Pull to refresh

Comments 72

Это альтернатива cardsmobile.ru, как понимаю? Альтернативы это хорошо.
Смотря как понимать слово «альтернатива» — если говорить про продукт виртуальных платежных инструментов с NFC – да, если говорить про технику – не совсем, так как в нашем варианте ключи находятся в облаке, а в указанном варианте на девайсе.
У cardsmobile, насколько я понимаю, есть два варианта приложения — для телефонов с eSE и для телефонов с NFC, но без eSE. Во втором случае, ключи вроде тоже в облаке. Или, я где-то ошибаюсь?

Плохо, что у вас — предоплаченная карта Билайн (которую еще и в офисе выпускать надо), а у cardsmobile — карта Русского стандарта (хотя раньше вроде еще Тинькофф был). Т.е. выбирать особо не из чего.
Мы сейчас работаем над продуктом без физического носителя, можно будет не ходить в офис.
Это самая неприятная проблема, с которой я столкнулся — посещение офиса. Не во всех, к сожалению, городах и весях есть ваши фирменные салоны.
«При этом на одном телефоне может существовать только одна виртуальная карточка.»

Это временное ограничение или техническое?
Ограничение техническое, изменять не планируем.
Значит идею в топку.
Рассуждать о свободе, ограничивая выбор как то не вяжется.
С чем связано такое техническое ограничение вашего решения? Облачная версия приложения «Кошелёк» легко работает с двумя картами разных банков на одном устройстве.
А почему к карточке MasterCard выпускается виртуальная VISA карта? Я был очень удивлён, когда платил.
При работе с мастером какие-то проблемы или внутренние заморочки?
С учетом технических особенностей реализации такой вариант пока наиболее оптимальный.
У Windows Phone к сожалению сейчас нет такой штуку насколько я понял. Только нужна Sim или sd карта с SecureElement
Совершенно верно, техническая реализация требуется качественно иная.
Пока задача не самая приоритетная в связи с низким проникновением ОС, но если потребность пользователей Windows Phon’ов в продукте будет расти – сделаем.
Неужели под кучу версий Андроида пилить выгоднее чем под 1-2 Винды? У меня телефон с закрытой OS и выбираю между An/Win — аппаратами (многосерийный сериал). Очень смущает отсутствие целого ряда приложений под Винду…

