• Как украсть деньги с бесконтактной карты и Apple Pay
    0
    или например наше приложение, которое легально позволяет в рамках МОТО лимита мерчанту списывать по NFC github.com/cloudipsp/android-sdk-nfc
  • Как украсть деньги с бесконтактной карты и Apple Pay
    0
    никто не мешает написать приложение для Android, которое будет из трек2 получать реальный номер карты (а не токен) и срок действия, а потом эти данные использовать для MOTO платежей
  • Как мы построили инфраструктуру для своего финансового сервиса
    0
    визуализация взята отсюда http://d3.artzub.com/wbca/
  • Как в «Додо Пицца» потеряли 8 миллионов за один час из-за технической ошибки, а потом вернули
    0
    Советую в архитектуру добавить систему антифрода — без нее вы в будущем получите еще много неприятностей.
    И да, ни какой финансовый запрос в АПИ не должен выполняться в обход системы антифрода. Это аксиома для платежного шлюза. У разработчика не должно быть шансов создать endpoint в АПИ не унаследовав базовые проверки в антифроде. В первом приближении система антифрода может быть обычной таблицей барьерных лимитов.
  • Как в «Додо Пицца» потеряли 8 миллионов за один час из-за технической ошибки, а потом вернули
    0
    судя по статье это были не реальные платежи
    Особенно обидно было осознавать, что мы вернули деньги, которых не получали — это были тестовые заказы.
  • Как в «Додо Пицца» потеряли 8 миллионов за один час из-за технической ошибки, а потом вернули
    0
    я правильно понял, тестовые заказы на 7,84 миллиона рублей?
  • Как онлайн-бизнесу организовать прием платежей в валюте для иностранных клиентов
    0
    средства выплачиваются на р/с банком-эквайером той страны, в которой открыта компания
  • Как онлайн-бизнесу организовать прием платежей в валюте для иностранных клиентов
    –1
    мы сейчас работаем над этим решением
  • Роль платежного сервиса в онлайн-транзакциях
    0
    В первую очередь PSP — это продукт, сервис. Мало банков вам предложат полноценный продукт, качественную поддержку. Все-таки банк это банк, а не IT компания. PSP также может дать банальный выигрыш в финансовых условиях: для банка обороты вашего онлайн-бизнеса могут оказаться незначительными, и он предложит вам тариф на общих условиях, если обратитесь напрямую. PSP для него — крупный клиент, и условия для него как правило индивидуальные.
    Есть и другие преимущества:
    • у многих эквайеров АПИ разрабатывает вендор, который зачастую не уделяет внимания его юзабилити и порогу входа для мерчанта. Нам встречался эквайер, у которого чтобы совершить простую покупку, нужно выполнить цепочку из 5 вызовов в том числе к MPI. Кстати вы знаете что такое MPI? И все это через VPN тунель, который, если построен по публичному каналу, а не по выделенному, постоянно отваливается и нужно держать резервный с автопереключением. PSP в этом плане делает интеграцию проще, сгаживая все углы. Мы например предлагаем разные виды интеграций: набор готовых модулей к CMS, PHP/iOS/Android/React Native SDK. Можно кастомизировать дизайн платежной страницы и подгружать ее на своем сайте в виде виджета, а не редиректом, чего банки не дают. При этом страница будет адаптивная для всех видов устройств с хорошей юзабильностью. В личном кабинете есть детальная аналитика по принятым и выплаченным платежам, стандартизированные отчеты, если надо — акты сверок.
    • PSP может выступать в качестве каскадного процессинга: если платеж не прошел у первого эквайера или эквайер не доступен по техническим причинам, переключает на другого «на лету». А эквайеры довольно часто устраивают 2-3 часовые регламентные работы по обновлению ПО, поскольку Visa и MasterCard требуют от них это делать регулярно. На нашей памяти был случай, когда наш клиент работал через 3-х эквайеров параллельно, и 2 из них упали одновременно. Однажды карты MasterCard другого эквайера были не доступны все выходные. Каскадный процессинг увеличивает конверсию в среднем на 5-10%. Если желаете, мы даже подписываем SLA договор, гарантируя уровень доступности сервиса 99.95%.
    • гибкий антифрод. У банка как правило стоят обычные лимиты, которые «стреляют» очень часто в самое не подходящий момент. А еще служба безопасности банка любит закручивать гайки на всякий случай. Например в одном из банков лимиты срабатываю почему-то чаще всего по выходным, когда никто из операционного подразделения не доступен. В другом банке ограничение по умолчанию — страна IP-адреса клиента должна совпадать со страной карты. Мы стараемся договориться с банками на минимальные ограничения для нас, а правила антифрода уже настраиваем у себя. Например как вы думаете, какой самый частый фрод у продавцов цветов? Когда мужчина мужчине заказывает цветы и к ним дорогое спиртное. Передавайте нам атрибуты заказа и мы такой платеж автоматом отправим на ручную проверку отделу фрод-мониторинга.

