NFC және байланыссыз лимиттер

1) NFC/EMV негізгі ұғымдары

POS-та NFC (contactless) - бұл бір реттік криптограммасы және CVM (Cardholder Verification Method) бар радиоарна (Visa payWave, Mastercard PayPass және т.б.) бойынша EMVC-o-төлем.
CVM ұстаушыны тексеру қажет пе және қандай екенін анықтайды: No CVM, Offline PIN, Online PIN, CDCVM (Consumer Device CVM - биометрия/Apple/Google/Samsung Pay-дегі құрылғының пин).
DPAN/Network Token: әмияндарда (Apple/Google Pay) PAN орнына токен пайдаланылады.
Терминалдық тәуекел-engine: floor limit, офлайн тәуекел-ережелері, CAPK, TAC/IAC (Terminal/Application Action Codes) кілттері.

2) «PIN-сіз байланыссыз лимит» қайдан алынады

1. Карталар схемасы (Visa/MC/және т.б.) - CVM ережелерін және ядроның үйлесімділігін белгілейді.

2. Реттеуші/нарық - No-CVM сомасын шектей алады (мысалы, ЕО, UK және т.б. - өз табалдырықтары).

3. Терминалдық параметрлер - ядро (CVM Limit, Floor Limit, Velocity/Cumulative counters).

4. Эмитент/карта - тәуекелдер, off-қызметтер, counters бейіндері (SCA-сыз қатарынан жасалған транзакциялар саны және/немесе жиынтық шегі).

Маңызды: лимит физикалық карта бойынша No CVM операцияларына қатысты. CDCVM қолданылғаннан кейін, бұл «күшті аутентификациямен» және No-CVM шегі жарамды емес.

3) Неліктен Apple/Google Pay жиі «лимитсіз»

CDCVM = телефон/сағатта расталған биометрия/пин құрылғысы. Бұл SCA-ға сәйкес келеді және ұстаушының толыққанды верификациясы болып саналады.
CDCVM транзакциялары үшін терминал CVM орындалғаны белгісін алады, сондықтан No-CVM сомалық шектеулері қолданылмайды (эмитент мақұлдаған жағдайда төлем кез келген сомаға мүмкін).
Ерекшеліктер: терминал/ядро CDCVM қолдамайды, әмиян биометрияны, транзиттік/офлайн сценарийлерді, жергілікті реттеу ережелерін өшірді.

4) Офлайн-лимиттер және cumulative counters

Floor limit - терминал теориялық тұрғыдан офлайн-авторизациялауға рұқсат бере алатын шек (контактісіз көбінесе нөлдік, бірақ баптаулар байланысты).
Cumulative/Velocity counters - SCA-сыз қатарынан жасалған операциялардың саны немесе олардың жиынтық шамасы. Терминал/эмитент таусылғаннан кейін PIN/онлайн талап етеді.
Offline PIN contactless барлық карталарды/терминалдарды қолдамайды; көбінесе online және Online PIN сұрау ауысу.

5) Реттегіш шеңберлер (бағдарлар)

PSD2/SCA (ЕЭА): SCA-сыз байланыс және байланыссыз операциялар табалдырықтармен рұқсат етіледі (мысалы, бір мезгілде ~ €50-ге дейін және қатарынан операциялардың жиынтығы ~ €150/немесе N-ге дейін - бағдарлар; нақты мәндері банктің/нарықтың жергілікті имплементациясына байланысты). → асып кетуі SCA (PIN/CDCVM) талап етеді.
UK/басқа нарықтар: No-CVM меншікті лимиттері (тарихи көтерілген).
Transit/Open-loop (метро, автобустар): Арнайы Transport Settings - No CVM жоғары throughput, офлайнды тәуекел механизмдері және кейіннен пост-авторизациялау/агрегациялау кезінде рұқсат етілген. «Ерекше» мәртебелер мен кешкі денайлылар болуы мүмкін.

6) Типтік CVM-кейс-стади

Физикалық карта, No-CVM шегінен төмен сатып алу: жылдам tap, PIN жоқ.
No-CVM шегінен жоғары физикалық карта: терминал PIN/қолтаңбаны сұратады немесе contact/online-ға аударады.
Apple/Google Pay (CDCVM): биометрия орындалды - лимит іс жүзінде «алынды», бірақ эмитент өз ережелері/тәуекелі бойынша бас тарта алады.
Wearables: әдетте, CDCVM PIN құрылғысы арқылы «бұғаттаудан» және үнемі алып жүру кезінде; құрылғыны алып тастағаннан кейін қайта PIN қажет.

7) Тәуекелдер және антифрод

No-CVM жоғалту/картаны ұрлау: эмитенттер өтейді, бірақ залалды шектеу үшін counters/velocity ұстайды.
Терминалдың офлайн-шешімдері: UX арттырады, бірақ келесі онлайн тексеру кезінде «кеш» істен шығу қаупін көтереді.
CDCVM тәуекелді төмендетеді (SCA), approve rate жоғарылатады, бірақ МСС/гео/скоринг бойынша эмитенттік/реттеушілік бұғаттауды жоққа шығармайды.

8) Кассадағы UX-паттерндер

«Карта/телефон алып келіңіз», «Құрылғыда растаңыз», «PIN енгізіңіз» деген мәртебелерді көрсетіңіз.
Шектен жоғары decline кезінде: «PIN-мен қайталау» немесе «Әмиянмен төлеу (Apple/Google Pay)».
Транзитте - «Tap in/Tap out», «Card clash» (бір мезгілде бірнеше карта/әмиян) айқын мәтіндері.

9) Терминалдық теңшеу чек-парағы (эквайер/мерчант)

1. Ядролар: өзекті EMV contactless kernels, CAPK, схемалық параметрлер (Visa/MC/...); тұрақты жаңартулар.
2. CVM Limit/Floor Limit/Velocity: банкпен және жергілікті ережелермен келісу; CDCVM қолдауын қосу.
3. Online-преференция: high-risk үшін - мәжбүрлі online; транзит үшін - transport профилі.
4. Фоллбек-логика: шектен асқанда → сұрау PIN/қолтаңба/контактілік insert.
5. Логи/телеметрия: PIN сұрау себебі (No-CVM exceeded/counters), CDCVM үлесі, офлайн шешімдер, approve rate.
6. UX: дисплейдегі түсінікті өнеркәсіптік өнімдер; әмияндар үшін - «iPhone/сағатта/Androidде растаңыз».
7. Тест-кейстер: шектен төмен/жоғары сома, PIN-сіз N қатарынан tap (counters іске қосылуы), CDCVM-төлем, офлайн-терезе, транзиттік профиль.

10) Тігінен ерекшеліктері

Транзит/тикетинг: басым жылдамдық, нөлдік/ең төменгі UI; жиі жекелеген тарифтер/пост-клиринг рәсімдері.
Қонақ үйлер/жалға алу: преавторизация және инкрементальды капчураларды SCA-мен байланыста/онлайн жүргізген дұрыс; байланыссыз «tap-and-go» тек соңғы есептен шығаруда ғана орынды.
iGaming/квази-кэш: офлайнда сирек релевантты; MCC-тәуекелі кезінде эмитенттер тіпті CDCVM-мен де селективті түрде бас тарта алады.

11) KPI және пайдалану метрикасы

Approval rate қималар бойынша: карта vs әмияндар (CDCVM), төмен/жоғары No-CVM, офлайн шешімдер.
CDCVM үлесі және оның конверсияға үлесі.
PIN-prompts rate (PIN қанша операцияны талап етті) және қызмет көрсету жылдамдығына әсер етеді.
Late declines (офлайн рұқсаттардан кейін), No-CVM үшін chargeback rate.
Transit KPIs: throughput (taps/min), tap-on/tap-off match, revenue protection.

12) Саппорт/операциялар үшін жылдам жауаптар

«Неге үлкен сомаға PIN жоқ?» - CDCVM әмиянда орындалған; бұл SCA.
«Неге шағын сомаға PIN сұрады?» - counters жұмыс істеді немесе терминал ережеге сәйкес SCA талап етті.
«Неліктен телефон жұмыс істемеді?» - терминал/ядро CDCVM қолдамайды, әмиян құрсауланған, онлайн желісі жоқ, карта қайшылығы (card clash).

13) Түйіндеме/практикалық қорытындылар

No-CVM лимиті - бұл ұстаушының верификациясынсыз операциялар үшін ғана шек; CDCVM кезінде ол қолданылмайды.
CDCVM қолдайтын терминалдарды баптаңыз, ядролар мен параметрлерді жаңартыңыз (CVM/Floor/Velocity).
Жергілікті реттегіш табалдырықтар мен схемалық ережелерді ескеріңіз; әртүрлі профильдерді ұстаңыз (бөлшек vs транзит).
approve rate/CDCVM-share/PIN-prompts бағдарламасын бақылап, офлайн тәуекелдерді азайтыңыз.
Коммуникацияда және UI-де PIN-сұраулардың себептерін мөлдір етіңіз және «лимитсіз» SCA-дан өту тәсілі ретінде әмияндарды ұсыныңыз.