Как обеспечивается безопасность в интернет-эквайринге: обзор LIFE PAY
Как происходит онлайн-оплата?
Процесс интернет-эквайринга почти что аналогичен торговому эквайрингу.
Прочитать про процесс торгового эквайринга, СБП и кэшбек можно в этом материале в блоге LFE PAY
Напомним общую схему:
- Покупатель оплачивает покупку в интернете, вводя платежные данные в специальной платежной форме. Страница (авторизационная страница провайдера), в которой вводятся реквизиты максимально защищена. Провайдером в этом случае выступает сервис интернет-эквайринга (LIFE PAY, ЮMoney, Cloud Payments и т.д.).
- Далее данные направляются провайдером в банк-эмитент, который выпустил платежную карту клиента. Данные подтверждаются эмитентом и передаются в провайдер.
- После одобрения эмитентом провайдер связывается с процессинговым центром, который отправляет запрос о разрешении транзакции в платежную систему.
- При одобрении операции ответ направляется магазину и происходит покупка товара.
- Затем банк-эквайер клиента переводит деньги со счета клиента на расчетный счет магазина.
Какие же меры безопасности предпринимаются при интернет-эквайринге?
Учитывая тот факт, что обработка платежа происходит при участии нескольких агентов, логично предположить, что меры защиты предусмотрены по всем каналам передачи платежного запроса. Каждый интернет-магазин, банк, провайдерская и процессинговая организации должны подчиняться единому стандарту PCI DSS. Это главный регулятор безопасности инфраструктуры для совершения онлайн транзакции.
Протокол TLS ( бывший SSL)
Он отвечает за создание максимально безопасного и приватного канала между двумя узлами ( в нашем случае между сервером интернет магазина и банковским сервером) для обмена данными. При его работе злоумышленники не имеют возможности вмешаться и похитить данные. Раньше этот протокол был известен под именем SSL, однако TLS - его более разработанная версия. SSL сейчас никто не пользуется, он устарел. Надо отметить, что данная технология вовсю используется и в мобильных приложениях, и в мессенджерах.
Один из самых известных маркеров TLS является протокол https (вы наверняка замечали этот набор букв в адресной строке сайта). Он пришел на замену http и обозначает закрытость и зашифрованность интернет траффика. На самом деле почти весь трафик в интернете на данный момент происходит по https протоколу.
3D Secure (Three Domain Secure)
Разработанная VISA дополнительная многофакторная защита при транзакции. Внешне для плательщика проявляется дополнительном подтверждении личности плательщика через высланный СМС код платящему. На самом деле процесс 3D Secure более обширный: при нем взаимодействуют домены банка-эквайера (банк, подключивший оплату в интернет-магазин), банка-эмитента (банк, выпустивший карту покупателя) и домен их взаимодействия.
Обязанность эмитента - подтвердить подлинность личности покупателя через высланный по SMS код. Далее он предоставляет подлинные данные следующим участникам цепочки.
Обязанность домена эквайера заключается в обеспечении платежного процесса в целом. Банк-эквайер отвечает за соединение плательщика со своим эквайером, согласование проведения транзакции через VISA, Mastercard, МИР.
Домен совместимости эквайера и эмитента ответственен за сохранность данных об эмитенте (банковские данные, интернет данные плательщика и т.д.). В случае конфликтных ситуаций - их разрешение также “на плечах” данного домена.
Технология 3D Secure изобретена VISA, а MasterCard и МИР разработали, на базе этой технологии, свои собственные: MasterCard SecureCode (MCC) от MasterCard и МИР Accept для российской платежной системы.
Наличие на странице интернет-магазина знаков верификации Verified by Visa и Mastercard SecureCode повышает доверие клиентов к онлайн-ресурсу и помогает оформить покупку без страха.
Протокол SET
Предшественник 3D Secure, был разработан еще в 1996 году совместными усилиями Mastercard, VISA, Microsoft. Участники процесса обязаны были оформить сертификаты для подключения шифрования и безопасного обмена данными (торговой точки и карты клиента) в открытой сети. При этом номер карточки плательщика для магазина оставался недоступным, что снижало риски хищения информации. Однако данная система требовала предварительной установки ПО с обеих сторон, что снижало удобство пользования решением. Поэтому VISA объявила систему устаревшей и призвала переходить на 3D Secure.
Современная модификация протокола SET - MIA SET. Эта система помогает обмениваться платежными данными без предварительной установки сложных ПО. И эквайер, и эмитент в этом случае вольны сами устанавливать как они будут проверять подлинность поступающих данных.
Самые распространенные мошеннические операции в интернете
А) Кардинг - операции, при которых злоумышленники используют карты клиентов без аутентификации. Данные они похищают с открытых сайтов, на которых не установлены системы вроде 3D Secure.
Б) Фишинг - получение доступа к персональным данным (логины, пароли) клиентов путем создания ложных интернет ресурсов. Обычно такие ресурсы можно отличить по слишком громким предложениям, яркой и слишком завлекающей рекламе, крайне дешевым расценкам. Часто под ссылками на казалось бы достоверные ресурсы прячутся именно эти вредоносные ссылки. Современные версии браузеров научились предупреждать пользователей о возможной угрозе при переходах на левые сайты, однако этого все еще недостаточно для обеспечения полной защиты.
Интернет-эквайринг от LIFE PAY защищен всеми нужными протоколами и имеет сертификации для создания безопасной связи между доменами при оплате. Техническая поддержка компании всегда готова помочь пользователям и 24/7 остается на прямой линии с клиентами.
Более того, интернет-эквайринг от LIFE PAY позволяет отслеживать данные по каждой транзакции (пункт товара, сумма транзакции, статус транзакции, данные покупателя) и вовремя заподозрить вредоносные операции со стороны сотрудников, покупателей или левых людей (мошенников).
Подробнее о важных правилах формирования чеков в e-commerce можно прочитать в нашем специальном чек-листе