Что происходит, когда вы нажимаете кнопку «Купить» на сайте
Разбираемся в механике работы онлайн-оплаты.
Нулевой шаг: вы выбираете способ оплаты
После того, как вы выбрали товары в интернет-магазине, добавили их в корзину и заполнили данные о доставке, но перед нажатием кнопки «Оплатить», магазин предлагает выбрать способ оплаты – онлайн оплата на сайте, офлайн-оплата наличными или банковской картой. Вариантов оплаты онлайн, как правило, несколько — при помощи банковской карты, электронного кошелька, через интернет-банкинг, с Apple Pay, Samsung Pay, Google Pay или с баланса мобильного телефона.
Наиболее быстрыми и удобными способами оплаты считаются банковские карты, технологии Apple Pay, Samsung Pay, Google Pay или электронные кошельки. Используя эти методы, нет необходимости переходить на сторонние сайты и совершать ряд дополнительных действий; эти способы оперативны и удобны для плательщика, и, как следствие, ведут к повышению конверсии платежей. Оплата с помощью Apple Pay, Samsung Pay или Google Pay считается одним из самых безопасных способов – данные платёжной карты не передаются и не хранятся ни на мобильном устройстве, ни на серверах у мобильных производителей, ни у магазина, и передаются по защищённому протоколу.
Чтобы вы сделали всё это в один клик, магазин отдельно договаривается с представителями всех методов оплаты. Нужно заключить договор с банком-эквайером, который возьмёт на себя все банковские платежи, по отдельности добавить интеграцию с каждым электронным кошельком вроде Qiwi или WebMoney, а для организации мобильной коммерции — договориться с каждым мобильным оператором, который предоставляет такие услуги.
Подключение каждого метода оплаты по отдельности – трудоёмкое занятие, требующее значительных временных трат, сбора необходимых пакетов документов и отдельных интеграций на сайте. В то же время, при подключении эквайринга напрямую в банке, интернет-проекты принимают жёсткие условия со стороны эквайеров – начиная с требований к регистрации в банковской системе, пакету документов, кредитной истории юридического лица и руководителя, заканчивая некоторой ограниченностью в технологиях, ввиду незаинтересованности банка в гибкой настройке своего продукта под каждого клиента.
В итоге то, что для вас выглядит как несколько кликов на сайте, скрывает за собой сложную систему с несколькими сценариями и множеством участников процесса.
Помимо компаний, которые предоставляют отдельные методы оплат, есть еще и агрегаторы онлайн-оплаты, к примеру, PayBox.money. Агрегатор позволяет магазину не заключать договор с каждым отдельным платежным методом, а заключить всего один договор и принимать оплату у себя на сайте сразу всеми популярными методами. Не придётся даже заключать договор эквайринга с банком: компания уже договорилась о выгодных условиях с представителями платёжных систем — тарифные ставки будут ниже, чем если бы владелец магазина договаривался напрямую.
Первый шаг: провайдер платежа собирает необходимые данные и передаёт их на обработку
Когда способ оплаты выбран, магазин резервирует товар и передает информацию о нём на платежную страницу, которая предлагает покупателю ввести все данные, необходимые для оплаты.
Платёжную страницу создаёт агрегатор, который по API передаёт на страницу данные о покупке. Форм оплаты множество: помимо стандартной платёжной страницы, оплачивать можно через ChekOut или Iframe – в зависимости от типа и предпочтений интернет-магазина.
Если вы выбрали оплату при помощи мобильного кошелька или счёта телефона, на первом этапе магазину, как правило, понадобится только почта и пароль для авторизации — и то не всегда. Все платёжные данные вы вводите уже на стороне платежного агрегатора.
Для оплаты банковской картой нужно ввести её номер, срок действия, CVC- или CVV-код, а также подтвердить, что карта принадлежит вам.
Самый популярный способ подтвердить, что оплата картой производится её настоящим владельцем – одноразовый SMS-пароль (3D Secure / SecureCode). Технология разработана для безопасности оплаты товаров в интернете и снижения риска фишинга.
