Pull to refresh

Comments 182

Очень похоже что с безопасностью тут особо не заморачивались, подпись клиента украсть очень легко, данные с карты считать и сохранить вообще раз плюнуть(не буду описывать как, вариантов масса). Ну а интернет магазинам такой способ оплаты может принести очень много неудобств, например ложные вызовы от конкурентов, вы же не оплачиваете предварительно, а просто оставляете заказ. Ну и еще много всяких нюансов, которые исключает факт предоплаты услуги клиентом.
Курьерская доставка в 80% подразумевает оплату на месте. Что мешает так же заказать конкурентам ложные доставки?
Да и где сказано что исключены факты предоплаты?
Допустим, если не брать это в расчет, остается много вопросов. Что это за кардридеры, по какому протоколу они общаются со смартфоном, принимают ли они карты с чипом или только с магнитной линией? А что касается людей которые расплачиваются через подобные «терминалы» не смущает ли их такая система? лично я бы никогда не стал совать карту в устройства не вызывающие доверия, хотя у всех доверие вызывается по разному.
Для платежей через интернет не плохо бы иметь отдельную карточку дебетовую, на которой находится только суммая необходимая для оплаты.
Ну и совсем уж хорошо отдельная карта на каждую транзакцию, но в данном случае просто отдельный пластик для оплаты в магазинах и т.д. Тогда не надо будет вникать в подробности работы той или иной технологии так глубоко.
Счета-депо без возможности снятия денег через карту всегда будут помогать в данном случае.
>> принимают ли они карты с чипом или только с магнитной линией?
Присоединяюсь к вопросу. Умеют ли Ваши картридеры считывать данные с чипа, как у похожего сервиса SumUp?
Текущие кардиридеры работают принимают оба типа карт, хотя и работают только с магнитной полосой. В начале 2014 года мы планируем вывести на рынок решение, которое будет работать как с магнитной полосой, так и с чипом. В топике теперь есть фотография устройства.
какая разница? есть читалка карточек, предложние остальных фич родит спрос на такие фичи, не будьте занудой.
Ну и еще много всяких нюансов, которые исключает факт предоплаты услуги клиентом.

Напоминают историю про хакера в столовой =)
Подпись клиента украсть не легче, чем с паспорта при предъявлении. В общем, с безопасностью у проекта всё в порядке, что удостоверено сертификатом PCI DSS.

Интернет-магазины крайне редко работают по предварительной оплате, когда дело касается курьеров, поэтому, поверьте, сложностей не добавится. Ну и ещё одно — вообще-то мы уже несколько месяцев работаем в боевом режиме с партнёрами, и всё идёт отлично.
А где ваш сертификат PCI DSS можно посмотреть?
да, сори, не то дал

насчет PCI DSS, то здесь надо смотреть соответствующие разделы на сайтах платежных систем Visa/MC.
Но у разных МПС разные правила попадания в этот раздел и далеко не все сертифицированные компании там есть, поэтому полного единого списка, насколько я знаю, нет
А что, PCI DSS разве гарантирует безопасность? Насколько я помню, сертификат подтверждает необходимый минимум, к тому же как именно вы сертивицировались? QSA?. И кстати кто вас сертифицировал, а то были прецеденты с сертифицироваными компаниями из которых утекали карты.
Сертификат подтверждает соответствие оборудования и процессов компании требованиям безопасности, предъявляемым к такого рода сервисам. Сертификат выдан компанией Sysnet.
Хотел уточнить про юридический момент. Согласно ФЗ-54, точка должна выдавать фискальный чек. Как в этом случае, я могу использовать вашу программу?

На сколько я еще помню, согласно правилам Visa и MC, комиссия за оплату по карте не может быть переложена на покупателя (т.е. нельзя чтобы была указана цена за нал, а по карте «цена за нал» + % системы). Они за это на сколько я знаю штрафуют банк, выдавший POS терминал. Ваших клиентов вы проверяете на следование этим правилам?
Присоединяюсь к первому вопросу.
1. В данном случае мы не отличаемся от больших POS-терминалов, которым для работы также необходимо наличие дополнительной кассы. Выдаваемый классическим терминалом слип не является фискальным. Согласно ФЗ-54 фискальный чек должны выдавать только те компании, вид деятельности которых не подпадает по определенный законом перечь видов деятельности, для которых применение ККТ не обязательно (ст.2, п.3 ФЗ-54). Если по роду деятельности вашей компании, применение ККТ обязательно — вы можете использовать нашу программу для обеспечения своих «выездных» сотрудников возможностью помимо наличных принимать банковские карты — ваша существующая практика выдачи фискальных чеков не изменится в данном случае. Если речь о стационарной точке, то наш ридер вкупе со смартфоном позволяет сэкономит на покупке нефискального мобильного терминала для приема карт. Большинство наших клиентов используют собственные смартфоны, ридер предоставляется бесплатно.

2. Да, абсолтно верно, наценка запрещена. Мы проверяем наших клиентов. В случае выявления нарушений мерчант будет вначале предупрежден, потом ошбрафован (по правилам платежной системы), при повторных нарушениях — отключен.
предлагаю следующую формулировку «мерчант..., потом ошваброван (по правилам платежной системы),...» ))
наценку за безнал можно делать. да, это некрасиво, да она будет косвенной, но можно. в конце концов это расход бизнеса и говорить что бизнес должен его нести просто так — как минимум странно.
пишем везде цены с включенными 2.7%, а при оплате за наличку даем скидку.
и везде снизу «цены приведены справочно. не является офертой», в момент оформления и будет отражена итоговая цена.
Смотря какой канал шифруется. В ридере есть свой процессор и он вполне может зашифровать данные своим ключом. На сервере расшифруют. То есть мобильный телефон просто передаст некие бинарные данные, подпись и сумму.

