Верифікація картки: що це і для чого використовується

Щоразу, коли покупець вводить дані картки в онлайн-формі або прикладає її до POS-терміналу, у фоні запускається ланцюжок перевірок. Цей процес – верифікації картки – є фундаментом безпечних платежів для бізнесу та його клієнтів. Розгляньмо, як він влаштований, які методи застосовуються та де можуть виникати збої.

Що таке верифікація картки? Верифікація картки – це перевірка дійсності картки та правомірності її використання до або під час транзакції. Простіше кажучи, система перевіряє: картка справжня, вона не заблокована, а людина, яка нею платить, – справді її власник.

Важливо розмежувати три суміжні поняття, які часто плутають:

• Верифікація – підтвердження того, що картка існує та є дійсною. Відбувається до або під час ініціації транзакції. Перевірка валідності картки на сайті передбачає перевірку реквізитів: номер, термін дії, CVV-код, іноді адреса або OTP.
• Авторизація – дозвіл банку-емітента на списання конкретної суми з рахунку. Відбувається після верифікації: банк перевіряє залишок коштів, ліміти та видає дозвіл або відмову.
• Аутентифікація (3D Secure) – підтвердження особистості власника картки за допомогою одноразового пароля (OTP-код). Це додатковий рівень захисту, який активується під час онлайн-оплат або верифікації.

Таким чином, валідація даних картки (верифікація) передує авторизації, а аутентифікація може бути частиною обох процесів залежно від налаштувань платіжного провайдера та вимог банку-емітента.

Верифікація – це не лише зручність для кінцевого користувача. Для бізнесу це стратегічний інструмент управління ризиками та відповідності міжнародним стандартам безпеки платежів.

• Мінімізація шахрайства та запобігання chargeback. Верифікація підтверджує, що транзакцію здійснює законний власник картки. Це суттєво знижує ризик несанкціонованих операцій та відкликань платежів (chargeback), які коштують бізнесу не лише грошей, а й репутації.
• Управління ризиками через ризик-скоринг. Сучасні платіжні шлюзи та антифрод-системи аналізують дані верифікації у реальному часі, формуючи ризик-скор транзакції. Підозрілі операції можуть бути заблоковані або відправлені на додаткову перевірку автоматично.
• Відповідність міжнародним вимогам безпеки (комплаєнс). Стандарт PCI DSS та вимоги платіжних систем Visa і Mastercard зобов'язують бізнес впроваджувати надійні процедури перевірки карток. Недотримання може призвести до штрафів та втрати права приймати карткові платежі.
• Збільшення конверсії та довіри клієнтів. Коли верифікація відбувається швидко та без зайвих кроків, покупці рідше покидають форму оплати. Натомість видимі елементи безпеки – значки 3D Secure, захищений чекаут – підвищують довіру до платформи.
• Актуальність для різних бізнес-моделей. Маркетплейси, інтернет-магазини, таксі, сервіси доставки, мікрофінансові організації (МФО) та платформи за підпискою – усі вони потребують верифікації як ключового елемента платіжної інфраструктури.

Верифікація відбувається за лічені секунди, але за цей час платіжна інфраструктура виконує кілька послідовних кроків. Ось спрощений алгоритм процесу:

1. Введення даних клієнтом. Покупець вводить номер картки, термін дії та CVV-код на сторінці оплати або у формі верифікації.
2. Передача даних платіжному шлюзу. Зашифровані дані картки надходять до платіжного шлюзу (наприклад, Tranzzo). Шлюз виступає посередником між магазином та банківською системою.
3. Первинна валідація даних. Шлюз перевіряє формат картки: довжину номера, контрольну суму (алгоритм Луна), термін дії, відповідність CVV.
4. Запит до еквайра. Дані передаються банку-еквайру (банк продавця), який надсилає запит до платіжної системи (Visa/Mastercard).
5. Перевірка банком-емітентом. Банк-емітент (банк власника картки) отримує запит і перевіряє: чи дійсна картка, чи не заблокована, чи відповідають дані записам у системі. Запускається антифрод-аналіз та ризик-скоринг транзакції.
6. Додаткова аутентифікація (за потреби). Якщо увімкнено 3D Secure або AVS, клієнту надходить OTP-код або система звіряє адресні дані.
7. Відповідь та подальша обробка. Банк-емітент надсилає підтвердження або відмову. У разі успіху платіжний шлюз повертає токен картки – безпечний ідентифікатор для майбутніх транзакцій (токенізація).

Залежно від типу бізнесу, платіжної системи та налаштувань еквайра, перевірка картки може відбуватися різними методами. Кожен із них має свої особливості та сценарії застосування.

Тимчасове блокування невеликої суми

Клієнт вводить реквізити, система блокує на картці невелику суму (зазвичай до 5 грн). Власник картки підтверджує верифікацію, вводячи точну заблоковану суму – її можна дізнатися в онлайн-банкінгу або через SMS-повідомлення. Після успішного підтвердження кошти автоматично розблоковуються через кілька хвилин. Цей метод дає змогу підтвердити, що картка активна та доступ до рахунку є у законного власника.

3D Secure (аутентифікація власника картки)

Один із найпоширеніших методів для онлайн-платежів. Як пройти верифікацію картки при оплаті через 3D Secure? Система блокує невелику суму і надсилає клієнту одноразовий пароль (OTP-код) через SMS або push-повідомлення в банківському додатку. Після введення коду заблоковані кошти повертаються. 3D Secure є стандартом безпеки, який підтримується більшістю банків-емітентів. Використання цього методу підвищує захист транзакцій та знижує ризик відповідальності продавця у разі chargeback.

Lookup / OTP-підтвердження без утримання коштів

Верифікація картки без тимчасового блокування коштів – клієнт отримує OTP-код у SMS або push-повідомленні та підтверджує ним перевірку. Це зручний метод, коли на рахунку немає коштів або одна зі сторін не підтримує 3D Secure. Platіжні рішення Tranzzo підтримують цей метод верифікації, що дозволяє охопити ширшу аудиторію клієнтів.

AVS (Address Verification System)

Система перевірки адреси (AVS) порівнює адресні дані, введені покупцем під час транзакції, з даними, зареєстрованими у банку-емітенті. Якщо виявлено невідповідність, система може відхилити транзакцію або вимагати додаткову перевірку. AVS широко застосовується в США та Великій Британії, особливо в B2B-платежах та електронній комерції з міжнародними картами.

Верифікація без блокування коштів та підтвердження від платника

Сайт надсилає запит до банку й при позитивній відповіді проводить платіж без додаткових кроків з боку клієнта. Цей метод застосовується на платформах, де платник вже авторизований і попередньо пройшов верифікацію. Він прискорює досвід оплати для повторних клієнтів.

Процес верифікації суттєво відрізняється залежно від того, де відбувається транзакція – в інтернеті, у фізичному магазині чи через токенізовану оплату.

Інтернет-еквайринг (онлайн-оплата)

Онлайн-платежі потребують найбільш комплексної верифікації, оскільки картка фізично не присутня (card-not-present транзакція). Онлайн перевірка платіжної картки під час оплати включає: валідацію даних картки, CVV-перевірку, 3D Secure аутентифікацію, AVS (за потреби) та ризик-скоринг на стороні платіжного шлюзу і банку-емітента. Саме в інтернет-еквайрингу зосереджена більшість спроб карткового шахрайства, тому рівень перевірок тут найвищий. Перевірка валідності картки на сайті є критично важливою для захисту від фінансових втрат.

POS-термінал (офлайн-оплата)

При оплаті через фізичний POS-термінал картка присутня фізично (card-present), що саме по собі є додатковим фактором перевірки. Більшість верифікаційних процесів інтегровані безпосередньо в термінал: зчитування чіпу EMV, перевірка PIN-коду або підпис власника. Антифрод-рівень нижчий, ніж в онлайн, але й ризики – теж.

