CC BY
66МЕТОДЫ ПРОВЕДЕНИЯ ПЛАТЕЖЕЙ НА МОБИЛЬНЫХ
ПЛАТФОРМАХ
METHODS OF CARRYING OUT PAYMENTS ON MOBILE
PLATFORMS
УДК-004
Захаров Владислав Анатольевич, студент Московского государственного технического университета им. Н.Э. Баумана, Россия, г. Москва Zakharov Vladislav Anatolyevich, vlad zahar@mail.ru
Аннотация
Целью данной статьи является анализ методов проведения мобильных платежей, а также анализ платежных сервисов и методов работы с ними. Для этого было исследовано несколько вариантов для проведения платежей на мобильных устройствах, таких как покупки внутри приложения и сторонние платежные сервисы. Кроме того, было произведено исследование типов платежных систем и методов их работы. В результате были выделены положительные и отрицательные стороны каждого их подходов.
Annotation
The purpose of this article is to analyze the methods of conducting mobile payments, as well as the analysis of payment services and methods of working with them. To do this, several options were explored for making payments on mobile devices, such as in-app purchases and third-party payment services. In addition, a study was conducted on the types of payment systems and methods of their operation. As a result, the positive and negative sides of each of their approaches were highlighted.
Ключевые слова: мобильные платежи; платежная система; платежный шлюз; PCI; ApplePay; AndroidPay; SDK; API.
Keywords: mobile payments; payment system; payment gateway; PCI; Apple Pay; Androidplay; SDK; API.
Новые технологии и урбанизация жизни формируют способы ведения бизнеса, а также поведение потребителей. Находить возможности в динамичной сфере бизнеса и использовать их, используя новые технологии являются одной из основных областей деятельности организаций. Мобильные устройства стали одним из самых выдающихся потребительских продуктов, когда-либо выпущенных. Эти устройства и предоставляемые ими услуги быстро стали основными в повседневной жизни во всем мире. Увеличивающийся популярность мобильных устройств во всем мире может объясняться их вездесущим доступом к широкому спектру услуг (связь,
доступ к информации, развлечения или коммерция). Другая тенденция, которая появилась с ростом мобильного рынка устройств — это онлайн-торговля.
Онлайн-торговля привела к росту популярности покупок в интернете прямо с мобильных устройств. Покупки внутри приложения
Под покупкой внутри приложения понимается способность смартфона или мобильного устройства облегчать продажу продуктов или услуг в рамках определенного приложения. Эта функциональность открыла много новых рынков для производителей различных мобильных приложений. Покупки в приложении могут принимать различные формы в разных приложениях, в зависимости от выбранной стратегии, направлений, или типа приложения.
Многие покупки внутри приложения происходят в играх, где пользователи могут приобретать виртуальные товары для игры через само приложение. Это обеспечивает новый показатель прибыльности для приложений, которые часто бесплатны или очень недороги.
Но такие покупки на мобильных устройствах, управляемы системами iOS и Android осуществляются исключительно через Apple AppStore или сервисы Google Play. Также, цифровые товары, продаваемые с помощью покупок внутри приложения, имеют ограничения, они должны быть одобрены командой каждого магазина, и, самое главное, они имеют ограниченное количество, и должны быть заранее известны. Более того, магазины Google и/или Apple берут себе 30-процентную долю с каждой покупки, сделанной в приложении. Все остальные (70%) средства от продаж начисляются владельцу приложения на его зарегистрированный счет. То есть, невозможно совершить платеж между двумя указанными лицами, только покупатель-владелец приложения.
Таким образом, проводить платежи без потери средств между двумя сторонами с использованием покупок внутри приложения не представляется возможным, по причинам:
— все средства идут на счет владельца приложения, и транзакции могут занимать до нескольких дней;
— магазины приложений берут 30 процентов с каждой выполненной операции;
— товары в приложении ограниченны по количеству и должны быть заранее известны перед публикацией приложения в выбранном магазине.