PS: сам юзаю МТС, но читаю ваш блог ибо нравится уровень материалов
Не для очередного холивара написал — искренне не понимаю. Буду рад пруфлинку от разработчиков для обретения понимания
Видимо для кого-то комментарий выше прозвучал как личная обида раз в карму минусуют — бедняги)
Нет, просто автор явно написал, что для речь про Андроид >= 4.4, а их не много и при условии стабильности API можно не разводить сильно большого зоопарка в исходниках.
сценарий, когда в метро в плотном потоке людей с виртуальной карты незаметно списывают деньги, прикладывая к карману ридер
Возможно ли списывать деньги несколько раз подряд? Как вообще от таких случаев защищёны обладатели карт с PayPass?
Бесконтактная оплата в нашем случае возможна только если у телефона активирован экран (не разблокирован, а хотя бы светится). Таким образом, с телефона, просто лежащего в кармане с выключенным экраном, деньги списать невозможно. То есть защита даже лучше, чем у пластиковой карты с бесконтактным чипом или телефона с NFC-SIM.
Кроме того, для оплаты покупки на сумму более 1000 руб. требуется вводить PIN-код.
В целом же сценарий крайне маловероятный – расстояние на котором работает терминал, не превышает 10 см., через одежду сигнал проходит еще хуже.
Если речь про то, можно ли подряд сделать 2 оплаты – можно (ограничений по времени нет).
У всех телефонов по разному реализовано. Мне казалось (могу ошибаться) что по умолчанию NFC активен только при разблокированном телефоне, а варианты «при включенном экран» и «постоянно» доступны только с рутом.
Зачем людей то пугать? Нельзя «в метро через одежду» списать с любой карты деньги. Во-первых, в реальной жизни все это работает на расстоянии не более 4-5 мм. Во-вторых, для такого «списания» нужно иметь платежный терминал с боевыми ключами платежной системы в режиме платежной транзакции, а значит в 100% случаях выгодоприобретатель определяется однозначно. Проще говоря, это как украсть, а на место украденного положить свои паспортные данные.
При оплате обычным пластиком банк может уведомить кассира о том, что эту карту следует изъять у покупателя по тем или иным причинам. Может ли этот запрос прийти для такой бесконтактной карты?
В случае HCE кассиру изымать нечего. Но если банк по какой-то причине решит, что данной картой больше пользоваться нельзя (она может быть скомпрометирована и т.д.), он просто заблокирует функционал HCE в мобильном приложении и сообщит об этом клиенту.
В приложение билайн интегрировали то что ранее было сделано в Кукурузе?
В принципе не удивительно, разработчик ведь один и тот же.
Единственные приложение которые на текущий момент у меня заработали, бета от cardsmobile как вышла месяц назад так и не работает до сих пор ;-)
В приложении билайна HCE появилось на несколько месяцев раньше кукурузы. Они как раз были первыми.
Ну, у кого не работает, а у кого работает :) У меня с ними все нормально. Хотя в нашей местности не так много точек с PayPass.
вот когда каждый популярный банк сможет выпустить такую виртуальную карту и привязать ее к любому счёту, тогда можно будет говорить о реальном удобстве и заметной экспансии. а иметь реальную карту тут, а виртуальную там и двигать средства туда сюда… все преимущества улетучивается от такой схемы.
Простите, если не понял очевидного — сервис будет работать только на телефоне с симкой билайн или с другими операторами тоже?
Сервис от SIM-карты не зависит. В телефоне может быть симка любого оператора.
взаимодействует ли «мобильное приложение» с «хостом эмитента» во время оплаты?
Очень хорошее начинание. Но лично я ей воспользуюсь только когда можно будет в приложении мобильного банка (моего банка) выпустить карту которая будет сразу привязана для платежа через nfc. Постоянно переводить деньги на какую-то карту слишком муторно. Выпускать реальную карту для её привязки в приложении конечно тоже не похоже на технологию 21 века.
Спасибо за статью!
Очень радует, что бесконтактные платежи становятся проще и доступнее.
Выпуск виртуальной карты, действительно был бы удобнее. А если можно было бы с любой карты пополнять — то было бы ещё удобнее.
Но даже в таком варианте выглядит очень привлекательно.
Без доступа к сети ведь работает?
Возможен такой сценарий, когда при бесконтактной оплате на телефоне автоматически запускается приложение и запрашивает подтверждение в каком-либо виде?
Да, сервис работает и без доступа к сети. Сценария, который вы описали, нет
гм, платформозависимое решение которое работает только с родной картой? стоит ждать Apple Pay там любые карты и можно oh shi, добавлять несколько и при оплате выбирать с какой платить…
интересно, а на стареньком galaxy nexus + android 5.0.2 это заработает? кукуруза не захотела работать
Основные условия работы бесконтактной оплаты – это наличие NFC-модуля и версия андроид 4.4+. Но есть очень редкие исключения — старые модели телефонов, где NFC-модуль не поддерживает HCE
> это наличие NFC-модуля и версия андроид 4.4+

На 4.3 не взлетит? :(
А чья технологическая серверная платформа используется? Чьей разработки?

HCE приложение по «Visa Cloud-Based Payments Contactless Specification V1.3» написать не проблема. Это MasterCard извратная спецификация на HCE.
В общем то я знаю (собствено сам и делал).
Просто показалось обидно и не корректно, что об этом в статье ни словом не упомянуто.
Данные, необходимые и достаточные для осуществления NFC-платежей, хранятся непосредственно в памяти смартфона

Ничего дополнительно для транзакции не подгружается? LUK (Limited Use Keys) то должны прийти для каждой транзакции свои или вы как-то по-другому реализовали?
Планируете ли вводить токенизацию?
Все хранится в телефоне, дополнительно ничего не подгружается. LUK приходит не на каждую транзакцию, есть ограничения по времени и количеству. Использование токенизации для данного продукта не требуется т.к. оплату можно производить только в бесконтактной инфраструктуре.
То есть все-равно иногда нужно подгружать что-то из сети. Непонятна фраза, что в смартфоне необходимые и достаточные данные. Достаточные они только для нескольких платежей, а потом нужно опять скачивать LUK. Я имею в виду, что это не полностью автономная система, и она требует периодического доступа к сети интернет.

