Комментарии 20
Бррр… Ну и картинку вы выбрали для примера! Я не хочу оплачивать платежи на ЛитРес, чисто из отношения к этим ребятам, а тут такое читаю )
А по теме статьи — может, конечно, проблема долгого ввода платежных данных при каждой покупке для кого-то и суперактуальна, но, с учетом многих факторов (отношения к безопасности платежей со стороны банков («вы сами данные оставили им») и большей части сайтов («мы просто используем платежную систему, она сама данные хранит»); банального нежелания создавать лишний потенциальный вектор утечки данных о карте), мне думается, не для серьезного числа (не то что процента) пользователей карт возможность сохранить данные о них где-то является привлекательной и выделяющей сервис из ряда других. Даже, кстати, если речь идет об оплате ЖКХ или услуг связи.
А какая-то существенная ответственность за возможную утечку данных сервисом несется?
А по теме статьи — может, конечно, проблема долгого ввода платежных данных при каждой покупке для кого-то и суперактуальна, но, с учетом многих факторов (отношения к безопасности платежей со стороны банков («вы сами данные оставили им») и большей части сайтов («мы просто используем платежную систему, она сама данные хранит»); банального нежелания создавать лишний потенциальный вектор утечки данных о карте), мне думается, не для серьезного числа (не то что процента) пользователей карт возможность сохранить данные о них где-то является привлекательной и выделяющей сервис из ряда других. Даже, кстати, если речь идет об оплате ЖКХ или услуг связи.
А какая-то существенная ответственность за возможную утечку данных сервисом несется?
Ваши опасения за не санкционированные платежи понятны, именно поэтому чаще всего такая оплата все-таки подразумевает прохождение 3D-secure авторизации, т.е. подтверждения по смс.
По поводу того, что ваши данные утекут от магазина, на котором платите, это исключено, т.к. данные карты на стороне магазина не вводятся и не сохраняются, это происходит на серверах PayOnline, а у магазина храниться только ваш токен и чтоб совершить быстрый платеж мерчант передает этот токен к нам.
По поводу того, что ваши данные утекут от магазина, на котором платите, это исключено, т.к. данные карты на стороне магазина не вводятся и не сохраняются, это происходит на серверах PayOnline, а у магазина храниться только ваш токен и чтоб совершить быстрый платеж мерчант передает этот токен к нам.
Да про магазины как раз я и не переживаю. Переживаю за хранение на вашей стороне. Вот ниже про Amazon пишут, вот им как-то проще поверить, а вам — увы.
Тем более что про ответственность я так и не понял, случись что, вы за что будете отвечать? Поскольку, повторюсь, российские банки за передачу данных карты делают ответственными только держателя карты, я как-то… не сильно верю и не вижу смысла доверять данные на хранение.
Тем более что про ответственность я так и не понял, случись что, вы за что будете отвечать? Поскольку, повторюсь, российские банки за передачу данных карты делают ответственными только держателя карты, я как-то… не сильно верю и не вижу смысла доверять данные на хранение.
Я постоянно использую технологию «один клик» на Амазоне, при этом не вводя дополнительно никаких данных. Что касается секьюрети платежей обычно для этого использую на своих сайтах мерчант систему, в том числе и Pay Pal — там есть возможность обеспечения оплаты товара банковской картой…
Меня всегда интересовал вопрос: как и где нужно хранить данные cvv-карты?
PS Я знаю, что платежные данные не могут полностью храниться на серверах и что CVV-код хранить нигде нельзя. Платежи в один клик делают без него? А если магазин недобросовестный и хранит CVV-код, а затем может использовать данные карт? Как от этого можно защититься?
PS Я знаю, что платежные данные не могут полностью храниться на серверах и что CVV-код хранить нигде нельзя. Платежи в один клик делают без него? А если магазин недобросовестный и хранит CVV-код, а затем может использовать данные карт? Как от этого можно защититься?
Для того чтобы работать напрямую с данными банковских карт нужно каждый год проходить дорогую процедуру сертификации PCI DSS. Это могут себе позволить или платежные системы, такие как мы, или очень крупные магазины. На мелких магазинах оплата в один клик реализуется с сохранением токена, который передается на сервер PayOnline, а мы уже совершаем платеж.
а если в течении года платежная система / магазин возьмет все номера карточек и уедет куда-то? Кто отвечать будет? (конечно фирма будет оформлена на кого-то левого)
Ничего не произойдет, просто компания угробит свой бизнес и все. Вы должны понимать, что данные вашей карты не дают доступ к деньгам, антифрод фильтры за несколько транзакций определяют, что была скомпрометирована партия карт и все карты, которые хранились в этой компании перевыпускаются.