Ни один из магазинов приложений не позволяет отдельным приложениям продавать цифровые товары через сторонние сервисы. Но как только
приложение начинает продавать что-то «реальное» - физический товар - есть возможность свободно выбирать любую стороннюю платежную систему. Сторонние платежные сервисы
Существует большое количество платежных сервисов, или шлюзов, которые позволяют обрабатывать данные транзакций по кредитным картам через их API. На первый взгляд это кажется простым решением. Но интеграция API-интерфейсов шлюза возлагает ответственность за безопасность данных кредитных карт, поскольку теперь эти данные проходят через разрабатываемое мобильное приложение.
Кроме того, не все платежные шлюзы поддерживают аутентифицированный процесс токенизации, который требуется при приеме платежей из мобильного приложения. В случае, когда в приложении реализована интеграция мобильных платежей, вызов API должен возвращать токен. Этот токен представляет отправленную карту и может использоваться для выполнения реальных транзакций. Однако, если функциональность токенизации не предоставляется API шлюза, необходимо будет обрабатывать процесс самостоятельно.
Безопасное использование сторонних платежных сервисов
Есть еще один способ, благодаря которому возможно без особых усилий соблюдать требования индустрии платежных карт (PCI). Примерами платежных шлюзов такого типа могут служить Stripe и PayPal's Braintree. Каждый из них является мобильным платежным шлюзом. Они предлагают надежные собственные мобильные библиотеки. Можно использовать платежный шлюз в Android и iOS, а также облегчить соответствие PCI зашифрованными данными кредитных карт в виде токена.
Таким образом, есть возможность легко интегрировать возможности мобильных платежей, избегая при этом большинства проблем с соответствием PCI, поскольку сторонние библиотеки работают с конфиденциальными данными кредитных карт.
Анализ платежных сервисов и методов работы с ними
В мире существует огромное количество платежных систем, предлагающих свои услуги на рынке. У каждой системы есть свои преимущества и недостатки, но сначала необходимо рассмотреть, для чего нужны платежные системы.
Платежная система — это система, которая не требует каких-либо физических карт. Она используется клиентами, у которых есть аккаунты с включенным интернет-банкингом. Вместо того, чтобы вводить реквизиты карты на сайте покупателя, в этой системе платежный шлюз позволяет указать,
из какого банка он хочет произвести оплату, или же, каким иным способом. Затем пользователь будет перенаправлен на веб-сайт банка, где необходимо будет подтвердить свою личность, а затем подтвердить платеж. Как правило, для большей безопасности используется метод двухфакторной аутентификации. Это считается более безопасным, чем использование кредитных карт, поскольку хакерам гораздо сложнее получить учетные данные для входа в систему по сравнению с номерами кредитных карт. Основные преимущества платежных систем
Банковские реквизиты - крайне чувствительные для пользователя данные, и их необходимо защищать всеми возможными способами. Например, при передачи таких данных через незащищенное соединение, из легко украсть, воспользовавшись простым способом атаки "man in the middle". Именно для этого был разработан мировой стандарт PCI. PCI DSS (Payment Card Industry Data Security Standard) — стандарт безопасности данных индустрии платежных карт. Стандарт разработан международными платежными системами Visa и MasterCard. Любая организация, планирующая принимать и обрабатывать данные банковских карт на своем сайте, должна соответствовать требованиям PCI DSS.
Существует 4 уровня сертификатов PCI DSS, которые в первую очередь отличаются максимально возможным количеством обрабатываемых транзакций.
Сертификация PCI DSS позволяет работать с банками напрямую через платежные интерфейсы банка и самого интернет-предприятия. Это позволяет исключить переход покупателя на сайт сторонней организации. Кроме того, построение собственной платежной системы позволяет работать напрямую сразу с несколькими банками, «балансируя» между ними, и построить систему «каскадного» проведения платежей. При «каскадном» проведении платежа, его авторизация осуществляется последовательно в нескольких банках и процессинговых центрах, что позволяет значительно снизить процент отклоненных транзакций.
Но самостоятельная работа с банками дает компании не только преимущество в адаптации платежной системы. Она обязывает компанию взять на себя борьбу с мошенническими операциями при обработке данных банковских карт на своем сайте. Иными словами, компании необходимо построить собственную систему мониторинга и борьбы с мошенническими операциями (анти-фрод). Задача анти-фрод системы - фильтрация операций, определяемых как мошеннические, по ряду признаков (например,
несовпадение банка-эмитента со страной оплаты или проживания плательщика).