Токенизация как раз отлично ложится на бесконтактную оплату смартфоном. Даже в спецификации EMV по токенизации (Payment Tokenisation Specification) первый use case называется: Use Case 1: Mobile NFC at Point of Sale.
Сама суть токенизации — подмена важной/секретной/чувствительной информации малополезным для злоумышленников токеном. В случае с бесконтактной оплатой подмена PAN токеном позволяет сберечь виртуальную карту от компрометации в точке обслуживания.
Вот, положим, есть сеть супермаркетов в городе.
В одном магазине этой сети кассиры прекрасно знаю, что такое бесконтактные карты, а кроме того, самостоятельно предлагают вставлять карту в ридер, если она не NFC — «У нас правила такие».
В другом же магазине этой же сети на вопрос «Бесконтактные карты принимаете?» делаю глаза по пятаку; карту норовят из рук забрать, пока не скажешь «Я сам её в терминал вставлю»; если карту из рук выпустил, то до того, как ФР выбьет все чеки, карту не отдают — «У нас правила такие».

Боюсь, если я начну к терминалу телефон прикладывать, охрану позовут — мол, хацкера поймали!
делали внутренний конкурс на взлом системы, с очень хорошим вознаграждением, анализ кода.

Я просто оставлю это здесь:
habrahabr.ru/post/206738/
«Ловушка конкурсов по взлому», перевод статьи Брюса Шнайера 1998 года.
Конкурсы — ужасный способ продемонстрировать безопасность. Продукт/система/протокол/алгоритм, выдержавший конкурс, очевидно, ничуть не более надежен, чем тот, что никогда не участвовал в конкурсах.
Лучшие продукты/системы и т.д. на сегодня не были объектами конкурсов и, скорее всего, никогда не будут. Конкурсы вообще не производят полезной информации.
Поиск багов это не то же самое, особенно если речь идёт о продуктах с открытыми исходниками.
Шнайер пишет, что конкурсы с результатами типа «Мы полгода назад пообещали $1 000 000 тому кто первым взломает наш супер сервер и никто не сломал!» — плохие. А конкурсы с результатами «По криптоанализу нашего алгоритма опубликовано 20 научных статей различных авторов со всего мира, наилучший взлом демонстрирует криптостойкость алгоритма на уровне N бит» — гораздо лучше.
Bug Bounty — это как раз работа в сторону правильных конкурсов. Увы, пока не полная, потому как мы обычно не видим результатов «мы почти сломали, вот тут у вас скорее всего слабое место», потому что организаторы решают: не сломал — нет приза. И ситуация «специалисты потратили тысячи человекочасов на попытки взлома, багов не нашли» слабо отличима от «все просто забили на поиск багов».
Ок, то есть дьявол, как обычно, в деталях — плохи не любые конкурсы вообще, конкурс может быть осмысленным, если проводится грамотно И долго.
Ок, то есть дьявол, как обычно, в деталях — плохи не любые конкурсы вообще, конкурс может быть осмысленным, если проводится грамотно И долго.
> Операции по заблокированному телефону невозможны.

По-моему, это не преимущество, а недостаток. К примеру, захожу я в метро и хочу оплатить проезд. Мне придется сначала разблокировать телефон, а только потом прикладывать его к считывателю. В толпе и спешке это будет довольно неудобно.

> При использовании мобильного приложения карты «Билайн» невозможен, например, сценарий, когда в метро в плотном потоке людей с виртуальной карты незаметно списывают деньги, прикладывая к карману ридер.

Как такое возможно? Ридер — это же дело десятое, для списывания денег нужно быть подключенным к банку, и мне сложно представить мошенника, который в метро ворует денежки через банк.
Ридер — это же дело десятое, для списывания денег нужно быть подключенным к банку

Была история, как в ресторане утром воровали POS-терминал, подменяя на поддельный (делающий вид, что работает), а вечером возвращали, подменяя обратно.
Ну эти-то ребята таким образом делали дубликаты карт, т.к. поддельный POS-терминал делал всё нужное и ещё и сохранял PIN-коды и магнитную полосу.
Вот история: www.schneier.com/blog/archives/2012/06/attack_against_1.html

Ну а в нашем случае могут быть разные схемы, включающие в себя сговор с сотрудником компании, которая владеет терминалом (один списывает деньги в метро, второй уносит из компании «купленный» товар или получает бонусы за повышенные продажи) или вскрытие терминала.

