Какая платежная система первой предложила внедрить защищенный протокол авторизации пользователей

Обновлено: 28.06.2024

Вне зависимости от того, являетесь вы небольшим бизнесом или огромной eCommerce платформой, существует необходимость принимать и обрабатывать платежи от своих клиентов. На первый взгляд, прием онлайн-платежей может показаться сложным процессом и потребовать много усилий (создание учетной записи продавца, усиление безопасности платежей и защита от мошенничества, наличие сертификата безопасности и т.д). Но это всё может не потребоваться, если вы пользуетесь платежной системой, которая осуществляет все транзакции.

Во время выбора платежной системы в первую очередь стоит понимать, что она должна соответствовать требованиям и нуждам как вашего бизнеса, так и ваших клиентов. Поэтому процесс обработки платежа должен быть безопасным, удобным, простым и быстрым, а также поддерживающим разные методы оплаты и подходящим для вашей платформы или мобильного приложения. Неверный выбор приведет к ошибкам в системе, сбоям в платежах и потере клиентов. Давайте разберемся, как этого избежать!

Как работает платежная система?

Платежная система - это сервис для авторизация и обработки платежей, совершаемых посредством дебетовых/кредитных карт. Во время процесса обработки платежа все данные шифруются и защищаются протоколами системы, что обеспечивает безопасность процесса покупки между продавцом и покупателями. Платежные системы могут совершать различные типы транзакций: авторизация, продажа, возврат, аннулирование и др.

В то время как для покупателя процесс оплаты представляет собой просто заполнение формы, за ней стоят несколько учреждений и сервисов, обрабатывающих платеж в несколько секунд. Для большего понимания последовательности этого процесса и места платежной системы в нем, предлагаем изучить иллюстрацию.




Какие критерии определяют выбор платежной системы?

Разобравшись с тем, что такое платежные системы и какие функции они выполняют, пора понять, как они отличаются и как выбрать подходящую для вашего бизнеса. Ниже представлены критерии, которые стоит учесть при выборе:

География. Никто не знает ваш рынок и индустрию так же хорошо, как вы. Поэтому вы должны проверить представленность системы в странах дистрибуции, а также в стране регистрации вашего бизнеса. Также не забывайте учитывать возможное расширение на другие рынки и страны.

Поддерживаемые платформы. В большинстве случаев платежные системы могут быть интегрированы и в сайт, и в мобильное приложение, но некоторые специализируются на одной платформе. Если вы используете несколько платформ, убедитесь, что платежная система подойдет для каждой. Также изучите возможности кастомизации для идеальной синхронизации.

Метод интеграции. Данный критерий определяет, насколько безопасной, быстрой и совместимой с вашей платформой будет платежная система, и включает следующие типы:

хостинговая (все процессы выполняются и контролируются платежной системой, все данные также принадлежат сервису; вы не отвечаете за контроль над процессами и безопасность, получаете меньше конверсий, так как покупатели покидают ваш сайт во время перехода в систему; тем не менее, данный вариант может подойти малому бизнесу)

Direct Post (система интегрируется в вашу платформу с помощью API, но данные хранятся на сервере сервиса; вы получаете полную кастомизацию, но из-за отправки данных системе этот метод не считается безопасным);

нехостинговая, или интегрированная (вы получаете полный контроль и кастомизацию; покупатели не покидают вашу платформу для оплаты, поэтому все данные хранятся на вашем сервере; из-за сбора большого кол-ва данных покупателей, чаще всего безопасность вашей платформы должна быть подтверждена PCI DSS сертификацией, а также вам потребуется помощь разработчиков для интеграции системы с помощью API).

Платежи и комиссии. Каждая платежная система взимает комиссии, так как в процессе используются инструменты третьих сторон для обработки и авторизации платежей. Это может включать плату за установку, ежемесячный платеж, комиссию за транзакцию, комиссию за международную транзакцию и др. Выбирайте систему с подходящими для вашего бизнеса затратами, а также внимательно изучайте документацию для избежания скрытых платежей.