Фишинг – вид мошенничества в интернете, цель которого получить ваши идентификационные данные, такие как номер карты, логин и пароль от интернет-банкинга и др. После получения данных, мошенники обналичивают счета или перепродают данные.
Рассмотрим подробнее способ оплаты банковской картой. В случае оплаты банковской картой все данные получает и обрабатывает процессинговый центр. Это компания или подразделение банка, которым банк поручает работу со всеми данными о картах.
Любая компания, которая имеет дело с данными хотя бы одной банковской карты, должна пройти проверку у всех платёжных систем-партнёров (Visa, Mastercard и других) и получить международный сертификат безопасности PCI DSS. Payment Card Industry Data Security Standard — стандарт безопасности данных индустрии платежных карт, разработанный международными платежными системами Visa и MasterCard.
Чтобы получить такой сертификат, компании нужно доказать независимому аудитору, что данные карт надёжно зашифрованы и изолированы, а инфраструктура, которая с ними работает, не подвержена уязвимостям и у злоумышленников не получится её взломать, даже если они получат доступ к другим внутренним данным и процессам организации. Аудит проходит раз в год и гарантирует, что данные карты покупателя никуда не утекут ни на одном из этапов платежа.
Сертификат также позволяет хранить данные о плательщике в зашифрованном виде. Это нужно для реализации сервиса хранения карт — он позволяет покупателям не заполнять информацию о себе повторно на сайте, где они часто бывают.
Процессинговый центр либо принадлежит самому банку, либо просто предоставляет ему свои услуги. Часто эквайер, с которым работает магазин, сотрудничает только с одним процессинговым центром — своим собственным или сторонним.
PayBox.money не работает с одним-единственным банком — у системы сразу несколько эквайеров, каждый из которых может взять на себя обработку платежа, если другой загружен или не отвечает. Магазин не столкнётся с ситуацией, когда в банке-эквайере произошёл сбой и принять интернет-заказ невозможно.
При этом PayBox.money как предпроцессинговый центр проходит ту же сертификацию, что и процессинговые центры банков — данные покупателей надёжно защищены.
Второй шаг: провайдер платежа обрабатывает данные
При оплате банковской картой процессинговый центр эквайера проверяет, какой банк её выпустил (эмитировал). Если эмитент — сам эквайер, — дальше он работает с платежом самостоятельно.
Карта выпущена другим банком:
Процессинговый центр передаёт её данные и сумму платежа в платёжную систему
→
Платёжная система отправляет всё это эмитенту через процессинговый центр
→
Выпустивший карту банку даёт ответ, существует ли такая карта и достаточно ли на ней денег
→
Если ответ положительный, платёжная система запускает следующий этап проверки клиента.
Если карта выпущена другим банком, процессинговый центр передаёт её данные вместе с суммой платежа в платёжную систему, которая отправляет их эмитенту через собственный процессинговый центр. Выпустивший карту банк должен дать ответ, существует ли она и достаточно ли на ней средств для оплаты. Если он положительный, платёжная система просит запустить второй этап проверки клиента. На этом этапе участие магазина не требуется.
Если в качестве средства оплаты выбран электронный кошелёк, нужно проверить, существует ли такой кошелёк и действительно ли покупатель — его владелец. Для этого магазин отправляет данные покупателя компании-владельцу кошелька, а та может, например, отправить на телефон код авторизации.
Примерно так же выглядит процесс и при оплате со счёта мобильного телефона: магазин отправляет оператору данные об абоненте, наименовании товара и стоимости покупки, тот проверяет баланс счёта и отправляет абоненту SMS с просьбой подтвердить оплату.
Третий шаг: вы подтверждаете, что карта или кошелёк действительно принадлежат вам
Для этого вы вводите код авторизации от электронного кошелька или отправляете SMS в ответ на сообщение мобильного оператора.
В случае оплаты банковской картой срабатывает второй этап проверки — подтверждение подлинности транзакции.
