Сегодня утром позвонил в Авангард и поинтересовался, почему при оплате их чиповой картой в POS терминалах, настроенных на чтение чипа, никогда не запрашивается ПИН? Почему у них установлен не приоритет ПИН, а приоритет "Подпись"?
Разумеется, девушка на том конце провода ничего более вразумительного, чем "придите с паспортом в отделение" сказать не смогла.
Но оставим девушку в покое, ибо не знает она, что этот мой возможный поход в отделение ничего не изменит, но что более печально, та же самая девушка не знает и про самый злополучный закон для всех банкиров, вступающий в силу с 1 января 2013 года. Она-то (девушка) может и не знает, но руководство ее банка знакомо с этим законом однозначно.
И вот возник у меня вопрос: Коль скоро все банковское сообщество с таким страхом ожидает вступления в силу 161-ФЗ, почему в том же Авангарде до сих пор не перенастроили процессинг на "Приоритет ПИН"? - Чего ждете банкиры???
Комментарии 31
Прежде всего, стоит поинтересоваться у клиентов - а оно им надо?
Вот тут в сообществе Авангарда довольно эпическое обсуждение вопроса (хотя там его сравнивают со спором тупоконечников и остроконечников
А вот ссылочка на не менее эпический ответ представителя уже другого банка, где он приводит стальные аргументы по сабжу.
Так что ждут банкиры последнего звонка
Что же до эпических ответов представителей банков, так это они такие эпические до тех пор, пока 1 января 2013 не наступило, а потом, скорее всего все вспомнят, что есть еще и закон об ЭЦП, под который подпадает и ПИН...
статьей из "хитрого" закона и откажет в выпуске электронного средства платежа.
Конечно вероятность того, что карту просто сопрут и расплатятся в магазине, выше, но потери в случае компрометации ПИН с одновременной утерей карты неизмеримо больше (и при том потери неоспариваемые). Так что оперировать лучше таким параметром, как матожидание потерь, и каждый оценивает его по-своему.
По мне, так ПИН нужен для того, чтобы снимать нал с дебетовой карты через банкомат в отделении банка (или другом сравнительно надежном месте), а для знать ПИН к кредитке -- совершенно лишняя информация.
После этого можно будет начать предметный разговор.
Может быть потому, что в действующих нормативных документах основным способом предумотрена именно подпись, а про пин-код (точнее, АСП) сказано, что его "клиент _может_ ввести"? И возможность требовать обязательный ввода пина, насколько мне известно, в нормативных документах не предусмотрена.
Это не более чем Ваши фантазии, ПИН не является не ЭЦП, ни АСП и являться не может, в силу технологических ограничений....
Мне вот почему-то кажется, что упомянутый Вами закон вообще не регламентирует порядок оплаты банковскими картами.
(и почему бы не ткнуться самому в правила платежных систем, правила авторизации при наличии PIN-PAD и его отсутствии, правила авторизации при наличии COC (Chip on Card) и магнитной полосы. Потыкайтесь, как Вы изволили выразиться, еще в десяток смежных законов.
А если Вы, Игорь, представляете, например, юридический департамент или департамент экономической безопасности какого-нибудь банка, то мы обязательно вернемся к этому вопросу числа эдак 15 января 2013.
Вы такой весь из себя эксперт, а не знаете, что закон об ЭЦП уже не действует.
А что вместо него? Не скажу, покопайтесь сами.
http://www.buhonline.ru/pub/news/2012/7/6225
Зачем же ссылаться на закон, который если и не утратил силу, то утратит очень скоро, если вместо него уже принят другой, который действует более года?
А зачем мне тыкаться в правила платежных систем? Ко мне, как клиенту банка и как покупателю в магазине, они ни малейшего отношения не имеют, и частью ни моего договора с банком, ни договора розничной продажи не являются.
Ссылочкой не поделитесь, кем и на каком юридическом основании они были приняты и где и когда были опубликованы для всеобщего сведения?
А то ведь если я Вас правильно понял, это документы, определяющие договорные отношения между юридическими лицами, и они не имеют ни малейшего отношения к клиентам этих самых юрлиц.
1. я не собираю специально по этому случаю толпу зрителей
2. я всегда имею возможность нажать красную кнопку (отказ от ввода PIN) и авторизации по подписи (правда, не все банки и POS соглашаются в таком случае брать на себя риски)
Потому что я всегда начинаю изучение юридических документов с внимательного и вдумчивого прочтения их преамбул.
с удовольствием, всегда полезно расширить кругозор. Но только реквизиты назовите, пожалуйста: название, кем и когда принят, дату регистрации в Минюсте. А то у меня почему-то складывается ощущение, что этот документ не является нормативным.
Собираемость зрителей от нас не зависит, плюс кассир все может прекрасно видеть через зеркало.
Я ситуацию понимаю так на следующем примере. Банк настоятельно не рекомендует записывать PIN на карточке, но запретить это не может. Аналогично, банк не рекомендует расплачиваться с вводом PIN'а и пока всячески пытается это запретить. Но, реальность такова, что скоро запрещать это он не сможет. Только надо помнить, что если случится оплата с вводом PIN'а по украденной карточке, то возврата средств не будет в принципе...
http://www.banki.ru/services/responses/bank/?responseID=4113790
Уже 4 года как запрещать не может. п. 2.10 266-П, если память мне не изменяет.
именно об этом и речь ведется...
Уже 4 года как запрещать не может. п. 2.10 266-П, если память мне не изменяет.
Алексей Кормилкин, сошлитесь на конкретную статью конкретного нормативного документа, которая запретит банкам с 1 января "при оплате их чиповой картой в POS терминалах, настроенных на чтение чипа, никогда не запрашивать ПИН". PCI DSS (тут некоторые, не буду показывать пальцем, сертификацию под него проходили и осведомлены не хуже "экспертов"), VIOR и т. п. документы не являются нормативными в указанном смысле.
Согласен абсолютно.