Comments 20
Бррр… Ну и картинку вы выбрали для примера! Я не хочу оплачивать платежи на ЛитРес, чисто из отношения к этим ребятам, а тут такое читаю )
А по теме статьи — может, конечно, проблема долгого ввода платежных данных при каждой покупке для кого-то и суперактуальна, но, с учетом многих факторов (отношения к безопасности платежей со стороны банков («вы сами данные оставили им») и большей части сайтов («мы просто используем платежную систему, она сама данные хранит»); банального нежелания создавать лишний потенциальный вектор утечки данных о карте), мне думается, не для серьезного числа (не то что процента) пользователей карт возможность сохранить данные о них где-то является привлекательной и выделяющей сервис из ряда других. Даже, кстати, если речь идет об оплате ЖКХ или услуг связи.
А какая-то существенная ответственность за возможную утечку данных сервисом несется?
А по теме статьи — может, конечно, проблема долгого ввода платежных данных при каждой покупке для кого-то и суперактуальна, но, с учетом многих факторов (отношения к безопасности платежей со стороны банков («вы сами данные оставили им») и большей части сайтов («мы просто используем платежную систему, она сама данные хранит»); банального нежелания создавать лишний потенциальный вектор утечки данных о карте), мне думается, не для серьезного числа (не то что процента) пользователей карт возможность сохранить данные о них где-то является привлекательной и выделяющей сервис из ряда других. Даже, кстати, если речь идет об оплате ЖКХ или услуг связи.
А какая-то существенная ответственность за возможную утечку данных сервисом несется?
+1
Ваши опасения за не санкционированные платежи понятны, именно поэтому чаще всего такая оплата все-таки подразумевает прохождение 3D-secure авторизации, т.е. подтверждения по смс.
По поводу того, что ваши данные утекут от магазина, на котором платите, это исключено, т.к. данные карты на стороне магазина не вводятся и не сохраняются, это происходит на серверах PayOnline, а у магазина храниться только ваш токен и чтоб совершить быстрый платеж мерчант передает этот токен к нам.
По поводу того, что ваши данные утекут от магазина, на котором платите, это исключено, т.к. данные карты на стороне магазина не вводятся и не сохраняются, это происходит на серверах PayOnline, а у магазина храниться только ваш токен и чтоб совершить быстрый платеж мерчант передает этот токен к нам.
0
Да про магазины как раз я и не переживаю. Переживаю за хранение на вашей стороне. Вот ниже про Amazon пишут, вот им как-то проще поверить, а вам — увы.
Тем более что про ответственность я так и не понял, случись что, вы за что будете отвечать? Поскольку, повторюсь, российские банки за передачу данных карты делают ответственными только держателя карты, я как-то… не сильно верю и не вижу смысла доверять данные на хранение.
Тем более что про ответственность я так и не понял, случись что, вы за что будете отвечать? Поскольку, повторюсь, российские банки за передачу данных карты делают ответственными только держателя карты, я как-то… не сильно верю и не вижу смысла доверять данные на хранение.
0
Я постоянно использую технологию «один клик» на Амазоне, при этом не вводя дополнительно никаких данных. Что касается секьюрети платежей обычно для этого использую на своих сайтах мерчант систему, в том числе и Pay Pal — там есть возможность обеспечения оплаты товара банковской картой…
0
Меня всегда интересовал вопрос: как и где нужно хранить данные cvv-карты?
PS Я знаю, что платежные данные не могут полностью храниться на серверах и что CVV-код хранить нигде нельзя. Платежи в один клик делают без него? А если магазин недобросовестный и хранит CVV-код, а затем может использовать данные карт? Как от этого можно защититься?
PS Я знаю, что платежные данные не могут полностью храниться на серверах и что CVV-код хранить нигде нельзя. Платежи в один клик делают без него? А если магазин недобросовестный и хранит CVV-код, а затем может использовать данные карт? Как от этого можно защититься?
0
Для того чтобы работать напрямую с данными банковских карт нужно каждый год проходить дорогую процедуру сертификации PCI DSS. Это могут себе позволить или платежные системы, такие как мы, или очень крупные магазины. На мелких магазинах оплата в один клик реализуется с сохранением токена, который передается на сервер PayOnline, а мы уже совершаем платеж.
0
а если в течении года платежная система / магазин возьмет все номера карточек и уедет куда-то? Кто отвечать будет? (конечно фирма будет оформлена на кого-то левого)
0
Ничего не произойдет, просто компания угробит свой бизнес и все. Вы должны понимать, что данные вашей карты не дают доступ к деньгам, антифрод фильтры за несколько транзакций определяют, что была скомпрометирована партия карт и все карты, которые хранились в этой компании перевыпускаются.
На черном рынке данные одной карточки стоят всего несколько долларов, поэтому скрываться и закрывать свой бизнес нет никакого смысла.
На черном рынке данные одной карточки стоят всего несколько долларов, поэтому скрываться и закрывать свой бизнес нет никакого смысла.
0
попробуйте как-нибудь на алиэкспресс ввести заведомо неверный CVV, сильно удивитесь что он не проверяется. Еще слышал про аэрофлот, но это на уровне слухов — не проверял.
0
Возможно я параноик, но подобные оплаты в один клик меня пугают. Лично я не уверен, что все эти данные будут надежно защищены и не уйдут налево. Интересно, что часть сайтостроителей не оставляют варианта «не сохранять платежные данные».
0
Допустим сайт галочку добавит. Но кто гарантирует что данные не сохранят?
0
Смотрите выше ответ, магазин данные не получает и не сохраняет, все происходит на стороне платежной системы, которой вы можете полностью доверять, т.к. чтоб работать с данными карты нужно каждый год проходить дорогостоящую процедуру сертификации и аудита.
0
Но она, система, при этом перед владельцем карты при утечке данных существенно (чтобы было не просто «извините», а, скажем, выплатой держателю карты компенсации в миллион рублей за каждый элемент украденных данных) не отвечает, правильно?
0
Ответственности нет, т.к. это немного по другому работает. Ответственность ложится на того, кто принял украденную карточку без 3-D Secure.
А в случае если по вашей карте провели не санкционированный платеж с использованием 3-D Secure, то тогда ответственность на банке. В любом случае после заявления на чарджбек вам обязаны выпустить новую карту и вернуть деньги списанные по не санкционированной транзакции.
А в случае если по вашей карте провели не санкционированный платеж с использованием 3-D Secure, то тогда ответственность на банке. В любом случае после заявления на чарджбек вам обязаны выпустить новую карту и вернуть деньги списанные по не санкционированной транзакции.
0
Что такое аудит, я прекрасно знаю, именно поэтому не доверяю. Неоднократно проходил по PWC, Deloite, E&Y и куче других. Приходит куча бестолковых студентов (с кучей понтов), задает вопросы по опроснику и собирает ответы, относит их в head office. Это лажа, и кризис 2008 года это подтверждает.
0
Имеется ввиду не бухгалтерский а технический аудит.
0
Технический аудит по PCI-DSS выглядит похоже. Разве что не студенты, а грамотный специалист.
Но ревизию кода и поиск уязвимостей, естественно, внешний аудит по PCI-DSS (да и PA-DSS) в полном объеме не проводит и провести не может (да и в частичном то же, если уж честно).
А уж в душу системному админу никакой аудит заглянуть не может…
Так что опасения народа вполне обоснованы. Особенно к компании которая только выходит на рынок и мало известна. Я, например, и PayPal и booking то параною… хотя и пользуюсь. Поскольку выхода нет.
А от любого другого малоизвестного сервиса, который мне предложит сохранить PAN+CardHolderName+ExpDate вообще отбегу как черт от ладана.
Про ответственность без 3D… да толку то. Даже в идеальном случае по диспуту, нервы и зависшие средства на довольно долгий период мне никто не компенсирует.
Впрочем, я наверное параноик, поскольку давно в этом бизнесе…
Но ревизию кода и поиск уязвимостей, естественно, внешний аудит по PCI-DSS (да и PA-DSS) в полном объеме не проводит и провести не может (да и в частичном то же, если уж честно).
А уж в душу системному админу никакой аудит заглянуть не может…
Так что опасения народа вполне обоснованы. Особенно к компании которая только выходит на рынок и мало известна. Я, например, и PayPal и booking то параною… хотя и пользуюсь. Поскольку выхода нет.
А от любого другого малоизвестного сервиса, который мне предложит сохранить PAN+CardHolderName+ExpDate вообще отбегу как черт от ладана.
Про ответственность без 3D… да толку то. Даже в идеальном случае по диспуту, нервы и зависшие средства на довольно долгий период мне никто не компенсирует.
Впрочем, я наверное параноик, поскольку давно в этом бизнесе…
0
А подскажите пожалуйста, как вы решаете проблему интеллектуальной собственности? Патент на «1 click» принадлежит Amazon и истекает только в 2017.
0
То есть «3-D Secure» не требуем эсемески? Просто, сейчас платёжные системы и банки берут меньше ставку за эквайринг при использовании данной системы. И мы пока упёрлись только в то, что при такой системе нет возвратов, которые нам надо иногда делать из-за того, что продукты весят разное количество, и при наборе приходится класть чуть больше или чуть меньше предоплаченного количества.
0
Sign up to leave a comment.
9 секретов онлайн-платежей. Часть 6: оплата в один клик