    В общем много всяких нюансов, которыми вам прийдется заниматься самостоятельно, если решите работать с эквайером напрямую. Лучше это доверить специалистам PSP, тем более вам это не будет стоить ни копейки.
  • Роль платежного сервиса в онлайн-транзакциях
    0
    1. по АПИ или в мерчнт-портале делаете реверс. Средства возвращаются плательщику а с мерчанта удерживаются с последующих выплат
    2. да, можно
    3. есть правила арбитража от Visa/MasterCard. Они называются Liability Shift. Претензионная работа по этим правилам ведется банками эквайером и эмитентом через подразделение арбитража Visa и MasterCard.
    Можно дополнительно еще придумать что-то типа escrow сервиса, который не дает списать средства с плательщика пока служба доставки не отчитается о вручении товара. Но тут PSP возьмет на себя максимум интеграцию с API логистического сервиса, а арбитраж — это уже не его парафия, арбитром должна выступать какая-то третья сторона, например площадка(маркетплейс) через которую осуществляется продажа от торговца к покупателю
  • Роль платежного сервиса в онлайн-транзакциях
    0
    возможно потому что braintree использует adyen для своих международных платежей
  • Роль платежного сервиса в онлайн-транзакциях
    0
    да, можно в мерчант-портале отредактировать css или даже нарезать несколько их версий, и передавать в параметре id определенного кастомного css
  • Роль платежного сервиса в онлайн-транзакциях
    0
    пофиксили ссылку
  • Как работают ИТ-специалисты. Максим Лапшин, основатель компании Flussonic
    0

    лучший способ уменьшить энтропию — это использовать iphone со статической не обновляемой версией iOS

  • Получаем список доменов и IP адресов всех банков мира
    0
    у моего тоже. И я постоянно попадаю на ситуацию, когда кредит исчерпан и даже платежные страницы уже не открываются
  • Получаем список доменов и IP адресов всех банков мира
    0
    1 Мбайт должно хватить всем :)
    тут естественно правильнее работать с токенами карты и списывать без ввода клиентом реквизитов карты по-новому, например как Uber — просто спросив клиента, согласен ли он на продление пакета на следующий период за N-ую сумму. Но если клиент не успел привязать карту — тогда, конечно, бизнес должен решать какие риски
  • Получаем список доменов и IP адресов всех банков мира
    0

    а если предположим вы провайдер мобильного интернета по международным симкартам. И вам нужно блокировать интернет роуминг и 10-15 минут довольно критичны

  • Получаем список доменов и IP адресов всех банков мира
    0

    пробовали — падает конверсия сильно

  • Получаем список доменов и IP адресов всех банков мира
    0
    двойная проверка sms — и у провадйера и у эмитента, и это для того, чтобы вам отдать деньги.
  • Получаем список доменов и IP адресов всех банков мира
    +2
    это вы уже придумали сами, нет такого
  • Получаем список доменов и IP адресов всех банков мира
    +4
    все Access Controll Server (3DSecure) домены зарегистрированы в Visa и MasterCard и менять их нельзя, иначе прийдется перерегистрировать. Т.е. их список статичный. В случае Приватбанка это acs.privatbank.ua. Других серверов при оплате картой Приватбанка открывать не нужно.
  • Получаем список доменов и IP адресов всех банков мира
    +1
    Т.е. разрешить клиенту просто так брать и платить провайдеру без проблем всегда — ерунда. Нужно заставлять его делать лишнее действие каждый раз.
  • Получаем список доменов и IP адресов всех банков мира
    0
    Смена url никак на процесс не влияет, а домены банки меняют редко, разве что добавят субдомен. Переопрос IP — можно поставить запуск скрипта раз в сутки, к примеру. Пул адресов банки заявляют для отдачи колбеков интернет-магазину, который через него работает. Банку эмитенту карты никакие колбеки никуда слать не нужно, поэтому достаточно знать его публичные IP адреса в DNS.
  • Получаем список доменов и IP адресов всех банков мира
    +3
    если у провайдера 1-го числа месяца 90% клиентов уйдет в 0, то саппорт будут как мартышки вручную всем открывать доступ? Я предложил способ автоматизации. Любите ручные операции — ваше право
  • Получаем список доменов и IP адресов всех банков мира
    +13
    я рад что не занял много времени у вас, но от этого публикация не менее полезна определенному кругу специалистов
  • Встраиваем прием платежей в мобильное приложение, или почему можно забыть про PCI DSS и PA DSS
    0
    если ваше приложение не передает карточные данные через вашу инфрастуктуру (а для этого есть такая функциональность, как токенизация карты), то ваша инфрастуктура не попадает под scope
  • Встраиваем прием платежей в мобильное приложение, или почему можно забыть про PCI DSS и PA DSS
    0
    в статье я ссылаюсь пост https://habrahabr.ru/company/dataart/blog/274325/ — здесь детально затрагивается эта тема
  • Встраиваем прием платежей в мобильное приложение, или почему можно забыть про PCI DSS и PA DSS
    –1
    эквайер такого автора забанит и впаяет штраф
  • Встраиваем прием платежей в мобильное приложение, или почему можно забыть про PCI DSS и PA DSS
    0
    3ds можно использовать опционально, если риск мошенничества небольшой, к тому же есть физический адрес получателя услуги, то 3ds лучше не использовать — это право магазина/банка-эквайера
  • Встраиваем прием платежей в мобильное приложение, или почему можно забыть про PCI DSS и PA DSS
    +2
    так и к фрейму в браузере можно получить доступ в определенных условиях
    еще можно трафик перехватить у клиента через MITM и расшифровать, если клиент не обращает внимание на предупреждения браузера

    вы не поверите, но PCI DSS не гарантирует защиту данных от перехвата, дампа, вторжения, атаки
    это набор требований и рекомендаций, которые минимизируют риск компроментации и определяют ответственных за возможные инциденты
  • Встраиваем прием платежей в мобильное приложение, или почему можно забыть про PCI DSS и PA DSS
    0
    Вопрос1.

    select count(distinct name) from allbanks 
    
     count    
     -------- 
     12703    
    

    вот столько у меня в базе банков по всем странам
    как вы думаете, смогут все банки в едином порыве адаптировать свои 3DS страницы? я думаю эту проблему не побороть с учетом сколько банков в мире технологически отсталые, 3DS должен умереть сам с распостранением мобильных технологий или трансформироваться в новый стандарт. Сейчас с ним много проблем: TLS 1.2 обязателен для iOS но поддерживается не всеми банками, а если банк принудительно переходит на TLS 1.2, то у Android версии <4.3 начинаются свои проблемы

    Вопрос2 (более общий).

