реклама
разместить

Безопасно ли сохранять карты оплаты в онлайн магазинах?

Доброго времени суток. Собственно вопрос в заголовке.

Не сильно активно пользуюсь услугами онлайн магазинов. В последнее время стал замечать, что при покупке чего-либо на «Озоне» или «Валдберриес», у меня не требуют код из смс сообщения от банка. Я просто нажимаю «купить» и всё, денежки улетают.

У меня сразу же возникают вопросы насчет безопасности. Безопасно ли это?

1515
реклама
разместить
51 комментарий

Расскажу про платёжный шлюз Сбера, т.к. интегрировал его в несколько интернет-магазинов и сервисы типа "личный кабинет". Предполагаю что во всех остальных местах это работает плюс-минус так же.

Сначала немного общей инфы для понимания.

1. Для того, что бы пользоваться платёжным шлюзом вы должны пройти регистрацию. Для этого связываетесь с менеджером, передаёте кучу документов, подписываете договор. Банк проверяет ваш интернет магазин, он должен соответствовать ряду требований: на нём должна быть полная информацию о вашем юр. лице (как минимум наименование, ИНН, адрес), должна быть информация об оплате, доставке (если вы что-то доставляете), возврате. Если всё ок вы получаете учётные данные для доступа к шлюзу, сначала к тестовому. По завершении процесса интеграции и прохождения модерации получаете доступ к боевому шлюзу. За вашими учётными данными так же закрепляется информации о том, куда банк должен переводит деньги, который вы через этот платёжный шлюз гоните. Сюда же идёт и все ваши права и разрешения: валюты, которыми можно платить, можете ли вы возвращать и отменять платежи, доступен ли вам механизм связок (см. ниже) и т.п.

2. Данные карты вводятся на стороне банка, банк прямо запрещает делать это на стороне сервиса. Все данные карты так же отправляются напрямую в платёжный шлюз банка. Сама страница с формой ввода данных карты так же хостится на стороне банка. Почти все банки предоставляют возможность кастомизировать эту страницу. Кастомные страницы всегда проходят модерацию, там довольно строгий полный перечень того, что на ней можно делать, а чего нельзя. Многие интернет магазины хитро кастомизируют эту страницу так, что бы она красиво вписывалась в iFrame, тогда создаётся иллюзия, что вы вводите данные на странице магазина, но на самом деле вводите их в iFrame, конттент для которого грузится с платёжного шлюза банка.

3. Взаимодействие с платежным шлюзом в общем случае выглядит так. Ваш сервис отправляет в банк запрос на создание заказа, туда передаётся как минимум сумма и валюта (т.е. это делается не на стороне пользователя, через браузер, а через API платёжного шлюза). В ответ банк присылает уникальную ссылку на страницу ввода данных карты, на которую вы, тем или иным образом, перенаправляете пользователя. По этой ссылке будет форма ввода данных карты. Пользователь вводит данные, проходит весь этап подтверждения оплаты, после завершения платежа редиректися обратно к вам (ссылку для редиректа вы можете передать в момент создания заказа, вместе с суммой). Это простой базовый сценарий. Разумеется в шлюзе куча методов: проверка статуса заказа, отмена, возврат и т.п. Есть колбеки. Можно использовать эти методы, для реализации самых разных сценариев.

Что касается сохранения данных карты. Это работает следующим образом. В терминах платёжного шлюза сбера это называется "связка". Создаётся она следующим образом: вы создаёте заказ (например на 1 рубль), передаёте в платёжный шлюз, помимо суммы, идентификатор пользователя (должен быть уникальным в рамках вашей учётной записи в шлюзе). Платтёжный шлюз в ответ возвращает вам ссылку на форму оплаты (см. выше) и идентификатор связки. Пользователь проходит весь этап оплаты как описано выше. После того как платёж завершился вы возвращаете этот рубль через отмену платежа. Смысл всех этих телодвижений как раз в том, что бы получить идентификатор связки. Именно его вы сохраняете.

Теперь, когда пользователь будет у вас что-то покупать, при создании заказа в платёжном шлюзе вы будете, в добавок с сумме и валюте, передавать идентификатор пользователя и идентификатор связки. Дальше банк делает всю магию сам.

Так же банк предоставляет методы, для получения информации о связке, что бы вы могли отображать пользователю список привязанных карт (те самые звёздочки с четырьмя последними цифрами номера карты и дата истечения). Эту информацию вы можете у себя хранить.

Подводя итог: интернет магазины не хранят данные вашей карты у себя. Даже в случае утечки данных по связкам злоумышленник не сможет списать деньги с вашей карты, т.к. связки привязаны к конкретной учётной записи в платёжном шлюзе и любые списания по этим связкам будут исключительно в пользу интернет магазина. Использовать эти данные, что бы списать деньги в пользу третьего лица, нельзя.

36

И да, ваш опыт ВЕСЬ состоит из российских реалий.
А теперь смотрим Африку, где терминал может получить любой Лугамба через блат и знакомых, смотрим США где про 3ds слышать не слышали, и опротестовывать операцию не самое приятное и легкое дело (и не всегда успешное).

Так что все еще НЕТ, не рекомендуется сохранять данные карт где попало.

6

Использовать эти данные, что бы списать деньги в пользу третьего лица, нельзя.

Отчасти неверно.
История из моей практики - была забита карта на Wallmart в US.
В итоге ломанули (подобрали или взяли из слитой базы пароль) профиль и с неё купили ноутбук на вынос за 600$.
Хорошо, что wallmart просек фишку, и сам сделал отмену операции через сутки. Иначе бы какой нибудь счастливчик легко получил бы мой ноут.

С тех пор я стараюсь ни на одном сайте не сохранять данные своих карт.

3

спасибо за подробное разъяснение) я карты специально не привязываю, но многие сайты сами их запоминают))

супер!!! сделай это отдельной статьёй - думаю, будет очень популярна

Это все конечно хорошо. Только откуда тогда берётся огромный рынок кардинга? Откуда-то же данные карт утекают. Не только с пластика же.
Там вон чел выше писал про виртуальные карты и лимиты. Все верно, лучше уж перебздеть чем недобздеть. А ещё лучше физичеких карт тоже несколько держать, и в банкоматы пихать только ту где лимиты установлены или просто на счету не большая сумма. Потому что могут быть скимеры или как там эта хрень называется которая данные карты с пластика читает 

Раскрывать всегда
Duolingo столкнулся с приростом пользователей из США, которые начали учить китайский на фоне возможной блокировки TikTok в стране

По этой же причине топ бесплатных приложений в американском App Store возглавила китайская соцсеть Xiaohongshu.

1515
33
11
реклама
разместить
Глава Google заявил сотрудникам, что Gemini превзошла возможности конкурирующих ИИ-сервисов — WSJ

В прошлом компанию не раз критиковали за отставание в ИИ-гонке.

88
33
11
Nintendo анонсировала игровую консоль Switch 2

Первую консоль компания показала ещё в 2016 году.

2727
66
Не понимаю до сих пор почему Ростех еще не сделал Dandy Switch и не ввел утилизационный сбор на остальные приставке в размере 100 тыс рублей !?
В ИИ-сервис Recraft добавили функцию генерации бесшовных узоров для тканей и упаковки с помощью модели V3

Можно создавать 50 бесплатных рисунков в день.

Растровый рисунок, сгенерированный по запросу «Узор с подсолнухами» и его расширенный вид из нескольких копий. Генерация vc.ru
1616
77
11
CarNewsChina показало роборуку от Huawei для зарядки электромобилей

Массовое производство планируют запустить в 2025 году, говорит источник издания.

Источник: CarNewsChina
1212
11
11
Удержание сотрудников — как вкладываться в молодых специалистов без опасений, что они научатся и уйдут

• В чем баланс между работой и домом?
• Из каких коллективов сотрудники не уходят?
• Как влияют бонусы на решение уволиться?
В этой статье я постарался интересно и вдумчиво разобраться в теме удержания сотрудников

Кадр из сериала <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fwww.kinopoisk.ru%2Fseries%2F4645382%2F&postId=1758611" rel="nofollow noreferrer noopener" target="_blank">«Путь к партнерству»</a>
1818
22
11
Крупнейший контрактный производитель чипов TSMC увеличил квартальную прибыль на 57% год к году — до $11,4 млрд

Против прогнозируемых $11,1 млрд.

Источник фото: TSMC
77
33
11
Nordwind разрешила пассажирам перевозить своих питомцев на соседнем кресле

Придётся купить два билета и доплатить за саму услугу.

Павел Лисицын / РИА Новости
2121
88
22
Ура, полетим с ежом отдыхать. А то ёж уже переживать начал
[]