Рубрика «платежный шлюз»

Для своего проекта мне потребовалось реализовать возможность перевода с карты на карту. Для официального подключения к интерфейсу любого банка необходимо заключение договора и выполнение ряда условий. Поэтому было принято решение сделать шлюз к публичной странице банка. Для этих целей были выбраны два банка Тинькофф и БИН Банк предоставляющие возможность перевода на “свои” карты без комиссии. Подробней о тарифах и ограничениях на перевод вы можете ознакомиться на соответствующих страницах банков. В этой статье краткое описание работы шлюза, реализующего функциональность приема платежей на карту.

Требуется реализовать перевод с любой карты на заранее выбранную карту, с поддержкой процедуры авторизации 3DSecure. 3DSecure это защищенный протокол авторизации пользователей для CNP-операций (без присутствия карты). Подробней вы можете почитать на специализированных сайтах, ниже на схеме приведена упрощенная схема, как это работает с точки зрения пользователя.

image
Читать полностью »

Уязвимость алгоритма хеширования в платформе MIGS - 1

С появлением кредитных карт и Интернета совершение покупок стало намного проще и, как говорят, безопаснее. Всего пара кликов и нужный Вам товар уже на пути к Вашему дому. Однако не все системы идеальны, точнее таких нет. Всегда можно найти какую-то ошибку, брешь, позволяющую злоумышленникам делать свое черное дело. Сегодня я хотел бы обратить Ваше внимание на исследование очень талантливого программиста Yohanes Nugroho, рассказавшего об уязвимости в системе MIGS.Читать полностью »

image


Предыстория: у нашей небольшой, но очень амбициозной компании «Black Mushroom Studio» появилась идея создания e-commerce проекта и реализации мобильного приложения для оплаты некоторых товаров/услуг через платежного агрегатора.

Что было на входе: каркас приложения на Android, которому, само собой, удобно общаться по HTTP и JSON, и платежная система, предоставившая свое API — web-сервисы с SOAP-содержимым.

Задача: подружить одно с другим.

На выбор технологии повлияли следующие моменты: скорость разработки и возможность быстрой реакции на изменения. Проект должен был выстрелить. Пока конкуренты производят оценку сроков, мы хотели уже запустить продукт. Пока конкуренты ищут разработчиков, мы уже должны были получать прибыль. При этом ограничительном факторе, все же необходим был серьезный подход, так как вопрос связан с деньгами инвесторов, а это требует повышенного внимания.

Можно долго говорить о достоинствах и недостатках конкретных технологий конкретных вендоров и преимуществах open source, но везде есть свои минусы и плюсы. Проанализировав несколько продуктов (материал для отдельной статьи), мы пришли к выводу, что для решения наших задач, InterSystems Ensemble подходит больше других.
Читать полностью »

Payler: обновление сертификации PCI DSS до версии 3.0 — DONE - 1

Дорогие друзья,

Мы в Payler уделяем особое внимание защите данных держателей карт. Еще до нового года мы обозначили свои планы относительно обновления сертификации безопасности PCI DSS до версии 3.0, так как понимали, что в скором будущем текущая версия 2.0 устареет и перестанет отвечать постоянно растущим требованиям к уровню безопасности.

Мы прошли аудит PCI DSS версии 3.0 и спешим рассказать вам, как это было. Но сначала отметим ключевые изменения в процессе обеспечения безопасности, отличающие версию 3.0:
Читать полностью »

image

Дорогие друзья,
Мы работали днем и ночью, находили вдохновение в каждом моменте времени, писали код со скоростью Шумахера на трассе Формулы-1, проделали мощнейшую работу и достигли огромных результатов. Год выдался насыщенным и пролетел стремительно. Настало время подвести его итоги.

Начало
После периода безудержного кодинга, длившегося почти год, финальным шагом на пути к запуску Payler стало прохождение аудита PCI DSS. Мы официально запустились 1 мая – в праздник весны и труда – и начинали как платежный шлюз, предоставляющий только услуги интернет-эквайринга. Однако мы быстро поняли, что рынок требует свежих идей и новых инструментов.

В первый месяц работы у нас был один клиент и один банк-эквайер, а подключение к системе занимало 3-4 недели. Но уже тогда своим главным приоритетом мы считали удобство работы клиента, а потому продолжали, как продолжаем и сейчас, работать над разработкой новых сервисов и поиском новых способов сделать работу клиента проще и эффективнее.
Читать полностью »

image

Дорогие друзья

Мы очень рады снова вернуться к вам, чтобы поделиться тем, как живет и развивается Payler. В данном посте мы хотим подвести промежуточные итоги нашей работы с первого дня работы (мы работаем с 1 мая 2014 года). Мы провели уже более чем 4 441 000 транзакций и считаем, что первое боевое крещение уже пройдено. Хотим рассказать обо всех нюансах, включая те трудности и фейлы, с которыми мы столкнулись. Читайте дальше.

Кому мы нужны

В настоящий момент к нашей системе подключилось уже порядка 60 клиентов и мы уже гораздо лучше представляем себе портрет нашей аудитории. В целом здесь у нас всё идет по плану, но хотим поделиться нашими наблюдениями. Итак, кто в основном пользуется услугами интернет-эквайринга:

Читать полностью »

imageМногие уже слышали про найденную в OpenSSL уязвимость. Можно с уверенностью сказать, что по освещенности в интернет-СМИ она займет почетное первое место. Про нее не только пишут, но и создают специальные сайты, проверяющие сервисы и даже рисуют комиксы. И не удивительно — масштаб поражения действительно впечатляет, по некоторым оценкам более 17% всех сайтов с поддержкой ssl уязвимы, учитывая простоту эксплуатации это событие можно сравнить с эпидемией. К сожалению, даже это для многих не является достаточным аргументом — спустя неделю многие сайты продолжают оставаться под угрозой. Это может быть не критично для простых сервисов, но не для финансовых. Особенно болезненно это может сказаться на платежных шлюзах, через которые осуществляются платежи. Об одном из таких я и расскажу.Читать полностью »

image

Дорогие друзья!

Продолжаем знакомить вас с новостями Payler и спешим рассказать, пожалуй, о самом важном событии для нас — прохождении аудита PCI DSS. Подготовка к этому знаменательному событию шла целых три месяца и вот, буквально на прошлой неделе, завершилась процедура двухдневного аудита от известной датской компании Fortconsult. Теперь ждём детальный отчет и сертификат, а пока хотели бы поделиться с вами полученным опытом.

Не будем описывать все технические подробности процедуры, тем более на страницах Хабра о ней писали не один раз (понравившаяся нам статья). Немного затронем особенности нашего опыта.
Читать полностью »

Биллинг в большом проекте Существуют разные способы «монетизировать» проект. Но у них есть одна общая составляющая ― то, как деньги переходят из кошелька пользователя на счет организации. Сегодня мы расскажем о том, как организован прием платежей в Badoo и что можно встретить на рынке платежных шлюзов. Сразу предупреждаем, что в статье вы не найдете конкретных цифр по обороту средств компании, но все остальное будет не менее интересно.

Что такое «биллинг»

Для нас биллинг ― это всё, что связано с получением денег от пользователей: конфигурация цен, страница приема платежей, непосредственно прием и обработка платежей, оказание оплаченных услуг, различные промоакции и, конечно же, мониторинг всего вышеописанного.
Читать полностью »

Любая отрасль в своем развитии проходит путь от свободы творчества к той или иной форме регулирования, осуществляемого государством или негосударственными организациями. Целью регулирования обычно становится защита интересов, находящихся в противоречии с извлечением прибыли, и по этой причине не являющихся предметом заботы со стороны бизнеса.

Не является исключением и платежная индустрия. Интерес бизнеса заключается в максимально быстром и комфортном осуществлении покупателями платежей в пользу торгово-сервисных предприятий и предложении всем участникам рынка сопутствующих услуг. К сожалению, удобная оплата в один клик на сайте магазина может обернуться неприятными последствиями для держателя банковской карты, если кто-то из участников платежной цепочки — магазин, банк или процессинговый центр не предприняли необходимых мер безопасности при обработке данных. Безопасность денег на картах клиентов хоть и является для бизнеса вопросом репутации, но прямой выгоды, скажем честно, не несет. Вот и вступают в игру государственные регуляторы и международные сообщества, устанавливающие требования к защите. Если ранее термин «безналичный платеж» в основном ассоциировался только с банками и квитанциями, то популяризация кредитных карт, розничных безналичных расчетов и электронных денег вовлекло в платежную индустрию малый бизнес, в основном представленный предприятиями электронной коммерции и платежными агентами.

За прошедшие несколько лет появился целый ряд нормативных документов по безопасности платежей, и судя по активности регуляторов — появятся еще. В настоящее время в России наиболее актуальными являются международные стандарты PCI DSS и PA-DSS, а также Федеральный Закон № 161-ФЗ «О национальной платежной системе» и сопутствующие ему подзаконные акты в области безопасности. Именно с ними в основном приходится сталкиваться российским компаниям, решившим связать свой бизнес с безналичными платежами. Рассмотрим их по порядку.

Читать полностью »