Что такое pan на банковской карте

Обновлено: 28.03.2024

Я, конечно, не получаю пачками вопросы по безопасности платежных карт, однако, время от времени кто-нибудь да и задаст мне такой вопрос, который заслуживает отдельной публикации в блоге. Буквально на днях одна читательница, Мишель, задала мне такой вопрос, который, в целом отражает часто встречающееся непонимание в сфере безопасности платежных карт:

Вчера я перечитывала PCI DSS 2.0, требование 3.4, и была немало удивлена тем, что для защиты хранимых номеров PAN не предлагается такая мера как «маскирование». Правильно ли я понимаю, что эти номера подлежат шифрованию перед помещением их на хранение, а при извлечении, они подлежат расшифрованию и маскированию? И потом, если мы получаем номер PAN уже в маскированном виде, а затем храним его, то попадает ли такое хранение под действие стандарта PCI DSS? С технической точки зрения, как я думаю, не попадает, т.к. PAN уже маскирован при получении, а значит нет возможности найти номер PAN в незашифрованном виде.

Вот в этом как раз и кроется основная суть непонимания сути маскирования. Многие люди либо вообще не знают о существовании усечения и полагают, что если они не могут видеть полный номер карты, то это маскирование, либо считают, что усечение и маскирование — это одно и то же. Несомненно это разные вещи, поэтому я позволю себе процитировать определения маскирования и усечения прямо из Глоссария PCI SSC:

Маскирование (Masking)

Метод сокрытия сегмента данных при отображении или печати. Маскирование используется, когда нет служебной необходимости в просмотре всего номера PAN.

Усечение (truncation)

Метод приведения номера PAN к нечитаемому виду посредством удаления сегмента данных PAN.

Представьте себе данные о держателе карты (далее – ДДК) в виде цифр на листке бумаги. При маскировании мы словно берем коррекционную ленту и наносим ее на большую часть цифр таким образом, чтобы человеку, которому передается этот листок, было видно только последние 4 цифры. Очевидно, что при этой операции данные по прежнему существуют под коррекционной лентой, хотя она их и скрывает. Разумеется, с этого листка бумаги, приложив некоторые усилия, можно счистить коррекционную ленту, а значит этот лист бумаги по прежнему нуждается в защите, при которой никакие злоумышленники не могли бы восстановить и использовать данные о держателе карты.

В свою очередь, если бы мы хотели выполнить усечение на этом листке бумаги, то мы бы либо вообще изначально не писали эти цифры, либо стерли их настолько надежно, что их никогда нельзя было бы воссоздать. Такие данные никогда не были бы написаны на листе бумаги, а значит никак не могли бы быть использованы для мошенничества с платежными картами. В таком сценарии, этот лист бумаги не имеет никакой ценности для злоумышленника, а значит нет необходимости его защищать, по крайней мере в той же степени, в которой следует защищать маскированные данные. Конечно, к этим усеченным данным могут быть привязаны какие-то дополнительные данные или значения, но сами по себе усеченные данные ценности не имеют.

Если на экране отображаются данные, из которых видна только малая часть, то нельзя знать наверняка, какие именно представлены данные — усеченные или маскированные. Для того, чтобы это узнать, необходимо глубже понимать процессы их обработки. Только понимая процессы, можно сказать, можно ли каким-либо воссоздать эти данные или же в базе данных хранятся те же данные, которые видны на экране. Находясь в обычном магазине, можно увидеть на чеках последние 4 цифры номера карты. Если платежное приложение написано корректно, то должность персонала – будь то руководитель торгового зала или продавец — не должна иметь значения: в любом случае никто не должен видеть ничего кроме последних 4 цифр номера. Дело в том, что в таком приложении данные не сохраняются, а значит ни у кого из сотрудников магазина нет возможности извлечь данные из системы — данные усечены и их в системе больше нет.

Совсем иная ситуация в бэк-офисе, в бухгалтерии и в службе, отвечающей за предотвращение ущерба. По умолчанию, сотрудники этих отделов и служб должны видеть только 4 последних цифры номера платежной карты. Однако при возникновении претензионных платежей или подозрений на вероятное мошенничество, сотрудники компании в рамках расследования должны иметь возможность отменить маскирование полного номера карты. Эти номера по-прежнему существуют на сервере, однако, они там в основном хранятся в маскированном (скрытом) виде, и отображаются только должным образом уполномоченному персоналу. Поскольку имеется возможность извлечения этих данных на серверах, они полностью входят в область оценки на соответствие стандарту PCI DSS и подлежат соответствующей защите.

