Оплата на сайте в один клик: безопасно или нет?
Подключение инструмента для оплаты покупки в один клик, без ввода данных карты, не только повышает удобство пользования сайтом. Существенные выгоды получает и сам бизнес – иногда рост конверсии составляет 10-20%. Это легко объяснить: доля спонтанных покупок, особенно в средне-низком ценовом сегменте, достаточно высока, и чем меньше шагов нужно сделать пользователю для совершения оплаты, тем больше вероятность, что он не передумает в процессе.
Рассказываем, как же происходит оплата в один клик и на что обратить внимание пользователям и бизнесу.
Механика процесса
Главный критерий онлайн-платежей – безопасность данных пользователя. Поэтому при попытке провести платеж средства списываются не сразу – сначала процессинговый центр передает данные банку-эмитенту карты покупателя, который их и проверяет.
Процессинговый центр – компания, которая обрабатывает платежи, некое связующее звено между продавцом, покупателем и их банками.
И тут возможны такие варианты:
- Платежи проходят по технологии 3D Secure (3DS). В этом случае пользователь вводит номер карты, срок ее действия и CVV-код (если подключено сохранение карт, например, в аккаунте Google, данные могут подставлять автоматически, отдельно вводить нужно только CVV-код – это просто функция автозаполнения, не связанная с технологией оплаты). Банк получает эту информацию и запрашивает подтверждение транзакции – по SMS, в приложении или другим прописанным в правилах банка способом. Все эти шаги нужно проходить при каждой покупке.
- «В один клик». При первой покупке данные карты тоже нужно ввести, но при последующих покупках система сама предложит ранее использованную карту (или даст выбор из нескольких). После выбора карты и нажатия кнопки «Оплатить» списание происходит сразу. Проверка данных происходит путем передачи токена (о нем чуть ниже).
- Смешанная или адаптивная схема «в один клик»+3DS. В первом случае система предлагает выбрать сохраненную карту, проводится проверка токеном, но и подтверждение платежа банк в любом случае попросит. Во-втором 3DS-аутентификация будет использоваться, только если транзакция по определенным критериям (другой гаджет, новая геолокация и т.д.) не попадет в разряд трастовых (с безусловным доверием).
Оплата в один клик возможна не только с платежных карт – в настройках кошелька PayPal можно включить функцию One TouchTM, и для оплаты не нужно будет каждый раз вводить свои данные.
Что такое токен
Если система оплаты в один клик подключена у продавца, то после первой оплаты данные карты сохраняются в процессинговой компании в виде токена – идентификатора покупателя. Продавцу (сайту) выдается именно этот токен, что и позволяет автоматически заполнять данные. Важно: к самим данным у продавца доступа нет!
Когда покупатель совершает следующую покупку (с идентификацией в личном кабинете), сайт передает процессинговой компании его токен – и так система понимает, с какой карты нужно списать средства.
Насколько безопасен токен?
Полностью безопасен. Даже если сайт будет взломан, и токен украдут, восстановить по нему данные карты невозможно. И использовать на другом сайте тоже нельзя – вместе с токеном также передаются идентификаторы сайта, которому он был выдан. Если адреса сайтов не совпадут, процессинговая компания платеж не пропустит.
Именно поэтому токен можно использовать для безакцептной оплаты – без ввода CVV-кода и 3DS-аутентификации.
А передавать данные процессинговой компании безопасно?
Да, и вот почему: чтобы сайт мог совершать какие-либо действия с платежными картами – запрашивать их, обрабатывать, хранить и передавать – он должен пройти сертификацию по стандарту PCI DSS. Иначе банк просто не пропустит транзакцию.
Это достаточно сложная система, для получения сертификата сайт должен пройти проверку по 12 критериям – от защиты хранимых данных до контроля защищенности всей информационной инфраструктуры. Есть 4 уровня сертификатов PCI DSS, которые зависят от возможного количества транзакций в год. Но даже чтобы получить самый простой сертификат 4-го уровня (до 20 тыс.транзакций/год), нужно каждый квартал проходить автоматическое сканирование сайта на уязвимость. А 1 уровень (больше 6 млн.транзакций/год) доступен только после проверки независимого аудитора.
Поэтому, если процессинговая компания работает, значит, скорее всего, сертификацию она прошла. И технически пользователь максимально защищен.
Именно поэтому в подавляющем большинстве случаев оплата (ввод данных) происходит на стороне процессинговой компании. То есть, например, пользователь собрал корзину в интернет-магазине, нажимает кнопку «Оплатить» и переходит на отдельную страницу или появляется всплывающее окно. Ведь сотрудничать с процессинговой компанией и платить ей комиссию за перевод проще, чем самостоятельно обслуживать массивную инфраструктуру.
Правила безопасности для покупателя при оплате в один клик
- Обращайте внимание на форму для ввода данных карты. Если нет никакого упоминания процессинговой компании, посмотрите документы самого продавца. На сайте должен быть размещен сертификат PCI DSS или его иконка.
- Используйте сложные пароли для доступа к личному кабинету на сайтах с возможностью оплаты в один клик. Ведь сделать покупку будет проще не только вам, но и мошенникам.
- Откройте для онлайн-расчетов отдельную карту и не храните на ней все средства. Это убережет и от спонтанных ненужных покупок.
Правила безопасности для продавца при оплате в один клик
- Выбирайте проверенные платежные системы. Подробная информация о платежных системах есть в блоге RU-CENTER.
- При выборе процессинговой компании запросите у нее сертификат PCI DSS, если на сайте вы его не нашли.
- Предупреждайте покупателей о том, что данные карты будут сохранены для удобства следующих покупок. Или дайте им выбор, сохранить карту или нет.
- Будьте готовы к возможным отменам и возвратам, ведь возрастает количество спонтанных покупок.
Оплата в один клик – удобный инструмент, который становится все более популярным. Именно по такой технологии работают рекуррентные платежи (например, подписка) или автоплатежи по коммунальным услугам. Поэтому его добавление с соблюдением всех мер безопасности действительно может помочь в развитии бизнеса.