонному номеру и доставлять данный с
использованием телефона ответ в банк (В) тем же
способом.
11. Система (1) по одному из п.п.5-10,
отличающаяся тем, что средство (6) верификации
содержит адрес сервера веб-сервиса,
поддерживаемого провайдером (7) услуг мобильной
подписи (MSSP), для отсылки провайдеру (7) услуг
мобильной подписи (MSSP) запросов на подпись, к
которым привязан определенный телефонный
номер.
12. Система (1) по одному из п.п.5-11,
отличающаяся тем, что средство (2) подачи
выполнено с возможностью выполнения следующих
операций:
- в случае, если держатель (U) карты совершает
покупку через интернет, - передача касающейся
карты информации в подсистему (3) продаж
посредством интернет-страницы с вводом
касающейся его карты информации в поля данных
на странице, предоставляемой сайтом подсистемы
(3) продаж, на котором совершают покупку, при
помощи клавиатуры, и с подтверждением вводимой
информации;
- в случае, если держатель (U) карты совершает
покупку по телефону, - передача касающейся карты
информации в подсистему (3) продаж устно; и
- в случае, если держатель (U) карты совершает
покупку по почте, - передача касающейся карты
информации в подсистему (3) продаж путем записи
касающейся карты информации в предварительно
подготовленную форму или бланк для оформления
покупки.
13. Система (1) по одному из п.п.5-12,
отличающаяся тем, что средство (4) передачи
выполнено с возможностью выполнения следующих
операций:
- при совершении покупок через интернет -
передача запроса в банк (В) в течение временного
интервала сеанса, допускаемого интернет-
протоколами, и получение ответа;
- при совершении покупок по телефону -
передача запроса в банк (В) при совершении
держателем (U) карты телефонного звонка и
получение ответа; и
- при совершении покупок по почте - передача
запроса держателю (U) карты в течение временного
интервала, предварительно оговоренного в договоре
купли-продажи, и получение ответа.
14. Система (1) по одному из п.п.5-13,
отличающаяся тем, что средство (5) сравнения
выполнено с возможностью выполнения операций
отмены трансакций покупки в случае, если по
меньшей мере один из элементов касающейся карты
информации неверен, и передачи посредством
средства (4) передачи в подсистему (3) продаж
сообщения о том, что совершение покупки не было
разрешено.
15. Система (1) по одному из п.п.5-14,
отличающаяся тем, что средство (6) верификации
выполнено с возможностью выполнения следующих
операций:
- проверка, получено ли подтверждение
держателя (U) карты, и отмена трансакции покупки
в случае, если оно не получено;
- проверка, указан ли держателем (U) карты
действительный телефонный номер, имеющий
мобильную подпись, выданную провайдером (7)
услуг мобильной подписи (MSSP), и отмена
трансакции покупки в случае, если держатель (U)
карты не указал такой телефонный номер;
- отсылка касающейся покупки информации
банка (В) на адрес сервера веб-сервиса провайдера
(7) услуг мобильной подписи (MSS) в виде запроса
8. 28976
8
на подтверждение мобильной подписью (SigREQ -
STD) в соответствии со стандартом на услуги
мобильной подписи (MSS), установленным
Европейским институтом по стандартизации в
области электросвязи (ETSI).
16. Система (1) по одному из п.п.5-15,
отличающаяся тем, что провайдер (7) услуг
мобильной подписи имеет возможность выполнения
следующих операций:
- передача на мобильное устройство (8)
держателя (U) карты запроса, содержащего
наименование продавца/фирмы/компании, где
совершается покупка, дату совершения покупки,
сумму и валюту покупки;
- передача держателем карты в банк (В)
подтверждающей информации, которой
подтверждается, что трансакция совершена с его
ведома, с вводом держателем карты своего пароля
мобильной подписи после просмотра касающейся
покупки информации на его мобильном устройстве;
и
- отмена покупки в случае, если пароль
мобильной подписи не введен, введен неверно, если
запрос не достиг мобильного устройства (8),
телефона в течение определенного промежутка
времени, или если не было получено никакого
ответа на запрос в течение определенного
промежутка времени.
Верстка Ж. Жомартбек
Корректор Р. Шалабаев