Таким образом, отвечая на вопрос читательницы, я скажу, что хранимые данные не могут быть «маскированы». Они маскируются только при извлечении и считаются маскированными, если отображены частично. Именно поэтому, в требовании 3.4 отсутствует маскирование. Если же ТСП получает ДДК, в которых имеется только сегмент номера PAN (например, сегмент из первых 6 или последних 4 цифр), то такие данные являются усеченными. В таком случае полный номер PAN отсутствует, воссоздание его невозможно, а значит нет необходимости его защищать так же, как и ДДК. Я не говорю, конечно, о том, что данные, привязанные к этому номеру не имеют ценности и не подлежат защите, просто усеченные данные не входят в область применения требований стандарта.

Если же ТСП получает полный номер PAN, но сотрудникам он отображается в маскированном виде, то, даже если никто в ТСП не имеет доступа к ДДК, оно все равно отвечает за их защиту согласно требованиям стандарта. Если в этих данных нет необходимости, есть смысл просить о предоставлении усеченных данных, тем самым, сэкономив кучу сил и нервов на общении с аудиторами, выполнении требований стандарта, да и вообще на процессе приведения среды в соответствие со стандартом PCI DSS. Например, я приятный в общении человек, но даже самые большие мои поклонники среди клиентов подтвердят, что я становлюсь противным и невыносимым, как минимум, раз в год, когда прихожу к ним для проведения аудита.


Банковские пластмассовые карты уже несколько десятков лет как вошли в жизнь населения земли . На нашем рынке банки начали массово внедрять их около 15 годов назад и на данный момент пластмассовые банковские карты получили достаточно обширное распространение.
Платежная карта , еще не так давно бывшая лишь модным аксессуаром предпринимателя , на сегодня может находиться в кармане студента, пенсионера, служащего, рабочего – словом хоть какого общественного и имущественного слоя современного общества.
Удобство использования, компактность, высочайшая безопасность транзакций, также прием платежей в любом гипермаркете и обширное распространение банкоматов и платежных терминалов, обусловило огромную известность этого вида системы расчетов, лишила необходимости всюду носить с собой валютные знаки, и одновременно иметь неизменный доступ ко всем своим средствам на счету и производить покупки при необходимости в любом магазине и на всякую сумму.
Кроме того, , важным фактором является возможность моментального предоставления кредита , в неких вариантах беспроцентного, в случае, если сумма на вашем карточном счету недостаточна для подходящей для вас покупки.

Что такое Pan? При настолько высочайшем распространении банковских пластмассовых карт , которые стали уже обычным спутником каждого человека, не много кто может понятно разъяснить , как они устроены и как работают.
Остановимся на данном мало по-детальнее . Любая платежная карта представляет собой маленький кусочек гибкого пластика, снабженного с одной стороны магнитной лентой. Данная лента является некоторым паролем , считываем?? устройством платежного терминала. Информация, которую считывают устройства с пластиковой карты , именуется Pan – типичный идентификатор. как отключить услугу альфа чек Хотите выяснить , как отключить услугу Альфа Чек?
Аннотация , а так же детальная информация по этому вопросу, размещена по предложенной ссылке . А если для вас любопытно , как оформить страхование жизни при ипотеке в Сбербанке 2016, то для вас просто нужно перейти по ссылке и прочитать статью. Для каких целей он нужен ?
Для обеспечения безопасности транзакций оплаты либо перевода средств с вашего карточного счета при помощи пластиковой карты вводится особенный неповторимый код , который состоит из последовательности цифр. Это и есть, так именуемый pan-код. Код написан на лицевой стороне карты и или написан при помощи краски, или является выпуклым, для обеспечения большей долговечности – ведь краска быть может стерта от времени и ношения в карманах одежки . Он бывает 13-ти либо 16-тизначный.
Кроме того, , код продублирован на магнитной ленте , которая расп оложена на задней части карты и записанный в виде компьютерного кода.

