Оплата лицом для бизнеса: как устроен биометрический эквайринг и что нужно для подключения

Очередь на кассе кофейни в бизнес-центре. Человек подходит, смотрит в маленький экран на стойке, через секунду слышит «оплачено» — без карты, без телефона, без часов. Кошелёк остался в куртке. Со стороны это магия. Внутри — три участника, которые редко кто различает, и от их распределения зависит, что именно вы как бизнес подключаете и за что отвечаете.

Сразу отсечём ложный след. Оплата лицом — это не FaceID, которым вы разблокируете свой банковский апп в телефоне. Там лицо открывает приложение на вашем устройстве, а платит всё равно карта/токен в телефоне. Биометрический эквайринг — другое: терминал в торговой точке узнаёт клиента по лицу и инициирует списание, телефон клиенту вообще не нужен. Дальше — про второе.

Как устроена цепочка: лицо, токен, списание

Схема проще, чем кажется, если разложить по шагам.

1. Привязка (онбординг). Клиент один раз связывает своё лицо с платёжным средством. Его лицо превращается в биометрический вектор, который кладётся в защищённое хранилище провайдера и связывается с токеном карты или счёта. Сам номер карты при этом не светится — работает токенизация, как в любом современном эквайринге.
2. Распознавание на кассе. Камера/терминал в точке видит лицо, считает вектор, отправляет его на сравнение. Совпало с привязанным — система понимает, кто это и какой у него платёжный токен.
3. Подтверждение и списание. Платёжный провайдер по токену инициирует транзакцию через банк-эквайер и платёжную систему. Деньги списываются со счёта клиента, точка получает подтверждение. Для крупных сумм добавляют второй фактор — PIN или подтверждение в приложении.

Ключевое: распознавание и платёж — это два разных слоя. Лицо нужно только чтобы достоверно понять «кто это». Само движение денег идёт по обычным банковским рельсам. Как лицо превращается в вектор и почему по нему нельзя восстановить фото — в материале как работает распознавание лиц.

Отсюда сразу следует практический вывод для бизнеса: подключить «оплату лицом» — не значит научиться проводить платежи. Платёжный контур уже существует и регламентирован, вы его не строите. Вы добавляете к нему достоверный способ узнать клиента. Поэтому большая часть проекта — это не банковская интеграция, а качество распознавания и защита биометрии: камера, liveness, согласия, сеть. Деньги ходят как ходили.

Кто за что отвечает: банк, платёжная система, ЕБС

Здесь живёт главная путаница. В биометрическом эквайринге несколько ролей, и интегратор видеоаналитики — лишь одна из них.

• Платёжный/биометрический провайдер. Тот, кто держит привязку «лицо — токен» и проводит платёж: банк-эквайер, платёжная система, оператор биометрии. В России к этому пристёгнута ЕБС — Единая биометрическая система (ГИС): государственный сценарий, где клиент сдаёт биометрию в ЕБС, а банки платят по ней через регламентированный канал. Здесь правила, безопасность и ответственность за деньги — на провайдере и банке.
• Банк клиента. Выпускает токен, держит счёт, проводит списание, разбирает спорные транзакции.
• Интегратор/торговая точка. Ставит «глаза и руки» на кассе — камеру или терминал, который снимает лицо, и софт, который аккуратно отдаёт его в платёжный контур. Точка отвечает за качество съёмки, корректность сценария на кассе, согласия и за то, чтобы биометрия по дороге не утекла.

Про разделение ЕБС и «коммерческой» биометрии мы подробно писали в статье биометрия и ЕБС — это важно, потому что путь денег обычно идёт именно через ЕБС, а локальные сценарии узнавания «свой клиент» могут жить отдельно.

Что физически ставит интегратор на кассе

Со стороны бизнеса оплата лицом — это не «приложение», а железо и интеграция в точке.

• Камера или биометрический терминал на кассовой стойке: с нормальной матрицей, ИК-подсветкой для стабильности при любом освещении и небольшим экраном для обратной связи клиенту.
• Liveness-детекция — обязательна. Терминал должен отличать живого человека от фотографии, видео на чужом телефоне и маски. Без этого касса принимает распечатку — это деньги, риск выше, чем у двери.
• Интеграция с кассой/эквайрингом. Софт связывает событие «узнал клиента» с платёжным контуром провайдера и кассовым ПО, чтобы чек и списание сошлись.
• Сетевой контур и защита данных. Куда уходит вектор, как шифруется канал, что логируется. Это и есть зона ответственности интегратора по 152-ФЗ.

