10/06/2010
Всем привет. Когда кто-либо платит картой в ИМ........попадают ли какие-либо данные на сторону магазина? Имеется в виду фамилия и т.д.? (не в техническом смысле разумеется Если нет, то куда? В процессинговый центр и/или банк(и)? Интересен просто механизм, как происходит обработка платежей, точнее сказать какое звено из этой цепочки имеет доступ ко всем и/или только части данных карт, которыми расплачивались в ИМ. Может книгу кто посоветует или статейку. Заранее благодарен.
12/06/2010
Павлик Морозов, для интернет-магазина есть принципиально 2 пути реализации платежного сервиса (если речь идет только о пластике): обратиться в процессинговую компанию, такую как UCS+Chronopay, PayOnline System и пр., либо организовать авторизацию карт у себя на сайте (но, опять же, сам процессинг все равно будет осуществлять процессинговая компания или банк-эквайрер). В первом случае магазин никаким (!) образом не получает сведений о карте и ее держателе, во втором случае, соответственно, имеет к ним доступ. Для того чтобы магазин смог работать по второй схеме, ему нужно, как минимум, получить сертификат безопасности PCI DSS. Для подавляющего большинства интернет-магазинов это экономически невыгодно, потому что только стоимость аудита магазина сертифицированным аудитором составляет порядка 1 млн. руб. и это не считая расходов на дополнительное оборудование и программное обеспечение, штат сотрудников отвечающих за информационную безопасность и т.д. Причем аудит проводится раз в год, т.е. каждый год магазину придется отстегивать по миллиону. В первом же случае оплаты магазину ничего особенного не требуется, только разместить логотипы Visa feat MasterCard и еще некоторую информацию на сайте и все, можно принимать платежи. Как понять по какому варианту работает магазин? Очень просто:) смотреть на адресную строку браузера, если страница, где покупатель вводит реквизиты своей карты на другом сайте, нежели сам магазин, значит магазин работает через сторонний ПЦ и доступа к данным не имеет, если на своем, то он сам обрабатывает их. Есть еще небольшая хитрость, он может работать через сторонний ПЦ, но страница с вводом данных будет как бы на сайте магазина, на самом деле сама форма с полями ввода данных загружается с сайта ПЦ через скрытый фрейм на сайте магазина, создается впечатление, что вы вводите эти данные на сайте магазина, но на самом деле, они уходят с этой формы только на сайт ПЦ, и магазин их не как не может перехватить. Тут немного сложнее определить схему работы магазина, например, можно посмотреть исходный текст страницы, где расположена форма ввода данных карты, найти там код этой формы <form name="pay_form" method="POST" action="https://e-commerce.raiffeisen.ru/vsmc3ds/3dsproxy_init.jsp"> если в коде формы есть ссылки на сторонние сайты, то он работает через сторонний ПЦ. Вот и все.
Есть хорошая книжка по пластику, вышла в этом году http://www.books.ru/shop/books/605373, но она рассчитана скорее на более глубокое изучение вопросов пластиковых карт, чем простой обзор "как это работает".
Есть хорошая книжка по пластику, вышла в этом году http://www.books.ru/shop/books/605373, но она рассчитана скорее на более глубокое изучение вопросов пластиковых карт, чем простой обзор "как это работает".
12/06/2010
12/06/2010
Athlon спасибо за Ваш ответ. Более точного и развернутого ответа чем Ваш в природе не существует. Огромное спасибо. И дай Бог Вам всего....
16/07/2010
Athlon:
Для того чтобы магазин смог работать по второй схеме, ему нужно, как минимум, получить сертификат безопасности . Для подавляющего большинства интернет-магазинов это экономически невыгодно, потому что только стоимость аудита магазина сертифицированным аудитором составляет порядка 1 млн. руб.
Для того чтобы магазин смог работать по второй схеме, ему нужно, как минимум, получить сертификат безопасности . Для подавляющего большинства интернет-магазинов это экономически невыгодно, потому что только стоимость аудита магазина сертифицированным аудитором составляет порядка 1 млн. руб.
не думаю что это так...
Для оборота меньше 200 000 транзакций в год, соответствует ли ваш магазин PCI DSS решает банк на основании:
1. Необходимо пройти сканирование 4 квартальных по 200 фунтов каждый
2. Самостоятельно заполнить и заверить анкету
http://usa.visa.com/merchants/risk_mana ... hants.html
Quarterly network scan by ASV if applicable
Annual SAQ recommended
Compliance validation requirements set by acquirer. Level 4 merchants may be required to complete the PCI Self-Assessment Questionnaire as specified by their acquirer.
16/07/2010
Athlon:
Для того чтобы магазин смог работать по второй схеме, ему нужно, как минимум, получить сертификат безопасности . Для подавляющего большинства интернет-магазинов это экономически невыгодно, потому что только стоимость аудита магазина сертифицированным аудитором составляет порядка 1 млн. руб.
Для того чтобы магазин смог работать по второй схеме, ему нужно, как минимум, получить сертификат безопасности . Для подавляющего большинства интернет-магазинов это экономически невыгодно, потому что только стоимость аудита магазина сертифицированным аудитором составляет порядка 1 млн. руб.
не думаю что это так...
Для оборота меньше 200 000 транзакций в год, соответствует ли ваш магазин PCI DSS решает банк на основании:
1. Необходимо пройти сканирование 4 квартальных по 200 фунтов каждый
2. Самостоятельно заполнить и заверить анкету
http://usa.visa.com/merchants/risk_mana ... hants.html
Quarterly network scan by ASV if applicable
Annual SAQ recommended
Compliance validation requirements set by acquirer. Level 4 merchants may be required to complete the PCI Self-Assessment Questionnaire as specified by their acquirer.
16/07/2010
Данные о карте идут через процессинговый центр. Но, если магазин торгует материальными товарами, то ему необходимы сведения о том, кому этот товар отправить, в том числе адрес и фамилия.
Другое дело, как установить, что получатель и человек, чья карта используется для оплаты, - одно и тоже лицо, дабы избежать злоупотреблений со стороны недобросовестных лиц?
Другое дело, как установить, что получатель и человек, чья карта используется для оплаты, - одно и тоже лицо, дабы избежать злоупотреблений со стороны недобросовестных лиц?
16/07/2010
Gross308:
как установить, что получатель и человек, чья карта используется для оплаты, - одно и тоже лицо, дабы избежать злоупотреблений со стороны недобросовестных лиц?
как установить, что получатель и человек, чья карта используется для оплаты, - одно и тоже лицо, дабы избежать злоупотреблений со стороны недобросовестных лиц?
Насколько я понимаю, никак. Если Вы работаете через процессинговую компанию (а так поступает большинство интернет-магазинов, принимающих деньги через пластиковые карты), то от процессинговой компании в магазин попадает только результат операции по снятию денег - удачно или нет. Данные с пластика в магазин не передаются и хранятся только на серверах процессинговой компании.
Поэтому если я, например, воспользовался кредиткой жены для того чтобы купить что-нибудь себе, то интернет-магазин об этом узнать не сможет никак (если только у самой процессинговой компании).
Кстати, почитайте договоры, которые предлагают процессинговые компании - обычно они не берут на себя риск по операциям с краденных кредитных карт, а возлагают убытки на магазины.
16/07/2010
В том-то и дело, складывается впечатление, что многие банки предоставляющие услуги эквайринга, больше стараются оградить себя от каких-либо рисков, вместо совершенствования механизма и облегчения жизни своим клиентам.
Правда, некоторые процессинговые компании предлагают, как вариант, разного рода черные списки и пр. ухищрения, что в некотором роде скрашивает ситуацию.
Правда, некоторые процессинговые компании предлагают, как вариант, разного рода черные списки и пр. ухищрения, что в некотором роде скрашивает ситуацию.
16/07/2010
Есть еще вариант - курьер снимает слип с кредитной карты, когда привозит товар. При этом он может проверить паспорт и убедиться, что карта принадлежит покупателю. Но это уже не совсем оплата на сайте через кредитную карту )
16/07/2010
Да, но ведь предъявляемая карта и карта, по которой проводился платёж, могут быть разными, никаких данных же нет. Да и не у всех есть возможность снять слип, особенно, если доставка производится сторонними службами.
16/07/2010
Когда курьер делает слип сам, то он может проверить и карту, и паспорт. Если же доставка выполняется сторонними службами, то нужно оговаривать порядок приема денег по картам и ответственность при заключении с ними договора.
Вообще проблема использования краденных кредитных карт очень непроста, мне неизвестно о каком-либо ее надежном решении.
Сбербанк, например, предоставляет владельцам своих кредитных карт одноразовые пароли, которые он может получить в виде бумажки через банкомат. Если использовать ее при платеже через интернет, пользователю необходимо будет ввести одноразовый пароль. Но если карту "увели" вместе с этой бумажкой, ничего не спасет. И, кстати, этот однаразовый пароль запрашивают не все процессинговые компании.
Вообще проблема использования краденных кредитных карт очень непроста, мне неизвестно о каком-либо ее надежном решении.
Сбербанк, например, предоставляет владельцам своих кредитных карт одноразовые пароли, которые он может получить в виде бумажки через банкомат. Если использовать ее при платеже через интернет, пользователю необходимо будет ввести одноразовый пароль. Но если карту "увели" вместе с этой бумажкой, ничего не спасет. И, кстати, этот однаразовый пароль запрашивают не все процессинговые компании.
19/07/2010
Да, 3D-Security определённо шаг вперёд в плане безопасности для обеих сторон, как для покупателя, так и для продавца. Жаль, у нас пока ещё только распространяется и не везде поддерживается.
02/09/2010
Gross308:
Другое дело, как установить, что получатель и человек, чья карта используется для оплаты, - одно и тоже лицо, дабы избежать злоупотреблений со стороны недобросовестных лиц?
Другое дело, как установить, что получатель и человек, чья карта используется для оплаты, - одно и тоже лицо, дабы избежать злоупотреблений со стороны недобросовестных лиц?
Почитайте на досуге https://www.moneybookers.com/app/help.p ... audcontrol
Ничего не навязываю, но вот система, которая работает с пластиковыми картами и полностью защищает продавца от всевозможных махинаций со стороны "покупателя".
Ответить