Чем опасны рекурентные платежи?

Question

mitaichik @mitaichik

Платёжные системы

Чем опасны рекурентные платежи?

Привет! Делаем сервис покупки билетов на мероприятия. Все по закону, выдаем чеки, отсылаем билет на email. Хотим прикрутить рекурентные платежи (что при повторной покупке не вводить данные карты и не проходить 3D secure).

Одно смущает - никто из конкурентов подобного не использует. Все пытаются как-то извратиться, типа MasterPass и т.п., но именно рекурентные платежи не юзают.

В чем подвох? Неужели их так опасно использовать?

Вопрос задан более трёх лет назад
458 просмотров

8 комментариев

Подписаться 4 Простой 8 комментариев

Adamos @Adamos

Честно говоря, для меня на сайте системы для покупки билетов новость, что система может повторить мой платеж без ввода данных и подтверждения, будет достаточно неприятной, чтобы послать эту систему лесом и никогда больше с ней не связываться.

Написано более трёх лет назад
mitaichik @mitaichik Автор вопроса

Adamos, Это же опционально. Думаю, вы не раз видели галочку "Сохранить карту для последующего использования
" или как-то так.

Написано более трёх лет назад
Adamos @Adamos

mitaichik, обычно такие опции позволяют себе сервисы, физическое присутствие которых в этом мире не ограничивается одним-единственным сервером.
Сливать свои платежные данные интернет-посреднику - уже стремно. То, что он еще и не прочь их сохранить - лично для меня переводит опасность из "желтой" в "красную".

Написано более трёх лет назад
mitaichik @mitaichik Автор вопроса

Adamos, Посредник к вашим данным доступа не имеет. Данные храняться у платежных систем visa/mastercard

Написано более трёх лет назад
Adamos @Adamos

mitaichik, но посредник может инициировать рекуррентный платеж, как я понимаю.
Без ввода данных = без моего участия. Развейте ;)

Написано более трёх лет назад
mitaichik @mitaichik Автор вопроса

Adamos, Да, может. Но это ваш выбор доверять-не доверять. Галочку ставить никто не просит.

Написано более трёх лет назад
Magnum72 @Magnum72

У вас будет хранится токен, по этому токену вы сможете списывать в любое время и в любом количестве с клиента деньги, но это только в рамках магазина. другой магазин токеном воспользоваться не сможет.

Написано более трёх лет назад
Adamos @Adamos

mitaichik, Ну, это-то очевидно. Просто я, выступая в роли скептического клиента, демонстрирую вам отношение к сервису. С этой точки зрения такая галочка его вряд ли улучшит, а билеты - это не коммуналка, которую люди платят постоянно и не прочь уменьшить рутину. Тут скорее пользоваться этой галочкой не будут просто из-за того, что доверять вам, собственно, не с чего. Наоборот - ее наличие насторожит и лишний раз поднимет вопрос доверия к сервису в целом.
Сами-то вы себе доверяете и смотрите на это иначе ;)

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 1

7 комментариев

mitaichik @mitaichik Автор вопроса

Так никто эти данные и не хранит. Точнее хранят - но это делают сами платежные системы (Visa / Mastercard) - так что дело тут точно не в этом.

Написано более трёх лет назад
Дмитрий Шицков @Zarom

mitaichik, вы с платежными системами напрямую работаете?
Мне, кажется, всё же через некого посредника?

Написано более трёх лет назад
mitaichik @mitaichik Автор вопроса

Дмитрий Шицков, нет, я работаю с банком (эквайером), и вся эта инфа храниться у банка. Но я так понял что она сама по себе даже у банка не храниться, потому-что рекурентные платежи - это фишка платежных систем типа visa или mastercard.

Написано более трёх лет назад
Дмитрий Шицков @Zarom

mitaichik, тогда вы ограничены толтко рисками. Необходимо оцееить насколько вероятно что уведут у покупателя учетку в вашей системе и от его имени произведут покупки?

Написано более трёх лет назад
Дмитрий Шицков @Zarom

Чуть не зпбыл. А если получат доступ ко всем учеткам вашей системы?)

Написано более трёх лет назад
mitaichik @mitaichik Автор вопроса

Дмитрий Шицков, это да, риск, но он понятен, и в полной мере зависит от нашей системы безопасности. Интересуют именно подводные камни процессинга. Вот у меня первая мысль : так как 3D Secure подтверждает только первый платеж, а остальные нет, то (возможно) ответсвенность за мошенничество перекладывается с эмитента на эквайера, и клиенту будет горахдо проще сделать charge-back, даже несмотря на то что он получил чек, использовал билет (это все доказуемо). Так ли это? Вот я про такие вещи, а не про дыри в безопасности.

