Preferințele utilizatorilor variază în funcție de țara și de dispozitivul de la care accesează site-ul. Foarte aproape de ideal au fost cărțile bancare, popularitatea cărora crește de la an la an, inclusiv în Rusia. Aceasta nu este doar una dintre metodele cele mai comune de plată, ci și cele mai profitabile dintre toate disponibile pe site-ul Badoo, și există mai mult de 20 dintre acestea.
Totul a început cu faptul că acum patru ani am plasat un formular pe site-ul nostru pentru a introduce detaliile cărților de credit și a început să accepte plățile. În câteva luni a devenit clar că utilizatorii sunt fericiți să plătească pentru serviciile noastre nu numai prin SMS, ci și prin carduri, suma plăților pentru care a înregistrat o creștere promițătoare. Am început să dezvoltăm în mod activ această direcție. De atunci, am revizuit o duzină de gateway-uri de plată care oferă servicii de achiziție (adică acceptarea plăților prin carduri bancare) și acum lucrăm simultan cu trei dintre ei. Am făcut asistență pentru plăți cu 3D Secure, am configurat un sistem care captează tranzacții frauduloase și multe altele.
De ce este greu să accepți plata prin carduri de plastic?
Se pare că este complicat? O formă simplă în care utilizatorul introduce datele cardului și apasă butonul de plată. Solicităm cererea, trimiteți-o băncii - și asta e, în curând banii vor fi în contul nostru. Într-o lume ideală, o face, dar într-o lume reală, este puțin diferită.
Dacă doriți să acceptați plăți prin carduri bancare, mai întâi trebuie să vă asigurați securitatea datelor utilizatorului. Pentru aceasta, sistemele mari de plăți, cum ar fi Visa, Master Card, American Express, Diners și alții, au dezvoltat un standard de securitate a industriei cărților de plată - PCI DSS. Aceasta este o listă largă de cerințe pe care o companie trebuie să le îndeplinească, precum și procesul de dezvoltare a aplicațiilor și configurația echipamentului utilizat.
A doua problemă este protecția împotriva operațiunilor frauduloase, cu alte cuvinte, "fraudă" (de la frauda engleză). La urma urmei, site-ul poate fi folosit nu numai de către utilizatorii respectabili, ci și de către escrocii care folosesc date de carduri de credit furate atunci când fac cumpărături. După o astfel de achiziție, deținătorul cardului va primi un extras cu tranzacții incomprehensibile, mergeți la bancă și solicitați o rambursare. După ceva timp, vor returna banii, iar compania primește un "minus în karma" și o pedeapsă din sistemul de plăți.
Și ultimul pe listă, dar nu în importanță - este cota de tranzacții de succes. Chiar dacă pe card există destui bani și toate sistemele care participă la procesul de plată funcționează ca un ceas, cartela care emite cardul poate respinge pur și simplu tranzacția dacă nu-i place ceva sau pare suspicios.
De ce să luați certificarea PCI DSS?
Scopul principal al certificării este să vă asigurați că datele cardului sunt stocate în siguranță, că atacatorul nu va putea să intre în sistemul dvs. și dacă este infiltrat, nu poate obține cu ușurință informații private. Este responsabilitatea tuturor companiilor care procesează datele cărților de credit, chiar dacă aceste date nu sunt salvate în timpul procesării.
La început, certificarea a fost percepută de noi ca o formalitate, pentru că nu am păstrat detaliile cărților de credit. Aplicația noastră sa referit doar la desenarea unei forme frumoase potrivite pentru proiectarea site-ului. Dar, treptat, sa dezvoltat, cu logică de afaceri și controale "antiphrod". Am început să stocăm datele personale ale utilizatorilor și informații autorizate despre cardurile lor de credit. Ca rezultat, noi am devenit interesați să ne asigurăm că sistemul nostru era cât se poate de sigur. Acum PCI DSS nu este percepută ca o formalitate, ci ca o oportunitate, deși oarecum birocratică, să te testezi pentru putere.
Confirmarea conformității cu standardul este necesară anual. Cerințele depind de nivelul atribuit companiei. Există doar patru dintre ele și sunt emise în funcție de numărul de tranzacții procesate pe an. Recent, Badoo a primit primul nivel, care este cel mai înalt și mai sigur. El are cele mai stricte cerințe pentru certificare, pentru a confirma că trebuie să faceți un audit extern. Pentru nivelurile inferioare, este suficient să completați o foaie de autoevaluare sau să efectuați un audit intern. O listă completă a cerințelor poate fi găsită în standardul în sine. Vă vom spune că poate simplifica procesul de promovare a certificării pentru oricare dintre niveluri.
Mai întâi, nu uitați că numărul cărții (PAN) și codul de securitate de pe spatele cardului (CVC) nu pot fi stocate oriunde. În acest lucru nu este nimic de îngrijorat, în ceea ce privește funcționarea normală a aplicației acest lucru nu este necesar. Când primiți o solicitare de la un utilizator, datele sunt imediat transmise agregatorului și pot fi stocate numai în memoria RAM, ceea ce este permis de standard. Puteți stoca în magazinul permanent doar primele șase și ultimele patru cifre ale numărului cardului, numele titularului cardului și data de expirare. La niveluri înalte, standardul încă vă permite să stocați numărul cardului, dar trebuie să fie criptat cu un algoritm persistent sau cu o funcție hash ireversibilă.
Următorul lucru important este reducerea zonei supuse certificării. Dacă prelucrarea plăților nu este o afacere directă a companiei, atunci nu există nici un sens în ceea ce privește extinderea regulilor stricte de securitate PCI DSS la întreaga infrastructură. Este suficient să alocați servere individuale și un depozit cu cod, care va fi accesibil unui număr limitat de persoane, aplicației care procesează hărțile. În plus față de o reducere formală a volumului de muncă, aceasta va oferi o securitate suplimentară întregului sistem în ansamblu. Componentele sale vor fi conectate în mod liber, prin urmare, hacking aplicația principală, un atacator nu va putea accesa datele cărții de credit.
Singura modalitate de a evita certificarea nu este de a procesa datele cardului de plastic. De exemplu, cea mai ușoară și cea mai obișnuită metodă este să trimiteți un utilizator la pagina gateway-ului de plată. După plată, el va reveni pe site și veți primi o notificare privind starea plății. Pentru cei care încă mai doresc să aibă o formă de plată proprie, care să se potrivească organic în proiectarea site-ului, există o variantă mai complicată. Datele cardului pot fi criptate în browser utilizând o cheie publică și trimise direct la gateway-ul de plată, care o decriptează cu o cheie privată și procesează plata.
Ce este o fraudă periculoasă și cum să o reduci?
Frod este un tip de fraudă cu date privind cardurile care vizează utilizarea ilegală a banilor din contul său. Pericolul nu este numai pentru utilizator, ci pentru dvs. ca vânzător. Utilizatorul poate solicita băncii să-și returneze fondurile și nu numai că nu veți obține bani pentru produsul sau serviciul dvs. ci plătiți și o penalizare pentru fiecare astfel de solicitare, chiar dacă atunci va fi contestată cu succes. În plus, cardul Visa, Master Card și alte sisteme de plată pot impune sancțiuni suplimentare pentru un nivel ridicat al restituirilor. În cazul în care pedeapsa pentru o întoarcere normală, de regulă, nu depășește 10 dolari SUA, atunci amenda pentru o sumă mare poate ajunge cu ușurință la sute de mii de dolari SUA.
Aici este important să înțelegeți că există două tipuri de returnări: "refand" (din rambursarea în engleză) și "chargeback" (din taxa de încărcare engleză). Diferența constă în faptul că faceți singur restituirea atunci când contactați utilizatorul, iar cardul de taxare vă face să efectuați un sistem de plată. Prin urmare, amenzile și tot felul de sancțiuni sunt impuse numai cu bancnote de taxă.
Există multe modalități de a lupta împotriva frodului. Cea mai simplă și mai eficientă este 3D Secure. De fapt, acesta este doar un pas suplimentar în plata pentru care utilizatorul trebuie să confirme că plata se face de către deținătorul cardului (a se vedea imaginea de mai jos).
În plus față de creșterea securității, efectuarea unei tranzacții cu 3D Secure transferă responsabilitatea pentru fraudă de-a lungul acesteia către umerii băncii care a emis cardul. Acest lucru se datorează faptului că pasul de confirmare este complet sub controlul său, iar tranzacția nu trebuie să treacă dacă banca are suspiciuni. Dar, în ciuda tuturor avantajelor, această metodă de verificare are un defect fatal. Ca orice alt pas, acesta are un efect foarte negativ asupra cotei plăților de succes. Pentru a ne asigura acest lucru, am efectuat o serie de experimente în diferite țări, ale căror rezultate sunt prezentate în graficul de mai jos.
Cele trei săgeți din grafic arată momentul în care am oprit utilizarea forțată a 3D Secure în țară. De exemplu, în Rusia, 3D Secure a fost inclus inițial. După deconectarea sa, cota plăților restante a crescut cu 20%. În Italia, dimpotrivă, l-am inclus și am văzut o scădere a cotei tranzacțiilor de succes cu 10-15%. Și numai în Marea Britanie comportamentul utilizatorilor nu sa schimbat.
De asemenea, am efectuat experimente similare în SUA, unde, după includerea 3D Secure, utilizatorii practic au încetat să mai plătească și în țările din Africa de Sud, care în mod tradițional sunt considerate o fortăreață a fraudei, dar în care dezactivarea 3D Secure a avut un efect pozitiv.
Privind rezultatele, am decis să nu forțăm 3D Secure pentru toate tranzacțiile. Dar, pentru a menține tarifele la nivel scăzut, a fost necesar să se dezvolte un sistem care să detecteze tranzacțiile frauduloase și să le blocheze. În primul rând, am decis să compunem portrete ale utilizatorilor, care sunt adesea sursele de fraudă pe site-ul nostru.
Dacă scammerul a reușit să treacă prin toată apărarea noastră și am primit informații despre charjbek, atunci putem încerca să-l provocăm. În acest caz, plătim încă o amendă, dar dacă vom câștiga disputa, cel puțin nu vom pierde suma plății în sine.
Agregatorii deosebit de avansați pot furniza informații "insidente" despre băncile bancare primite de la bancă, care încă nu au reușit să ajungă la sistemul de plăți. Astfel de mesaje folosim pentru protecția proactivă împotriva fraudei. Ele sunt înregistrate în sistemul nostru și încercăm să facem o analiză a acestor tranzacții. În acest caz, vom rambursa încă banii către utilizator, dar din moment ce o facem în mod voluntar, nu ne sunt impuse sancțiuni și amenzi suplimentare. Efectul total al acestor măsuri nu este foarte mare - puteți salva doar câteva procente din venit. Dar pentru Badoo sunt sute de mii de dolari pe an, care plătesc pentru toate costurile.
De ce nu se realizează toate plățile?
Pe drumul de la cumpărător la banca care a emis cardul, cererea de retrageri trece prin multe sisteme. În plus față de vânzător, în procesul implicat:- un gateway de plată sau un agregator care poate oferi alte forme de plată;
- o bancă care este conectată la diverse sisteme de plată și oferă servicii de procesare a plăților numai pe carduri de plastic;
- sistemele de plată (Visa, Master Card etc.);
- banca emitentă - banca care emite o carte, pe care utilizatorul încearcă să o plătească pentru serviciu.
- Fiecare etapă a transpunerii conține momente proprii, care îi pot afecta succesul.
În acest stadiu, codul este sub controlul nostru și, dacă există probleme, putem să le rezolvăm. Aici cele mai neplăcute tipuri de erori sunt erorile logice ale validării datelor introduse. Când verificați numele titularului de card este evident că acesta poate fi un lung sau foarte scurt, cu numere, cratime, și tot ce păreau adecvate pentru părinți, este necesar să fie atent și să știe când verificarea numărului de card, cum poate și ar trebui să fie. De exemplu, lungimea sa poate fi de la 13 la 19 (în funcție de tipul de card), și nu doar 16 cifre, după cum mulți cred. Este, de asemenea, de dorit să verificați nu numai lungimea, ci întregul număr, utilizând algoritmul Luhn. Atunci când verificarea o dată de expirare trebuie să fie amintit că este valabil până în ultima zi a lunii, dar nu înainte de a începe.
Site web - Gateway de plată - Achiziție bancă - IPS - Bancă emitentă
Succesul tranzacției în această etapă poate depinde de frecvența plăților și de valoarea acestora, țara din care provin; tipul de card și multe altele. Din păcate, influența pe care nu putem, prin urmare, în aceste etape este rata foarte mare eșec datorită sistemelor de unul dintre participanții la procesul de fals pozitive antifrodovyh. Dar am reușit să găsim doi parametri pe care îi putem controla și care influențează puternic cota plăților de succes. Aceasta este utilizarea unui centru local de procesare și a MCC-ului corect.
Luând codul care ne convine, încă nu eram mulțumiți de performanța unor țări. De exemplu, în Franța, procentul de plăți de succes nu a dorit să crească peste 50-60%. Motivul a fost că sistemul național de plăți Carte Bleue este foarte popular acolo. Pentru a primi cardurile, centrul de procesare utilizat (banca achizitoare) trebuie să fie conectat la acesta. De obicei, băncile potrivite sunt situate în aceeași țară în care doriți să îmbunătățiți performanța. Aceasta oferă un bonus suplimentar sub forma reducerii suspiciunii de tranzacționare a sistemelor antifugă ale băncilor emitente din această țară și implică o creștere a cotei plăților cu succes.
După ce am început să folosim procesarea locală conectată la Carte Bleue, am câștigat o creștere cu 30% a cotei plăților efectuate cu succes în Franța. În Statele Unite, unde nu există sisteme de plăți locale, această metodă a dat o creștere ușor mai mică - aproximativ 20%.
În afara articolului a fost o poveste despre platforma pe care am dezvoltat-o, ceea ce a permis ca toate experimentele de mai sus să fie făcute cu ușurință și fără programare suplimentară.