Чем опасны рекурентные платежи?

Question

[mitaichik]

Привет! Делаем сервис покупки билетов на мероприятия. Все по закону, выдаем чеки, отсылаем билет на email. Хотим прикрутить рекурентные платежи (что при повторной покупке не вводить данные карты и не проходить 3D secure).

Одно смущает - никто из конкурентов подобного не использует. Все пытаются как-то извратиться, типа MasterPass и т.п., но именно рекурентные платежи не юзают.

В чем подвох? Неужели их так опасно использовать?

Comments

[Adamos]

Честно говоря, для меня на сайте системы для покупки билетов новость, что система может повторить мой платеж без ввода данных и подтверждения, будет достаточно неприятной, чтобы послать эту систему лесом и никогда больше с ней не связываться.

[mitaichik]

Adamos, Это же опционально. Думаю, вы не раз видели галочку "Сохранить карту для последующего использования
" или как-то так.

[Adamos]

mitaichik, обычно такие опции позволяют себе сервисы, физическое присутствие которых в этом мире не ограничивается одним-единственным сервером.
Сливать свои платежные данные интернет-посреднику - уже стремно. То, что он еще и не прочь их сохранить - лично для меня переводит опасность из "желтой" в "красную".

[mitaichik]

Adamos, Посредник к вашим данным доступа не имеет. Данные храняться у платежных систем visa/mastercard

[Adamos]

mitaichik, но посредник может инициировать рекуррентный платеж, как я понимаю.
Без ввода данных = без моего участия. Развейте ;)

[mitaichik]

Adamos, Да, может. Но это ваш выбор доверять-не доверять. Галочку ставить никто не просит.

[Magnum72]

У вас будет хранится токен, по этому токену вы сможете списывать в любое время и в любом количестве с клиента деньги, но это только в рамках магазина. другой магазин токеном воспользоваться не сможет.

[Adamos]

mitaichik, Ну, это-то очевидно. Просто я, выступая в роли скептического клиента, демонстрирую вам отношение к сервису. С этой точки зрения такая галочка его вряд ли улучшит, а билеты - это не коммуналка, которую люди платят постоянно и не прочь уменьшить рутину. Тут скорее пользоваться этой галочкой не будут просто из-за того, что доверять вам, собственно, не с чего. Наоборот - ее наличие насторожит и лишний раз поднимет вопрос доверия к сервису в целом.
Сами-то вы себе доверяете и смотрите на это иначе ;)

Answer 1

[Дмитрий Шицков]

при повторной покупке не вводить данные карты

Мне кажется, потому что вы не имеет права хранить эти данные, в противном случае вы становитесь процессинговым центром (которому тоже нельзя хранить данные карт дольше минимально-необходимого срока, кстати говоря) и ваше ПО, серверное оборудование и сотрудники должны следовать стандарту PCI DSS. Так же, необходимо будет ежегодно проходить аудит и подтверждать своё соответствие стандарту PCI DSS. Игра не стоит свеч, разве что вам эту слугу не предложит кто-то. Например, MasterPass.

Comments

[mitaichik]

Так никто эти данные и не хранит. Точнее хранят - но это делают сами платежные системы (Visa / Mastercard) - так что дело тут точно не в этом.

[Дмитрий Шицков]

mitaichik, вы с платежными системами напрямую работаете?
Мне, кажется, всё же через некого посредника?

[mitaichik]

Дмитрий Шицков, нет, я работаю с банком (эквайером), и вся эта инфа храниться у банка. Но я так понял что она сама по себе даже у банка не храниться, потому-что рекурентные платежи - это фишка платежных систем типа visa или mastercard.

[Дмитрий Шицков]

mitaichik, тогда вы ограничены толтко рисками. Необходимо оцееить насколько вероятно что уведут у покупателя учетку в вашей системе и от его имени произведут покупки?

[Дмитрий Шицков]

Чуть не зпбыл. А если получат доступ ко всем учеткам вашей системы?)

[mitaichik]

Дмитрий Шицков, это да, риск, но он понятен, и в полной мере зависит от нашей системы безопасности. Интересуют именно подводные камни процессинга. Вот у меня первая мысль : так как 3D Secure подтверждает только первый платеж, а остальные нет, то (возможно) ответсвенность за мошенничество перекладывается с эмитента на эквайера, и клиенту будет горахдо проще сделать charge-back, даже несмотря на то что он получил чек, использовал билет (это все доказуемо). Так ли это? Вот я про такие вещи, а не про дыри в безопасности.

[Игорь]

mitaichik, рекуррентные платежи это фишка не МПС, а именно процессинга (как компании сотрудничающей с МПС)
==
знаю потому что работал в процессинге и у нас как раз внедряли рекуррентные платежи чтобы предоставлять эту услугу