Comments 53
UFO just landed and posted this here
UFO just landed and posted this here
Привычное название, а силиконовая от искаверканного silicium (кремний)
Вики таки говорит что Силиконовая тоже допустимо — ru.wikipedia.org/wiki/Силиконовая_долина
Есть еще одна Силиконовая долина, там снимают порно. Название пошло от силиконовых бюстов.
Давно ли Вики является авторитетным источником? Вот пойду и сотру эту трактовку — тогда что?
Они предлагают брать на страничке магазина данные карты покупателя, но магазин их никуда не пересылает, а вызывает метод создания токена на основе данных карты и открытого ключа эккаунта, который реально вызывает java-script с их сервера
Что-то немного неясно. Как же можно провести платеж картой клиента, если сами данные карты как минимум в процессинг не ушли?
Насколько я понял, токен — это зашифрованные ассиметричным алгоритмом данные карты
Именно!
Насколько я понял, не только карты но еще и данных магазина.
Да, логично. Но тогда, учитывая, что в коде labs.mlayer.org/stripe/src/index.txt кроме данных карты js-библиотеке передается только открытый ключ, пара ключей шифрования уникальна для каждого магазина.
Вполне возможно что все происходит и так. В любом случае решение довольно интересное и на мой взгляд чистое.
При этом решении я должен доверять не только платежному сервису, но еще и магазину, что меня совсем не радует.
Я имею в виду тот факт, что JS на странице магазина имеет доступ к данным моей карты.
У вас нет других вариантов. Единственный вариант — это отправлять пользователя на страницу платежной системы, чтобы вбивать данные. Но тут в 95% случаев сработает банальная подмена домена, к примеру если пользователя магазин отправит не на paysystem.com/payment, а на paysyslem.com/payment с таким же дизайном пользователь скорее всего не заменит подмены.
Поэтому работают все те же правила предосторожности что и везде — делайте виртуальные карты там где это критично, доверяйте проверенным магазинам и так далее.
Поэтому работают все те же правила предосторожности что и везде — делайте виртуальные карты там где это критично, доверяйте проверенным магазинам и так далее.
Токен — (в конкретном случае) это случайные данные, которые выступают индексом в базе. Это всегда заменитель чего-либо. К примеру токены в игровых заведениях заменяют деньги, в математике токеном заменяют абстрактные группы, в компиляторах группы символов и т.п. Главное понимать, что слово токен используется для замены сущности ссылкой на её. Никогда токен не хранит в себе саму сущность непосредственно. Но всегда существует возможность восстановить саму сущность по ссылке (этим он и отличается от хэша к примеру).
предлагают брать на страничке магазина данные карты покупателя, но магазин их никуда не пересылает
А на основе чего я, как пользователь, могу быть уверен, что магазин их никуда не пересылает? Деминимизировать код JS в каждом магазине? Или они осуществляют аудит страниц оплаты у магазинов?
А на основе чего я, как пользователь, могу быть уверен, что магазин их никуда не пересылает? Деминимизировать код JS в каждом магазине? Или они осуществляют аудит страниц оплаты у магазинов?
Вот это интересный вопрос. Ответа на него у меня нет. На сколько я знаю, чтобы процессить данные карт, нужно сертифицироваться у платежников по PCI DSS. Магазин при этом не хранит данные карт, делигируя это stripe. Но stripe вроде магазины не контролирует. Видимо, по прецендентам будут магазины блокировать.
Также недавно интересовался этим сервисом.
Нашел, вот что — What client side framework powers stripe.com?
Один из основателей сервиса Saikat Chakrabarti пишет, что в разработке сервиса они используют Backbone.js, CoffeScript, шаблонизатор Еco.
Нашел, вот что — What client side framework powers stripe.com?
Один из основателей сервиса Saikat Chakrabarti пишет, что в разработке сервиса они используют Backbone.js, CoffeScript, шаблонизатор Еco.
Оно только для US, можно не беспокоиться.
stripe.com/global
We are working hard to make Stripe available outside the United States.
stripe.com/global
We are working hard to make Stripe available outside the United States.
Сделал на нем оплату в do.jo — очень удобно и круто работает. Тестовая админка — вообще песня. Пейпал вспоминаю теперь как страшный сон.
Если кто-то придумает как можно юзать из России(прокси, американская карта и т.д.), то отпишитесь пожалуйста
«цена 2.9% + 0.3$ за транзакцию»… мне одному это кажется грабежом? :)
Я полагаю, что их комиссия эти самые 0.3$. А указанные проценты относятся к комиссии платежной системы (Visa, Mastercard) и банка-эквайера.
2,9% — это уже многовато для эквайера.
Банк-эквайер и платежные системы тоже берут фиксированную коммиссию, примерно те же 20-30 центов (зависит от объема продаж, банка и фазы луны).
В гораздо большей степени это зависит от бизнеса мерчанта: истории, степени «рисковости», наличия cross-border транзакций.
Хм. Наш случай: история продаж — 3 года, риск минимальный, все бизнес-рейтинги на 80% и выше, рейты не меняются. ЧЯДНТ?
Visa и МС берут с абстрактной карточки в вакууме между 0.95 и 1.5%. В случаях от дельных государств и отдельных межбанковских соглашений и ассоциаций, например карты с дополнительным логотипом ЕС в Германии, или финские карты в Финляндии этот рейт может падать до 0.3-0.35%. Это цена систем. Абстрактная. Дальше банки, провайдеры, гейты, сервис компании, мерчант солиситаторы и прочие руки. 2.9 это недорого, кстати. Очень недорого по современным меркам.
Насчет безопасности. Говорить что «данные никуда не посылаются» — это большая ошибка.
Нюанс с токеном, описанный вами, помогает лишь при повторных («рекуррентных») платежах.
1) В случае, когда транзакции магазина идут через торговый счет stripe, магазину нет необходимости вообще обрабатывать или хранить платежные данные покупателя: сабмит данных произойдет на странице stripe, магазин оказывается вне области соответствия PCI DSS, все «в шоколаде».
2)Если же транзакция инициируется со страницы магазина, то при первой транзакции все равно произойдет обработка и передача данных карты. А вот при повторной уже можно будет пользоваться токеном.
Нюанс с токеном, описанный вами, помогает лишь при повторных («рекуррентных») платежах.
1) В случае, когда транзакции магазина идут через торговый счет stripe, магазину нет необходимости вообще обрабатывать или хранить платежные данные покупателя: сабмит данных произойдет на странице stripe, магазин оказывается вне области соответствия PCI DSS, все «в шоколаде».
2)Если же транзакция инициируется со страницы магазина, то при первой транзакции все равно произойдет обработка и передача данных карты. А вот при повторной уже можно будет пользоваться токеном.
Ждем, когда начнут работать не только с юрлицами из США :)
Чем они лучше paypal?
Пейпал (и мани букерс, например) — электронный кошелек. Stripe (и авторайз.нет, например) — провайдер карточных платежей. Разная юридическая ответсвенность, и действие в рамках разного законодательства. При оплате картой через пейпал, с карты списываются деньги, деньги идут на счет пейпал, а на эту списанную сумму выпускаются электронные деньги, которые переводятся мерчанту. Для клиента это чревато тем, кто его карточная транзакция не покупка товара, а покупка электронных денег aka пополнение своего кошелька. Соответсвенно, все диспуты о товаре и оплате в случае чего происходят в рамках правил PayPal а не в рамках правил Visa и MC. И для мерчанта — это не оплата картой, а оплата PayPal. На счету мерчанта не деньги, а электронные «палки» и конвертация их во что-то более осязаемое — по большому счету добрая воля PayPal (кстати, в США законодательство по этому поводу вообще очень расплывчатое, в Европе оно лучше и у кошельковых компаний больше ответсвенность, но «палка» — в США). Прямая оплата картами, в целом, аналогична оплате деньгами. Она подчинается правилам Visa, MC и местному (страны в которой зарегистрирована фирма) банковскому законодательству. Хотя для мерчанта процесс чарджбека и диспута может быть довольно длительным и болезненным, просто так закрыть аккаунт со всеми деньгами вам не могут.
А еще он простой, а paypal монструозный.
Токенизация, в принципе, довольно распространенный метод с тех пор как хранение карточных данных стало запрещено в принципе. Так что уникальности нет.
Sign up to leave a comment.
stripe — оплата в интернете для программистов