Таким образом, если компания собирается пройти сертификацию на соответствие PCI DSS и самостоятельно обрабатывать данные банковских карт на сайте, к ней применяются все требования стандарта PCI DSS. Они охватывают безопасность на уровне сетей, оборудования, приложений, баз данных, физических хранилищ, документирования и управления процессами. И, как уже говорилось выше, построение анти-фрод системы и биллинговой системы, задача непростая и длительная в реализации, также выполняется компанией самостоятельно.
К компаниям, работающим только с платёжным шлюзом и не принимающих на своем данных банковских карт клиентов, относятся только требования департамента рисков платежного шлюза (ПЦ).
Таким образом, использование сторонних платежных систем (шлюзов) позволяет снизить риски, затраты и время на реализацию платежей. Основное правило, при использовании сторонних сервисов - не контактировать с банковскими данными пользователя, тем самым не нарушая PCI, т.к. этим должна заниматься платежная система, имеющая соответствующую сертификацию.
Кроме того, платежные системы имеют и другие немаловажные преимущества:
— привлечение большего количества клиентов со всего мира, что приводит к увеличению продаж;
— более эффективные транзакции — это происходит потому, что транзакции совершаются за считанные секунды, не тратя время клиента;
— удобство. Клиенты могут оплачивать товары на сайте в любое время и в любом месте. Им нужно лишь подключенное к интернету устройство;
— снижение транзакционных издержек и снижение технологических затрат;
— контроль расходов для клиентов, так как они всегда могут проверить историю транзакций;
— удобство интерфейсов взаимодействия, и их разнообразие;
— платежные шлюзы (системы) предлагают высокоэффективные инструменты безопасности и защиты от мошенничества для обеспечения надежности транзакций.
Принципы работы платежных систем
Общий принцип работы платежной системы - пользователь регистрируется в платежной системе как продавец, заключает с компанией
договор о предоставлении ему услуг, и получает специальный секретный ключ и идентификатор. Затем, пользователь указывает и подтверждает свои реквизиты для зачисления средств, полученных от продаж, и внедряет на свой сайт, или в мобильное приложение, методы для работы с API системы. Для работы на мобильных клиентах обычно используется SDK. Хорошие и продвинутые платежные системы предоставляют своим клиентам SDK (Source development kit), который упрощает нативную разработку, позволяя интерфейсу платежной системы быть «внедренной» в интерфейс приложения. Некоторые платежные системы, которые менее популярны среди пользователей, предоставляют только веб-интерфейс для проведения платежей, что значительно усложняет процесс проведения платежа, и смотрится не интуитивно и не понятно для пользователя.
Затем, пользователь формирует запрос к серверу платежной системы, который содержит в себе зашифрованные банковские данные клиента, причем обычно формированием зашифрованных данных занимается нативная часть платежной системы, так как клиент не имеет права проводить операции с пользовательскими данными.
На запрос клиент получает токен, который впоследствии используется как уникальный идентификатор пользовательских данных, которые могут быть сохранены.
После получения токена, пользователь может отправить запрос на платеж, который будет обработан системой. В результате денежные средства будут переведены, и пользователь получит об этом уведомление.
Основное назначение таких систем - принимать платежи от пользователей (покупателей), и переводить средства на банковский счёт клиента платежной системы (продавца). Но некоторые системы позволяют клиенту использовать и другой, более расширенный функционал. Так, например, в некоторых системах доступен возврат платежа, оформление подписок, выплата средств клиентам на банковские карты, счета, номера телефонов, работа с нативными средствами оплаты, такие как ApplePay или AndroidPay.
Таким образом, можно вынести несколько ключевых аспектов:
— для работы с платежной системой необходима юридическая регистрация физлица, подписание договора с компанией;
— основное направление деятельности у таких систем - прием платежей от пользователей;
— лишь немногие позволяют использовать расширенный спектр функций работы с денежными средствами.
Нативные платежные системы на мобильных устройствах
Существует немного нативных систем работы с платежами на мобильных устройствах, их всего три:
— ApplePay;
— AndroidPay;
— SamsungPay.
Работа с ними ничем не отличается от работы с обычными платежными сервисами, за исключением того, что SDK уже изначально "зашито" в систему. Это дает незначительный плюс - при сборке приложения, его вес будет меньше. Но при этом есть и минусы - данную систему можно использовать только на мобильных устройствах, в то время как другие платежные сервисы в большинстве своем универсальны, и предоставляют API, как для мобильных клиентов, так и для веб-сайтов.
Apple Pay - очень популярный инструмент, потому что это очень безопасный способ оплаты. Всякий раз, когда используется Apple Pay, поставщик кредитной карты, например платежная система Visa, создает на своих серверах случайный 16-значный токен для карты, шифрует токен и передает его по защищенным каналам на устройство пользователя. Соглашаясь на оплату через данную систему, он идет продавцу кредитной карты для проверки и оплаты. Даже если хакер завладеет токеном, он зашифрован, поэтому восстановление номера кредитной карты -ресурсоемкая задача.
Таким образом, преимущество встроенных, нативных систем платежей только в их большей безопасности, но при этом не стоит забывать про их меньшую универсальность. Недостатки платежных систем
Недостатков у платежных систем не так много, но, тем не менее, они существуют:
— мошенничество, так как существует риск взлома конфиденциальных данных, что может привести к их краже;
— отсутствие анонимности. Для большинства это совсем не проблема, но необходимо помнить, что личные данные, такие как информация о банковских картах, адреса, имена, хранятся в базе данных платежной системы;
— необходимость доступа в Интернет;
— пользователь-продавец - центральное звено. Платежные системы в большинстве своем не позволяют проводить транзакции от пользователя к пользователю, для совершения такой операции, необходимо сначала получить
деньги от одного пользователя, а только затем, второй транзакцией, отправить
их другому пользователю.
Заключение
После анализа методов проведения мобильных платежей более опдробно был исследован метод с использованием сторонних платежных сервисов, так как использование покупок внутри приложения невыгодно с экономической точки зрения, так как 30% от платежа забирает магазин, и с точки зрения реализации, так как количество товаров ограничено, а товары для покупки могут быть не ограничены.
При исследовании платежных систем и методов работы с ними было выяснено, что такие системы по общему описанию подходят для мобильных платформ, так как многие из них поддерживают токенизацию, то есть сохранение слепка данных пользователя, которые можно использовать несколько раз, и переводы средств с помощью API, а также помогают избежать проблем с сертификацией PCI.
Литература:
1. Консультант ру [Электронный ресурс]// URL: http://www.consultant.ru/document/cons_doc_LAW_42359/ (дата обращения 20.04.2020)
2. Mobili payments [Электронный ресурс]// URL: https: //yalantis. com/blog/payment-systems-integration-app-stripe-braintree-square/ (дата обращения 21.04.2020)
3. Getting Started with Apple Pay [Электронный ресурс]// URL: https://developer.apple.com/apple-pay/get-started/ (дата обращения 22.04.2020)
4. Директива по платежным услугам: Директива 2007/64/EC Европейского парламента и Совета от 13 ноября 2007 года по платежным услугам на внутреннем рынке
5. Международный союз электросвязи. «World Telecommunication/ICT Indicators Database 2010 (15th Edition)»: http: //www.itu. int/ITU-D/ict/publications/world/world.html
6. Европейский институт по стандартам в области телекоммуникаций TS 102 221, TS 102 223, TS 102 22 и TS 102 226.
Literature:
1. ru Consultant [Electronic resource] / / URL:
http://www.consultant.ru/document/cons_doc_LAW_42359/ (accessed 20.04.2020)
2. Mobile payments [Electronic resource] / / URL: https://yalantis.com/blog/payment-systems-integration-app-stripe-braintree-square/ (accessed 21.04.2020)
3. Getting Started with Apple Pay [Electronic resource] / / URL: https://developer.apple.com/apple-pay/get-started/ (accessed 22.04.2020)
4. payment services Directive: Directive 2007/64/EC of the European Parliament and of the Council of 13 November 2007 on payment services in the domestic market
5. The international telecommunication Union. «World Telecommunication/ICT Indicators Database 2010 (15th Edition)»: http://www.itu.int/ITU-D/ict/publications/world/world.html
6. European telecommunications standards Institute TS 102 221, TS 102 223, TS 102 22 and TS 102 226.