Что все-таки обозначают эти числа ? Индивидуальности пластмассовых карт ↑ Суть в том , что главной неувязкой , которой уделяется особенное внимание, является безопасность использования карты, чтоб злодей не мог совершить мошенничество и похитить либо пользоваться вашими средствами . 2-ое , что необходимо обеспечить – это неотказная и точная работа пластиковой карты , отсутствие просчетов при использования . Изготовка и устройство пластмассовых карт регламентируется интернациональным эталоном ISO/Mac 7812-1 , разрабатывающ?? и выдает организациям, интернациональная система SWIFT. В нашей стране сотворен схожий эталон ГОСТ Р-50809-95. кредиты пенсионерам в втб 24Вас интересует вопрос получения займа пенсионерам? Мы готовы предоставить для вас статью о банке ВТБ 24 и его критериях по кредиту пенсионерам. Публикация размещена по ссылке. Если вас интересует вопрос — почему сбербанк отказывает в займе , то для вас нужно ознакомиться со статьей , которая расположена по ссылке. А детальная информация о страховании займа в Сбербанке, размещена тут . Как его используют ? ↑ Для правильной и штатной работы пластмассовой карты предвидено последующее распределение существующих в пан-коде цифр: 1-ые 6 цифр – код эмитента карты –идентификатор банка , который выдал для вас ее, либо так именуемый , bin-код карты. Последующая последовательность из 7, 10 либо 13 цифр ( зависимо от конструкции) – фактически номер карты. Крайняя цифра- проверочная либо контрольная, служащая для недопущения просчетов . Обычно , в нашей стране употребляется последовательность из 16 цифр из которых 1-ые 6 – это бин карты. Необходимо подчеркнуть, что на магнитной ленте содержится большее количество инфы , разные доп проверочные знаки , разделители, указывается срок деяния карты и остальные сервисные коды, служащие надежности и безопасности работы. В сознании юзеров часто случается неурядица — люди путают pan и pin-коды собственной карты. Пан-код — это, как мы произнесли выше, сначала идентификатор, а пин-код — ваш индивидуальный скрытый пароль, который должен быть известен только юзеру и обладателю счета. Не передавайте и не сообщайте никому собственный пин-код и тем паче не записывайте его на самой карте – постоянно держите его в памяти, по другому вы рискуете столкнуться с огорчительными недоразумениями и потерей собственных средств . По собственному назначению существует достаточно много видов пластмассовых банковский карт, выпущенных в различное время, созданных для работы в различных платежных системах, но пан-код у всех схож по назначению и вне зависимости от количества цифр в нем сумеет быть прочитан хоть каким банкоматом либо терминалом. При осторожном и аккуратном обращении с картой и соблюдении нужных мер безопасности вы навряд ли столкнетесь с трудностями в использовании этой, на сегодня , наверное, самой комфортной системой расчетов – пластмассовой банковской картой.

На любой банковской карточке (не важно, дебетовой или кредитной) обязательно присутствует самый главный реквизит – ее номер, выдавленный или напечатанный на лицевой стороне. Без этого набора цифр никакая карта, в принципе, не может быть выпущена, поскольку в нем зашифрована вся необходимая информация о платежной системе, банке и счете карты. На языке международных банковских стандартов номер карточки называется PAN – Primary Account Number.

Номер банковской карты содержит в себе много информации

Каждая цифра в этом номере имеет определенное значение, и это далеко не случайная последовательность, как может показаться на первый взгляд. Все платежные шлюзы, принимающие оплату по банковским картам, умеют считывать номер карты, именно поэтому его проблематично подделать, или выдать одну карту за другую. Таким образом, отели или прокатные конторы легко определяют, какая карта предъявляется к оплате – обычная или кредитная, ведь известно, что не всякая гостиница или фирма по прокату машин будет работать с дебетовой картой.

Номер любой платежной карты состоит из нескольких стандартных блоков:

  • MII (Major Industry Identifier) – первая цифра номера, основной отраслевой идентификатор;
  • BIN (Bank Identification Number) – первые шесть цифр номера (включая MII), идентификатор банка-эмитента;
  • IAI (Individual Account Identification) – цифры номера, начиная с седьмой и до предпоследней, идентификатор типа карты и связанного с ней банковского счета владельца карты;
  • L (код алгоритма Luhn или “Луна”) – контрольная цифра, проверочное число правильности указания номера карты.

Для обычного человека значение всех этих цифр не особенно важно, к тому же, расшифровать полностью номер карты невозможно без знания алгоритма. Достаточно уметь распознавать основную информацию, чтобы быстро определять принадлежность карточки к той или иной платежной системе.

Самая главная информация заключена в первой цифре номера карты или в коде MII:

1 – карты, выпущенные авиакомпаниями;
2 – карты, выпущенные авиакомпаниями и некоторыми другими эмитентами;
3 – карты, выпущенные платежными системами American Express, JCB и Diners Club;
4 – карты, выпущенные платежной системой VISA;
5 – карты, выпущенные платежной системой MasterCard;
6 – карты, выпущенные платежными системами Discover и MasterCard (Maestro);
7 – карты, выпущенные нефтяными компаниями;
8 – карты, выпущенные компаниями из сфер телекоммуникаций и здравоохранения;
9 – резерв.

Также следует обращать внимание на общую длину PAN: у карт VISA номер состоит из 13 или 16 цифр, у карт MasterCard – из 16 цифр, у карт Discover – из 16 цифр, у карт American Express – из 15 цифр, у карт Diners Club – из 14 цифр, у карт Maestro – из 12 или 19 цифр, у карт JCB – из 15 или 16 цифр.

Номер, указанный на лицевой стороне банковской карты, может потребоваться вам в самых различных ситуациях. Например, для совершения любой оплаты через интернет (в этом случае для успешного онлайн-платежа понадобится еще и секретный код карты). Или для привязки карточного счета к счету сервиса PayPal. Или для довольно популярной ныне услуги – быстрому переводу денежных средств по номеру карты.

Поскольку номер карты относится к числу ее главных платежных реквизитов и используется для совершения платежей, следует особенно аккуратно относиться к его сохранности и конфиденциальности – не показывать карту посторонним людям, не хранить номер карты в доступном месте и не пересылать его в электронном виде по сомнительным адресам.

Все мы хотя бы раз оплачивали что-то через интернет. И в большинстве случаев, указывая реквизиты карты, мы вводили три цифры с обратной стороны карты. Вообще говоря, там не три, а больше :) Как на картинке, например. Там вы видите семь цифр. Просто первые четыре цифры повторяют последние четыре цифры номера (PAN) карты. Да, все просто. Это для удобства ввода и проверки.

А последние три цифры (на картинке обведены красным) - это как раз CVV2/CVC2 значение. Переводится как Card Verification Value 2 (значение проверки карты - 2) или Card Verification Code 2 (Код проверки карты - 2). Первое название используется в МПС VISA, второе название - в MasterCard. А вычисляются они одинаково абсолютно, алгоритм один, назвали почему-то по-разному. Так все через дробь и пишут.

О CVV я уже чуть-чуть рассказывал , сейчас еще раз напомню, что это. Кстати, я подумываю сделать пост, в котором красочно, возможно, с анимацией, а главное - в картинках, наглядно, и как можно менее занудно описан алгоритм шифрования 3DES, который используется в вычислении CVV, PVV, а так же во многих других местах в процессинге. Да и не только. Работа эта довольно объемная, но никакой практической ценности не имеет. Впрочем, как и многое другое в этой жизни. Поэтому я прошу вас поддержать меня в этом намерении. Если будет заметное количество лайков у этого поста и прочих серотонин-стимулирующих событий (вроде увеличения подписчиков), то решимость сделать этот материал у меня возрастет настолько, что я достану старые заготовки и действительно займусь :)

Так вот, CVV. Card Verification Value (Card Verification Code). Точнее, CVV2/CVC2. Цифра 2 говорит о том, что где-то есть и "номер один". И это действительно так, на магнитной дорожке карты, а так же на чипе микропроцессорной карты есть значение CVV, без номера. Оно играет роль как бы цифровой подписи нескольких значений, связанных с картой. А именно:

- PAN (номер карты)

- Expiration Date (срок действия карты)

- Service Code (код обслуживания), состояший из трех цифр, указывающих:

  • Тип и применимость карты (чиповая/магнитная, разрешены ли международные операции)
  • Нужно ли обрабатывать транзакции в on-line режиме
  • Ограничения на карту: нужен ли PIN, можно ли снимать деньги или только оплачивать в POS-терминалах и т.д.

Все эти значения (PAN, ExpDate и Service Code) определенным образом смешиваются и шифруются специальным секретным ключом банка. Получается длинная строка в шестнадцатеричном виде. Из нее выписывают первые три цифры (а там еще могут быть и буквы, от A до F, ведь это шестнадцатеричное число). Эти три цифры и есть CVV (CVC). Их записывают на магнитную полосу или в Track 2 Equivalent Data тэг в чипе карты. Эти данные служат для проверки данных карты при проведении операции по карте.

А CVV2/CVC2 используются в ситуации, когда карта не присутствует. Card Not Present. Странно, да? Да нет, все просто. Сидите вы за компьютером и хотите оплатить что-то. В компьютер карту не вставишь (а если и есть считыватель карт, то нет соответствующего софта и договора с банком-эквайером), поэтому данные карты вводятся руками, а не читаются с самой карты. Именно это подразумевается, когда говорят, что карта не присутствует. И кстати да, у вас эти данные могут быть на бумажечке рядышком, саму карту иметь не обязательно. Поэтому кстати, существует такая вещь, как виртуальная карта. Большинство банков предлагает такую услугу. Нужна она потому, что ее легко контроллировать: легко закрыть или ограничить, не стесняя обычную карту. Виртуальная карта существует только в БД банка и в вашем блокноте (файле).