А вообще карту сфотографировать — раз плюнуть. В кафе вообще принято отдавать карту в руки официанту.

Подпись украсть можно, но, наверняка поиском по базе легко найти 2 одинаковых подписи (точка в точку) и не проводить транзакцию.
Меня поразило то, что в супермаркетах в США давно расписываются на экране. И живут с этой «дырой».
Кстати этому есть объяснение, чеки надо хранить 3 месяца и быстро искать. Посмотрите на кассе в супермаркете какая стопка уже подписанных чеков под вечер на каждой кассе. В электронном виде это всё ищется элементарно.
Да, всё именно так. Добавлю: защита данных должна подтверждаться сертификацией, и у нас она пройдена.
Что мешает на рутованом андроиде сделать скриншот экрана когда юзер рисует подпись?
И что дальше вы с этой подписью будете делать?

Ну и вообще — когда вы оставляете подпись на слипе в магазине, что мешает отсканировать все эти слипы в конце рабочего дня и получить коллекцию подписей всех покупателей по картам?

Вы видите опасности там, где их нет.
Если подумать о подписи не только в контексте операций с картой, то многое. Особенно если владелец подписи на руководящей должности.

В магазинах как правило камеры, менеджеры, это территория магазина. А машина таксиста/курьера — это его территория, и никто его там не видит.
В кафе вообще принято отдавать карту в руки официанту.

Только в кафе? Вообще нигде, где обслуживают люди, не встречал, что карту не нужно в руки отдавать. Отдаешь карту, её проводят, держат у себя, тебе дают пин-код ввести (не всегда), а только потом отдают.
Только в кафе? Вообще нигде, где обслуживают люди, не встречал, что карту не нужно в руки отдавать
Сильно зависит от кафе, кстати. Был сильно удивлен, что в Одессе во многих заведениях к тебе подходит менеджер с терминалом и расчет идет «при тебе», в Киеве я такое видел только в TGI.
Вы уверены, что были в Одессе? Беллини, Сушия, Токио Хаус, ТопСендвич, Олио, Бернардацци, Моцарт, Александровский, Компот, Итальянский квартал, Шико — все что навскидку вспомнил, везде карту забирают. Было одно заведение, где пришел менеджер с терминалом, не вспомню какое. Но там был просто такой низкий уровень обслуживания, что официантам видимо не доверили даже терминал и\или карту клиента.
А, ну еще Макдональдс отличился, сам себе кассир называется. Новый уровень самообслуживания.
Уверен :) Был недолго, весной прошлого года, всего пару дней. Из мест, которые запомнились именно «приходом с терминалом» — «Дача», «Стейк-хаус» на Дерибасовской, кафе на «хлебную» тему на той же Дерибасовской, кажется «Злачное» — везде приносили терминал.
МО, кафе «Андерсон», принесли терминал беспроводной.
В Америке не нужно ничего давать, сам проводишь. У нас в Киеве такое уже в Макдональдсе, swipe — и все.
Безопасность карточных операций — проблемы VISA и банка-эмитента. В штатах такой девайс уже у каждого таксиста
В штатах нет переноса ответственности по операциям.
вроде как, для visa есть процедура возврата средств в случае компрометации карты, а MC считает, что лучше получше проверять при проведении транзакции, а потом считать, что если транзакция все же проведена — то с разрешения юзера
Вопрос всегда в том кто попадет на деньги?
При нормальном ведении бизнеса чарджбеки не только учитываются и добавляются в себестоимость, а еще и страхуются.
В случае визы — попадает на деньги по умолчанию продавец. В случае МК — вроде бы покупатель. Но что в том что в другом случае возможно проведение арбитража.
Какая комиссия/тарифы через какой банк обслуживает операции?
На сайте нет, в тексте тоже нет информации.
К примеру есть аналогичный сервис www.pay-me.ru/ от Альфа-Банк + Beeline. Там с процентами и тд сразу все ясно.
На сайте у них написано — 2.7%
Да, верно, чуть ниже 2,7%, зависит от бизнеса.
Обслуживание на выбор в ПриватБанке или банках группы компании Лайф.
Если к мобильному POS терминалу есть хоть какое-то доверие, то тут… Просто рай для мошенников…
Это и есть мобильный POS-терминал. Ключевое слово — PCI DSS.
Вот, это действительно круто. Желаю успехов.
UFO just landed and posted this here
Ценой, размером, сложность обеспечить сразу многих курьеров.
UFO just landed and posted this here
Цена мобильного терминала на рынке от 20 тысяч в среднем. Это очень дорого в сравнении с нашим решением. А уж про регистрацию терминала в налоговой и так далее — отдельный квест. Который у нас «из коробки» решен.

Слипы у нас есть в любом случае (транзакций без них не бывает). А вот теперь самое интересное — в сентябре наше устройство начнет печатать. И у бизнеса наконец появится адекватное по цене и удобству решение для приема пластика.
UFO just landed and posted this here
он весит килограмм почти, а ридер — грамм 30 наверное)
UFO just landed and posted this here
ну конечно, это все меняет!))
хорошо, для чистоты эксперимента давайте добавим: 30гр ридера + 137 гр айфона против 820 гр терминала + (сюрприз!) 93 гр нокиа 1100