Поддерживаемые методы оплаты и валюты. Убедитесь в том, что выбранная платежная система поддерживает популярные (особенно в вашей стране и индустрии) методы оплаты: кредитные/дебетовые карты (например, Visa, MasterCard, AmericanExpress) и электронные кошельки (например, ApplePay, Alipay, WeChat Pay). Если ваша платформа является международной, вам также потребуется мультивалютная поддержка. Некоторые платежные системы обрабатывают более 100 валют и даже криптовалюты.

Документация и служба поддержки. Этот момент является наиболее важным для вашей команды разработчиков. Если вы хотите, чтобы система была интегрирована быстро и идеально работала с вашей платформой, выберите ту, которая предлагает понятно описанные гайды по интеграции и оказывает постоянную поддержку. Уверены, что вы не хотите получить кучу ошибок во время обработки платежей из-за неверной документации или же ждать подтверждения от службы поддержки неделю

Разрешенный тип продукта. Некоторые системы поддерживают оплату только за физические продукты или только за цифровые продукты. Чтобы быть 100% уверенным, что ваш тип продукта поддерживается, лучше перепроверить данную информацию, прежде чем начать работать с определенной платежной системой.

Если некоторые детали описанного не совсем понятны или ваш нужна помощь в выборе платежной системы или ее интеграции, команда Fingers Media готова поделиться опытом и подобрать лучшее для вашего бизнеса решение.

Наш опыт: Stripe, Hipay, Ixopay

Для того, чтобы у вас сложилось более четкое представление об основных функциях платежных систем и как они могут отличаться, мы кратко расскажем о тех, которые мы чаще всего использовали с нашими европейскими заказчиками: Stripe, Hipay, Ixopay.

Stripe

Доступные страны: 30+ стран (в основном Европа и Северная Америка).

Поддерживаемые платформы: веб, iOS, Android

Методы оплаты: все основные типы кредитных и дебетовых карт, e-wallets, банковские переводы и т.д

Валюты: 135+ валют, Bitcoin.

Комиссии: нет платы за установку и месячного платежа, комиссия за каждую транзакцию - 2,9% + $0,30. Сервис также предлагает кастомизированные решения для больших компаний.

Конкурентные преимущества: четкая документация, которая позволяет интегрировать систему очень быстро (для нашей команды обычно занимает не больше одного дня), нет неожиданных ошибок и проблем в системе, прекрасная быстрая служба поддержки и простая кастомизация для любого типа платформы.

Дополнительные решения: Atlas (платформа для поддержки развития стартапов), Connect (платформа с большим кол-вом инструментов для создания маркетплейса и простой оплаты поставщикам), Radar (управление рисками и защита от мошенничества), Sigma (кастомизированные отчеты для вашего бизнеса), Climate (процент от каждой покупки идет на развитие технологий по борьбе с изменениями климата).

HiPay

Доступные страны: Европа, Северная Америка

Поддерживаемые платформы: веб, iOS, Android

Методы оплаты: 220+ различных методов - все основные кредитные и дебетовые карты, e-wallets, банковские переводы и т.д

Комиссии: нет платы за установку и месячных платежей, комиссия за транзакцию зависит от месячного оборота бизнеса + фиксированной сумма ( +0.25€ за транзакцию, iDEAL: +0.79€ за транзакцию).

Конкурентные преимущества: защита от мошенничества (3D secure), большое кол-во валют и методов оплаты, что делает платформу поистине международной.

Недостатки: документация для интеграции сервиса описывается нашими разработчиками как не очень четкая.

Дополнительные решения: аналитика данных с полезными инсайтами для вашего бизнеса, отчеты в реальном времени, автоматизированная банковская выверка, специальные планы по типа бизнеса (Professional, Enterprise, Marketplace).

Ixopay

Доступные страны: везде, где вы можете принимать платежи

Поддерживаемые платформы: веб, iOS, Android

Методы оплаты: 200+ основных методов

Валюты: все, что поддерживаются вашим адаптером

Комиссии: плата за установку и комиссия за транзакции зависит от типа вашего бизнеса и оборота

Конкурентные преимущества: данный сервис является агрегатором платежных систем, что видно по разнообразному функционалу; можно приобрести собственную white label платформу

Недостатки: задержки в планировщике платежей

Дополнительные решения: использует лишь один API для интеграции с адаптером, провайдером платежных услуг (PSP), процессором, системой планирования ресурсов (ERP), BI системой или другим необходимым вам сторонним сервисом. Также доступны Smart Routing Engine (контроль пути пользователя на платформе), система управления рисками и выверка и обработка бухгалтерской документации.

Заключение

Ввиду удобства и простоты объем онлайн-платежей (особенно мобильных) увеличивается с каждым годом, что делает наличие интеграции вашей платформы с платежной системой главным ожиданием пользователей во время покупок.

Выбирая платежную систему для вашего бизнеса, убедитесь в том, что вы

выбрали ту, которая имеет идеальное соотношение цены и качества,

учли особенности вашего сектора и страны, а также популярные методы оплаты и валюты,

изучили всю документацию о платежах и интеграции системы во избежание неожиданностей во время обработки платежей,

изучили дополнительные решения, которые предлагает сервис, так как они могут быть очень полезны в автоматизации бизнеса и укреплении безопасности.

Читайте продолжение о типах платежных систем и самых популярных из них на территории стран СНГ во второй части статьи.

Если у вас остались вопросы, вам нужна помощь разработчиков в интеграции платежной системы или есть идея создания инновационного продукта, свяжитесь с нашей командой Fingers Media и мы будем рады помочь!

contacts image

Появилась идея для проекта? Мы хотим узнать о том, что важно для вас

Что такое 3DS –аутентификация?

Данный тип аутентификации представляет собой специальный защищенный пользовательский протокол. Его главное назначение – обеспечить высокий уровень безопасности совершаемой пользователем операции. Это уменьшает вероятность использования карты без согласия ее держателя. Это обеспечивается дополнительным подтверждением.

Данную функцию впервые начала использовать платежная система VISA. Другие платежные системы оценили достоинство этой технологии несколько позднее, после чего сразу же к ней присоединились.

К сожалению, до сих пор не все магазины применяют технологии 3DS Secure. Чтобы удостовериться, что торговая точка использует данную защитную систему, следует искать следующие обозначения:

  • в случае с МастерКардом – Mastercard SecureCode (MCC);
  • при использовании Визы – Verified by Visa (VBV);
  • если речь идет о JCB – JCB International (J/Secure);
  • в случае с платежной системой МИР – MIR Accept.

Схема 3DS

Схема действия технологии 3D Secure

Дополнительная безопасность обеспечивается добавлением факультативного этапа защиты при совершении покупки. Он заключается в подтверждении кода. В этом случае примерная схема покупки выглядит следующим образом:

  1. Ввод реквизитов пластика.
  2. Сайт торговой точки перенаправляет держателя карты на онлайн-страничку банка-эмитента для прохождения 3DSecure- аутентификации.
  3. Завершение операции.

При этом торговые точки не получают информацию о держателе карты в полном объеме. Это обеспечивает дополнительный уровень безопасности.

Защитный код держателя имеет несколько вариантов:

  • SMS-уведомление;
  • разовый код;
  • фиксированный покупателем код.

Чтобы операция прошла успешно, для ее совершения, как правило, потребуются банковская карта и мобильный телефон.

Схема действия технологии

Причины ошибки аутентификации

Описанные выше современные технологии повышают уровень безопасности совершаемых операций по карте. Однако и данная система дает сбои.

Ниже приведем основные факторы, которые могут привести к получению уведомления об ошибочной операции:

  • отсутствие подключения к данной функции;
  • введение некорректного кода;
  • истечение периода действия кода (максимум – 10 минут);
  • технические сбои со стороны банка-эмитента;
  • проблемы с сервером;
  • неподдерживаемая платежная система;
  • проблемы с настройками в торговой точке;
  • отсутствие достаточной суммы на счете держателя.

Для начала проверьте корректность введения номера счета. Если с этим все в порядке, то следует позвонить на горячую линию банка-эмитента для разъяснения ситуации. Сотрудник проверит корректность настроек, выявит возможные причины проблемы и поможет решить вопрос. Как правило, решение проблемы не занимает более 10 минут. Однако если речь идет о технических сбоях в самом банке или в платежной системе, то решение вопроса может затянуться.

Если же у вас нет возможности позвонить по телефону, то на помощь придут онлайн-консультанты. Решить любой вопрос можно в онлайн-чате на сайте банка.

Если вы привыкли во всем разбираться самостоятельно, то имеется и другой вариант. Для начала проверьте подключение нужной функции. Для этого потребуется.

  1. Совершить вход в личный кабинет банка.
  2. Открыть перечень карт.
  3. Ознакомиться с подключенными услугами. Если функция 3DS аутентификации в списке отсутствует, то ее можно подключить онлайн или с помощью оператора.

Введение кода

Чтобы подключить 3D Secure, вам потребуется представить оператору следующие сведения:

  • фамилию, имя и отчество;
  • кодовое слово, которое вы придумали при регистрации;
  • последние 4 цифры номера карты.

Как правило, функция будет подключена в течение одного-двух дней. Обычно ее подключение является платным, однако некоторые банки предоставляют ее бесплатно.

Таким образом, технология 3D Secure – это современный способ дополнительной защиты проводимых в Интернете операций. Пройти данную аутентификацию без самой карты и мобильного телефона довольно проблематично. Поэтому использование данной технологии уменьшает вероятность мошеннических действий.

Обычно данный этап используется в схеме оплаты покупок на сумму, превышающую 3000 рублей. Если ваш пластик не проходит аутентификацию, то проверьте наличие активных опций в своем личном кабинете. Также можно позвонить оператору.

Однако не стоит полагаться только на современные Интернет-технологии. Полностью обезопасить совершение покупок через Интернет они не в состоянии. Поэтому стоит придерживаться основных правил для совершения онлайн-платежей. Например, специалисты рекомендуют выделить для этих целей специальную Интернет-карту и держать на ней лишь необходимую для совершения покупки сумму.


Рассматриваем, как перейти на новый протокол 3‑D Secure 2.0, не затрачивая на это много ресурсов. А главное, как не потерять в конверсии и не навредить проходимости платежей во время переходного периода.

К концу 2021 года все банки ЕС будут применять новые правила безопасности для интернет-платежей внутри Еврозоны (и подлежат большим штрафам, если этого не сделают). Онлайн-бизнес, который не перейдет на протокол 3DS2, столкнется с серьезной потерей конверсии. Количество отказов по платежам без аутентификации 3DS2 уже сейчас быстро возрастает. Скоро все онлайн-платежи по картам, не прошедшим аутентификацию 3DS2, будут отклоняться эмитентами без рассмотрения.

Mastercard планирует вывести прежний протокол безопасности 3DS1 из эксплуатации в октябре 2022 года. VISA уже в октябре 2021.

Что такое 3DS2?

Техническая суть новшеств – в изменении некоторых программных кодов и автоматических параметров оповещений и запросов на платежный сервер и далее, для проверки и одобрения эмитенту.

Новый протокол формирует два пути прохождения платежей: frictionless flow и challenge flow. В первом случае система верифицирует знакомое устройство пользователя и одобряет платеж без подтверждения SMS-паролем. Во втором случае банковская система сомневается в аутентификации плательщика, и требует предоставить пароль или биометрическую информацию. Она перенаправляет пользователя на ACS-страницу банка-эмитента для ввода одноразового SMS-пароля.

Сервер Управления Доступом (ACS) ответственен за управление процессами аутентификации между покупателем и эмитентом, и гарантирует проведение платежных транзакций для торговца. Система сравнивает собранные данные с предыдущими (историческими) данными о транзакциях держателя карты для вывода значения риска мошенничества, соответствующего новой транзакции.

Схема работы 3ds 2.0 frictionless и challenge

Что значит введение нового протокола 3DS2 для бизнеса?

Важно и то, что 3DS2-аутентификация (как и 3DS1) возлагает ответственность за возможный неправомерный платеж на эмитента и снимает ее с онлайн-бизнеса. Еще более значима для бизнеса и поддержка 3DS2 платежей в мобильных приложениях.

Как перейти на новый протокол 3DS 2.0: варианты — от сложного к простому

Для самостоятельного перехода на новую конфигурацию онлайн-бизнесу потребуется команда IT-специалистов и несколько недель работы (в зависимости от существующей схемы платежей на сайте).

Но есть способ лучше. Единичные платежные провайдеры научили свою платежную платформу проводить платежи с поддержкой 3-D Secure 2.0 самостоятельно. Со стороны бизнеса не требуется никаких доработок сайта, а платежная схема для онлайн-продавца и пользователя остается такой же, как и для 3‑D Secure 1.

Proxy 3DS – бесплатный сервис. Он уже работает для существующих клиентов ECOMMPAY и по умолчанию включается, если интеграция с сайтом идет через API (host2host). При подключении через платежную страницу вся обработка платежей, включая 3DS-аутентификацию, как и раньше, идет на стороне платежного провайдера.

Как работает 3DS 2.0 через Proxy 3DS на практике: разные сценарии

Если банк-эмитент держателя карты поддерживает протокол 3-D Secure 2.0, то платежная платформа в ответ на запрос формирует оповещение в привычном формате 3‑D Secure 1, но в качестве URL-адреса вместо ACS будет указан адрес нашего сервиса Proxy 3DS.

При перенаправлении пользователя на Proxy 3DS возможны два сценария:

frictionless flow — отображение скрытого для пользователя окна (iframe) и обмен данными с ACS в фоновом режиме. Другими словами, Frictionless Flow позволяет эмитентам одобрить транзакцию, не требуя ручного ввода данных от владельца карты.

challenge flow — перенаправление пользователя на ACS-страницу банка-эмитента для ввода подтверждающей информации (например, одноразового пароля).

Схема работы 3ds 2 frictionless и challenge

Выполняться может как один из этих сценариев, так и два сценария последовательно. Выбор за эмитентом.

Как перейти на 3-D Secure 2 в одно действие?

Proxy 3DS работает по базовой схеме аутентификации. Сервис поддерживает протокол 3-D Secure 2 на основе предыдущей версии без доработок, но требует дополнительных перенаправлений пользователя.

Расширенная схема оптимизирована под особенности протокола 3-D Secure 2.0 и исключает промежуточные перенаправления. Однако, она предполагает, что торговый сайт уже умеет работать со схемами frictionless и challenge flow.

3ds 2.0 расширенная схема аутентификации

Для максимально легкого перехода на расширенный вариант сервиса наша команда реализовала обратную совместимость между схемами аутентификации. От системного администратора сайта требуется самостоятельно изменить только один параметр в одном из запросов. Подробности – в нашей документации.

Переход платежных систем и банков по всему миру на новый протокол 3DS2 – вопрос самого ближайшего будущего. Но в условиях, когда не все банки-эмитенты даже в ЕС осуществили этот переход, любой онлайн-бизнес может столкнуться с неожиданным снижением конверсии или частым отказами по транзакциям какого-либо эмитента. Proxy 3DS – оптимальный инструмент для переходного периода в европейской системе безопасности онлайн-платежей.

Клиенты ECOMMPAY, которые интегрируют платежный шлюз через API, работают с 3-D Secure 2 через Proxy 3DS. Это избавляет их от многочисленных доработок для поддержки новой версии протокола.

Чтобы узнать, как упростить переход на новый протокол, свяжитесь с нашими экспертами!

В рамках цикла рассмотрим процесс авторизации по банковской карте, а также основные узлы и их алгоритмы: обмен POS-терминала с банковским процессингом, а также информационное взаимодействие эквайрера, Платежной системы и эмитента. Первая часть цикла описывает обмен между POS-терминалом и банковским процессингом.

Терминология

Авторизация — процесс обмена данными между участниками операции по банковской карте или другому платежному средству (например, мобильному кошельку и т.д.). Стандартная цепочка обмена выглядит следующим образом: Эквайрер (см. ниже) отправляет авторизационный запрос в ПС, ПС - эмитенту. Эмитент выполняет все необходимые проверки, такие как проверки безопасности, проверки доступности средств на карточном счете и другие, на основании которых отправляется ответ (положительный или отрицательный) на авторизационный запрос. Ответ на авторизационный запрос отправляется обратным маршрутом. То есть, сначала в ПС а затем эквайреру.

POS-терминал (POS - Point Of Service) — устройство, обеспечивающее техническую возможность обслуживания карт и других платежных средств.

Эмитент — финансовый институт (банк или иная финансовая организация), выпустивший (эмитировавший) карту.

Эквайрер — финансовый институт (банк или иная финансовая организация), обеспечивающий обслуживание карт мерчантом.

Мерчант — торгово-сервисное предприятие (далее ТСП), имеющее техническую возможность принимать карты.

Кардхолдер — держатель карты, имеющий право выполнять по ней набор операций, разрешенных эмитентом.

Процессинговый центр (ПЦ) — программно-аппаратный комплекс, обеспечивающий технологическую возможность информационного обмена между внутренними и внешними участниками расчетов в рамках того или иного сервиса (в нашем случае - эквайринга).

Протокол ISO 8583, основные положения

Поскольку протокол ISO 8583 достаточно известен, не будем останавливаться на его подробном рассмотрении, а интересующиеся могут почитать, например, вот здесь, а также поискать в Интернете.

Основные моменты следующие:

  • 00 - Покупка.
  • 01 - Выдача наличных в банкомате.
  • 02 - Дебетование по кредитовой операции, отправленной ранее.
  • 09 - Покупка с выдачей наличных.
  • 20 - Возврат.
  • 30 - Запрос баланса.

Приведенного выше должно быть достаточно для составления базового представления о принципах работы протокола ISO 8583. Структурное наполнение полей, повторим, является уникальным для каждого типа операции и для каждой ПС, и их рассмотрение выходит за рамки данного материала.

Авторизация: Структура обмена

Процесс авторизации структурно делится на две составляющие:

  1. Обмен данными между POS-терминалом и хостом (ПЦ) эквайрера (POS to Host, или P2H).
  2. Обмен данными между эквайрером, ПС и эмитентом (Host to Host, H2H).

Ниже рассмотрим первый из описанных этапов.

P2H (POS to HOST)

Информационные обмен между POS-терминалом и ПЦ. Именно он инициирует всю информационную цепочку в рамках эквайринга.

Другой характерной особенностью является кастомизация ряда полей протокола ISO 8583, например ранее упоминавшегося Поля 3, в котором становится допустимым использование других значений, отличающихся от таковых на онлайн-интерфейсах ПС. Тоже самое может касаться и Полей 47 и/или 48, использование которых в рамках P2H несет иную функциональность, нежели чем в спецификациях ПС. Аналогичное справедливо и относительно ряда других полей протокола ISO 8583.

Транзакционные схемы

Ряд ПЦ и, соответственно, взаимодействующих с ними POS-терминалов допускает использование нескольких транзакционных схем. Наиболее распространенными из них являются схемы 0100/0110 и 0200/02x0.

Таковы основные моменты в рамках обмена по P2H.

Следующая часть будет посвящена вопросам информационного обмена эквайрера с ПС и эмитентом.

Читайте также: