Как обеспечивается безопасность в интернет-эквайринге: обзор LIFE PAY

Как происходит онлайн-оплата

Процесс интернет-эквайринга практически аналогичен торговому эквайрингу.

Напомним общую схему:

1. Покупатель оплачивает покупку в интернете, вводя платежные данные в специальной платежной форме. Страница (авторизационная страница провайдера), в которой вводятся реквизиты, максимально защищена. Провайдером в этом случае выступает сервис интернет-эквайринга (LIFE PAY, ЮMoney, Cloud Payments и так далее).

2. Далее данные направляются провайдером в банк-эмитент, который выпустил платежную карту клиента. Данные подтверждаются эмитентом и передаются в провайдер.

3. После одобрения эмитентом провайдер связывается с процессинговым центром, который отправляет запрос о разрешении транзакции в платежную систему.

4. При одобрении операции ответ направляется магазину — и происходит покупка товара.

5. Затем банк-эквайер клиента переводит деньги со счета клиента на расчетный счет магазина.

Какие меры безопасности предпринимаются при интернет-эквайринге

Учитывая тот факт, что обработка платежа происходит при участии нескольких агентов, логично предположить, что меры защиты предусмотрены по всем каналам передачи платежного запроса. Каждый интернет-магазин, банк, провайдерская и процессинговая организации должны подчиняться единому стандарту PCI DSS. Это главный регулятор безопасности инфраструктуры для совершения онлайн-транзакции.

Протокол TLS (бывший SSL)

Он отвечает за создание максимально безопасного и приватного канала между двумя узлами (в нашем случае между сервером интернет-магазина и банковским сервером) для обмена данными. При его работе злоумышленники не имеют возможности вмешаться и похитить данные. Раньше этот протокол был известен под именем SSL, однако TLS — его более разработанная версия. SSL сейчас никто не пользуется, он устарел. Надо отметить, что данная технология вовсю используется и в мобильных приложениях, и в мессенджерах.

Один из самых известных маркеров TLS является протокол https (вы наверняка замечали этот набор букв в адресной строке сайта). Он пришел на замену http и обозначает закрытость и зашифрованность интернет траффика. На самом деле почти весь трафик в интернете на данный момент происходит по https-протоколу.

3D Secure (Three Domain Secure)

Разработанная VISA дополнительная многофакторная защита при транзакции. Внешне для плательщика проявляется при дополнительном подтверждении личности плательщика через высланный СМС-код платящему. На самом деле процесс 3D Secure более обширный: при нем взаимодействуют домены банка-эквайера (банк, подключивший оплату в интернет-магазин), банка-эмитента (банк, выпустивший карту покупателя) и домен их взаимодействия.

Обязанность эмитента — подтвердить подлинность личности покупателя через высланный по SMS-код. Далее он предоставляет подлинные данные следующим участникам цепочки.

Обязанность домена эквайера заключается в обеспечении платежного процесса в целом. Банк-эквайер отвечает за соединение плательщика со своим эквайером, согласование проведения транзакции через VISA, Mastercard, МИР.

Домен совместимости эквайера и эмитента ответственен за сохранность данных об эмитенте (банковские данные, интернет данные плательщика и так далее). В случае конфликтных ситуаций — их разрешение также «на плечах» данного домена.

Технология 3D Secure изобретена VISA, а Masterсard и МИР разработали на базе этой технологии свои собственные: Masterсard SecureCode (MCC) от Masterсard и МИР Accept для российской платежной системы.

Наличие на странице интернет-магазина знаков верификации Verified by Visa и Mastercard SecureCode повышает доверие клиентов к онлайн-ресурсу и помогает оформить покупку без страха.

Протокол SET

Предшественник 3D Secure был разработан еще в 1996 году совместными усилиями Mastercard, VISA, Microsoft. Участники процесса обязаны были оформить сертификаты для подключения шифрования и безопасного обмена данными (торговой точки и карты клиента) в открытой сети. При этом номер карточки плательщика для магазина оставался недоступным, что снижало риски хищения информации. Однако данная система требовала предварительной установки ПО с обеих сторон, что снижало удобство пользования решением. Поэтому VISA объявила систему устаревшей и призвала переходить на 3D Secure.

Современная модификация протокола SET — MIA SET. Эта система помогает обмениваться платежными данными без предварительной установки сложных ПО. И эквайер, и эмитент в этом случае вольны сами решать, как они будут проверять подлинность поступающих данных.

Самые распространенные мошеннические операции в интернете

Кардинг

Операции, при которых злоумышленники используют карты клиентов без аутентификации. Данные они похищают с открытых сайтов, на которых не установлены системы вроде 3D Secure.

Фишинг

Получение доступа к персональным данным (логины, пароли) клиентов путем создания ложных интернет-ресурсов. Обычно такие ресурсы можно отличить по слишком громким предложениям, яркой и слишком завлекающей рекламе, крайне дешевым расценкам. Часто под ссылками на казалось бы достоверные ресурсы прячутся именно эти вредоносные ссылки. Современные версии браузеров научились предупреждать пользователей о возможной угрозе при переходах на левые сайты, однако этого все еще недостаточно для обеспечения полной защиты.

Интернет-эквайринг от LIFE PAY защищен всеми нужными протоколами и имеет сертификации для создания безопасной связи между доменами при оплате. Техническая поддержка компании всегда готова помочь пользователям и 24/7 остается на прямой линии с клиентами.

Более того, личный кабинет эквайринга от LIFE PAY позволяет отслеживать данные по каждой транзакции (пункт товара, сумма транзакции, статус транзакции, данные покупателя) и вовремя заподозрить вредоносные операции со стороны сотрудников, покупателей или левых людей (мошенников).

Подробнее о важных правилах формирования чеков в e-commerce можно прочитать в нашем специальном чек-листе.