То есть интегратор видеоаналитики отвечает за достоверное и безопасное «узнавание», а не за сам банковский платёж. Платёж — на провайдере.

Отдельно стоит сказать про сценарий онбординга — момент, когда клиент впервые привязывает лицо к платёжному средству. Это самая чувствительная точка: именно здесь нужен качественный эталонный кадр (правильный свет, фронтальный ракурс, без маски), проверка живости и явное согласие. Плохая привязка тянется за клиентом всю жизнь профиля — размытый эталон ловит чужих и злит своих ложными отказами. Хороший интегратор уделяет онбордингу столько же внимания, сколько самой кассе, и предусматривает переснятие эталона, если качество распознавания у конкретного клиента просело.

On-premise против привязки к ЕБС

Два пути, и они решают разные задачи бизнеса.

Привязка к ЕБС (государственный платёжный сценарий). Реальное списание денег по лицу для широкого круга клиентов в России разумно строить через ЕБС и банк-эквайер — там и легальность платежа, и регламент. Здесь биометрия клиента живёт в государственной системе, а ваша касса — точка доступа к ней.

On-premise (локальное узнавание на объекте). Это про сценарии вроде закрытого корпоративного кафе, фитнес-клуба, клубного пространства: лица сотрудников/членов клуба хранятся локально, на сервере объекта, узнавание идёт без выгрузки наружу. Списание при этом всё равно проходит через привязанный платёжный токен, но идентификация «кто это» считается на месте и не уходит в чужой пул. Плюс — контроль над биометрией и меньший масштаб риска утечки.

На практике встречается гибрид: локальное узнавание «свой/чужой» для удобства и аналитики, а собственно деньги — через регламентированный платёжный канал. Главное — честно понимать, где именно хранятся лица.

UMSecurity в этой схеме закрывает локальный слой: разворачиваем узнавание и liveness на сервере объекта, поверх существующих IP-камер, так что биометрия членов клуба или сотрудников не уходит во внешний пул. Само списание остаётся за вашим банком и платёжным провайдером — мы не трогаем деньги, мы отвечаем за то, чтобы «кто это» считалось достоверно и без утечки. Для закрытых корпоративных и клубных пространств это часто оптимальный баланс: удобство оплаты по лицу есть, а контроль над лицами не отдан наружу.

152-ФЗ и согласия: что нельзя пропустить

Лицо для оплаты — биометрические персональные данные. Тут не бывает «по умолчанию».

• Письменное согласие на обработку биометрии от каждого клиента — отдельно и осознанно. Без него привязывать лицо к платежу нельзя.
• Альтернатива оплаты обязана остаться. Карта, телефон, наличные. Нельзя делать лицо единственным способом заплатить — это и неудобно клиенту, и юридически уязвимо.
• Минимизация и срок хранения. Хранить только то, что нужно для сценария, и ровно столько, сколько обосновано. Чем меньше данных за периметром — тем спокойнее с РКН.
• Защита канала и хранилища. Шифрование, разграничение доступа, журналирование. Утечка платёжной биометрии — это репутационная катастрофа, а не штраф «как за мейлы».

Где это реально окупается, а где маркетинг

Не каждой точке нужна оплата лицом.

Имеет смысл:

• Высокий поток постоянных клиентов с мелким средним чеком: корпоративные столовые, кофейни в БЦ, фитнес-бары, фуд-корты закрытого периметра. Скорость на кассе и узнаваемость дают реальный эффект.
• Места, где руки заняты или телефон неудобно доставать.
• Объекты, где уже есть учёт по лицам (СКУД, проходная) — инфраструктура частично готова.

Сомнительно:

• Разовый трафик, туристы, низкая повторность — привязку никто не делает, эффекта нет.
• Маленькая точка без потока — окупаемость терминала и интеграции под вопросом.
• Если единственный мотив — «вау-эффект». Обычный бесконтакт быстрее во внедрении и без юридического хвоста.

И обязательно прочтите про обратную сторону — ложные списания, спуфинг, ответственность — в материале оплата по лицу: риски. Технология удобная, но платёж без права на ошибку требует liveness и трезвой архитектуры.

Если хотите спокойно разобрать, что в вашей точке делается локально, а что отдаётся платёжному провайдеру, и как поставить узнавание без утечки биометрии — опишите задачу в форме, а саму технологию распознавания мы подробно разложили на странице распознавание лиц.