10 ноября 2019, 13:00
Количество просмотров 2722

Платежи по QR-кодам: опыт UnionPay

На фоне набирающих в России популярность QR-платежей мы предложили независимому эксперту Дмитрию Николину поделиться своим анализом возможностей и реальных перспектив данной технологии, а также оценить ее возможное влияние на рынок традиционного карточного эквайринга на основе мирового опыта.
Платежи по QR-кодам: опыт UnionPay

Начнем с небольшого исторического экскурса. Как таковой двухмерный матричный штрихкод, получивший название Quick Response (QR-код), был разработан специалистами DENSO Wave – подразделением DENSO Incorporated – в 1994 году. В 1997 году изобретение было зарегистрировано в соответствии со стандартом ITS AIMI, и в 2000 году QR-коды были утверждены в качестве международного стандарта ISO / IEC18004.

Версии символов QR-кода варьируются от Версии 1 до Версии 40. Каждая версия имеет свою конфигурацию модуля или количество модулей (черно-белых точек, составляющих QR-код). «Конфигурация модуля» относится к числу модулей, содержащихся в символе, начиная с Версии 1 (21 × 21 модулей) до Версии 40 (177 × 177 модулей). Каждый более высокий номер версии содержит 4 дополнительных модуля на каждой стороне кода. Каждая версия QR-кода несет максимальный объем данных в зависимости от количества данных, типов символов и уровня исправления ошибок. Другими словами, по мере того как объем данных увеличивается, требуется больше модулей для включения в QR-код, что приводит к увеличению площади самого QR-кода.

Технология была принята производственными отраслями в качестве удобного и быстрого способа считывания информации, причем информации более значительного объема и высокого качества, чем та, которую несет обычный штрихкод (способный обеспечивать кодировку только цифры). QR-коды активно применяются для маркировки деталей и запасных частей. Социальные сети и телефонные справочники используют QR-коды для быстрого обмена контактной информацией. QR-коды на рекламе ведут по ссылкам на рекламируемые товары и услуги, переводя офлайн-трафик в онлайн-взаимодействие. И это далеко не полный перечень примеров использования QR-кодов.

QR-коды открывают новый рынок, клиенты которого – владельцы недорогих смартфонов, использующие платежные сервисы

Так, например, в 2013 году сеть «Макдоналдс» начала размещать QR-коды с информацией о пищевой ценности еды на всей упаковке. В 2017 году «Макдоналдс» начал тестировать в США сервис Mobile Order & Pay, который позволяет клиентам заказать еду через мобильное приложение, а затем прийти в ресторан, чтобы забрать его. В ресторане клиент сканирует QR-код, ресторан начинает готовить свой заказ. Деньги с карты клиента списываются только при сканировании кода, что означает отсутствие обязательств со стороны ресторана или клиента до тех пор, пока клиент не приедет в ресторан за покупкой. Чтобы стимулировать использование этой услуги, «Макдоналдс» предлагает в своем приложении скидки и купоны, которые можно использовать только через сервис Mobile Order & Pay.

Финансовая индустрия также не стоит на месте, и возможности кодирования большого объема буквенно-цифровых данных привлекли финансовые институты, в первую очередь небанковские. Банковские институты, по причине большей консервативности, обратили внимание на возможности использования «картинки» только после грандиозного успеха финтех-компаний, в первую очередь в странах Юго-Восточной Азии.

WeChat внедрил мобильные платежи в 2013 году, при этом денежные средства хранятся в электронных кошельках в WeChat. Перед китайским Новым годом в 2014 году WeChat запустил сервис «Красные конверты» (в Китае в красные конверты упаковывают денежные подарки семье или друзьям). Сервис стал ключевым драйвером роста безналичных платежей через WeChat и сразу стал популярным среди пользователей мессенджера. Сервис стал активно использоваться не только для переводов между частными лицами (сегмент С2С), но и для предоставления скидок, купонов и кешбеков онлайн- и офлайн-магазинами для своих покупателей (В2С).

QR-коды как альтернатива для платежных систем

Многие считают QR-код универсальным мотиватором, который сразу же привлечет клиентов и институциональных партнеров и даст взрывной толчок финансовому бизнесу. Но в реальности QR-код – всего лишь альтернативный канал передачи информации с расширенными возможностями. Традиционные карты, платежи с помощью носимых устройств, брелоков, колец и браслетов, а также с помощью смартфонов с NFC-интерфейсом с рынка при этом не уйдут. Платежи по QR-коду – по сути нишевое решение. Так, для отображения или считывания QR-кодов требуется самый недорогой смартфон с обычной камерой и экраном. По некоторым оценкам, в настоящее время более 40% смартфонов не оснащены модулями NFC, а значит, не могут применяться в современной платежной инфраструктуре. Таким образом, QR-коды открывают новый рынок, клиенты которого – владельцы недорогих смартфонов, выступающие в качестве пользователей платежных сервисов.

QR-коды позволяют недорого создать «с нуля» платежную инфраструктуру, которая не требует дорогих POS-терминалов, защищенных каналов связи или высоких стандартов обработки транзакций. Из-за своей простоты и дешевизны, например по сравнению с традиционными картами, финтех-компании стали применять QR-коды как универсальное средство идентификации. Вкупе с возможностями создания электронных кошельков оплата посредством передачи информации от плательщика к получателю не путем ввода идентификационных цифр и букв, а с помощью считывания QR-кода камерой смартфона в своем мобильном приложении дала толчок для развития С2В-платежей и выглядит хорошей альтернативой традиционному эквайрингу. Добавим сюда то, что обе стороны транзакции – покупатель и продавец – являются прямыми участниками системы, что снижает стоимость обработки транзакции, тем самым отменяя необходимость выплачивать interchange от эквайрера эмитенту. Остается только сервисная комиссия, доход самой платежной системы и еще один бонус для платежной системы – привлеченные средства, остатки на счетах электронных кошельков.

На рынке Китая первым масштабным и успешным QR-проектом стали, как уже отмечалось, платежи WeChat, которая внедрила в своем электронном кошельке оплату посредством QR-кода в 2014 году. Международные платежные системы последовали за финтехами. Особый интерес вызывает возможность использования устройств на базе iOS, без необходимости использовать Apple Pay и, как следствие, оплачивать сервисные комиссии за проведение сертификаций и обслуживание транзакций.

Платежи по QR-кодам: опыт UnionPay - рис.1

Какие платежные сценарии возможны и используются в настоящее время?

В 2017 году EMVCo одобрила глобальный стандарт платежного QR-кода, разработанный при участии UnionPay. Согласно Операционным правилам UnionPay, при использовании QR-кодов транзакция проводится с использованием токенизированной карты, которая генерируется сервисом токенизации карт UnionPay (UMPS, аналог VTS у Visa или MDES у Mastercard). Сама транзакция представляет собой обычную токенизированную карточную операцию (покупка, снятие наличных), в авторизационном запросе которой добавлены четыре поля, и которая обрабатывается банками-эквайрерами и эмитентами обычным способом. Платежный QR-код UnionPay представляет собой запрос в соответствии со стандартом и спецификацией EMVCo. Для ТСП все платежные системы могут быть объединены в один QR-код; а для держателя карты любой продукт мобильного кошелька (банковского приложения) может произвести оплату QR-кодом. Проверка владельца карты проводится методами CDCVM (Consumer Device Cardholder Verification Method), такими, как отпечаток пальца или Face ID. Транзакция с QR-кодом проходит с токенизацией реального номера карты для защиты от риска раскрытия конфиденциальной информации ее держателя.

Для предоставления (provisioning) токенизированной карты UnionPay (если эмитент сертифицирован) банковское платежное приложение направляет запрос в сервис UMPS, который пересылает его в банк-эмитент. Банк-эмитент обычно отсылает SMS-пароль своему клиенту, который вводит его в приложение, приложение направляет ответ в банк, банк подтверждает его и возвращает ответ в UMPS. Внешне для клиента получение токенизированной карты чем-то похоже на покупку в интернете с использованием 3D-Secure, но для банка ее обработка отличается значительно. UMPS по получению положительного ответа от банка-эмитента генерирует карту-токен, которая может использоваться только с QR-кодом и только в данном мобильном приложении (определяется в т. ч. по ID-электронного кошелька). Затем карта-токен направляется в мобильное приложение, которое сохраняет ее для проведения транзакций. На  схеме это выглядит следующим образом (см. рис. 1).

Платежи по QR-кодам: опыт UnionPay - рис.2

Платежное решение QR-кодов UnionPay поддерживает режимы: а) с представлением QR-кода продавцом, и б) с представлением QR-кода покупателем. В режиме «с представлением QR-кода продавцом» возможны варианты: а) со статическим или б) динамическим QR-кодом продавца. Статический QR-код может содержать либо а) идентификационные данные продавца, либо б) данные продавца и сумму платежа.

Если код показывает продавец, то покупатель сканирует его камерой своего мобильного приложения (а если код показывает покупатель, то его сканирует продавец). При превышении лимита покупатель подтверждает его дополнительным ПИН-кодом (только для мобильного приложения), и запрос отправляется в сервис UMTS, который обращается в мобильное приложение клиента – физического лица, проводящего оплату, получает его подтверждение, обращается в банк-эмитент со стандартным карточным авторизационным запросом и отвечает обратно в банк-эквайрер. Если авторизация одобрена, то покупка успешно совершена (см. рис. 2). Расчеты проводятся в стандартном виде для карточных транзакций, при этом эмитент получает отчет с номером традиционной карты, а эквайрер – токенизированной, т. е. именно так, как они «видят» платеж в реальном бизнес-процессе. С учетом того, что при превышении лимита требуется подтверждение клиентом, необходимое условие для проведения транзакции – наличие интернет-соединения у смартфона клиента.

Платежи по QR-кодам: опыт UnionPay - рис.3

Аутсорсинг без комиссий

Для банков-эквайреров UnionPay, которые еще не сертифицировали свой хост на прием QR-кодов, UnionPay предоставляет сервис подключения торгово-сервисных предприятий (ТСП) напрямую к UnionPay (MSP, Merchant Service Platform). В таком случае банк-эквайрер заполняет электронную заявку, а ТСП получает QR-код либо приложение (или SDK для самостоятельной разработки) для возможности генерирования динамического (с суммой) QR-кода. В таком сценарии банк-эквайрер обслуживает только расчеты и по получении возмещения от UnionPay зачисляет средства на счет ТСП. Отчеты по операциям, отмена транзакций и возвраты средств также обслуживаются через этот сервис, причем без взимания дополнительных комиссий.

Open API для QR-кодов?

Кошельки (мобильные приложения) не обязательно должны принадлежать банкам-эмитентам. Например, сервисы Apple Pay, Google Pay, Samsung Pay, Huawei Pay предоставляют сервисы, позволяющие сертифицированным эмитентам сгенерировать токен платежной карты и «положить» его в кошелек на телефоне. Другие глобальные игроки предлагают собственные решения. Например, у UnionPay есть мобильное приложение UnionPay App, в которое можно «положить» любую карту UnionPay сертифицированного банка (платежи QR-кодами и NFC). Приложение распространяется среди банков-участников по схеме White Label – т. е. каждый банк-эмитент может брендировать приложение «под себя».

Рынок расширяется, появляются возможности предоставления универсальных мобильных кошельков, в которые можно «складывать» карты разных платежных систем. Тогда при оплате покупатель будет выбирать карту одним движением пальца, почти так же, как в реальной жизни он достает пластиковую карту из бумажника. Для обеспечения безопасности карточных данных поставщики приложений (мобильных кошельков) должны пройти сертификацию PCI DSS, чтобы подтвердить, что соответствующая конфиденциальная информация надежно защищена. Повышенная безопасность требуется, например, для сценария проверки держателя карты (метод аутентификации CDCVM), т. к. проверка осуществляется мобильным кошельком от поставщика приложения, а не POS-терминалами в традиционной транзакции, и поставщик приложения несет ответственность за достоверность проведенной проверки. Представим ситуацию, когда мобильное устройство попадет в руки мошенников, которые смогут открыть мобильное приложение («кошелек») и произвести оплату. Кто несет ответственность, помимо банка-эмитента? Да не кто иной, как поставщик мобильного приложения. В случае, разумеется, если банк-эмитент при внедрении мобильного приложения в договоре зафиксировал гарантии поставщика.

Скидки и не только

Уникальность QR-кода в том, что его можно расширять, дополняя новыми функциями, и все это – в рамках стандарта. Востребованная функция – получение скидки в момент оплаты. Это позволяет сделать комбинированный QR-код, в котором «зашиты» как размер платежа, так и предоставляемая скидка.

В режиме представления QR-кода покупателем пользователь мобильного кошелька может пользоваться опцией «QR Code Payment + U Plan Discount» (специальная программа привилегий UnionPay, в которой зарегистрированные торговцы могут зафиксировать размер скидки) и за один шаг получить скидку и оплатить покупку. Все продавцы технически поддерживают оплату как QR-кодами с предоставлением скидки через U-plan, так как запрос обрабатывает сервис UMTS, который знает, какая информация зашита в запросе QR-кода, и, в случае если в код также включен скидочный купон, система автоматически рассчитывает скидку, и с карты покупателя будет списана сумма с учетом скидки (см. рис. 3).

Сервер U-plan считает размер скидки, в момент проведения транзакции, то есть клиенту или ТСП ничего не нужно дополнительно делать – размер скидки рассчитает UnionPay, направит авторизацию на де-токенизацию (т.е. конверсию номера токена в номер реальной карты), а эмитент получит запрос уже конечной суммы покупки. При этом ТСП заранее подписывают договоры о предоставлении скидок, а также указывают размер скидок для платежей QR-кодами.

В режиме представления QR-кода продавцом владельцы карт инициируют платеж с помощью мобильного приложения, считывают QR-код продавца, и при проведении транзакции система автоматически выбирает лучшую скидку. Платеж проходит с учетом скидки.

Комбинированный сервис улучшает клиентский опыт и усиливает лояльность покупателей, тем самым обеспечивая продвижение ТСП среди пользователей мобильных кошельков и привлечение большего количества покупателей, а также увеличение количества транзакций в ТСП.

Платежи по QR-кодам: опыт UnionPay - рис.4

Отличия карточных МПС и финтех-сервисов

Следует помнить, что карточные платежные системы работают в ИТ-инфраструктуре и операционных рамках карточных транзакций, к которым применимы стандарты безопасности PCI DSS, а также разнообразие платежных сценариев. Это не говорит о том, что платежи в закрытых некарточных платежных системах небезопасны, но лишь объясняет причины более сложной архитектуры. Дополнительно архитектуру усложняет различие в организации взаимодействия с клиентами. У традиционных карточных платежных систем принята четырехсторонняя модель (держатель карты – эмитент – эквайрер – мерчант), при которой платежная система устанавливает стандарты и межбанковское взаимодействие. А в так называемых финтех платежных системах (например, WeChat или Alipay) эмитент и эквайрер – одно и то же лицо, т. е. сама платежная система. Таким образом, отсутствуют два важных самостоятельных звена – эмитент и эквайрер. Иными словами, такие системы не развивают конкуренцию и не способствуют привлечению новых игроков на рынок безналичных платежей, монополизируя его.

Останутся ли традиционные платежные банковские карты международных платежных систем на фоне набирающих популярность технологий QR-кодов и их более дорогих конкурентов – NFC? Да, останутся. Может быть, не в форм-факторе обычной пластиковой банковской карты, а кольца или брелока. Но нельзя забывать, что традиционные карты (в том числе в форм-факторах колец, брелоков, часов и т. п.) – единственные устройства, которые не требуют для проведения оплаты наличия внутреннего электропитания (аккумулятора). 

Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube