Номер банковской карты (PAN)
Что такое Уникальный номер банковской карты или PAN?
Номер банковской карты (PAN / Primary Account Number) — это уникальный номер из 12–19 цифр, нанесенный на лицевую сторону кредитной, дебетовой, виртуальной или предоплаченной карты. Он выступает основным идентификатором счета держателя в платежной системе и является ключевым реквизитом для авторизации и клиринга любой операции по карте — как офлайн, так и онлайн.
Его структура не случайна: каждый разряд подчиняется международному стандарту ISO/IEC 7812 и кодирует информацию о платежной сети, эмитенте, индивидуальном счете и контрольной цифре.
Как устроен Уникальный номер банковской карты или PAN
Номер карты состоит из трех логических блоков с разными функциями:
- BIN/IIN (первые 6–8 цифр): идентифицируют платежную сеть и банк‑эмитент. Первый разряд указывает сектор: 4 — Visa, 5 (диапазон 51–55) или 2 (диапазон 2221–2720) — Mastercard, 34 или 37 — American Express.
- Номер индивидуального счета (средние цифры): однозначно идентифицирует держателя внутри эмитента. Длина блока зависит от сети и типа карты.
- Контрольная цифра (последний разряд): рассчитывается по алгоритму Луна (Luhn) и позволяет отсеивать ошибки ввода до отправки транзакции в платежный шлюз.
Стандартный PAN в Европе содержит 16 цифр для Visa и Mastercard, тогда как American Express использует 15 цифр в формате 4‑6‑5. Это различие требует корректной валидации поля ввода в любом checkout‑процессе ecommerce, чтобы избежать лишних отказов.
В ecommerce‑среде реальный PAN обычно заменяется токеном с помощью токенизации, так что интернет‑магазин никогда не хранит подлинный номер карты.
Нормативные требования и безопасность Уникального номера банковской карты
Согласно PCI DSS v4.0, PAN — это ключевой атрибут, который определяет наличие среды обработки данных карт (CDE). Любая организация, которая хранит, обрабатывает или передает PAN, обязана соблюдать полный стандарт, включая:
- Шифрование данных при передаче и в состоянии покоя.
- Маскирование на экране, с отображением максимум BIN и последних четырех цифр.
- Транкацию или токенизацию как способы сделать хранимый PAN нечитаемым.
На уровне ЕС PSD2 (Директива 2015/2366) требует применения усиленной аутентификации клиента (SCA) для электронных платежей. Даже если злоумышленник получит PAN, он не сможет завершить онлайн‑покупку без прохождения второго фактора (биометрия, SMS‑код, динамический пароль).
| Мера защиты | Стандарт / Норматив | Основная функция |
|---|---|---|
| Шифрование PAN | PCI DSS v4.0 | Нечитаемость данных в покое и при передаче |
| Маскирование | PCI DSS v4.0 | Частичный показ (BIN + последние 4 цифры) |
| Токенизация | EMVCo Payment Tokenisation | Замена PAN токеном, бесполезным вне заданного контекста |
| SCA / 3D Secure 2 | PSD2 (Директива 2015/2366) | Усиленная аутентификация держателя карты |
Операционные преимущества и риски Уникального номера банковской карты
Преимущества:
- Обеспечивает авторизацию платежей менее чем за две секунды, выступая «логическим адресом» в глобальной сети карт.
- Стандартизированная структура упрощает интероперабельность между эквайерами, платежными схемами и эмитентами в разных странах.
- В сочетании с токенизацией позволяет реализовать оплату «в один клик» без раскрытия реального номера карты.
Недостатки:
- Компрометация Номера карты (PAN) — один из ключевых векторов мошенничества в операциях Card Not Present: имея PAN, срок действия и CVV, злоумышленник может пытаться проводить несанкционированные списания.
- Любой торговец, который хранит PAN, автоматически попадает в зону действия PCI DSS, с соответствующими затратами на аудит и сертификацию.
- При смене платежного провайдера миграция токенов, привязанных к исходному PAN, может усложниться и временно повысить долю отказов по рекуррентным платежам.
Был ли этот термин полезным?
Оставить комментарий