Токенізація платежів

Токенізація – це заміна реальних даних картки унікальним цифровим токеном. Після першої успішної верифікації платіжний шлюз зберігає токен замість реквізитів, що мінімізує ризик витоку даних. Токени Visa (VTS) та Mastercard (MDES) широко використовуються у мобільних гаманцях (Apple Pay, Google Pay) та підписних платформах. Платіжний провайдер забезпечує безпечне зберігання токенів і їх коректне використання в наступних транзакціях без повторної верифікації від клієнта.

Важливо розуміти: не кожна відмова при верифікації означає нестачу коштів. Помилки можна розділити на три категорії залежно від їх джерела.

Помилки з боку користувача

• Неправильно введені дані: номер картки, термін дії або CVV-код.
• Закінчився термін дії картки.
• Введення невірного OTP-коду або його прострочення.
• Невідповідність адресних даних при AVS-перевірці.

Помилки з боку банку-емітента

• Картка заблокована через підозру на шахрайство або за заявою про втрату/крадіжку.
• Банк відхилив операцію за результатами ризик-скорингу (наприклад, нетиповий географічний регіон, незвичайна сума).
• Банк-емітент не підтримує 3D Secure або тимчасово недоступний.
• Обмеження на онлайн-транзакції або міжнародні платежі.

Технічні помилки провайдера або мережі

• Технічні збої або перебої в системі платіжного шлюзу.
• Тимчасові проблеми з підключенням до інтернету на стороні клієнта.
• Затримки або помилки при передачі даних між платіжним шлюзом і банком-еквайром.

Якщо верифікація не проходить, варто спочатку перевірити правильність введених даних, а потім звернутися до банку-емітента – причина часто криється саме там, а не у платіжному провайдері.

Отже, що таке верифікація картки та чому вона так важлива? Верифікація картки – необхідний елемент сучасної платіжної інфраструктури, а не просто формальний захід безпеки. Вона захищає бізнес від шахрайства та chargeback, допомагає виконувати вимоги комплаєнсу та формує довіру з боку клієнтів.

Для різних бізнес-моделей – від інтернет-магазинів до МФО та маркетплейсів – важливо обрати платіжного провайдера, який підтримує необхідні методи верифікації: 3D Secure, токенізацію, AVS та OTP-підтвердження. 

Завдяки верифікації картки від Tranzzo ваш бізнес може бути впевненим у дійсності карток клієнтів та правомірності кожної транзакції. Дізнайтеся про можливості для вашого бізнесу у службі підтримки Tranzzo.

Чим верифікація відрізняється від авторизації?

Верифікація – це перевірка дійсності картки та особи власника до або під час транзакції. Авторизація – це дозвіл банку-емітента на списання конкретної суми з рахунку. Верифікація передує авторизації: спочатку система переконується, що картка справжня та використовується законно, і лише потім запитує дозвіл на списання коштів.

Чому банк може відхиляти верифікацію картки?

Причин може бути кілька: картка заблокована або прострочена; банк виявив підозрілу активність і тимчасово обмежив операції; транзакція не відповідає профілю звичної поведінки клієнта (незвичний регіон, велика сума); картка не підтримує певні типи операцій (наприклад, міжнародні платежі). У разі відмови варто звернутися до банку-емітента для з'ясування причини.

Чи можна пройти верифікацію картки без коштів на рахунку?

Так. Метод верифікації через Lookup/OTP-підтвердження не потребує наявності коштів на рахунку, оскільки кошти не блокуються. Клієнт підтверджує верифікацію одноразовим паролем. Цей метод особливо актуальний для платформ, де потрібно підтвердити картку (наприклад, для підписки або збереження способу оплати), не здійснюючи фактичного списання.