    Протокол 3DSecure устарел еще до того, как его начали банки использовать массово, к тому же он разрабатывался без расчета на мобильные устройства вообще. Если какой-нибудь крупный игрок на рынке, например Apple или Google предложит Visa/MasterCard свой стандарт, то есть шанс, что 3DSecure привяжется к устройству или sim, но я думаю что это маловероятно
  • Google Schemer
    0
  • Спам — как средство передачи шифровок?
    +1
    спам письмо расчитано на то, что вы на него ответите, типа «а вы не ошиблись — это мне?», а в ответ вам придет ссылка уже с нужным контентом, а ваш имей будет добавлен в спам лист как вот здесь:
    artimind.livejournal.com/285694.html
  • Банковские карты для пользователей Яндекс.Денег в СНГ
    0
    хм, не дает…
    sp-money.yandex.ru/card/card-payment/bind-sign.xml
    Ошибка привязки банковской карты
  • Что нужно знать про оплату банковскими картами через интернет
    +11
    Что в предшествующем топике, что в этом авторы имеют поверхностное представление о том, о чем говорят. Ошибки которые бросаются в глаза при беглом чтении топика:
    1)во всех спорах между банком-эмитентом [...] и банком-эквайером по поводу интернет-транзакций разрешаются в пользу банка-эмитента

    а как же правила претензионной работы и переноса ответственности?

    2)Из-за этого банки-эмитенты, когда видели, что им от банка-эквайера приходит запрос на авторизацию с применением Visa 3D Secure или MasterCard SecureCode, просто отказывали в авторизации

    не правда, за отказ полагаются огромные штрафы, платежные системы мониторят такие случаи

    3)Неважно – ввели ли мошенники правильное имя держателя карты, или даже правильный CVC/CVV – правила платежных систем при card not present транзакциях всегда стоят на стороне держателя карты. Убытки по спорным транзакциям ложатся на банк-эквайер, который перекладывает их на интернет-магазин.

    если эмитент авторизовал без CVV2/CVC — это его риски, почитайте правила платежных систем

    4)на практике вам следует знать следующее: если вы используете кредитку Сбербанка, который сертифицирован и по Visa 3D Secure, и по MasterCard SecureCode, то независимо от того, использует ли банк-эквайер, обслуживающий тот или иной интернет-магазин, эту технологию, ваши транзакции полностью защищены.

    не правда, не защищены, просто переносится ответственность на эквафера


    и много много других ошибок
  • Что нужно знать про оплату банковскими картами через интернет
    0
    сорри…
  • Что нужно знать про оплату банковскими картами через интернет
    0
    Что в предшествующем топике, что в этом авторы имеют поверхностное представление о том, о чем говорят. Ошибки которые бросаются в глаза при беглом чтении топика:
    1)во всех спорах между банком-эмитентом [...] и банком-эквайером по поводу интернет-транзакций разрешаются в пользу банка-эмитента
  • Секционирование. Автоматическое добавление секций
    0
    alter table add partition накладывает EXCLUSIVE блокировку. insert/update в свою очередь накладывает SHARED блокировку. Поэтому, если на таблице идет интенсивный insert/update, то add partition не сможет получить EXCLUSIVE блокировку и вынужден будет отвалиться с ORA-00054: resource busy and acquire with NOWAIT specified, или ждать освобождение блокировки, что увеличит время транзакции.

    Вообще задача разбивки партиций это не задача приложения, а задача DBA и по собственному опыту добавление партиций лучше выносить в отдельный джоб и запускать его во время падения нагрузки на таблицу.
  • Секционирование. Автоматическое добавление секций
    0
    вставлять разбивку на партиции в триггер на нагруженной инстертами таблице очень опасно. Во первых партиция может не создаться из-за наличия блокировки на таблице, и тогда следующий инсерт опять вызовет разбивку. А если это пиковый период нагрузки для таблицы? Пойдет лавинообразный процесс. Время выполнения инсертов увеличится в разы
  • Как повысить конверсию интернет-магазина?
    0
    у нас не было периода «до»:) только 2 недели как открылись. Несколько клиентов таким образом заинтересовали, но чаще, конечно, закрывают окно чата