Такая политика компании, связана с тем, что мы стремимся дать лучшие условия каждому клиенту и готовы даже понизить комиссионную ставку в случае договоренности. Поэтому, после того как вы оставляете заявку и с Вами связывается специалист, мы высылаем договор в котором будет прописана та ставка, которую Вам озвучили.
Тем не менее, Вы можете посмотреть комиссии указанные в конце этой статьи, предварительно мы готовы дать такие ставки многим клиентам.
Вернуть все платежи, кроме первого – достаточно реально. Эти операции не подтверждались с помощью 3-D Secure, и не являются повторными платежами для какой-то предыдущей покупки, подтвержденной по 3-D Secure.
Вопрос мошенников, которые делают переводы с карты на карту под видом оплаты за авиабилеты, гораздо сложнее. Выше тут уже детально всё обсудили, но в сухом остатке – доказать что-то банку-эмитенту будет очень сложно. Для него вы сами совершенно сознательно перевели деньги на чью-то карту (на которой уже нет денег, и которая зарегистрирована на подставное лицо), и подтвердили эту операцию одноразовым кодом. Теоретически, тут что-то могут сделать правоохранительные органы.
Мы являемся платёжным шлюзом (и даже сами сталкивались с такой проблемой), поэтому в основном тут будет описано происходящее с нашей стороны.
Бороться с мошенниками на стороне платёжных шлюзов, по сути, очень сложно; лучшая тактика тут пытаться сделать использование нашей формы сложнее, чем у других (известный анекдот – для того, чтобы выжить при встрече со львом, не надо уметь бежать быстрее льва; достаточно бежать быстрее соседа).
С учётом того, что каждый платёж достаточно большой – мошенник может позволить потратить себе достаточно много денег на организацию этого платежа. Можно действовать как-то так:
1) На каждого посетителя сайта (точнее, платёжной формы с кнопкой «оплатить») автоматически поднимаем новую виртуалку в облаке или в ботнете, в ней браузером заходим на страницу перевода с карты на карту платёжного шлюза. Для платёжного шлюза это выглядит как обычный запрос обычного пользователя;
2) Спрашиваем у посетителя номер карты, срок действия, CVV;
3) Вводим в виртуальном браузере эти данные; вводим данные карты получателя (мошенника);
4) Если, например, страница перевода с карты на карту требует разгадать капчу – показываем её посетителю и заставляем разгадать.
5) Отправляем в виртуальном браузере форму, получаем в ответ переадресацию на сайт банка-эмитента для прохождения 3-D Secure. Перехватываем эту переадресацию, и переадресуем туда реального посетителя в реальном браузере (передавая при этом TermUrl своего сайта с авиабилетами).
6) У посетителя отображается настоящая страница банка-эмитента (с соответствующим адресом и сертификатами), он вводит на ней одноразовый пароль из SMS, отправляет; банк-эмитент возвращает его на сайт с авиабилетами.
7) Информацию о подтверждении 3DS, пришедшую на сайт с авиабилетами – опять же, отправляем в виртуальный браузер. Всё, операция проведена.
По сути, для платёжного шлюза в этой ситуации всё выглядит так, что к нему пришёл реальный человек (на самом деле мошенник), который ввёл в форму переводов с карты на карту данные карты отправителя, данные карты получателя, и подтвердил операцию одноразовым паролем в банке-эмитенте. Отличить мошенника от честного человека тут не получится – нет никаких данных, которые выделяли бы мошенника.
Именно по этой причине мы приняли решение отключить форму перевода платежей с карты на карты в нашей системе.
Какая-то системная борьба (а не просто закрытие сайтов после того, как они уже успели набрать много денег) может идти только со стороны банков-эмитентов – как карт отправителей, так и карт получателей.
От эмитентов карт отправителей хотелось бы видеть на странице подтверждения платежа заметное указание на то, что осуществляется именно перевод с карты на карту. Кроме того, так как со страницей подтверждения платежа мошенник может поступить так же, как со страницей перевода – «проксировать» её для пользователя в виртуальном браузере; это потребует большей невнимательности со стороны пользователя, но хотелось бы ещё чтобы банки, отправляющие одноразовые коды в SMS-сообщениях, предупреждали о переводе и в тексте сообщения. На вашем примере – в SMS-сообщении написано «P2P», среднему пользователю это ни о чём не говорит.
От эмитентов карт получателей – запрет на получение денег для карт с не подтверждённой личностью владельца (для виртуальных карт типа яндекс.денег и киви).
А пользователям стоит внимательнее следить за тем, где они вводят данные карты. Как уже было сказано, если на странице для ввода номера карты есть сертификат EV – то, по крайней мере, это не аноним и не однодневка; в случае чего хотя бы будет понятно, на какую организацию писать заявление. Да и мошенникам постоянно регистрировать новые компании и получать сертификаты EV будет затруднительно; это может сделать такое мошенничество невыгодным.
