Данная статья будет разбита на несколько частей.
Часть 1 - Вступление
Часть 2 - Делаем клиент на TypeScript для Tinkoff эквайринг
Часть 3 - Работа с картами МИР и иными картами поддерживающими 3DS V2
В рамках разработки нашего SaaS решения для автоматизации процессов кар-шерингов и авто-ренталов CarSense, перед нами стояла задача реализации системы рекуррентных платежей (Добавление карт пользователями для дальнейшего безакцептного списания).
Сначала в декабре мы потеряли один луч городского питания на ЦОД, а потом почти сразу — второй. И не только мы, поэтому с дизелями отрабатывали впритык. Потом у банка ККБ отозвали лицензию, из-за чего прилегло примерно 10% российской электронной коммерции, потому что кроме Вебмани он обеспечивал очень крупные платёжные шлюзы. И, наконец, у нас был брутфорс на RDP эпических масштабов.
В промежутке между этими историями я ещё неприятно болел, поэтому не мог рассказать сразу. Теперь немного отдышался и могу обстоятельно рассказать про приключения нашего ИТ-бизнеса в России дальше. Они, скажем так, очень расширили мои представления о рисках бизнеса.
Первая кризисная ситуация началась 18 декабря прошлого года достаточно заурядно: несколько серверов взяли и перезапустились. Когда мы начали разбираться, что же случилось, выяснилось, что сгорел «их» ИБП. Почему сгорел ИБП? Потому что был скачок напряжения на подстанции, подающей городское питание. Дальше у нас вообще пропал этот самый ввод, автоматика отработала штатно и перекинула нас на второй луч. Мы сразу же сделали тестовый пуск дизелей. Всё на первый взгляд выглядело довольно рутинно.
Читать полностью »
Для своего проекта мне потребовалось реализовать возможность перевода с карты на карту. Для официального подключения к интерфейсу любого банка необходимо заключение договора и выполнение ряда условий. Поэтому было принято решение сделать шлюз к публичной странице банка. Для этих целей были выбраны два банка Тинькофф и БИН Банк предоставляющие возможность перевода на “свои” карты без комиссии. Подробней о тарифах и ограничениях на перевод вы можете ознакомиться на соответствующих страницах банков. В этой статье краткое описание работы шлюза, реализующего функциональность приема платежей на карту.
Требуется реализовать перевод с любой карты на заранее выбранную карту, с поддержкой процедуры авторизации 3DSecure. 3DSecure это защищенный протокол авторизации пользователей для CNP-операций (без присутствия карты). Подробней вы можете почитать на специализированных сайтах, ниже на схеме приведена упрощенная схема, как это работает с точки зрения пользователя.
С появлением кредитных карт и Интернета совершение покупок стало намного проще и, как говорят, безопаснее. Всего пара кликов и нужный Вам товар уже на пути к Вашему дому. Однако не все системы идеальны, точнее таких нет. Всегда можно найти какую-то ошибку, брешь, позволяющую злоумышленникам делать свое черное дело. Сегодня я хотел бы обратить Ваше внимание на исследование очень талантливого программиста Yohanes Nugroho, рассказавшего об уязвимости в системе MIGS.Читать полностью »
▍Предыстория: у нашей небольшой, но очень амбициозной компании «Black Mushroom Studio» появилась идея создания e-commerce проекта и реализации мобильного приложения для оплаты некоторых товаров/услуг через платежного агрегатора.
▍Что было на входе: каркас приложения на Android, которому, само собой, удобно общаться по HTTP и JSON, и платежная система, предоставившая свое API — web-сервисы с SOAP-содержимым.
▍Задача: подружить одно с другим.
На выбор технологии повлияли следующие моменты: скорость разработки и возможность быстрой реакции на изменения. Проект должен был выстрелить. Пока конкуренты производят оценку сроков, мы хотели уже запустить продукт. Пока конкуренты ищут разработчиков, мы уже должны были получать прибыль. При этом ограничительном факторе, все же необходим был серьезный подход, так как вопрос связан с деньгами инвесторов, а это требует повышенного внимания.
Можно долго говорить о достоинствах и недостатках конкретных технологий конкретных вендоров и преимуществах open source, но везде есть свои минусы и плюсы. Проанализировав несколько продуктов (материал для отдельной статьи), мы пришли к выводу, что для решения наших задач, InterSystems Ensemble подходит больше других.
Читать полностью »
Дорогие друзья,
Мы в Payler уделяем особое внимание защите данных держателей карт. Еще до нового года мы обозначили свои планы относительно обновления сертификации безопасности PCI DSS до версии 3.0, так как понимали, что в скором будущем текущая версия 2.0 устареет и перестанет отвечать постоянно растущим требованиям к уровню безопасности.
Мы прошли аудит PCI DSS версии 3.0 и спешим рассказать вам, как это было. Но сначала отметим ключевые изменения в процессе обеспечения безопасности, отличающие версию 3.0:
Читать полностью »
Дорогие друзья,
Мы работали днем и ночью, находили вдохновение в каждом моменте времени, писали код со скоростью Шумахера на трассе Формулы-1, проделали мощнейшую работу и достигли огромных результатов. Год выдался насыщенным и пролетел стремительно. Настало время подвести его итоги.
Начало
После периода безудержного кодинга, длившегося почти год, финальным шагом на пути к запуску Payler стало прохождение аудита PCI DSS. Мы официально запустились 1 мая – в праздник весны и труда – и начинали как платежный шлюз, предоставляющий только услуги интернет-эквайринга. Однако мы быстро поняли, что рынок требует свежих идей и новых инструментов.
В первый месяц работы у нас был один клиент и один банк-эквайер, а подключение к системе занимало 3-4 недели. Но уже тогда своим главным приоритетом мы считали удобство работы клиента, а потому продолжали, как продолжаем и сейчас, работать над разработкой новых сервисов и поиском новых способов сделать работу клиента проще и эффективнее.
Читать полностью »
Дорогие друзья
Мы очень рады снова вернуться к вам, чтобы поделиться тем, как живет и развивается Payler. В данном посте мы хотим подвести промежуточные итоги нашей работы с первого дня работы (мы работаем с 1 мая 2014 года). Мы провели уже более чем 4 441 000 транзакций и считаем, что первое боевое крещение уже пройдено. Хотим рассказать обо всех нюансах, включая те трудности и фейлы, с которыми мы столкнулись. Читайте дальше.
Кому мы нужны
В настоящий момент к нашей системе подключилось уже порядка 60 клиентов и мы уже гораздо лучше представляем себе портрет нашей аудитории. В целом здесь у нас всё идет по плану, но хотим поделиться нашими наблюдениями. Итак, кто в основном пользуется услугами интернет-эквайринга:
Многие уже слышали про найденную в OpenSSL уязвимость. Можно с уверенностью сказать, что по освещенности в интернет-СМИ она займет почетное первое место. Про нее не только пишут, но и создают специальные сайты, проверяющие сервисы и даже рисуют комиксы. И не удивительно — масштаб поражения действительно впечатляет, по некоторым оценкам более 17% всех сайтов с поддержкой ssl уязвимы, учитывая простоту эксплуатации это событие можно сравнить с эпидемией. К сожалению, даже это для многих не является достаточным аргументом — спустя неделю многие сайты продолжают оставаться под угрозой. Это может быть не критично для простых сервисов, но не для финансовых. Особенно болезненно это может сказаться на платежных шлюзах, через которые осуществляются платежи. Об одном из таких я и расскажу.Читать полностью »
Дорогие друзья!
Продолжаем знакомить вас с новостями Payler и спешим рассказать, пожалуй, о самом важном событии для нас — прохождении аудита PCI DSS. Подготовка к этому знаменательному событию шла целых три месяца и вот, буквально на прошлой неделе, завершилась процедура двухдневного аудита от известной датской компании Fortconsult. Теперь ждём детальный отчет и сертификат, а пока хотели бы поделиться с вами полученным опытом.
Не будем описывать все технические подробности процедуры, тем более на страницах Хабра о ней писали не один раз (понравившаяся нам статья). Немного затронем особенности нашего опыта.
Читать полностью »