телефон у курьера и так есть — он по нему связывается с клиентом и диспетчером.
я лучше курьера дополнительным килограммом соли нагружу — на одну поездку больше сделает и больше заработает.
Ещё уточню. Хорошо бы от вас получить ссылку на терминал, который дешевле 20 тысяч. Дело в том, что более-менее крупный бизнес договаривается с банком о рассрочке платежа за POS-терминалы или о бесплатной их поставке в обмен на гарантию серьезного оборота точки (отсюда частое мнение, что они раздаются бесплатно). Мелкий и средний бизнес — как правило не проходит по нормам оборота, и вынужден покупать терминалы.
Телефон у курьера уже есть. Часто это смартфон, чтобы ещё и навигатор был (ну и развлечения)
Возьмём те же такси (в Москве). Телефон = навигатор + Яндекс.Такси (или иной софт для такси)

Добавляем считыватель карт и получаем возможность брать деньги с карты.
UFO just landed and posted this here
Я не работаю в life-pay, я так, мимо проходил (ну и большой любитель платить карточкой)

Думаю, что приложение портировать можно, так как протокол общения через аудио-канал, мало зависит от аппаратуры.
Вот захотят ли.
а киньте ссылкой на такие терминалы? у меня только дорогие гуглятся
UFO just landed and posted this here
уже посмотрела — таких нет в наличие (толку тогда от них ((
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
Слушайте и чего вы кидаете ссылки на
— НЕ ККМ (тогда да, 7 тысяч)
— БЕЗ ПРИЕМА БАНКОВСКИХ КАРТ

Единственное по теме (а она как раз прием банковских карт) только Ярус — тока он дорогой, под 20-ку. 17 штук если не изменяет память, ибо я уже им звонила

я этот рынок вдоль и поперек уже излазила — хватить трындеть в пустоту
UFO just landed and posted this here
1) стоимость. мой банк хочет за терминал абонентку ежемесячную, вне зависимости от транзакций + проценты от транзакции
2) энергонезависимость
3) размер и вес
UFO just landed and posted this here
1) лайфпей просит только % от транзакций, причем если мой банк мне объявил 2,4%, то лайфпеевские 2,7% выглядят очень гуманно
2) да, мобильный терминал же от батареек работает, а лайфпеевский — от смартфона
3) есть, конечно. если помните, в 96 году был такой телефон сотовый моторола м20 — он конечно полегче, чем чемоданчики нокии, но все равно тяжеловат. так и с ридерами. лайфпеевский помещается в карман джинсов.
UFO just landed and posted this here
вы вроде к ит отношение имеете, наверное в техническом институте учились? системное мышление уже не в почете?))

когда у курьера айфон/андроид+лайфпеевский ридер + внешний аккумулятор для смартфона- у него работает и навигатор, и телефон и прием карт.

когда у курьера нокиа+бумажки с адресами+терминал для которого внешний аккумулятор не предусмотрен и батарейка на нем садится — у него работает только телефон, по которому он рассказывает диспетчеру, что 2 заказа не взяли, потому что картой оплатить нельзя, а еще два клиента менеджеру при обзвоне после доставки говорят «какое говно ваш сервис, курьер приехал с неработающим терминалом и пришлось платить наличкой». в итоге имеем -2 продажи и +4 недовольных клиента, что для премиального товара очень и очень плохо.

и как я уже ответил раньше — ко всему этому курьер везет на 1 заказ меньше из-за дополнительного веса.

UFO just landed and posted this here
как-то заказывал пиццу, приехал курьер с терминалом. этот терминал висел на 3g, симка стояла в терминале. Нала у меня не было. А жил я в частном доме в переделкино. Терминал отказался ловить сеть.
В итоге курьер оставил пиццу, после чего я провел картой и он быстро поехал ловить сеть ближе к городу, пока не закончился таймаут.
был бы нормальный телефон с насадкой — такой проблемы бы не возникло.
UFO just landed and posted this here
3g все гаджеты ловят одинаково?
А GPRS терминалу разве не хватит?
честно говоря, у терминалов есть свои преимущества, одно из них — двухсимочные устройства.
как говорится — «если есть 2 маркера — можно изрисовать вообще все, что угодно», в смысле, что связка мегафон+мтс скорее всего будет работать.

может дело в модели терминала?
UFO just landed and posted this here
Почему-то у сервисов мобильных платежей (life-pay.ru, здесь обозреваемый, и Альфабанковская система и система Связного банка) очень адская комиссия по сравнению с обычными платежными терминалами. 2.7% здесь, по сравнению с 1-2% на обычном мобильном платежном терминале.

Итак, старая проблема была в том, что POS-терминал — тяжелая дорогая и сложная в оформлении штука, которую с собой просто так не повозишь.
Тяжелая? Дорогая? Сложная в оформлении? Это вы так шутите да? Мобильный терминал лёгкий, бесплатный и оформление занимает не много времени.
потому что у международных платёжных систем (МПС) есть правило эквайринга карты: с присутствием плательщика (CP транзакция) и без присутствия (CNP транзакция), на которые совершенно разные комиссионные выплаты идут самим МП. К примеру, где CP, там около 1,5%, где CNP от 2,5%.
Поэтому банки могут предлагать на POS терминалах, которые сертифицированы PCI PAD (и PCI DSS) проводить CP транзакции с меньшей для них себестоимостью, а интернет-эквайринг и аля-squareup продукты только CNP, которая не будет дешевле 2,5% никогда.
Интересно, а когда копикэты suqareup (которому уже больше четырёх лет) перестанут выдавать свои продукты за инновацию и начнут хотя бы упоминать авторов :)?

Вопрос только один, вы тут про роспись и про то, что транзакция проводится «как на POS терминале», так вот она как CNP или CP транзакция идёт? (Cardholder Not Present или Cardholder Present)
Интересно, а когда копикэты suqareup (которому уже больше четырёх лет) перестанут выдавать свои продукты за инновацию и начнут хотя бы упоминать авторов :)?
Идея не наша, первые такие штуки делались в Америке компанией Square. Сразу за ней подтянулся PayPal Here, и рынок буквально взорвался.