На черном рынке данные одной карточки стоят всего несколько долларов, поэтому скрываться и закрывать свой бизнес нет никакого смысла.
На черном рынке данные одной карточки стоят всего несколько долларов, поэтому скрываться и закрывать свой бизнес нет никакого смысла.
попробуйте как-нибудь на алиэкспресс ввести заведомо неверный CVV, сильно удивитесь что он не проверяется. Еще слышал про аэрофлот, но это на уровне слухов — не проверял.
Возможно я параноик, но подобные оплаты в один клик меня пугают. Лично я не уверен, что все эти данные будут надежно защищены и не уйдут налево. Интересно, что часть сайтостроителей не оставляют варианта «не сохранять платежные данные».
Допустим сайт галочку добавит. Но кто гарантирует что данные не сохранят?
Смотрите выше ответ, магазин данные не получает и не сохраняет, все происходит на стороне платежной системы, которой вы можете полностью доверять, т.к. чтоб работать с данными карты нужно каждый год проходить дорогостоящую процедуру сертификации и аудита.
Но она, система, при этом перед владельцем карты при утечке данных существенно (чтобы было не просто «извините», а, скажем, выплатой держателю карты компенсации в миллион рублей за каждый элемент украденных данных) не отвечает, правильно?
Ответственности нет, т.к. это немного по другому работает. Ответственность ложится на того, кто принял украденную карточку без 3-D Secure.
А в случае если по вашей карте провели не санкционированный платеж с использованием 3-D Secure, то тогда ответственность на банке. В любом случае после заявления на чарджбек вам обязаны выпустить новую карту и вернуть деньги списанные по не санкционированной транзакции.
А в случае если по вашей карте провели не санкционированный платеж с использованием 3-D Secure, то тогда ответственность на банке. В любом случае после заявления на чарджбек вам обязаны выпустить новую карту и вернуть деньги списанные по не санкционированной транзакции.
Что такое аудит, я прекрасно знаю, именно поэтому не доверяю. Неоднократно проходил по PWC, Deloite, E&Y и куче других. Приходит куча бестолковых студентов (с кучей понтов), задает вопросы по опроснику и собирает ответы, относит их в head office. Это лажа, и кризис 2008 года это подтверждает.
Имеется ввиду не бухгалтерский а технический аудит.
Технический аудит по PCI-DSS выглядит похоже. Разве что не студенты, а грамотный специалист.
Но ревизию кода и поиск уязвимостей, естественно, внешний аудит по PCI-DSS (да и PA-DSS) в полном объеме не проводит и провести не может (да и в частичном то же, если уж честно).
А уж в душу системному админу никакой аудит заглянуть не может…
Так что опасения народа вполне обоснованы. Особенно к компании которая только выходит на рынок и мало известна. Я, например, и PayPal и booking то параною… хотя и пользуюсь. Поскольку выхода нет.
А от любого другого малоизвестного сервиса, который мне предложит сохранить PAN+CardHolderName+ExpDate вообще отбегу как черт от ладана.
Про ответственность без 3D… да толку то. Даже в идеальном случае по диспуту, нервы и зависшие средства на довольно долгий период мне никто не компенсирует.
Впрочем, я наверное параноик, поскольку давно в этом бизнесе…
Но ревизию кода и поиск уязвимостей, естественно, внешний аудит по PCI-DSS (да и PA-DSS) в полном объеме не проводит и провести не может (да и в частичном то же, если уж честно).
А уж в душу системному админу никакой аудит заглянуть не может…
Так что опасения народа вполне обоснованы. Особенно к компании которая только выходит на рынок и мало известна. Я, например, и PayPal и booking то параною… хотя и пользуюсь. Поскольку выхода нет.
А от любого другого малоизвестного сервиса, который мне предложит сохранить PAN+CardHolderName+ExpDate вообще отбегу как черт от ладана.
Про ответственность без 3D… да толку то. Даже в идеальном случае по диспуту, нервы и зависшие средства на довольно долгий период мне никто не компенсирует.
Впрочем, я наверное параноик, поскольку давно в этом бизнесе…
А подскажите пожалуйста, как вы решаете проблему интеллектуальной собственности? Патент на «1 click» принадлежит Amazon и истекает только в 2017.
То есть «3-D Secure» не требуем эсемески? Просто, сейчас платёжные системы и банки берут меньше ставку за эквайринг при использовании данной системы. И мы пока упёрлись только в то, что при такой системе нет возвратов, которые нам надо иногда делать из-за того, что продукты весят разное количество, и при наборе приходится класть чуть больше или чуть меньше предоплаченного количества.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
9 секретов онлайн-платежей. Часть 6: оплата в один клик