Я уже рассказывал ранее на примере Android SDK, как не ограничиваясь фреймом и WebView, встроить нативную форму приема платежей по банковской карте в мобильное приложение, и при этом не попасть под аудит PCI DSS. С тех пор наше SDK довольно существенно расширилось и к обычной форме ввода карты в Android и iOS добавился такой функционал:
— React Native библиотека для Android и iOS
— кастомизация верстки layout формы с реквизитами карты
— функция оптического сканирования карты
— прием бесконтактных платежей в Android по технологии NFC
В этой публикации я расскажу что вообще можно делать с платежами в мобильных приложениях, какие есть лайфхаки и подводные камни, и напоследок приведу пример кода демо-приложения и расскажу, как списать карточный долг с друга при помощи NFC ридера своего смартфона.

Думаю каждый сталкивался с ситуацией, когда в начале месяца у абонента интернет-провайдера баланс уменьшается в ноль или становится отрицательным, а при попытке пополнить счет картой на каком-то этапе страница банка становится не доступной.

Связано это как правило с тем, что банки, выпускающие карты, по умолчанию активируют услугу 3DSecure на своих картах, и таких банков в мире тысячи. В свою очередь интернет-провайдер имеет возможность добавить в белый список только IP адрес того банка, через платежный шлюз которого он подключен на процессинг карт и ему довольно проблематично понять, картами каких банков ему будут платить, и на каких доменах у этих банков расположена 3DSecure страница

А нужен ли PCI DSS?

Рано или поздно большинство владельцев и разработчиков интернет-магазинов и мобильных приложений, принимающих платежи в онлайне, задаются вопросом: «должен ли мой проект соответствовать требованиям стандартов PCI DSS?».

PCI DSS — это стандарт безопасности, который применяется для всех организаций сферы обработки платежных карт: торговых точек, процессинговых центров, финансовых учреждений и поставщиков услуг, а также других организаций, которые хранят, обрабатывают или передают данные держателей карт и (или) критичные аутентификационные данные.

Стандарт PA-DSS распространяется на поставщиков приложений и иных разработчиков приложений, которые хранят, обрабатывают или передают данные держателей карт и (или) критичные аутентификационные данные.

С веб-сайтом все довольно просто: при интеграции достаточно воспользоваться техническим решением, которое перенаправляет плательщика на форму ввода данных карты, расположенной на сайте PCI DSS сертифицированного платежного шлюза или загружает эту страницу во фрейме также с сертифицированного сайта. В этом случае торговец не подпадает под действия стандарта безопасности, так данные карты не хранятся и не передаются через его сервера, а к фрейму платежного шлюза сайт торговца не имеет доступа в силу политик безопасности web-браузеров.

С мобильным приложением все немного сложнее.

О проекте

Что собой представляет стандартный блог или публикация? Комментарии как правило обособлены от текста и пользователям приходится цитировать фрагменты текста, чтобы прокомментировать их. А если спор между читателями завязывается вокруг определенного высказывания в статье, как зачастую бывает на хабре, то только что зашедшему в пост читателю трудно уловить эту интересную часть статьи. Как можно сделать коментарии более контекстными, интерактивными, привлекающими внимание? Хочу поделиться с хабравчанами проектом, который разрабатывает одна из наших команд. Он будет полезен блогерам, интернет-СМИ, да и просто сайтам с большим текстовым контентом. Проект Hypercomments предлагает новый взгляд на комментарии. Комментировать можно как фрагменты текста, так и отдельные слова, картинки. Это позволяет автору оживить статью, увидеть наиболее обсуждаемые, горячие участки текста, сделать содержание статьи более насыщенным за счет активности читателей.

Интересную картину дает Пульс блогсферы Яндекса. Что это? Проблемы возникают чаще у малограмотных пользователей, или ошибка расчета корреляции? В любом случае есть повод задуматься создателям пользовательских интерфейсов, ведь электронные технологии становятся все более доступны массовой аудитории, а такие отрицательные отзывы могут испортить репутацию любого сервиса:

Что же такое интернет-платеж

Как ни странно, но в терминологии платежных систем нет такого понятия, как интернет-транзакция. С точки зрения Visa и MasterCard, транзакция в интернет ничем не отличается от транзакции в терминале, по телефону, IVR и т.д. Платежные системы рассматривают интернет только как среду проведения транзакции. И это вводит некоторую путаницу при общении кардхолдера с банком, выпустившим карту (эмитентом). Утверждение сотрудника колл-центра о том, что ваша карта открыта для оплаты в интернет, равно, как и утверждение, что она закрыта, может не соответствовать действительности.

История произошла на самом деле со мной и ни в коем случае не является моей выдумкой или фантазией.

Одним теплым майским днем, возможно даже в пятницу, сотрудники департамента сервисного обеспечения одной организации, то по очереди, то парами-тройками выходили на балкон своего 6-го этажа, окна которого смотрят на задний двор здания. Они курили и обсуждали прошедшие праздники, жаловались друг-другу на затянувшуюся хандру и думали, как провести выходные в дали от работы. В основном мужскую часть коллектива айтишников, время от времени разбавляли разговорчивые сотрудницы бухгалтерии, отдел которой располагался в противоположном крыле этого этажа. Кто, докуривая — тушил сигарету в импровизированную консервную банку-пепельницу, кто — бездумно бросал еще пылающий окурок в окно. День размеренно перевалил за второю половину, и сотрудники организации степенно пытались завершить все свои текущие дела.

Время как бы остановилось, или если и не остановилось, но тянулось предательски медленно.
Но это казалось только со стороны.

Продолжение, начало здесь.

Зайдя на сервер, я увидел открытую страницу банка в браузере, несколько скомпилированных версий популярного вируса, логи апача, который вел мониторинг атаки и открытую терминальную сессию на какой-то сервер с турецким IP с приглашением ввести логин и пароль. По логам апача было ясно, что турецкий сервер является одной из «голов» червя, т.е. центром координации атаки.

Произошло это в начале 2008 года, когда я еще работал в одном крупном украинском банке инженером в IT-департаменте. Только спала новогодняя праздничная суета, и нагрузка на подразделения техподдержки немного поубавилась, как один из подотчетных мне web-серверов сообщил о заканчивающемся на диске месте. Беглый анализ показал, что стремительно росли логи IIS сервера, на котором крутится один из публичных платежных комплексов банка. Мои опасения оправдались – на сервер началась DDOS атака.