Интересно, когда люди начнут читать текст статей?
Профиты в том, что наша модель получается очень доступной по цене (можно не задумываясь раздать сотням курьеров, чего не сделать с обычными POS-терминалами), и удобной (терминал помещается в карман).

Только курьерам еще надо не забыть раздать кассовые аппараты, потому как по новым правилам выдача чека отпечатанного ранее чем за 5 минут до оплаты не допускается.
Да, это важный момент. К счастью, у нас уже сейчас есть решение, которое находится на этапе бета-тестирования. В сентябре мы будем готовы его выводить на рынок — оно решит все вопросы мобильности бизнеса разом.
а что за решение? и сколько будет стоит?
UFO just landed and posted this here
Это не классический POS-терминал, а mPOS-решение. И нет информации о том, как ридер такого типа шифрует данные с карты.
Такая же фигня с аудиоразъёмом, как и у Вас.
Как и у SUM-UP. Как и остальные.
Аудиоразъём и шифрование — разные вещи. Наш модуль отдаёт шифрованные данные, и приложение отправляет «чёрный ящик». В этом отличие.
Вот и напишите про это статью. Потому что пока от вас тоже нет особо информации о том, как ваш ридер работает и что шифрует.
Оппа, а его что, начали официально поддерживать Visa и Мастеркард?
Работает, насколько я понимаю с юрлицами? Тогда не для всех фрилансеров это подойдет. Да и фрилансеры в основном не используют оплату в офлайне.
Да, верно, пока наши клиенты ООО и ИП. Мы сейчас готовим решение по P2P — чтобы и у физлиц была возможность не заморачиваться только наличкой.
А есть примерные сроки когда будет готово решение по P2P. Во всех подобных решениях работа с физ. лицами декларируется, но на практике не работает. Узнавал у getpos.ru, pay-me.ru. Кстати а в чем проблема с физ. лицами? Squareup например работает с физиками, требует номер социфального страхования просто
У нас и США немного разные законы, поэтому пока точно обещать не буду.
Каждая пятая мойка машины, оплаченная с помощью LifePay — бесплатно

А как это?
Вообще я так понимаю, что не «придумали», а сделали еще один. Вот, например, упоминания таких железок в 12 лекции П. Тиля ( habrahabr.ru/post/173675/ )

image

Вот похожие приватовские дрючки (выше уже упоминали):

privatbank.ua/ua/business/universalnyje-reshenija/mobilnyj-platezhnyj-terminal/

А вообще первыми их делала Square. О чём и написано в топике.
Я вообще к тому, что технология не новая, т.е. при наличии лицензий нечего особо очковать по поводу секурности :)
Кстати, у меня вопрос. Это я такой невнимательный, или магическим образом «Мы придумали и сделали...» в топике изменилось на «У нас есть железка...»? О_о
Уточню. Наша разработка — программно-аппаратный комплекс, заточенный под российский бизнес. Это железо, низкоуровневое ПО, ПО сматрфона и юридическая обвязка, позволяющая всему этому работать с CP-транзакциями без обязательной регистрации в налоговой.
Несомненно :) Очевидно существует множество особенностей ведения бизнеса в России. Потому мою ошибку, на основании которой я начал тред (речь о «придумали») отнесем на счет моей невнимательности :)

В целом такое решение хорошее, и нужное. Я с такими фигнями сталкивался в риал лайф, это дейстивельно довольно удобно.

Но вопрос доверия в отдельно взятых отечественных реалиях (мож в России иначе как-то) остается сильно открытым. Те, кто активно пользуются картами, скорее всего в большинстве своем не захотят тыкать карту в телефон курьера, который врядли сможет быстро убедить в безопасности. А те, кто не активно, предпочтут нал. Это основано на личных наблюдениях, и конечно не является истиной в последней инстанции.

Потому было бы интересно услышать, почему вы считаете, что этой штукой будут пользоваться? Ну, естественно, кроме «потому что это может оказаться для кого-то удобно». Какие-то реальные цифры, или просто клон?
Считаем, что будут пользоваться? Дело в том, что уже пользуются, и количество обращений растёт.
Анастасия, вы серьезно считаете, что такие трюки нормально пройдут? На Хабре, в частности?

Ладно, предположим, что вы мегазамотивированный представитель компании лайф-пей, и отвечаете в стиле Светы из Иваново: «Мы стали более лучше одеваться, и не было того, что щас» исключительно из великой веры в ваш продукт. Да, из-за веры в продукт, а не трюкачите, отвечая размыто, только на части вопросов, презентуя продукт комьюнити.

Потому перефразирую вопрос. Продукт, уже выяснили, не новый. Кроме того есть ряд каких-то недочетов, которые осветили в обсуждении. Делали его в Штатах изначально, которые имели несколько другую историю развития (и культуру) безнальных рассчетов, чем у вас и у нас. Кроме того, карты становятся «все более» чиповые, что корректирует рынок в западных странах, и в будущем скорректирует у нас. Те же службы доставки, на которые делается определенный упор в статье, тоже последние годы смещаются в сторону «специализированных», централизованных, а не доставок при магазинах, что делает возможным использование простых мобильных pos терминалов. Ну и тут еще много чего можно написать, но будем считать, что правовая составляющая продукта такая крутецкая, что даже на краткосрочном рынке даст овощи там, рожь, вот это все существенное облегчение жизни простым советским коммерсантам.
Но интересно другое, и вопрос касался именно этого: какое фактическое количество транзакций проходит через систему с использованием дрючек? Как распределяется активность использования по отраслям? По регионам? По времени дня? По среднему (или минимальному/максимальному) чеку? Смысл в том, что, например, если я руковожу сетью пицерий в крупном городе, то я знаю, что основная активность приходится на обеденные и вечерние часы, средний чек — 20 баксов и т.д. А из вашей статистики получится, например, что 1000 пицерий провели 5 транзакций за месяц через эти штучки-дрючки, или что минимальный чек, когда клиент готов затолкать свою карту в мобильник курьеру, начинается с 50 баксов в обеденные часы и со 100 в вечерние. Или что в регионе, где я работаю, таких штучек взяли около 10 000, но ни одной транзакции не провели. Т.е. если я в теме по своему бизнесу по всем этим параметрам, то могу прикидывать из вашей статистики — нужно оно мне или нет, и стоит ли пробовать пилот (это тоже ресурсы), или даже запускать в продакшин. Вы ж с процента жить собираетесь?

А по количеству растущему кол-ву обращений — это конечно хорошо, но не репрезентативно, т.к. дрючки вы раздаете бесплатно, и в договоре врядли предусмотрен мин. объем. И рост в 1 обращение в месяц — это тоже рост :) Количество совершенных транзакций — это уже ближе к правде.

Заранее благодарю за ответы.
Эм я себе слабо представляю как я расписываюсь на экране пальцем. Опять же возникает вопрос это для каких карточек работает? Только для тех что работают без pin кода?
Запрос PIN-кода регулируется как на стороне банка-эмитента, так и на стороне терминала. Обычные карты (даже те, которые в обычном терминале попросят ввести PIN) у нас успешно пройдут по транзакции, заверенной подписью.

Единственное исключение — карты MOMENTUM (неименные на предъявителя, без указания имени владельца на карте и без подписи, также известные как «револьверные»), которые требуют исключительно авторизации по PIN-коду.
Понятно. А про расписывание то расскажите. Если я правильно понимаю надо брать железяку с поддержкой пера. Иначе будут получаться невразумительные каракули.
Вы попробуйте. Это уже несколько лет работает в США (в том числе, как подсказывают выше, даже в супермаркетах) и с марта — у нас. Расписаться на экране проще чем кажется.
Нормально будет. Пальцем проще чем мышкой :)
а вы в Ашане никогда картой не платили?! Там можно спокойно расписаться, правда не пальцем, а стилусом. Но это сути не меняет.
Стилусом еще куда не шло. Я про это и спрашиваю.
В одном киевском такси такие транзакции подтверждаются СМС-кодом. Т.е. мне приходит смс на номер, который я говорю водителю, и он вводит его для авторизации транзакции.
И как это мешает вам расплатиться чужой картой?
Да никак. Кроме запроса пин-кода или документов, ничто не мешает мне расплатиться чужой картой.
Смс придет на номер человека-владельца карты
Это если смс отправляется эмитентом карты. А когда речь про «в одном киевском такси» — то практически наверняка номер, куда отправить, забивается таксистом на месте.
Неоднократно встречался с ситуацией, когда в магазине можно расплатиться картой или введя pin или предъявив документ удостоверяющий личность.
Требование предъявить паспорт — это инициатива магазина, никаким НПА не закреплённая. Просто банки, при подписании договора и обучении кассиров рассказывают небылицы про законность такого требования. Их можно понять. Компрометация карты больно может ударить по ним. Они пытаются обезопасить себя, натравив кассиров на покупателей.
Если у меня требуют в магазине паспорт при оплате картой, я ухожу в другой, предварительно написав жалобу в соответствующую книгу. Даже если паспорт лежит в рюкзаке.
Хочется, знаете ли, уже нормального сервиса. 21-й век как-никак.
>> Требование предъявить паспорт — это инициатива магазина, никаким НПА не закреплённая.
Да, именно так.
Если кто-то попытается расплатиться в магазине украденной у меня картой, я буду рад если в этом магазине будут просить документы. Мне лично совершенно не сложно показать то же водительское удостоверение, которое всё равно лежит в бумажнике.
Довольно стандартная позиция.
Примерно из того же разряда: Если ГАИшник останавливает меня без нарушения, то я не буду сопротивляться. Они же так могут поймать пьяного, который за руль сел. Моё время — фигня. Потерплю.
Или: В детском саду опять «просят материальную помощь». Ну ничего. Зато мой ребенок будет в хороших условиях расти.
Или: …
Да ладно. И так всё уже понятно.
Вы, конечно же, имеете полное право на такую позицию, но мне она, уж простите, не близка.
Я понимаю о чём вы. Просто сильно разные масштабы.
На то, что бы показать водительское удостоверение на кассе у меня уходит не более 30 секунд. Учитывая, что расплачиваться наличными обычно быстрее, чем картой (кроме 5000 купюры за коробок спичек в 8 утра), это добровольная трата времени.
Остановка ГАИшников — это необходимость остановиться, пообщаться, разогнаться — то есть куда больший дискомфорт.
Где именно находится грань, между теми притеснениями моих прав, на которые я согласен пойти ради собственной безопасности, и теми на которые я не согласен — я не знаю. Но большую часть схожих ситуаций могу вынести по одну, либо по другую сторону от этой грани. В приведенных вами примерах, только случай с картой попадает в категорию допустимых.
Понятно.
Вот я и говорю, что в моём случае, даже случай с картой — недопустим. Но тут уж, как говорится, на вкус и цвет…
Просто интересно: а какие ситуации для вас допустимы?
Ну я из этого тайну не делаю и довольно часто о таких вещах говорю. Только вот, мне кажется, Хабр — не совсем то место, где стоит начинать этот разговор.
В любом случае, я уверен, вы без труда сможете найти ответ на интересующий вас вопрос и без моего прямого ответа.
Надеюсь, вы поймёте меня правильно.
Сколько лет плачу по Киевским магазинам карточкой, еще ниразу не видел, чтобы кассирша попросила предьявить документ.
Более того, точно знаю, что на подпись они никогда не смотрят, сейчас, кстати, не знаю, нужна ли эта самая подпись вообще, уже несколько лет на картах не расписываюсь, хотя «authorized signature not valid unless signed», и, в зависимости от карты — либо ввожу пин код, либо ставлю подпись на чеке
Аналогично — многократно сталкивался с просьбой предъявить id документ (как минимум копию) не только в России, но и в Европе. Знаю ситуацию и с «обратной стороны» — во многом это связано с возможностью обратного платежа (сhargeback), хотя в бОльшей степени это имеет отношение к онлайн-платежам.
Вот (для Украины) советы всяких эхспертов:

www.prostobank.ua/plastikovye_karty/sovety/kakovy_osnovnye_pravila_provedeniya_platezha_plastikovoy_kartoy_cherez_pos_terminal_v_magazine_i_v_restorane

Т.е. без ссылок на документы, как обычно, но они на удивление все одно и тоже говорят ) Правда сам часто сталуивался с введением пина, если две операции подряд в магазине, но документ никогда не спрашивали.

Ниже я написал «своими словами», до того, как нашел эти «советы эхспертов», но видать ошибся в совпадении подписей в паспорте и на карте. А мож и не ошибся :)

Возможно это регулируется не гос нпа, а какими-то правилами платежных систем (они врядли перечат законодательству стран). хз опщем )
А чиповые ридеры у вас есть? Транзакция же я как понимаю дешевле по чиповым картам. Нет?
Чип безопаснее, чем магнитная лента. Чиповые ридеры появятся у них в 2014 г. (комментарий выше).
Пользовался вашим девайсом в тестовом режиме. Что не понравилось:
— не всегда считывает карту(ну впринципе нормально)
— при ошибке — никогда не узнаешь что делать и куда бежать.
— чтобы поставить свою подпись — нужен стилус для IPad
— нельзя поставить своб подпись на мобильнике, тестировалось на IPhone 4s и HTC One X+.

PS: моя подпись — вся фамилия целиком. Рекоммендовать ставить другую подпись — не вариант, так как крестик, тоже валидной подписью будет.
Подпись на карте (и в карточке счета) должна совпадать с подписью на чеке. Т.е. теоретически кассир должен не принимать к оплате (не авторизировать) карточку, если роспись на чеке другая. Если подпись не совпадает, он может попросить удостоверить личность (паспорт), при этом подпись в паспорте не обязательно должна совпадать с подписью на карте (хотя тут мутно, обычно голову морочат), или авторизовать путем введения пина (теоретически пин знаете только вы, и раздавать его не должны). В случае очевидных нарушений, типа вы — мужчина, а карточка на женское имя, пин знаете, то кассир должен отказать в проведении оплаты и, помоему, сообщить в сб банка (нужно в законах порыться, но приблизительно так как-то)
ну в тему вашего ответа, сформировался вопрос интереснее как мне оплатить с Unembossed-карты? :)
Я не знаю, я не спец по этим всем делам, но подозреваю, что авторизация просто пином. Ну или пошлют просто )

У меня кстати де-то валяется безименная карта, которой я не пользовался ни разу (при открытии счета какого-то дали), если не забуду, то спрошу на досуге, как раз в том банке буду. Если не забуду…
Приватбанк в Украине раздаёт только Gold'ы — чипованные и именные с фотографией, остальные безименные, выдаются за 5 минут в любом отделении с паспортом и налоговым идентификационным кодом
Когда у нас в городе один из банков вышел на рынок с этим устройством, они назвали его, как мне кажется, очень емко и правильно — «Втычка». По моему к таким устройствам доверия мало. Втычка она и есть втычка…
Мне одному кажется, что фото с устройством сделано в фотошопе?
Добавила картинку с человеком и девайсом.
Появятся новые способы воровства, например:
Создаем не большое приложение для айфона или андроида, которое внешне будет похоже на официальное. Добавляем туда пункт «Введите пин-код». Устраиваемся на работу в курьерскую контору и получаем это ваше устройство и приложение для смартфона. Выезжаем с доставкой, запускаем свою программу, просим клиента вставить карту и указать пин (не каждый клиент заподозрит неладное). Программа делает вид что пытается провести платеж, и в конце пишет «Сбой операции! Попробуйте позднее.». Вы говорите, что в системе неполадки и просите оплатить наличными. И у вас уже есть образ карты и пин. Теперь можете клонировать карту и снимать наличные (но желательно не сразу, а спустя хотя бы пол года и не большими суммами, чтобы незаметно).

Понимаю, что подобное можно сделать и в виде обычного POS-терминала, но возни будет много (придется полностью собрать бутафорский POS-терминал). А тут все готово, только приложение состряпать.
Понимаю, что подобное можно сделать и в виде обычного POS-терминала, но возни будет много (придется полностью собрать бутафорский POS-терминал).
А зачем собирать полностью бутафорский терминал? И самое главное — зачем генерировать отказ?

Ведь поставить скиммер на карту и накладку на клавиатуру по идее, не сложнее. А сгенерированный отказ — это как раз самый большой логический провтык в схеме, в принципе. Причины две:
— у тех, кто активно использует карту для расчетов, как правило, настроено что-то типа GSM-банкинга. И любая, даже неуспешная операция ПОСЛЕ ввода пина в этот банкинг логируется. Отсутствие сообщения будет воспринято, как тревожный сигнал.
— во-вторых, неуспешная транзакция сама по себе — повод связаться с банком и узнать «чокак».

Поэтому в случае такого воровства транзакция должна быть именно успешной, чтобы человек не задумался о том, что с его картой может быть что-то не так.

В этом случае есть несколько более-менее сложных «загвосток». Необходимо резать их программу, для того чтобы она сохраняла, а не удаляла образы. И сделать так, чтобы пользователь ввел пин код, ничего не заподозрив.

Если же использовать свою программу, и клиент очень сильно хочет оплатить картой, можно сослаться на перезагрузку приложения (или отсутствие связи), и уже во второй раз запустить официальное приложение.

Хотя наверняка разработчики предусмотрели шифрование между приложением и устройством, тогда надо будет собирать свой похожий карт-ридер. Но все равно, это проще.

Но я все равно за прогресс, хоть и такой рискованный.
по первому пункту — не будет, если карта не была прочитана вообще.
Способ слишком уж замороченный, скиммеры на банкоматах дают куда более верный и надёжный улов, я думаю. Тем более что «устраиваться на работу» тоже придётся по подложным документам, иначе поймают.

Кроме того, ридеры у большинства mPOS-провайдеров передают информацию в зашифрованном виде, и на телефоне она не расшифровывается. Так что ридер тоже придётся делать бутафорский, без схемы шифрования. Итого: фейковые документы, фейковый ридер, фейковое приложение… а небезопасно выходить на «работу» такому человека станет буквально через пару-тройку дней после начала «операции», я думаю. Оно ему надо, вкладываться такими затратами сил и времени в сбор данных десятка-другого (максимум, и то — очень нереальный) карт?

А вот вопрос с пин-кодом — это вопрос информирования широких слоев держателей карт. Дело в том, что сейчас никто из mPOS провайдеров не требует ввода пин-кода: на телефоне это делать категорически нельзя из соображений безопасости, а ридеры с пин-пэдом (собственой цифровой клавиатурой для набора пина) пока на российский рынок никто не вывел — дороги они. Зато обеспечивают максимальную безопасность за счёт работы с чипом, так как с такого ридера в смартфон пин не передаётся (всё операции с пин-кодом идут между чипом и ридером).

Стало быть, надо как-то информировать людей, что попытка запроса пина на клаиватуре телефона — одназначно призак мошенничества, и такой запрос должен приводить к звонку в 02, а не вводу пина )))
В данном случае скиммеры на банкоматах выглядят как профессионалы, да и оборудование у них более замысловатое и стоит соответственно (но у них есть риск быть пойманными с поличным, во время установки или съема оборудования). А здесь, как говорит автор поста, все довольно дешево. Может появиться много парней решивших попробовать, вычислить их можно будет, а вот доказать довольно сложно. Если пройдет не мало времени (около полу года) то владелец карточки может и не вспомнить когда и кому он давал карту. К примеру таксист взявший пассажира не по вызову, а по дороге. Вы можете вспомнить с каким таксистом вы ездили пол года назад, какой был номер у его машины? Реализовать это сейчас сложно потому, что это не так развито. А вот когда этим начнут пользоваться массы?
Что касается информированности, то ситуация будет такая же как и со скимерами на банкоматах — знать и понимать будут не все.
ничего, что ты паспортом привязываешься к эти карточкам, т.к. известно кто доставлял этим людям вещи? вероятность что раскопают — мала, но она есть.
Как написал в комментарии выше, вероятность что раскопают есть, но доказать будет сложно, только если при очередной попытке за руку поймают, или с клоном карты на руках.
Я тестировал девайс на КИБ+РИФ2013, чтобы поставить на айфоне такую подпись как на примере — надо годами тренироваться, я с горем пополам вывел крестик :)
я тестировал эту штуку как раз на айфоне сам, а потом с покупателями в боевых условиях: два дня на маркетах — ни у одного человека не возникло проблемы с подписью. хотя для совсем сложных случаев надо стилус.
Видимо ваши покупатели еще не полностью перешли на клавиатурную печать, как я :)
наверное) хотя вопрос «как расписываться? прямо пальцем?» был у каждого второго
«Придумайте пароль. Пароль должен быть целым числом»

Facepalm.

О боже мой. Он ещё и приходит в открытом незашифрованном виде.
И это процессинг??? Не смешите меня.
Давайте я дам вам свой пароль. Вы сможете только сделать оплату в мою пользу.
В разработке участвовали (и участвуют) люди из Wellpay, «ВымпелКом», ChronoPay и Rambler поэтому есть и опыт правильной мобильной разработки, и хороший уровень обеспечения безопасности
Ужас какой, одни закрылись, открывшись с большой помпой, вторых ломали не один раз, бывшему директору дали 5 лет за ддос атаку. Хорошие у вас компаньоны.
Забавно получится, если курьер приедет к клиенту, а у него iPhone разрядится. Так и вижу ситуацию:

Клиент: Вы сказали, что я могу оплатить картой на месте. Вот моя карта.
Курьер: Простите, но мой iPhone разрядился и карточкой оплатить не получится, поэтому Вам придётся платить наличными.

Конечно, если не использовать конкретный iPhone+мобильный терминал для музыки, навигатора и игрушек, то сутки он вполне потянет. А если ещё докупить внешний аккумулятор, то тогда думаю на неделю точно хватит.
Если курьер на машине, то всё сильно упрощается.
А так, заходит к вам курьер, и спрашивает зарядку для айфона на пару минут, чтобы вы могли расплатиться :D
Или говорит: «А у вас, случайно, не айфон? А то я свой разбил около подъезда» :)
если курьер активно ездит на метро и пользуется навигатором — на сутки не хватит, нужен внешний акк.
Пользовался такой услугой от «Приват Банк», честно говоря, кривоватый сервис у них был (сейчас может и довели до ума), у них привлекает то, что с карт выпущенных банком, комиссия составляет всего 1,5%, с карт других банков 2,7%.

Приват Банк-овский ридер рассыпался очень быстро, очень они были хлипкие.
TS. Хотел бы предложить вам смс-шлюз на чиповых условиях =)
Да, нам такие штуки некоторое время назад начали предлагать почти каждый день. Кроме банков и юриков были и просто какие-то странные физики. Мы всем отказали по озвученным выше причинам:

1) Эта фигня выглядит ненадежно. Зацепить этот «флажок» обо что-то и разодрать разъем у телефона запросто. Даже обычный терминал порой страдает.
2) Эта фигня выглядит опасно. Я бы лично не стал платить человеку, который пытается считать мою карту на свой телефон. Рисковать продажей таким способом нет желания. Учить людей — тоже.
3) Это дорого. 2,7% — это никуда не годится.
4) Терминал многие банки дают бесплатно. Некоторые не предъявляют вообще никаких условий.
5) Сам терминал стоит не дорого и он выполняет свою функцию на все 100%. Это узкоспециализированное устройство, глюки которого не зависят никак от того, какой кривизны приложение вы вчера установили. Чем проще система, тем более она отказоустойчива.
6) Карты чипованные.
7) Нет печати чека?
8) Роспись на экране?

Буду рад, если когда-то это заработает в плюс, но пока мы продолжим использовать нормальный терминал, который нас устраивает полностью. Кроме комиссии, но ее дешевле не сделать, увы.
Итого, выходит, что стоит сделать насадку для телефона массивнее, а лучше, в виде такого здорового чехла для айфона.
Это да, как минимум. Но все равно я не понимаю пока за что должен выбрать эту поделку, а не нормальный терминал. Преимуществ не видно, вот в чем беда.
Низкая цена, быстрое подключение, банальное удобство. Для небольших бизнесов это решение в разы удобнее и доступнее, чем «нормальные» терминалы.
Вы видимо не читали мой коммент выше. Это дороже. Реально дороже. Терминал, который используем мы стоил 14 тыс рублей год назад, когда мы его смотрели в продаже. Но банк дал нам его бесплатно.
Сколько стоит телефон + эта «насадка»? Те же 10-15 тыс.

Комиссия — 2,7%. У нас сейчас 1,9%. То есть сверху надо 0,8%. На 1 млн оборота — это лишние 8 000 рублей. Практически та же стоимость терминала снова и сумма минимального налога.

В итоге это решение — пока временная мера для ИП, которые пользуются личным телефоном и хотят перевод сделать. Но в идеале тогда нужно делать это в виде перевода денег между физическими лицами, чтобы избежать налогов — тогда это точно будет иметь смысл.
перевод между физиками уже есть (принимал в его внедрении непосредственное участие в свое время), называется обычно что-то вроде «мобильный платеж»

по поводу вашей ситуации — вы заходили у банк уже имея оборот? имея счет в этом банке?
Мы пришли с небольшим оборотом уже, да. Но счет не имели в том банке. Но это проблемой не является по моему опыту вообще. Нам постоянно какие-то банки пытаются продать эквайринг свой и никто не спрашивает обороты, лишь бы вклиниться в наш финансовый поток. Вполне возможно, что это касается только нашего города, тут я не могу ничего утверждать. Но не особо верится, что банки в других городах пытаются «зажать» эквайринг.
Кстати, как-то оставлял у вас заявку, насколько помню, в ответ не получил ничего, подключился в итоге в sumup
По сути всего три вопроса к авторам «изобретения»:
1 Если я держатель чиповой карты опротестую операцию в вашем девайсе кто понесет убытки от опротестовывания операции?
Варианты ответа: держатель, банк эмитент карты, банк эквайер, или мерчант

2 Если я подсуну курьеру от скимменую карту с липовой подписью, кто понесет убытки от опротестовывания операции?
Варианты ответа: держатель, банк эмитент карты, банк эквайер, или мерчант

3 Если я опротестую операцию по условию не предоставления услуги, кто понесет убытки от опротестовывания операции?
Варианты ответа: держатель, банк эмитент карты, банк эквайер, или мерчант.осути вопрос один к авторам «изобритения»
Если я владелец чиповой карты
многие и-магазины имеют маржу 5% и ниже
пользоваться вашим сервисом за 2,7% они никогда не смогут
Что помешает курьеру предъявить клиенту _свой_ собственный терминал, запоминающий пин код и считывающий карту. А через пару минут сделать реальную оплату уже со своей карты за это заказ. А смски за снятие денег приходят не всегда сразу.
Сделать совсем своё решение, предназначенное для сбора треков и пинов, конечно, можно — но тогда ваш вопрос в точности равен вопросу «а что мешает мошеннику поставить скиммер на банкомат?».
Года два уже валяются в столе такие же терминалы LiqPay от Приватбанка… В чем новизна вашего решения? Вы пишете «мы разработали», так ли это?

* я вижу, что вы пишете «идея не наша», но и в РФ это не ваша идея…
Что разработали? Софт. Как мобильный, так и серверный. Что, скажете, это не разработка? :)
Эти данные передаются приложением в процессинговый центр, а затем, после завершения транзакции, стираются из памяти телефона.

Чем докажете?
У вас в анкете странное ограничение на ИНН и ОГРН по размеру, на 2 символа меньше, чем должно быть.
Sign up to leave a comment.