А ещё есть relay-атака — в плотном потоке к вам прижимается злоумышленник с псевдо-терминалом, а к нормальному терминалу подходит второй злоумышленник с псевдо-картой и они транслируют транзакцию от вашей карты к терминалу через интернет, например. Второй забирает купленный товар.
Вот есть у меня мысль, что NFC — мертворожденный для платежей продукт.
Не говорю, что он плох, но по сути встанет в один ряд с bluetooth, т.е. работать будет, жить будет но большого распространения не получит (многие ли из нас голубым зубом пользуются?)
Лично я буду отделять мух от котлет: там где большой поток народу, там и большее поле для мошенничества. Поэтому платить в метро я буду одной картой, покупать другой, ну а зарплату держать на третьей.
NFC это не платежный продукт. Это набор стандартов/спецификаций на интерфейсы, в частности, и пр… Не более.

Приложение на телефоне, эмулирующее бесконтактную карту с протоколом T=CL это просто один из вариантов бесконтактных «карт». Более простой и дешевый с точки зрения эмиссии и вхождения банка в бесконтактные технологии чем обычный contacless пластик.

Бесконтактные карты весьма распространены (не у нас). Определенную нишу они занимают и занимать будут.
Обычно это платежи на мелкие суммы, где схемы с обналичиванием и выводом крупных сумм неоправданно (для криминалов) сложны или вообще не возможны.
В Европе, расплачиваясь наличными в очереди на кассу в супермаркете чувствуешь себя «белой вороной».
А китайцы, кстати, вообще свой EMV без дуальных карт не видят. Все заводы у них ориентированы на производство сразу дуальных карт.

А мелкие потери от мелких пакосников со специальными знаниями (редкое сочетание) можно списать.
«Порядочный человек, из за мелкой выгоды, большой пакости не сделает».
Массово по бесконтактным картам воровство не организовать.
Я не говорю, про бесконтактную оплату. Имеется ввиду, что карта с PayPass более удобна, чем телефон с NFC. Который может:
1. Сесть (дайте зарядку и я с вами расплачусь :)
2. Его надо достать и разблокировать (что увеличит очередь), как выше уже писали

NFC как технология имеет место быть, я ее не отрицаю. Но для платежей именно с мобильника — ИМХО не получит большого распространения.
Лично мне карта получается то же удобнее. По ряду причин не доверяю банк-клиентам. Но использование приложения, как отдельного приложения (без банк клиент), зарубили по маркетинговым причинам.

А так бы пользовался. В пределах лимита 2-3 тыс. в неделю — вполне нормально и относительно безопасно. Все транзакции on-line.

Для банка разница между приложением на телефоне и физической картой очень принципиально.
Стоимость вхождения в эмиссию бесконтактных карт для банка эмитента весьма высока.

Да и для клиента то же. Скачать новую версию приложения (банк-клиент)/активировать в существующей версии или просто отдельное приложение — проще, чем пойти куда то для получения физического пластика.

я недавних пор счастливый клиент билайна и вы продолжаете удивлять — спасибо вам

подумывал тут про кошелек, но лень было менять телефон — сейчас китаец на 4.2 с NFC

я правильно понял, что любой телефон с киткат 4.4 и NFC можно заставить работать как бесконтактную карточку? если да, то да здравствует китаефон (последние 3 у меня THL — вполне радуют за свои деньги)

в макавто очень удобно удобно бесконтактной пользоваться — вечно терминалы у них раздолбанные, набирать пин неудобно, да и подсмотреть могут легко
я правильно понимаю что:
  • рутованный девайс или нестандартная прошивка = функционал бесконтактной оплаты не работает? или все же работает?
  • вообще при бесконтактной оплате (особенно такой вот) документы именно требовать предьявить имеют право или нет?
  • пополнение — в описании приложения сказано что пополнение любыми картами. следует читать «выпущенными российскими банками с поддержкой 3d secure» или payoneer'овскую тоже можно использовать (там нет 3d secure и она не российским банком выпущена)

спасибо за такое приложение. теперь можно хоть попробовать как это работает с телефоном
отвечу себе на вопросы:

— в той листовке что дают с картой — сказано именно про Российские карты (а не «любые»)
— нестандартная прошивка + рут: wireless-оплата не активируется, предлагает отключить рут, если обойти это (что было сделано для тестовых целей), предлагают отключить режим разработчика. если после — включить режим разработчика то иконка беспроводной оплаты серая (но можно руками включить ее не выключая режим разработчика)
Может ли телефон с соответствующими характеристиками (android 4.4 NFC) выступить в роли терминала?
Lar10n, данное приложение зависит от эмитента или от платежной системы?
Может ли оно работать с картами Visa?
Only those users with full accounts are able to leave comments. Log in, please.

Information

Founded
Location
Россия
Website
moskva.beeline.ru
Employees
1,001–5,000 employees
Registered
Representative
Bee_brightside