Скоро вступит в силу один "хитрый закон"...

Уфф. Ну и тему Вы подняли.
Прежде всего, стоит поинтересоваться у клиентов - а оно им надо?
Вот тут в сообществе Авангарда довольно эпическое обсуждение вопроса (хотя там его сравнивают со спором тупоконечников и остроконечников )
А вот ссылочка на не менее эпический ответ представителя уже другого банка, где он приводит стальные аргументы по сабжу.
Так что ждут банкиры последнего звонка

Андрей, вот Вам мнение одного клиента, мое - мне надо. Надо хотя бы потому, что в случае утери карты, я защищен. Впрочем, с 1.01.2013 меня еще и 161-ФЗ защитит, в особенности от назойливого Skype, который любит списывать деньги с Авангардовской карты без моего разрешения (что интересно, акцепта на длительное списание я не давал, а 3D-secure в этом случае не работает).
Что же до эпических ответов представителей банков, так это они такие эпические до тех пор, пока 1 января 2013 не наступило, а потом, скорее всего все вспомнят, что есть еще и закон об ЭЦП, под который подпадает и ПИН...

Один-два раза Вы защититесь от назойливого Skype, но потом банк тоже сможет воспользоваться
статьей из "хитрого" закона и откажет в выпуске электронного средства платежа.

Спор вполне бессмысленный, но на всякий случай задумайтесь о том, что вводить ПИН не строго в банкомате, находящемся в отделении банка, вообще говоря, далеко не безопасно. А делать это по несколько раз в день в отечественных "точках", не озабоченных обеспечением конфиденциальности ввода кода, значит поднимать до небес вероятность того, что люди, владеющие нужными навыками, подсмотрят его и затем освободят вас от этой ноши. Дальше объяснять, надеюсь, не нужно.

Конечно вероятность того, что карту просто сопрут и расплатятся в магазине, выше, но потери в случае компрометации ПИН с одновременной утерей карты неизмеримо больше (и при том потери неоспариваемые). Так что оперировать лучше таким параметром, как матожидание потерь, и каждый оценивает его по-своему.

По мне, так ПИН нужен для того, чтобы снимать нал с дебетовой карты через банкомат в отделении банка (или другом сравнительно надежном месте), а для знать ПИН к кредитке -- совершенно лишняя информация.

Поведайте, в чём состоят страхи банковского сообщества и какую статью закона должен выполнить Авангард (а еще ТКС и Газпромбанк; а еще у меня по картам ЗАО ВРУ иногда в оффлайне без ПИНа операции проходят на относительно немаленькие суммы), перенастроив процессинг. В общем очертите предмет дискуссии.

После этого можно будет начать предметный разговор.

А как этот закон регламентирует требование пин-кода по чиповым картам? И почему именно по чиповым? По картам с магнитной полосой что ли не требует или даже запрещает?

Может быть потому, что в действующих нормативных документах основным способом предумотрена именно подпись, а про пин-код (точнее, АСП) сказано, что его "клиент _может_ ввести"? И возможность требовать обязательный ввода пина, насколько мне известно, в нормативных документах не предусмотрена.

Думаю, Вам имеет смысл ознакомиться с законом об ЭЦП, под который подпадает ПИН.

"Думаю, Вам имеет смысл ознакомиться с законом об ЭЦП, под который подпадает ПИН. "

Это не более чем Ваши фантазии, ПИН не является не ЭЦП, ни АСП и являться не может, в силу технологических ограничений....

Я надеюсь, Вы в состоянии ткнуть меня мордой лица в конкретную статью закона, которая требует обязательного использования ПИНа при выполнении платежей банковскими картами?
Мне вот почему-то кажется, что упомянутый Вами закон вообще не регламентирует порядок оплаты банковскими картами.

И почему же Вам так, Игорь, кажется?

(и почему бы не ткнуться самому в правила платежных систем, правила авторизации при наличии PIN-PAD и его отсутствии, правила авторизации при наличии COC (Chip on Card) и магнитной полосы. Потыкайтесь, как Вы изволили выразиться, еще в десяток смежных законов. )

А если Вы, Игорь, представляете, например, юридический департамент или департамент экономической безопасности какого-нибудь банка, то мы обязательно вернемся к этому вопросу числа эдак 15 января 2013.

