Делается так: пользователь с сайта B перед переходом на платежную форму перенаправляется на некоторую страницу сайта A, с которой происходит редирект на платежную форму. Редирект можно делать скрытым, можно делать с выводом какой-то информации с подтверждением пользователя. В данном случае URLReferrer = A
Все, что Вы описали, есть и в PayOnline, в т.ч. переход на форму (в которой отображается сайт, к которому подключена услуга приема платежей), поддержка frame, SecuredGate с поддержкой 3-DS, причем несколько вариантов, в т.ч. для приложений на мобильных девайсах.
Выше уже писали мои коллеги, что любой интернет-магазин должен проходить PCI DSS, его минимум, включая ASV сканирование. Последнее нужно как минимум для того, чтобы сайт не взомали и не подменили адрес платежной страницы на фишинговую.
В любом случае, трафик мониторится более сложными методами. Одним URLReferrer (давайте обобщим лучше даже в UserAgent) не обойдешься. Антифрод — это сложная система, очень и очень.
А есть еще более изощренные способы мошенничества, когда URLReferrer просто подменят. Здесь уже я не буду раскрывать этот метод.
Нет, не боимся, URLReferrer не сильно помогает в предотвращении мошенничества.
Можно и без iframe подключить один сайт «A», а реально принимать платежи с другого сайта «B», притом, что в платежную форму будет передаваться URLReferrer сайт «A». Это совсем не сложно, хороший программист может это сделать, задействовав только четверть спинного мозга.
У нас система антифрода построена на очень многих характеристиках, у каждой есть свой вес. Характеристики учитываются как плательщика, данных банковской карты, так и магазина — что он продает, какова его популярность, в какие страны он продает и т.д.
Путей несколько:
1. Средства не сразу списываются с карты, а «блокируются» на некоторый период.
Менеджер связался с клиентом, все подтвердил, оформил заказ, можно даже и на другую сумму (завист также от банк-партнера), а потом подтвердил операций — «рарблокировал» деньги.
2. Всегда можно сделать полный возврат/частичный возврат. Есть возможность отправить клиенту ссылку на дооплату n-ой суммы.
Это много от чего зависит:
* использовался 3-D Secure или нет (в этом случае сложнее, особенно если friendly fraud)
* режим авторизации 3-D Secure
* страна плательщика/локализация сайта
В целом можно сказать так: много (оспаривания cbk) — единицы.
«Как часто Вы осуществляете выплаты своим клиентам?»
«Денежные средства будут переводиться на ваш счет в соответствии со сроками выплат, определенными договором. Стандартные условия договора предусматривают осуществление выплат раз в две недели или ежедневно, в зависимости от банка-эквайера.»
iframe — пожалуйста, пример реализации на shop.eset32.ru
Платежная форма на нескольких урлах, есть на ком
Форма на 3-х языках, локаль не определяем
В оригинальной валюте запроса и валюте эквайера
Платежную форму картинку завтра попрошу коллег выложить, пока так www.payonline.ru/rel/img/content/paymentform_ru.png
Возможно, когда карт станет очень-очень много, тогда пропадет необходимость мотивировать банки на эмиссию.
Замечу, что в Европе и.квайринг далеко не дешевый, там часть «ставка банка» достаточно большая, они учитывают в т.ч. риски. Лучшее что я видел — 2.2% в e-Commerce под оборот 4.5M USD. Мы и в Европе работаем потому цены мне там известны достаточно хорошо.
Но SLA никто не отменял на таком акаунте, так что может быть и заработаем :)
Все, что Вы описали, есть и в PayOnline, в т.ч. переход на форму (в которой отображается сайт, к которому подключена услуга приема платежей), поддержка frame, SecuredGate с поддержкой 3-DS, причем несколько вариантов, в т.ч. для приложений на мобильных девайсах.
Выше уже писали мои коллеги, что любой интернет-магазин должен проходить PCI DSS, его минимум, включая ASV сканирование. Последнее нужно как минимум для того, чтобы сайт не взомали и не подменили адрес платежной страницы на фишинговую.
В любом случае, трафик мониторится более сложными методами. Одним URLReferrer (давайте обобщим лучше даже в UserAgent) не обойдешься. Антифрод — это сложная система, очень и очень.
А есть еще более изощренные способы мошенничества, когда URLReferrer просто подменят. Здесь уже я не буду раскрывать этот метод.
Можно и без iframe подключить один сайт «A», а реально принимать платежи с другого сайта «B», притом, что в платежную форму будет передаваться URLReferrer сайт «A». Это совсем не сложно, хороший программист может это сделать, задействовав только четверть спинного мозга.
У нас система антифрода построена на очень многих характеристиках, у каждой есть свой вес. Характеристики учитываются как плательщика, данных банковской карты, так и магазина — что он продает, какова его популярность, в какие страны он продает и т.д.
Вот несколько штук:
www.tutitututu.com/
www.vigoda.ru/
www.anywayanyday.ru/
1. Средства не сразу списываются с карты, а «блокируются» на некоторый период.
Менеджер связался с клиентом, все подтвердил, оформил заказ, можно даже и на другую сумму (завист также от банк-партнера), а потом подтвердил операций — «рарблокировал» деньги.
2. Всегда можно сделать полный возврат/частичный возврат. Есть возможность отправить клиенту ссылку на дооплату n-ой суммы.
чтобы этого достичь необходимо будет следовать указаниям и интсрукциям СБ payonline и работать по 3-ds.
* использовался 3-D Secure или нет (в этом случае сложнее, особенно если friendly fraud)
* режим авторизации 3-D Secure
* страна плательщика/локализация сайта
В целом можно сказать так: много (оспаривания cbk) — единицы.
Добиваемся оспаривания cbk.
Раздел «Вопросы и Ответы» www.payonline.ru/faq/
«Как часто Вы осуществляете выплаты своим клиентам?»
«Денежные средства будут переводиться на ваш счет в соответствии со сроками выплат, определенными договором. Стандартные условия договора предусматривают осуществление выплат раз в две недели или ежедневно, в зависимости от банка-эквайера.»
Там можно разобраться какая категория Вам нужна (A, B, C, D).
www.pcisecuritystandards.org/merchants/self_assessment_form.php
Получили много фидбека по этому поводу, значит будем меняться, чтобы было лучше.
Пожалуйста, подавайте заявку, укажите юрисдикцию, посмотрим что сможем вам предложить.
Платежная форма на нескольких урлах, есть на ком
Форма на 3-х языках, локаль не определяем
В оригинальной валюте запроса и валюте эквайера
Платежную форму картинку завтра попрошу коллег выложить, пока так www.payonline.ru/rel/img/content/paymentform_ru.png
Спасибо!
Логика в том, что аккаунт рабочий, ни нам, ни банку не нужны не рабочие МИДы.
Замечу, что в Европе и.квайринг далеко не дешевый, там часть «ставка банка» достаточно большая, они учитывают в т.ч. риски. Лучшее что я видел — 2.2% в e-Commerce под оборот 4.5M USD. Мы и в Европе работаем потому цены мне там известны достаточно хорошо.