Pull to refresh

Comments 53

UFO landed and left these words here
UFO landed and left these words here
Привычное название, а силиконовая от искаверканного silicium (кремний)
Есть еще одна Силиконовая долина, там снимают порно. Название пошло от силиконовых бюстов.
В каждом. Нет, в КАЖДОМ топике на хабре, где есть упоминание о sillicon valley обязательно начинается этот бессмысленный holywar. Вам самим ещё не надоело?!

Бля.
UFO landed and left these words here
Не нервничай, прими валокординчик.
Я просто упомянул о сём примечательном факте, не ожидая вызвать никакого холивара.
Давно ли Вики является авторитетным источником? Вот пойду и сотру эту трактовку — тогда что?
Вики не столько авторитетный источник сколько общественное мнение.
Согласен что некоторые статьи там крайне не верны (например статья про «Белоруссию»), но общественное мнение есть общественное — хоть и не верное.
да, общество нередко имеет ошибочное мнение, это факт.
Они предлагают брать на страничке магазина данные карты покупателя, но магазин их никуда не пересылает, а вызывает метод создания токена на основе данных карты и открытого ключа эккаунта, который реально вызывает java-script с их сервера

Что-то немного неясно. Как же можно провести платеж картой клиента, если сами данные карты как минимум в процессинг не ушли?
Насколько я понял, токен — это зашифрованные ассиметричным алгоритмом данные карты
Насколько я понял, не только карты но еще и данных магазина.
Да, логично. Но тогда, учитывая, что в коде labs.mlayer.org/stripe/src/index.txt кроме данных карты js-библиотеке передается только открытый ключ, пара ключей шифрования уникальна для каждого магазина.
Вполне возможно что все происходит и так. В любом случае решение довольно интересное и на мой взгляд чистое.
При этом решении я должен доверять не только платежному сервису, но еще и магазину, что меня совсем не радует.
Я имею в виду тот факт, что JS на странице магазина имеет доступ к данным моей карты.
У вас нет других вариантов. Единственный вариант — это отправлять пользователя на страницу платежной системы, чтобы вбивать данные. Но тут в 95% случаев сработает банальная подмена домена, к примеру если пользователя магазин отправит не на paysystem.com/payment, а на paysyslem.com/payment с таким же дизайном пользователь скорее всего не заменит подмены.

Поэтому работают все те же правила предосторожности что и везде — делайте виртуальные карты там где это критично, доверяйте проверенным магазинам и так далее.
Токен — (в конкретном случае) это случайные данные, которые выступают индексом в базе. Это всегда заменитель чего-либо. К примеру токены в игровых заведениях заменяют деньги, в математике токеном заменяют абстрактные группы, в компиляторах группы символов и т.п. Главное понимать, что слово токен используется для замены сущности ссылкой на её. Никогда токен не хранит в себе саму сущность непосредственно. Но всегда существует возможность восстановить саму сущность по ссылке (этим он и отличается от хэша к примеру).
предлагают брать на страничке магазина данные карты покупателя, но магазин их никуда не пересылает

А на основе чего я, как пользователь, могу быть уверен, что магазин их никуда не пересылает? Деминимизировать код JS в каждом магазине? Или они осуществляют аудит страниц оплаты у магазинов?
Вот это интересный вопрос. Ответа на него у меня нет. На сколько я знаю, чтобы процессить данные карт, нужно сертифицироваться у платежников по PCI DSS. Магазин при этом не хранит данные карт, делигируя это stripe. Но stripe вроде магазины не контролирует. Видимо, по прецендентам будут магазины блокировать.
Я посмотрел списки Visa и МС — stripe является сертифицированным PCI DSS Level 1 провайдером. Я подробно не смотрел их скрипты, но почти уверен что вместе с сервисом токенизации все проблемы клиента с PCI покрываются их решениями.
Также недавно интересовался этим сервисом.
Нашел, вот что — What client side framework powers stripe.com?
Один из основателей сервиса Saikat Chakrabarti пишет, что в разработке сервиса они используют Backbone.js, CoffeScript, шаблонизатор Еco.
Оно только для US, можно не беспокоиться.

stripe.com/global
We are working hard to make Stripe available outside the United States.
ну почему же, у многих хабровчан (+ программистов с DOU) есть карты payoneer. поправьте меня, если их нельзя использовать со stripe.
UFO landed and left these words here
Сделал на нем оплату в do.jo — очень удобно и круто работает. Тестовая админка — вообще песня. Пейпал вспоминаю теперь как страшный сон.
Если кто-то придумает как можно юзать из России(прокси, американская карта и т.д.), то отпишитесь пожалуйста
А что думать? Нужно пробовать различные Virtual карты.
Проблема зарегиться у них, нужно быть юр. лицом США с валидным SSN. А оплачивать можно откуда угодно.
UFO landed and left these words here
UFO landed and left these words here
«цена 2.9% + 0.3$ за транзакцию»… мне одному это кажется грабежом? :)
Я полагаю, что их комиссия эти самые 0.3$. А указанные проценты относятся к комиссии платежной системы (Visa, Mastercard) и банка-эквайера.
2,9% — это уже многовато для эквайера.
Банк-эквайер и платежные системы тоже берут фиксированную коммиссию, примерно те же 20-30 центов (зависит от объема продаж, банка и фазы луны).
В гораздо большей степени это зависит от бизнеса мерчанта: истории, степени «рисковости», наличия cross-border транзакций.
Хм. Наш случай: история продаж — 3 года, риск минимальный, все бизнес-рейтинги на 80% и выше, рейты не меняются. ЧЯДНТ?
Вы готовы в публичном thread'e ответить на вопросы насчет вашего бизнеса? Если нет — могу попробовать помочь разобраться в привате.
Мне, к сожалению, и в привате вряд ли можно на них отвечать… я попробую позвонить в банк, может они чего подскажут. Но вообще большое спасибо за предложение помощи!
Процент чарджбеков каков? Вы российская компания в РФ? Через банк в РФ?
Меньше одной десятой процента (не помню за последние годы), компания в США, банк там же.
Visa и МС берут с абстрактной карточки в вакууме между 0.95 и 1.5%. В случаях от дельных государств и отдельных межбанковских соглашений и ассоциаций, например карты с дополнительным логотипом ЕС в Германии, или финские карты в Финляндии этот рейт может падать до 0.3-0.35%. Это цена систем. Абстрактная. Дальше банки, провайдеры, гейты, сервис компании, мерчант солиситаторы и прочие руки. 2.9 это недорого, кстати. Очень недорого по современным меркам.
Интересно… в штатах 2.9% считается достаточно немалой ценой — т.е. идет оттуда и ниже.
Насчет безопасности. Говорить что «данные никуда не посылаются» — это большая ошибка.
Нюанс с токеном, описанный вами, помогает лишь при повторных («рекуррентных») платежах.

1) В случае, когда транзакции магазина идут через торговый счет stripe, магазину нет необходимости вообще обрабатывать или хранить платежные данные покупателя: сабмит данных произойдет на странице stripe, магазин оказывается вне области соответствия PCI DSS, все «в шоколаде».

2)Если же транзакция инициируется со страницы магазина, то при первой транзакции все равно произойдет обработка и передача данных карты. А вот при повторной уже можно будет пользоваться токеном.

Как я понял, и при первой оплате ничего не отправляется. А токен — это зашифрованные ассиметричным алгоритмом данные карты. Пересылается именно токен, а расшифровать его могут только на стороне stripe.
Ждем, когда начнут работать не только с юрлицами из США :)
Пейпал (и мани букерс, например) — электронный кошелек. Stripe (и авторайз.нет, например) — провайдер карточных платежей. Разная юридическая ответсвенность, и действие в рамках разного законодательства. При оплате картой через пейпал, с карты списываются деньги, деньги идут на счет пейпал, а на эту списанную сумму выпускаются электронные деньги, которые переводятся мерчанту. Для клиента это чревато тем, кто его карточная транзакция не покупка товара, а покупка электронных денег aka пополнение своего кошелька. Соответсвенно, все диспуты о товаре и оплате в случае чего происходят в рамках правил PayPal а не в рамках правил Visa и MC. И для мерчанта — это не оплата картой, а оплата PayPal. На счету мерчанта не деньги, а электронные «палки» и конвертация их во что-то более осязаемое — по большому счету добрая воля PayPal (кстати, в США законодательство по этому поводу вообще очень расплывчатое, в Европе оно лучше и у кошельковых компаний больше ответсвенность, но «палка» — в США). Прямая оплата картами, в целом, аналогична оплате деньгами. Она подчинается правилам Visa, MC и местному (страны в которой зарегистрирована фирма) банковскому законодательству. Хотя для мерчанта процесс чарджбека и диспута может быть довольно длительным и болезненным, просто так закрыть аккаунт со всеми деньгами вам не могут.
А еще он простой, а paypal монструозный.
Токенизация, в принципе, довольно распространенный метод с тех пор как хранение карточных данных стало запрещено в принципе. Так что уникальности нет.
Only those users with full accounts are able to leave comments. Log in, please.