Пароль может быть двух видов – статичный (владелец карты самостоятельно устанавливает один пароль для подтверждения всех транзакций при оплате онлайн) или динамический (банк отправляет пароль владельцу карты в SMS-сообщении или push-уведомлением). Динамический пароль считается более безопасным, современным и используется чаще, чем статический. При получении пароля плательщику необходимо ввести его в соответствующее поле формы оплаты на сайте. Он предназначается только владельцу карты и никому более.
Обычно страницу для ввода кода генерирует банк, и от магазина требуется только подключиться к системе безопасности — пройти сертификацию у платёжных систем, которые поддерживают этот протокол. Для того, чтобы не перенаправлять вас на другой сайт, магазин может использовать всплывающее окно для ввода кода. Это потребует отдельной настройки.
Четвёртый шаг: деньги списываются с вашего счёта
Когда оплата подтверждена, эмитент блокирует средства на вашем счету. Для вас это выглядит так, будто деньги уже ушли на расчётный счёт магазина, но на самом деле банкам-эмитенту и эквайеру ещё предстоит пройти процедуру клиринга (об этом ниже), и деньги будут окончательно списаны только после неё.
Электронный кошелёк или оператор также переводят деньги магазину при помощи банка, которым пользуются сами — и этому банку вместе с тем, в котором магазин держит счёт для расчётов с компаниями, также предстоит пройти клиринг.
Но покупка уже совершена: магазин в это время формирует чек, отправляет его вам на электронную почту или телефон, и начинает оформлять товар для отправки.
Пятый шаг: то, что скрыто
После того, как для вас процесс завершён, магазину и банкам остаётся решить формальности.
Магазин формирует фискальный чек и отправляет его в налоговую через оператора фискальных данных. Для этого нужно арендовать и установить онлайн-кассу и заключить договор с одним из сертифицированных операторов фискальных данных, который будет отправлять данные в налоговую.
Банки проводят клиринг: проверяют все взаимные долги и обязательства и переводят средства со счёта на счёт. Клиринг проводится не после каждой покупки, а с определённой регулярностью по всем совершённым операциям — это позволяет сэкономить время и не переводить лишние средства. Только после него средства оказываются на счету магазина.
PayBox.money предлагает магазинам услуги автоклиринга или клиринга в два этапа. В первом случае система списывает средства получателя сразу после оплаты, а во втором — только после получения заказа. Для этого покупателю или курьеру нужно будет подтвердить, что товар у него.
PayBox.money не берёт фиксированную плату с магазина — стоимость зависит от объёма платежей. Сервис работает в 5 странах мира, в России, при работе с популярными платёжными системами (Visa, MasterCard, МИР). Подключение платёжной платформы бесплатно. Дополнительно можно подключить автоматическую работу с ОФД — в таком случае магазину не придётся обрабатывать фискальные данные самостоятельно.
Что в итоге
То, что для покупателя выглядит как несколько коротких шагов, для магазина, платёжной системы и банка — гораздо более сложный процесс, который начинается ещё до того, как на экране появляется форма для ввода номера карты, и включает в себя формальные процедуры вроде клиринга, в которых покупатель даже не принимает участия.
Магазин может настроить все варианты приёма платежей самостоятельно, но придётся многое предусмотреть: добавить оплату картой, электронным кошельком, с баланса мобильного телефона, договориться с банком и эквайером, подключить онлайн-кассу для формирования и отправки чеков. А можно воспользоваться услугами агрегатора, который возьмёт всё на себя.
На сайте тарифов для России нет. Для Казахстана есть. Видимо конский процент за переводы.
Добрый день! Тарифы есть, но они рассчитываются индивидуально - в зависимости от ключевых параметров: юр лицо, вид деятельности, возраст бизнеса, оборот и др.
очередные спасетели плотёж потерян
Это очень хорошо! Сколько берет эта система при оплате на сайте банковскими карточками?
Добрый день! Ценообразование динамическое - оговаривается индивидуально с каждым клиентом в зависимости от ключевых параметров: юр лицо, вид деятельности, возраст бизнеса, оборот и др.