Советы же вида «если левый ОГРН – то это мошенники», «если нет номера телефона – то это мошенники» и т.п. действуют как советы «если письмо написано с грамматическими ошибками – то это фишинг». Т.е. действует только до тех пор, пока мошенники могут себе позволить не напрягаться и писать неграмотные письма. Как только все узнают об этих советах – мошенники сразу начнут писать фишинговые письма грамотно, а на сайтах начнут указывать реальные правдоподобные ОГРН и телефоны.
Безусловно, мы всегда стараемся поддерживать не только карты, но и все самые удобные и популярные способы оплаты, такие как MasterPass и электронные кошельки(Яндекс.Деньги, QIWI, WebMoney)
Если по истечении срока рассмотрения заявления вы получаете отказ в возврате или не получаете решения банка вовсе, в таком случае можете попробовать требовать возврата средств в судебном порядке.
Если вы об операции chargeback, то да, но это не стандартная «функция» банка, а вопрос диспутов — нужно аргументировать возврат средств. Если причина — неправомерное списание, т.е. мошенническая операция, то алгоритм подачи заявления следующий: http://payonline.ru/news/ecommerce/19718/.
Вы правы — клиринг в банках производится в лучшем случае раз в сутки, а в праздничные и выходные дни может занимать до недели.
Операция возврата и отмена операции — всё-таки не совсем правильные термины, в них действительно можно запутаться. Вообще, терминология у всех разная, мы используем понятия «холдирование» или «предавторизация» (они немного отличаются, но суть одна — заморозка средств на карте для последующего списания с возможностью мгновенного возврата) и «чарджбэк» — возврат средств, когда платеж уже совершен. Для совершения чарджбека нужны веские основания, сам процесс может занимать месяцы.
Да, и такое возможно.
Срок холдирования («заморозки») средств на карте устанавливается банком-эмитентом (максимально-30 дней).
Но в некоторых случаях этот срок (реальный) может быть гораздо меньше.
В настоящий момент, согласно правилам Международных Платежных Систем, сроки подтверждения (завершения) транзакций следующие:
Visa
— 5 календарных дней для транзакций по картам Visa Electron;
— 8 календарных дней для транзакций по другим картам Visa.
MasterCard
— 7 календарных дней для транзакций по картам MasterCard, Maestro.
Поэтому мы рекомендуем подтверждать транзакцию при работе с PreAuth в срок не более 5 дней, дабы потом не возникало спорных моментов.
Для того чтобы работать напрямую с данными банковских карт нужно каждый год проходить дорогую процедуру сертификации PCI DSS. Это могут себе позволить или платежные системы, такие как мы, или очень крупные магазины. На мелких магазинах оплата в один клик реализуется с сохранением токена, который передается на сервер PayOnline, а мы уже совершаем платеж.
Смотрите выше ответ, магазин данные не получает и не сохраняет, все происходит на стороне платежной системы, которой вы можете полностью доверять, т.к. чтоб работать с данными карты нужно каждый год проходить дорогостоящую процедуру сертификации и аудита.
У нас есть скрытая страница с документацией. Вы можете изучить ее по этой ссылке: www.payonline.ru/directory
В ближайшее время мы добавим эту ссылку для прямого перехода с сайта.
Такая политика компании, связана с тем, что мы стремимся дать лучшие условия каждому клиенту и готовы даже понизить комиссионную ставку в случае договоренности. Поэтому, после того как вы оставляете заявку и с Вами связывается специалист, мы высылаем договор в котором будет прописана та ставка, которую Вам озвучили.
Тем не менее, Вы можете посмотреть комиссии указанные в конце этой статьи, предварительно мы готовы дать такие ставки многим клиентам.
Вопрос мошенников, которые делают переводы с карты на карту под видом оплаты за авиабилеты, гораздо сложнее. Выше тут уже детально всё обсудили, но в сухом остатке – доказать что-то банку-эмитенту будет очень сложно. Для него вы сами совершенно сознательно перевели деньги на чью-то карту (на которой уже нет денег, и которая зарегистрирована на подставное лицо), и подтвердили эту операцию одноразовым кодом. Теоретически, тут что-то могут сделать правоохранительные органы.
Мы являемся платёжным шлюзом (и даже сами сталкивались с такой проблемой), поэтому в основном тут будет описано происходящее с нашей стороны.
Бороться с мошенниками на стороне платёжных шлюзов, по сути, очень сложно; лучшая тактика тут пытаться сделать использование нашей формы сложнее, чем у других (известный анекдот – для того, чтобы выжить при встрече со львом, не надо уметь бежать быстрее льва; достаточно бежать быстрее соседа).
С учётом того, что каждый платёж достаточно большой – мошенник может позволить потратить себе достаточно много денег на организацию этого платежа. Можно действовать как-то так:
1) На каждого посетителя сайта (точнее, платёжной формы с кнопкой «оплатить») автоматически поднимаем новую виртуалку в облаке или в ботнете, в ней браузером заходим на страницу перевода с карты на карту платёжного шлюза. Для платёжного шлюза это выглядит как обычный запрос обычного пользователя;
2) Спрашиваем у посетителя номер карты, срок действия, CVV;
3) Вводим в виртуальном браузере эти данные; вводим данные карты получателя (мошенника);
4) Если, например, страница перевода с карты на карту требует разгадать капчу – показываем её посетителю и заставляем разгадать.
5) Отправляем в виртуальном браузере форму, получаем в ответ переадресацию на сайт банка-эмитента для прохождения 3-D Secure. Перехватываем эту переадресацию, и переадресуем туда реального посетителя в реальном браузере (передавая при этом TermUrl своего сайта с авиабилетами).
6) У посетителя отображается настоящая страница банка-эмитента (с соответствующим адресом и сертификатами), он вводит на ней одноразовый пароль из SMS, отправляет; банк-эмитент возвращает его на сайт с авиабилетами.
7) Информацию о подтверждении 3DS, пришедшую на сайт с авиабилетами – опять же, отправляем в виртуальный браузер. Всё, операция проведена.
По сути, для платёжного шлюза в этой ситуации всё выглядит так, что к нему пришёл реальный человек (на самом деле мошенник), который ввёл в форму переводов с карты на карту данные карты отправителя, данные карты получателя, и подтвердил операцию одноразовым паролем в банке-эмитенте. Отличить мошенника от честного человека тут не получится – нет никаких данных, которые выделяли бы мошенника.
Именно по этой причине мы приняли решение отключить форму перевода платежей с карты на карты в нашей системе.
Какая-то системная борьба (а не просто закрытие сайтов после того, как они уже успели набрать много денег) может идти только со стороны банков-эмитентов – как карт отправителей, так и карт получателей.
От эмитентов карт отправителей хотелось бы видеть на странице подтверждения платежа заметное указание на то, что осуществляется именно перевод с карты на карту. Кроме того, так как со страницей подтверждения платежа мошенник может поступить так же, как со страницей перевода – «проксировать» её для пользователя в виртуальном браузере; это потребует большей невнимательности со стороны пользователя, но хотелось бы ещё чтобы банки, отправляющие одноразовые коды в SMS-сообщениях, предупреждали о переводе и в тексте сообщения. На вашем примере – в SMS-сообщении написано «P2P», среднему пользователю это ни о чём не говорит.
От эмитентов карт получателей – запрет на получение денег для карт с не подтверждённой личностью владельца (для виртуальных карт типа яндекс.денег и киви).
А пользователям стоит внимательнее следить за тем, где они вводят данные карты. Как уже было сказано, если на странице для ввода номера карты есть сертификат EV – то, по крайней мере, это не аноним и не однодневка; в случае чего хотя бы будет понятно, на какую организацию писать заявление. Да и мошенникам постоянно регистрировать новые компании и получать сертификаты EV будет затруднительно; это может сделать такое мошенничество невыгодным.
Советы же вида «если левый ОГРН – то это мошенники», «если нет номера телефона – то это мошенники» и т.п. действуют как советы «если письмо написано с грамматическими ошибками – то это фишинг». Т.е. действует только до тех пор, пока мошенники могут себе позволить не напрягаться и писать неграмотные письма. Как только все узнают об этих советах – мошенники сразу начнут писать фишинговые письма грамотно, а на сайтах начнут указывать реальные правдоподобные ОГРН и телефоны.
Для большего интереса со стороны читателей мы стараемся писать не только на тему платежей, но и про технологии вообще.
Но большинство постов в наших блогах именно про финтех:
https://habrahabr.ru/company/payonline/
https://geektimes.ru/company/payonline/
Операция возврата и отмена операции — всё-таки не совсем правильные термины, в них действительно можно запутаться. Вообще, терминология у всех разная, мы используем понятия «холдирование» или «предавторизация» (они немного отличаются, но суть одна — заморозка средств на карте для последующего списания с возможностью мгновенного возврата) и «чарджбэк» — возврат средств, когда платеж уже совершен. Для совершения чарджбека нужны веские основания, сам процесс может занимать месяцы.
Мы предоставляем акт выполненных работ.
Срок холдирования («заморозки») средств на карте устанавливается банком-эмитентом (максимально-30 дней).
Но в некоторых случаях этот срок (реальный) может быть гораздо меньше.
В настоящий момент, согласно правилам Международных Платежных Систем, сроки подтверждения (завершения) транзакций следующие:
Visa
— 5 календарных дней для транзакций по картам Visa Electron;
— 8 календарных дней для транзакций по другим картам Visa.
MasterCard
— 7 календарных дней для транзакций по картам MasterCard, Maestro.
Поэтому мы рекомендуем подтверждать транзакцию при работе с PreAuth в срок не более 5 дней, дабы потом не возникало спорных моментов.
Всего используется более 140 фильтров.