Написано более трёх лет назад
Игорь @DMGarikk

mitaichik, рекуррентные платежи это фишка не МПС, а именно процессинга (как компании сотрудничающей с МПС)
==
знаю потому что работал в процессинге и у нас как раз внедряли рекуррентные платежи чтобы предоставлять эту услугу

Написано более трёх лет назад

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

Платёжные системы

Простой
Как оплатить Viber из России?
- 1 подписчик
- 24 апр.
- 57 просмотров
0

ответов
Платёжные системы

Простой
Какой платежный агрегатор выбрать для сайта по продажам цифровых товар?
- 1 подписчик
- 22 апр.
- 148 просмотров
1

ответ
Платёжные системы

Простой
Как правильно оформить оплату?
- 1 подписчик
- 18 апр.
- 38 просмотров
0

ответов
Платёжные системы

Сложный
Как добавить мерчанта Payeer без верефикации?
- 1 подписчик
- 11 апр.
- 54 просмотра
0

ответов
API

+2 ещё

Простой
Не существует ли рабочих card2card с предзаполненными данными получателя?
- 1 подписчик
- 07 апр.
- 75 просмотров
0

ответов
Платёжные системы

+1 ещё

Простой
Возможно ли принять перевод от физлица из России на карту AdvCash?
- 1 подписчик
- 21 мар.
- 57 просмотров
1

ответ
Платёжные системы

Простой
Как читать оплаты с физической кассы?
- 1 подписчик
- 12 мар.
- 50 просмотров
1

ответ
1С-Битрикс

+1 ещё

Средний
Почему Тинькофф-эквайринг не удаётся проверить токен?
- 1 подписчик
- 02 мар.
- 93 просмотра
0

ответов
Платёжные системы

Простой
Как сейчас принимать платежи в приложении со всего мира?
- 3 подписчика
- 02 мар.
- 565 просмотров
6

ответов
PHP

+2 ещё

Средний
Сбербанк говорит: сертификат прикреплён некорректно. Почему?
- 1 подписчик
- 22 февр.
- 170 просмотров
2

ответа
Показать ещё Загружается…

Продуктовый дизайнер в команду дизайн-системы

Точка

До 240 000 ₽

Senior Java Developer, Database Engine

CedrusData

от 350 000 ₽

Senior Backend Engineer в агрегатор нейросетей (150к DAU)

NN Media

от 300 000 до 500 000 ₽

Необходимо сверстать приложение согласно макету Figma используя React

26 апр. 2024, в 22:22

1500 руб./за проект

Написать модуль подключения матрицы Sony к ПЛИС (Verilog)

26 апр. 2024, в 21:30

15000 руб./за проект

8266 f12 требуется сделать ревью и оптимизировать работу

26 апр. 2024, в 20:42

2000 руб./за проект

Честно говоря, для меня на сайте системы для покупки билетов новость, что система может повторить мой платеж без ввода данных и подтверждения, будет достаточно неприятной, чтобы послать эту систему лесом и никогда больше с ней не связываться.
Adamos, Это же опционально. Думаю, вы не раз видели галочку "Сохранить карту для последующего использования
" или как-то так.
mitaichik, обычно такие опции позволяют себе сервисы, физическое присутствие которых в этом мире не ограничивается одним-единственным сервером.
Сливать свои платежные данные интернет-посреднику - уже стремно. То, что он еще и не прочь их сохранить - лично для меня переводит опасность из "желтой" в "красную".
Adamos, Посредник к вашим данным доступа не имеет. Данные храняться у платежных систем visa/mastercard
mitaichik, но посредник может инициировать рекуррентный платеж, как я понимаю.
Без ввода данных = без моего участия. Развейте ;)
Adamos, Да, может. Но это ваш выбор доверять-не доверять. Галочку ставить никто не просит.
У вас будет хранится токен, по этому токену вы сможете списывать в любое время и в любом количестве с клиента деньги, но это только в рамках магазина. другой магазин токеном воспользоваться не сможет.
mitaichik, Ну, это-то очевидно. Просто я, выступая в роли скептического клиента, демонстрирую вам отношение к сервису. С этой точки зрения такая галочка его вряд ли улучшит, а билеты - это не коммуналка, которую люди платят постоянно и не прочь уменьшить рутину. Тут скорее пользоваться этой галочкой не будут просто из-за того, что доверять вам, собственно, не с чего. Наоборот - ее наличие насторожит и лишний раз поднимет вопрос доверия к сервису в целом.
Сами-то вы себе доверяете и смотрите на это иначе ;)

Answer 1 · 2018-12-26 13:10:44

при повторной покупке не вводить данные карты

Мне кажется, потому что вы не имеет права хранить эти данные, в противном случае вы становитесь процессинговым центром (которому тоже нельзя хранить данные карт дольше минимально-необходимого срока, кстати говоря) и ваше ПО, серверное оборудование и сотрудники должны следовать стандарту PCI DSS. Так же, необходимо будет ежегодно проходить аудит и подтверждать своё соответствие стандарту PCI DSS. Игра не стоит свеч, разве что вам эту слугу не предложит кто-то. Например, MasterPass.

Чем опасны рекурентные платежи?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт