Оплата на сайте в один клик: безопасно или нет?

Подключение инструмента для оплаты покупки в один клик, без ввода данных карты, не только повышает удобство пользования сайтом. Существенные выгоды получает и сам бизнес – иногда рост конверсии составляет 10-20%. Это легко объяснить: доля спонтанных покупок, особенно в средне-низком ценовом сегменте, достаточно высока, и чем меньше шагов нужно сделать пользователю для совершения оплаты, тем больше вероятность, что он не передумает в процессе.

Рассказываем, как же происходит оплата в один клик и на что обратить внимание пользователям и бизнесу.

Главный критерий онлайн-платежей – безопасность данных пользователя. Поэтому при попытке провести платеж средства списываются не сразу – сначала процессинговый центр передает данные банку-эмитенту карты покупателя, который их и проверяет.

И тут возможны такие варианты:

• Платежи проходят по технологии 3D Secure (3DS). В этом случае пользователь вводит номер карты, срок ее действия и CVV-код (если подключено сохранение карт, например, в аккаунте Google, данные могут подставлять автоматически, отдельно вводить нужно только CVV-код – это просто функция автозаполнения, не связанная с технологией оплаты). Банк получает эту информацию и запрашивает подтверждение транзакции – по SMS, в приложении или другим прописанным в правилах банка способом. Все эти шаги нужно проходить при каждой покупке.
• «В один клик». При первой покупке данные карты тоже нужно ввести, но при последующих покупках система сама предложит ранее использованную карту (или даст выбор из нескольких). После выбора карты и нажатия кнопки «Оплатить» списание происходит сразу. Проверка данных происходит путем передачи токена (о нем чуть ниже).
  
• Смешанная или адаптивная схема «в один клик»+3DS. В первом случае система предлагает выбрать сохраненную карту, проводится проверка токеном, но и подтверждение платежа банк в любом случае попросит. Во-втором 3DS-аутентификация будет использоваться, только если транзакция по определенным критериям (другой гаджет, новая геолокация и т.д.) не попадет в разряд трастовых (с безусловным доверием).
  

Оплата в один клик возможна не только с платежных карт – в настройках кошелька PayPal можно включить функцию One TouchTM, и для оплаты не нужно будет каждый раз вводить свои данные.

Если система оплаты в один клик подключена у продавца, то после первой оплаты данные карты сохраняются в процессинговой компании в виде токена – идентификатора покупателя. Продавцу (сайту) выдается именно этот токен, что и позволяет автоматически заполнять данные. Важно: к самим данным у продавца доступа нет!

Когда покупатель совершает следующую покупку (с идентификацией в личном кабинете), сайт передает процессинговой компании его токен – и так система понимает, с какой карты нужно списать средства.

Полностью безопасен. Даже если сайт будет взломан, и токен украдут, восстановить по нему данные карты невозможно. И использовать на другом сайте тоже нельзя – вместе с токеном также передаются идентификаторы сайта, которому он был выдан. Если адреса сайтов не совпадут, процессинговая компания платеж не пропустит.

Именно поэтому токен можно использовать для безакцептной оплаты – без ввода CVV-кода и 3DS-аутентификации.

Да, и вот почему: чтобы сайт мог совершать какие-либо действия с платежными картами – запрашивать их, обрабатывать, хранить и передавать – он должен пройти сертификацию по стандарту PCI DSS. Иначе банк просто не пропустит транзакцию.

Это достаточно сложная система, для получения сертификата сайт должен пройти проверку по 12 критериям – от защиты хранимых данных до контроля защищенности всей информационной инфраструктуры. Есть 4 уровня сертификатов PCI DSS, которые зависят от возможного количества транзакций в год. Но даже чтобы получить самый простой сертификат 4-го уровня (до 20 тыс.транзакций/год), нужно каждый квартал проходить автоматическое сканирование сайта на уязвимость. А 1 уровень (больше 6 млн.транзакций/год) доступен только после проверки независимого аудитора.

Поэтому, если процессинговая компания работает, значит, скорее всего, сертификацию она прошла. И технически пользователь максимально защищен.

Именно поэтому в подавляющем большинстве случаев оплата (ввод данных) происходит на стороне процессинговой компании. То есть, например, пользователь собрал корзину в интернет-магазине, нажимает кнопку «Оплатить» и переходит на отдельную страницу или появляется всплывающее окно. Ведь сотрудничать с процессинговой компанией и платить ей комиссию за перевод проще, чем самостоятельно обслуживать массивную инфраструктуру.

• Обращайте внимание на форму для ввода данных карты. Если нет никакого упоминания процессинговой компании, посмотрите документы самого продавца. На сайте должен быть размещен сертификат PCI DSS или его иконка.

• Используйте сложные пароли для доступа к личному кабинету на сайтах с возможностью оплаты в один клик. Ведь сделать покупку будет проще не только вам, но и мошенникам.
  
• Откройте для онлайн-расчетов отдельную карту и не храните на ней все средства. Это убережет и от спонтанных ненужных покупок.
  

• Выбирайте проверенные платежные системы. Подробная информация о платежных системах есть в блоге RU-CENTER.
• При выборе процессинговой компании запросите у нее сертификат PCI DSS, если на сайте вы его не нашли.
  

• Предупреждайте покупателей о том, что данные карты будут сохранены для удобства следующих покупок. Или дайте им выбор, сохранить карту или нет.
  
• Будьте готовы к возможным отменам и возвратам, ведь возрастает количество спонтанных покупок.
  

Оплата в один клик – удобный инструмент, который становится все более популярным. Именно по такой технологии работают рекуррентные платежи (например, подписка) или автоплатежи по коммунальным услугам. Поэтому его добавление с соблюдением всех мер безопасности действительно может помочь в развитии бизнеса.