На магнитную полосу (и в чип) эти данные (CVV2/CVC2) не записывают.

А вычисляется CVV2/CVC2 точно так же, как и CVV/CVC, но есть два отличия. Первое - код обслуживания ставится равным "000". Это бессмысленная цифра с т.зр. спецификации. Специально, чтобы никто не мог использовать это значение для записи на магнитную полосу поддельной карты. Ну и шифрование выполняется другим ключом, специально предназначенном для CVV2/CVC2.

Издатель карты (банк-эмитент) может проверить правильность ввода точно так же, как и с CVV/CVC - он повторяет вычисления, применяя ключ, который хранится у него в секрете. И если получается тот же результат - данные валидны.

Но украсть это значение несложно. Три цифры легко подглядеть и запомнить. Поэтому сейчас применяются дополнительные технологии, обеспечивающие безопасность интернет-платежей. Об этом вскоре планирую написать.

Подписывайтесь на канал в Яндекс.Дзен и Telegram ! У меня еще много интересного материала!

Что же такое PAN и каким целям он служит?

Что такое PAN в Индии?

Быстрый переход:

Обновлено: 29.07.21

Что такое PAN в Индии?

PAN (Permanent Account Number) – дословно переводится как “номер постоянного счета”, однако по своему смыслу означает “идентификационный номер налогоплательщика”.

Это уникальный номер, который присваивается всем налогоплательщикам в Индии. Номер присваивается в Налоговом Департаменте Индии (а точнее Департаменте по подоходному налогу Индии) и служит целям идентификации налогоплательщиков. PAN в Индии выдается в виде пластиковой карты и состоит из 10 буквенно-цифровых значений.

Важно:
Поскольку PAN получает каждый налогоплательщик в Индии, он присваивается не только компаниям. PAN должны получить все, кто получает налогооблагаемый доход на территории Индии.

Для чего нужен PAN в Индии?

1. Во-первых, PAN в Индии присваивается Департаментом по подоходному налогу каждому налогоплательщику в Индии в качестве уникального кода налогоплательщика.

PAN обязателен для проведения финансовых операций, таких как получение налогооблагаемой зарплаты или профессиональных вознаграждений, продажа или покупка активов выше установленных лимитов, покупка инвестиционных фондов и многое другое.

Основной целью PAN является использование универсального идентификационного кода для отслеживания финансовых операций, которые могут облагаться налогом, чтобы предотвратить уклонение от уплаты налогов.

2. Во-вторых, PAN служит в качестве удостоверения личности.

Еще одной важной функцией PAN является идентификация его владельцев. PAN в Индии является аналогом ИНН в России и служит целям удостоверения личности.

Далее указаны несколько ситуаций, при которых необходим PAN:

  • Для уплаты прямых налогов;
  • Для подачи налоговой декларации о доходах;
  • Чтобы заключить определенную сделку, например:
    • продажа или покупка недвижимого имущества стоимостью не менее 500.000 рупий;
    • оплата наличными в сумме, превышающей 25 000 рупий, в связи с поездкой в любую иностранную страну;
    • выплата суммы в размере 50 000 рупий и более компании за приобретение акций;
    • оплата свыше 500.000 рупий за покупку слитков и ювелирных изделий;
    • и др.

    Интересный факт:
    Номер PAN не меняется при смене адреса на территории Индии.

    Как получить PAN в Индии?

    Чтобы получить PAN в Индии, необходимо подать заявку с помощью формы 49А (“Form 49A”) или 49АА (“Form 49AA”).

    Форму нужно выбрать в зависимости от того, кто является заявителем на присвоение PAN.

    Форма 49А подается в случаях, когда заявителями являются:

    Форма 49АА подается в случаях, когда заявителями являются:

    Срок получения PAN

    Срок получения PAN в Индии зависит от некоторых факторов, в том числе – кому присваивается номер.

    Например, компаниям PAN присваивается при их регистрации (подробнее о регистрации компании в Индии), однако на изготовление пластиковой карты требуется время.

    В среднем срок получения составляет 1-2 недели.

    Заключение

    PAN в Индии – уникальный буквенно-цифровой код, который необходимо получить всем налогоплательщикам в Индии. Если компания, будучи нерезидентной, получает доход в Индии, ей необходимо получить PAN.

    Процедура получения номера несложная, достаточно заполнить и подать форму, приложив основные идентификационные документы.
    Тем не менее, если Вам потребуется помощь с получением PAN, специалисты GFLO Consultancy будут рады Вам помочь.

    Автор статьи

    Куприянов Денис Юрьевич

    Куприянов Денис Юрьевич

    Юрист частного права

    Страница автора

    Читайте также: