Hogyan elfogadja hitelkártyás fizetések
Felhasználói beállítások változnak attól függően, hogy az ország és a készülék, ahonnan jöttek a helyszínre. Nagyon közel az ideális volt hitelkártyák, amelynek népszerűsége növekszik évről évre, többek között Oroszországban. Ez nem csak az egyik leggyakoribb a fizetési módokat, hanem a legjövedelmezőbb az összes elérhető az Badoo oldalon, több mint 20.
Az egész kezdődött azzal, hogy négy évvel ezelőtt írt a webhelyen formában adja meg a hitelkártya adatait, és meg kell kezdeni elfogadó kifizetéseket. Néhány hónappal később világossá vált, hogy a felhasználók szívesen fizetni a szolgáltatások nem csak SMS-ben, hanem a kártyák, a fizetendő összeg nagyságát, amelyek azt mutatják ígéretes növekedést. Elkezdtünk aktívan fejleszteni ezen a területen. Azóta áttekintettük tíz fizetési átjárók, mely megszerzése szolgáltatások (azaz. E. fizetést elfogadó bankkártyával), és most ezzel egyidejűleg dolgozik a hárman. Mi történt a támogatásokat 3D Secure, hozzanak létre egy rendszert, hogy utolérjék a csalárd ügyleteket, és így tovább.
Miért fogadja kifizetések plasztikkártya nehéz?
Úgy tűnik, hogy olyan kemény? Egy egyszerű űrlap, ahol a felhasználó belép a kártya adatait, és kattintson a gombra fizetni. Dolgozzuk fel a kérést, küldje el a bank - és az összes pénzt hamarosan a mi számlánkra. Egy ideális világban, hogy mi történik, de az igazi - egy kicsit más.
Ha szeretné megkapni a hitelkártyák fizetések, először meg kell biztonsága érdekében a felhasználói adatokat. . Ehhez jelentős fizetési rendszerek, mint a Visa, Master Card, American Express, Diners és mások kifejlesztettek egy biztonsági szabvány Payment Card Industry - PCI DSS (Payment Card Industry Data Security szabvány). Ez egy nagy lista a követelmények teljesítését a társaság, valamint az alkalmazásfejlesztés folyamatának és konfigurálását a használt eszközök.
A második probléma - a védelem a csalárd ügyleteket, más szóval a „csalás” (a táskát a csalás.). Végtére is, a helyszínen lehet használni nem csak tisztességes emberek, hanem a csalók használni, amikor a vásárlás lopott hitelkártya adatokat. Miután egy ilyen vásárlás a kártyabirtokos kap egy nyilatkozatot tőle érthetetlen ügyletek menni a bankba és a kereslet a visszatérítést. Egy idő után, visszatért a pénzt, és a cég megkapja a „mínusz karma”, és egy finom a fizetési rendszer.
És végül a listán, de nem a legfontosabb - az aránya a sikeres tranzakciókat. Még ha elég pénz a kártyán, és az összes érintett rendszerek elvégzésében fizetés, a munka, mint egy óra, a bank a kártyát kibocsátó egyszerűen elutasítja a tranzakciót, ha ez valami nem tetszik, vagy gyanús.
Miért haladnak PCI DSS tanúsítvánnyal?
A fő cél a tanúsító - győződjön meg róla, hogy a kártya adatokat biztonságos helyen tároljuk, a támadó nem tud behatolni a rendszert, és átható, nem könnyen kap a személyes adatokat. Megtartotta kötelezettség valamennyi vállalat kezelni a hitelkártya adatait, akkor is, ha az adatok feldolgozása nem kerül mentésre.
Elején a folyosón a tanúsító által érzékelt minket, mint egy formalitás, mert nem tartja be a hitelkártya adatait. A kérelmet kizárólag azzal, hogy dolgozzon szép forma, amely alkalmas a website design. De fokozatosan fejlődött, benőtt üzleti logika és a „antifrodovymi” ellenőrzést. Elkezdtük tartani a személyes adatok felhasználóinak és az engedélyek információt a hitelkártyák. Ennek eredményeként, akkor kezdett érdeklődni arról, hogy a rendszer volt a legbiztonságosabb. Most PCI DSS nem tekintik formalitás, hanem lehetőségnek, bár kissé bürokratikus, ellenőrizze magát az erőt.
Annak igazolására, szabványnak való megfelelést szükséges évente. A követelmények szintjétől függ a vállalathoz rendelt. Őket már csak négy, és kapnak számától függően feldolgozott tranzakciók évente. Legutóbb Badoo első szint van hozzárendelve, amely a legmagasabb és legbiztonságosabb. Ő a legszigorúbb tanúsítási követelményeket, hogy erősítse meg őket, el kell végezni a külső ellenőrzés. Az alacsonyabb szinteken kellően töltse lap vagy önálló teljesítő belső ellenőrzés. A teljes lista a követelmények megtalálhatók a standard. Fogunk beszélni, amely egyszerűsíti a tanúsítási folyamatának bármelyik szinten.
Először is meg kell emlékezni, hogy a kártya számát (PAN) és a biztonsági kódot hátulján található a kártya (CVC) tilos bárhol menteni. Nincs semmi baj, mint a normális működését a kérelemben, hogy nem szükséges. Kérelem esetén a felhasználói adatokat továbbítani kell az aggregátor azonnal tárolható csak a RAM-ban, ami lehetővé tette szabvány. Tárolja tartós boltban csak az első hat és az utolsó négy számjegye a kártya számát, a kártya birtokosának nevét és a lejárat napja. Magasabb szinten, a szabvány még mindig lehetővé teszi, hogy tárolja a kártya számát, de meg kell titkosítva erős algoritmusok vagy visszafordíthatatlan hash függvény.
A következő fontos dolog -, hogy csökkentse a területet, amelyre a minősítést. Ha a fizetési feldolgozás nem irányítja a cég üzleti, akkor nincs sok értelme terjeszteni szigorú PCI DSS biztonsági szabályokat állapítanak meg a teljes infrastruktúra. Csak válassza ki az alkalmazást, amely feldolgozza a kártya, az egyes szerver és tároló a kóddal, a hozzáférést, amely korlátozott számú embert. Amellett, hogy a hivatalos csökkentése a munka mennyiségét, és ez megadja a további biztonsági rendszer egészére. A komponensek lazán kapcsolódnak egymáshoz, így repedés a fő alkalmazás, a támadó nem tud hozzáférni a hitelkártya adatokat.
Az egyetlen lehetőség, hogy ne tanúsítás - ne dolgozza műanyag kártyák adatait is. Például a legegyszerűbb és leggyakoribb módja -, hogy küldjön a felhasználónak, hogy a fizetési átjáró oldalt. A fizetés után, vissza fog térni a helyszínre, és akkor be kell jelenteni a befizetés állapotát. Azok számára, akik még mindig szeretné, hogy a saját fizetési forma, amely szervesen illeszkedik a design a helyén, van egy lehetőség, nehezebb. Térkép adatok titkosított a böngésző, a nyilvános kulcsot és küldje el az űrlapot közvetlenül a fizetési átjáró, amely dekódolja a privát kulcsot és fizetés feldolgozásához.
A csalás veszélyes és hogyan csökkentsék ez?
Csalás - ilyen típusú csalások a kártya adatait, amelyek célja az illegális használata pénzt a számláján. A veszély itt abban rejlik nem csak a felhasználó, hanem az Ön számára, mint az eladó. A felhasználó kérheti a bank, hogy visszatérjen a pénzt, és akkor nem csak nem kap pénzt a termék vagy szolgáltatás, hanem büntetést kell fizetnie minden ilyen kérést, akkor is, ha utóbb eredményesen megtámadta. Ezen túlmenően, Visa, Master Card és más fizetési rendszerek szabhat további szankciókat a magas hozamot. Ha a büntetést a szokásos hozam, mint általában, nem haladja meg a 10 $, a büntetést a nagy mennyiségű könnyen több százezer dollárt.
Fontos megérteni, hogy van kétféle hozam: „refand” (a táskát a visszatérítés.) És a „visszaterhelési” (az angol visszaterhelésről.). A különbség az, hogy csinálsz magadnak refand felhasználók hozzáférést és visszaterheléssel kényszerítve, hogy a fizetési rendszer. Ezért szankciókat és elő különféle szankciók csak chargebacks.
Ways, hogy a csalás elleni küzdelem sokat. A legegyszerűbb és leghatékonyabb - 3D Secure. Tény, hogy ez csak egy plusz lépést, ha fizet, amelyet a felhasználó meg kell erősítenie, hogy a kifizetést a kártyabirtokos (lásd. Az alábbi ábrát).
Amellett, hogy a biztonság növelése tranzakciókat folytató 3D Secure műszakban felelősséget csalás rajta a vállán a kibocsátó bank a kártyát. Ez azért van, mert az ellenőrzési lépés teljesen saját ellenőrzése alá, és az ügylet nem megy át, ha a bank bármilyen gyanúját. De annak ellenére, minden előnyével, Ez az ellenőrzési módszer, van egy végzetes hiba. Csakúgy, mint minden további lépés, ez nagyon rossz a részesedése a sikeres fizetés. Ennek megerősítéséhez, végeztünk egy sor kísérletet a különböző országokban, amelynek eredményeit mutatja az alábbi táblázat.
Három nyilak az ábrán jelzik az idő, amikor ki van kapcsolva a kényszerű használata 3D Secure az országban. Például Oroszországban, eredetileg engedélyezett 3D Secure. Útja után siker mértéke a kifizetések 20% -kal nőtt. Olaszországban, éppen ellenkezőleg, már benne, és látta, hogy egy csepp tranzakció sikerességi aránya 10-15%. Csak Nagy-Britanniában a felhasználói viselkedés megváltozott.
Azt is végzett hasonló kísérletek az Egyesült Államokban, ahol miután a 3D Secure felhasználók gyakorlatilag megszűnt fizetni, és Dél-Afrikában, amelyeket hagyományosan tekinthető fellegvára csalás, de valahol letiltja a 3D Secure pozitív hatással volt.
Nézzük a keletkező megállapításokat, úgy döntöttünk, hogy hagyjon fel a kötelező feltüntetése a 3D Secure összes tranzakció. De hogy mentse chargebacks alacsony szinten szükség volt egy olyan rendszert, amely képes észlelni a csalárd ügyleteket, és blokkolja őket. Kezdjük azzal, hogy úgy döntöttünk, hogy hozzon létre portréit, akik gyakran a forrása a csalás honlapunkon.
Ha a csaló sikerült átjutni minden védelmet, és megkaptuk információra visszaterhelésekkel, akkor próbálja vitatni. Ebben az esetben, még mindig fizeti ki a bírságot, de ha nyersz az érv, legalábbis ne veszítse el a kifizetés összege.
Különösen a fejlett aggregátor nyújthat „bennfentes” információkat visszaterhelésekkel kapott a bank, amely még nem volt ideje, hogy a fizetési rendszert. Ezek az üzenetek az általunk használt proaktív védelmet nyújt a csalás. Ezek rögzítik a rendszerben, és próbálunk tenni refand ezekre a műveletekre. Ebben az esetben, akkor is visszatéríti a pénzt, de ahogy mindezt önként, nincs szükség további büntetések és bírságok ró ránk. A teljes hatás ezen intézkedések nem túl nagy - mentheti csak néhány százaléka a jövedelem. De Badoo több százezer dollárt évente fizet az összes költséget.
Miért nem lehet minden befizetések sikeres?
Útközben az ügyfél a bank a kártyát kibocsátó kifizetési kérelem megy keresztül több rendszer. Ezen kívül az eladó a folyamatban részt vevő:- fizetési átjáró vagy agreator amely biztosítja más fizetési módokat;
- elfogadó bank - a bank, amely kapcsolódik a különböző fizetési rendszerek és pénzforgalmi feldolgozás csak műanyag kártyák;
- fizetési rendszerek (Visa, Master Card et al.);
- Jegybankban - a kibocsátó bank a kártyát, amelyet a felhasználó megpróbálja fizetni a szolgáltatásért.
- Minden szakasz tartalmazza a trantszaktsii pontot, amely hatással lehet a siker.
Ebben a szakaszban a kód mi ellenőrzésünk alatt, és ha bármi gond van, meg tudjuk javítani őket. Itt van a rossz fajta hibák - hibák logikai érvényesítése a bevitt adatokat. Ha bejelöli a neve a kártyabirtokos Nyilvánvaló, hogy ez lehet egy hosszú vagy rövid, a számok, kötőjel, és bármi, amit indokoltnak tűnt a szülők, meg kell, hogy legyen óvatos, és tudni, hogy mikor ellenőrzi a kártya számát, hogyan lehet és kell is. Például a hossza lehet 13-19 (attól függően, hogy a kártya típusa), és nem csak a 16 számjegy, mint sokan gondolják. Az is kívánatos, hogy ellenőrizze nem csak a hossza, hanem az egész számot Luhn algoritmus. Amikor ellenőrzi a lejárat dátumát kell arra, hogy ez érvényes, amíg az utolsó nap a hónap, de nem a kezdés előtt.
Honlap - Payment Gateway - Az elfogadó bank - MPS - jegybankban
A siker a tranzakció ebben a szakaszban függhet a fizetési gyakoriság, és azok összegét, az ország, ahonnan érkeznek; kártyák és több fajta. Sajnos, a befolyása, hogy nem tudjuk, ezért ezeken a szakaszban nagyon magas hibaszázalék miatt téves pozitív antifrodovyh rendszerek egyik résztvevő a folyamatban. De sikerült megtalálni a két lehetőség, hogy tudjuk irányítani, és amelyek erősen befolyásolják a részesedése a sikeres fizetés. Ezt használják ki a helyi feldolgozó központ, és a helyes MCC.
Felvette a megfelelő kódot a számunkra, még mindig nem elégedett a teljesítménye néhány országban. Például Franciaországban ez az arány a sikeres fizetés nem akar emelkedni 50-60%. Ennek oka az volt, hogy van egy nagyon népszerű nemzeti fizetési rendszer Carte Bleue. Hogy elfogadja a használt kártyák feldolgozó központ (az elfogadó bank) kell csatlakoztatni. Általános szabály, hogy alkalmas a bankok található ugyanabban az országban, ahol szükség van a teljesítmény javítása érdekében. Ez adja a hozzáadott bónusz csökkentése gyanús ügyleteket antifrodovyh rendszerek kibocsátó bank az adott ország és a növekedését jelenti az aránya a sikeres fizetés.
Miután elkezdte használni a helyi feldolgozás, csatlakozik a Carte Bleue, megkaptuk a kifizetések növelése siker aránya Franciaországban 30% -kal. Az USA-ban, ahol nincs helyi fizetési rendszerek, ez a technika adta valamivel kisebb mértékben - mintegy 20%.
Túl a cikket egy történetet dolgoztunk egy olyan platform, amely lehetővé teszi az összes fenti kísérletek könnyen és további programozás nélkül.