• Как принимать платежи в мобильном приложении: токенизация, NFC, оптическое сканирование и другие плюшки в одном SDK

      Я уже рассказывал ранее на примере Android SDK, как не ограничиваясь фреймом и WebView, встроить нативную форму приема платежей по банковской карте в мобильное приложение, и при этом не попасть под аудит PCI DSS. С тех пор наше SDK довольно существенно расширилось и к обычной форме ввода карты в Android и iOS добавился такой функционал:
      — React Native библиотека для Android и iOS
      — кастомизация верстки layout формы с реквизитами карты
      — функция оптического сканирования карты
      — прием бесконтактных платежей в Android по технологии NFC
      В этой публикации я расскажу что вообще можно делать с платежами в мобильных приложениях, какие есть лайфхаки и подводные камни, и напоследок приведу пример кода демо-приложения и расскажу, как списать карточный долг с друга при помощи NFC ридера своего смартфона.

      Читать дальше →
    • Получаем список доменов и IP адресов всех банков мира

        Думаю каждый сталкивался с ситуацией, когда в начале месяца у абонента интернет-провайдера баланс уменьшается в ноль или становится отрицательным, а при попытке пополнить счет картой на каком-то этапе страница банка становится не доступной.

        Связано это как правило с тем, что банки, выпускающие карты, по умолчанию активируют услугу 3DSecure на своих картах, и таких банков в мире тысячи. В свою очередь интернет-провайдер имеет возможность добавить в белый список только IP адрес того банка, через платежный шлюз которого он подключен на процессинг карт и ему довольно проблематично понять, картами каких банков ему будут платить, и на каких доменах у этих банков расположена 3DSecure страница

        image
        Читать дальше →
      • Встраиваем прием платежей в мобильное приложение, или почему можно забыть про PCI DSS и PA DSS

        А нужен ли PCI DSS?


        Рано или поздно большинство владельцев и разработчиков интернет-магазинов и мобильных приложений, принимающих платежи в онлайне, задаются вопросом: «должен ли мой проект соответствовать требованиям стандартов PCI DSS?».

        PCI DSS — это стандарт безопасности, который применяется для всех организаций сферы обработки платежных карт: торговых точек, процессинговых центров, финансовых учреждений и поставщиков услуг, а также других организаций, которые хранят, обрабатывают или передают данные держателей карт и (или) критичные аутентификационные данные.

        Стандарт PA-DSS распространяется на поставщиков приложений и иных разработчиков приложений, которые хранят, обрабатывают или передают данные держателей карт и (или) критичные аутентификационные данные.


        image

        С веб-сайтом все довольно просто: при интеграции достаточно воспользоваться техническим решением, которое перенаправляет плательщика на форму ввода данных карты, расположенной на сайте PCI DSS сертифицированного платежного шлюза или загружает эту страницу во фрейме также с сертифицированного сайта. В этом случае торговец не подпадает под действия стандарта безопасности, так данные карты не хранятся и не передаются через его сервера, а к фрейму платежного шлюза сайт торговца не имеет доступа в силу политик безопасности web-браузеров.

        С мобильным приложением все немного сложнее.
        Читать дальше →
      • Новый взгляд на комментарии. Hypercomments.com — комментируем фрагменты текста

          О проекте


          Что собой представляет стандартный блог или публикация? Комментарии как правило обособлены от текста и пользователям приходится цитировать фрагменты текста, чтобы прокомментировать их. А если спор между читателями завязывается вокруг определенного высказывания в статье, как зачастую бывает на хабре, то только что зашедшему в пост читателю трудно уловить эту интересную часть статьи. Как можно сделать коментарии более контекстными, интерактивными, привлекающими внимание? Хочу поделиться с хабравчанами проектом, который разрабатывает одна из наших команд. Он будет полезен блогерам, интернет-СМИ, да и просто сайтам с большим текстовым контентом. Проект Hypercomments предлагает новый взгляд на комментарии. Комментировать можно как фрагменты текста, так и отдельные слова, картинки. Это позволяет автору оживить статью, увидеть наиболее обсуждаемые, горячие участки текста, сделать содержание статьи более насыщенным за счет активности читателей.




          Читать дальше →
        • Электронным сервисам стоит уделять больше внимания неграмотным пользователям

            Интересную картину дает Пульс блогсферы Яндекса. Что это? Проблемы возникают чаще у малограмотных пользователей, или ошибка расчета корреляции? В любом случае есть повод задуматься создателям пользовательских интерфейсов, ведь электронные технологии становятся все более доступны массовой аудитории, а такие отрицательные отзывы могут испортить репутацию любого сервиса:





            Еще несколько примеров
          • Как защитить свою карту в Интернет

              Что же такое интернет-платеж


              Как ни странно, но в терминологии платежных систем нет такого понятия, как интернет-транзакция. С точки зрения Visa и MasterCard, транзакция в интернет ничем не отличается от транзакции в терминале, по телефону, IVR и т.д. Платежные системы рассматривают интернет только как среду проведения транзакции. И это вводит некоторую путаницу при общении кардхолдера с банком, выпустившим карту (эмитентом). Утверждение сотрудника колл-центра о том, что ваша карта открыта для оплаты в интернет, равно, как и утверждение, что она закрыта, может не соответствовать действительности.
              image
              Читать дальше →
            • От чего горят датацентры

                История произошла на самом деле со мной и ни в коем случае не является моей выдумкой или фантазией.

                Одним теплым майским днем, возможно даже в пятницу, сотрудники департамента сервисного обеспечения одной организации, то по очереди, то парами-тройками выходили на балкон своего 6-го этажа, окна которого смотрят на задний двор здания. Они курили и обсуждали прошедшие праздники, жаловались друг-другу на затянувшуюся хандру и думали, как провести выходные в дали от работы. В основном мужскую часть коллектива айтишников, время от времени разбавляли разговорчивые сотрудницы бухгалтерии, отдел которой располагался в противоположном крыле этого этажа. Кто, докуривая — тушил сигарету в импровизированную консервную банку-пепельницу, кто — бездумно бросал еще пылающий окурок в окно. День размеренно перевалил за второю половину, и сотрудники организации степенно пытались завершить все свои текущие дела.

                Время как бы остановилось, или если и не остановилось, но тянулось предательски медленно.
                Но это казалось только со стороны.
                Читать дальше →
              • Как я ловил хакера 2

                  Продолжение, начало здесь.

                  Зайдя на сервер, я увидел открытую страницу банка в браузере, несколько скомпилированных версий популярного вируса, логи апача, который вел мониторинг атаки и открытую терминальную сессию на какой-то сервер с турецким IP с приглашением ввести логин и пароль. По логам апача было ясно, что турецкий сервер является одной из «голов» червя, т.е. центром координации атаки.
                  Читать дальше →
                • Как я ловил хакера

                    Произошло это в начале 2008 года, когда я еще работал в одном крупном украинском банке инженером в IT-департаменте. Только спала новогодняя праздничная суета, и нагрузка на подразделения техподдержки немного поубавилась, как один из подотчетных мне web-серверов сообщил о заканчивающемся на диске месте. Беглый анализ показал, что стремительно росли логи IIS сервера, на котором крутится один из публичных платежных комплексов банка. Мои опасения оправдались – на сервер началась DDOS атака.
                    Читать дальше →