Ну вот, сказали "а", а про "б" - молчите

Платежные системы Вы тут зря упомянули. В рамках проекта по запуску эмиссии EMV карт платежные системы сертифицируют профайл чипа, в том числе и его CVM (Card Verification Method) List. "Неправильные" чипы ПС выпускать не позволят.

Алексей Кормилкин,
Вы такой весь из себя эксперт, а не знаете, что закон об ЭЦП уже не действует.
А что вместо него? Не скажу, покопайтесь сами.

Михаил, даже не знаю, что Вам ответить на Ваше: "Вы такой весь из себя эксперт", разве что, ну да, эксперт, и не сомневайтесь

http://www.buhonline.ru/pub/news/2012/7/6225

Хорошо, раз эксперт.
Зачем же ссылаться на закон, который если и не утратил силу, то утратит очень скоро, если вместо него уже принят другой, который действует более года?

А зачем мне тыкаться в правила платежных систем? Ко мне, как клиенту банка и как покупателю в магазине, они ни малейшего отношения не имеют, и частью ни моего договора с банком, ни договора розничной продажи не являются.


Ссылочкой не поделитесь, кем и на каком юридическом основании они были приняты и где и когда были опубликованы для всеобщего сведения?
А то ведь если я Вас правильно понял, это документы, определяющие договорные отношения между юридическими лицами, и они не имеют ни малейшего отношения к клиентам этих самых юрлиц.

Игорь, PCI DSS, но на этом дискуссию с Вами закончу.

akormilkin, а Вам комфортно вводить PIN в магазине у всех на виду?

Уважаемый, АЕ_, мне комфортно, поскольку:

1. я не собираю специально по этому случаю толпу зрителей
2. я всегда имею возможность нажать красную кнопку (отказ от ввода PIN) и авторизации по подписи (правда, не все банки и POS соглашаются в таком случае брать на себя риски)

Вы серьезно полагаете, что для "снятия" ПИНа нужна толпа зрителей?

Потому что я всегда начинаю изучение юридических документов с внимательного и вдумчивого прочтения их преамбул.

написал выше, но повторюсь и здесь: в таком случае, Игорь, начните с вдумчивого прочтения PCI DSS

с удовольствием, всегда полезно расширить кругозор. Но только реквизиты назовите, пожалуйста: название, кем и когда принят, дату регистрации в Минюсте. А то у меня почему-то складывается ощущение, что этот документ не является нормативным.

- я не собираю специально по этому случаю толпу зрителей

Собираемость зрителей от нас не зависит, плюс кассир все может прекрасно видеть через зеркало.

Я ситуацию понимаю так на следующем примере. Банк настоятельно не рекомендует записывать PIN на карточке, но запретить это не может. Аналогично, банк не рекомендует расплачиваться с вводом PIN'а и пока всячески пытается это запретить. Но, реальность такова, что скоро запрещать это он не сможет. Только надо помнить, что если случится оплата с вводом PIN'а по украденной карточке, то возврата средств не будет в принципе...

Золотые слова, кмк

Возврата средств нет и без ПИНа

http://www.banki.ru/services/responses/bank/?responseID=4113790

Уже 4 года как запрещать не может. п. 2.10 266-П, если память мне не изменяет.

именно об этом и речь ведется... ибо подложка это..

Запрещать не может, делать предпочтительным способ не с аналогом собственноручной подписи, а с самой собственной подписью - почему нет? Указанный пункт 266-П точно это не запрещает.

Алексей Кормилкин, сошлитесь на конкретную статью конкретного нормативного документа, которая запретит банкам с 1 января "при оплате их чиповой картой в POS терминалах, настроенных на чтение чипа, никогда не запрашивать ПИН". PCI DSS (тут некоторые, не буду показывать пальцем, сертификацию под него проходили и осведомлены не хуже "экспертов"), VIOR и т. п. документы не являются нормативными в указанном смысле.

Согласен абсолютно.