Комментарии 23
Вредный код. Для приема данных карт нужно обеспечивать их защиту по PCI DSS. А этот костыль теперь доступен для встраивания всякими дырявыми говносайтами. Куда потом уйдут данные, несмотря на предупреждения в вашей статье...
Пройти аудит, либо размещать решение на хостинге, который официально сертифицирован по PCI-DSS.
А так — вы только что создали код, который растащат для того, чтобы MITM-ить и красть данные платежных карт.
Присоединяюсь к уже высказавшимся. Организация инфараструктуры, позволяющей собирать реквизиты платёжных карт, без надлежащей сертификации — дело незаконное и административно наказуемое. ФЗ "О национальной платежной системе" — не самый простой материал для чтения, но есть более-менее доступные для понимания статьи с комментариями, например вот: http://zarlaw.ru/lifehacks/articles/federal-law-national-payment-system/ .
Если же очень хочется занять какое-то место в цепочке прохождения платежей, то самое разумное, что можно сделать — это отказаться от реализации собственной формы для ввода реквизитов платёжных карт и заниматься только переадресаций браузера посетителя на сайты банков — туда, где имеется сертифицированная и законно используемая инфраструктура...
Мне не хочется встраиваться в эту пищевую цепочку.
Меня здесь пока больше всего беспокоит словосочение "эмулируя страницу банка" вот в этой фразе:
Шлюз работает между браузером пользователя и страницей банка, реализует функции ввода/вывода эмулируя страницу банка, дополняет и изменяет данные, и обрабатывает ответы и ошибки от сервисов банка.
Там точно не происходит введение посетителя в заблуждение относительно того, кому принадлежит страница для ввода реквизитов карты?
И ещё беспокоит то, что всё участники электронных платежей относятся к PCI DSS очень серьёзно. А здесь ввод реквизитов карточек производится в систему, которая на соответствие PCI DSS не сертифицирована и вряд ли даже надлежащим образом спроектирована.
Я — не специалист по правоприменительной практике. И толкователь ФЗ не очень хороший. Поэтому с какими корочками могут прийти казённые мужи к оператору такого платёжного шлюза, и на какие статьи ФЗ и подзаконных актов они будут при этом ссылаться — прогнозировать не буду. Но пропагандировать такой инструментарий как законный и безопасный точно не стал бы...
Если же этот же механизм модифицировать так, чтобы номер карточки плательщика вводился строго на странице банка, а не на странице получателя платежа, то думаю, что претензий уже не будет ни у кого...
Если серьезно, меня тоже беспокоила тема возможного использования ПО людьми с криминальными наклонностями и не окрепшими мозгами ( люди с окрепшими мозгами, в моих изысканиях не нуждаются, и все что нужно им по их деятельности знают) решил ограничиться ссылкой на УК РФ, хотя не считаю что их это сильно остановит или им сильно поможет. Даже в криминальных целях, «данный топор» без соответсвующей доработки работать не будет. А для фейкового сайта или любой другой темы подобного рода, не требуется столь сложных механизмов. Простые схемы самые действенные и надежные.
В целом данную ожидаемую мной дискуссию о «святости» PCI DSS и нарушении всего что только можно, если это не разрешено, считаю вполне раскрытой. Ничего нового здесь больше думаю не будет, желающим рекомендую ставить лайки и дизлайки
:))
А если чуть серьёзнее, то я не поленился посмотреть исходники и увидел там слово "phone4pay". Ну а дальше, перейдя по ссылке, увидел много всего, включая оферту.
А там ведь уже на вид всё по-взрослому… И это уже вполне едет под ФЗ и под определение как минимум "оператора услуг платежной инфраструктуры"… Со всеми вытекающими...
Я бы разделил вопрос на две части:
1) phone4pay и его бизнес. Мне кажется, что не очень безопасно тешить себя идеей, что ФЗ вас не касается. Потому что вполне могут найтись казённые люди, которые аргументированно скажут, что касается. А закон написан так, что трактовать его формулировки можно в широких пределах.
2) Доброе дело по отношению к окружающему миру — с потенциальными ИП, которые могли бы хотеть принимать у себя на сайте платежи с карты на карту, с кодом на Гитхабе и со всем таким. Здесь есть большой риск сделать таким людям вместо доброго дела подлянку, потому что даже если это и не эквайринг в обычном понимании, всё равно это как минимум серая зона с не до конца ясными правилами и с явным несоответствием PCI DSS. А люди-то, которые воспользуются, вряд ли смогут в это всё вникнуть и поверят вам, что всё норм и безопасно...
В принципе этот механизм, наверно, можно сделать более безопасным и более соответствующим правовому полю, если не принимать номер карточки плательщика в свои руки и отложить его ввод до страницы банка. И на страницу банка передавать только номер карточки получателя. Это же можно наверняка сделать? Всё остальное сложится при этом?
Выходит, смысл исключительно в том, чтобы привести клиента на страницу перевода денег с предзаполненным получателем?
Странный UX. Клиент, покупая что-либо в вебе, ожидает на странице 3DS и в списке своих транзакций увидеть что-то понятное и релевантное продавцу.
А в Вашем случае клиент увидит card2card Иванову Ивану?
Как правило, на страницах авторизации 3DS видно в чью пользу совершается платёж. Клиент, приходя по кнопке "оплатить" интернет-магазина или сервиса не ожидает увидеть там ФИО физического лица, как правило.
Не очень ясен смысл затеи. У тинькова, например, есть готовый платёжный виджет для размещения на сайте. Почему не использовать его?
Про плагин ничего сказать не могу, с функциональностью не знаком
На мой взгляд те, кто снижать свои комиссии — использует сторонних интернет-эквайеров и для меня это знак, что что-то нечисто ибо сейчас комиссии не такие уж и толстые, вкупе с дополнительными плюшками по учету и переводу средств на р/с компаний от самих банков.
1. Быть юрлицом
2. Заключить договор с банком
3. Если хотите использовать свою страницу ввода, пройти сертификацию PCI DSS
Я нашел способ проще, и способом поделился. Все подводные камни и страшные расследования вы можете провести самостоятельно, получив исходники.
Нет никаких сторонних интернет эквайров, скачал софт, настроил и сам себе эквайр.
Да еще на заметку, какой интернет эквайр позволяет свой VK кошелек в качестве приемника оплаты использовать. Ответ — только через VK и внутри VK. Я показал как это работает извне на тех же самых принципах
Любой банк, возмет с вас комисии в зависимости от того, чем вы торгуете от 1,7 до 3%, а используя это решение вы можете с 0% сделать проводку. Самостоятельно, без услуг кого бы то нибыло.
это еще актуально? можно ли как-то с вами связаться, тоже есть необходимость такого решения на сайте
Реализация шлюза P2P операций перевода с карты на карту