Pull to refresh
12
0
PayOnline @PayOnline

Система электронных платежей

Send message
Спасибо за Ваш отзыв.
У нас есть скрытая страница с документацией. Вы можете изучить ее по этой ссылке: www.payonline.ru/directory

В ближайшее время мы добавим эту ссылку для прямого перехода с сайта.
Здравствуйте!

Такая политика компании, связана с тем, что мы стремимся дать лучшие условия каждому клиенту и готовы даже понизить комиссионную ставку в случае договоренности. Поэтому, после того как вы оставляете заявку и с Вами связывается специалист, мы высылаем договор в котором будет прописана та ставка, которую Вам озвучили.

Тем не менее, Вы можете посмотреть комиссии указанные в конце этой статьи, предварительно мы готовы дать такие ставки многим клиентам.
Вернуть все платежи, кроме первого – достаточно реально. Эти операции не подтверждались с помощью 3-D Secure, и не являются повторными платежами для какой-то предыдущей покупки, подтвержденной по 3-D Secure.

Вопрос мошенников, которые делают переводы с карты на карту под видом оплаты за авиабилеты, гораздо сложнее. Выше тут уже детально всё обсудили, но в сухом остатке – доказать что-то банку-эмитенту будет очень сложно. Для него вы сами совершенно сознательно перевели деньги на чью-то карту (на которой уже нет денег, и которая зарегистрирована на подставное лицо), и подтвердили эту операцию одноразовым кодом. Теоретически, тут что-то могут сделать правоохранительные органы.

Мы являемся платёжным шлюзом (и даже сами сталкивались с такой проблемой), поэтому в основном тут будет описано происходящее с нашей стороны.

Бороться с мошенниками на стороне платёжных шлюзов, по сути, очень сложно; лучшая тактика тут пытаться сделать использование нашей формы сложнее, чем у других (известный анекдот – для того, чтобы выжить при встрече со львом, не надо уметь бежать быстрее льва; достаточно бежать быстрее соседа).

С учётом того, что каждый платёж достаточно большой – мошенник может позволить потратить себе достаточно много денег на организацию этого платежа. Можно действовать как-то так:
1) На каждого посетителя сайта (точнее, платёжной формы с кнопкой «оплатить») автоматически поднимаем новую виртуалку в облаке или в ботнете, в ней браузером заходим на страницу перевода с карты на карту платёжного шлюза. Для платёжного шлюза это выглядит как обычный запрос обычного пользователя;

2) Спрашиваем у посетителя номер карты, срок действия, CVV;

3) Вводим в виртуальном браузере эти данные; вводим данные карты получателя (мошенника);

4) Если, например, страница перевода с карты на карту требует разгадать капчу – показываем её посетителю и заставляем разгадать.

5) Отправляем в виртуальном браузере форму, получаем в ответ переадресацию на сайт банка-эмитента для прохождения 3-D Secure. Перехватываем эту переадресацию, и переадресуем туда реального посетителя в реальном браузере (передавая при этом TermUrl своего сайта с авиабилетами).

6) У посетителя отображается настоящая страница банка-эмитента (с соответствующим адресом и сертификатами), он вводит на ней одноразовый пароль из SMS, отправляет; банк-эмитент возвращает его на сайт с авиабилетами.

7) Информацию о подтверждении 3DS, пришедшую на сайт с авиабилетами – опять же, отправляем в виртуальный браузер. Всё, операция проведена.

По сути, для платёжного шлюза в этой ситуации всё выглядит так, что к нему пришёл реальный человек (на самом деле мошенник), который ввёл в форму переводов с карты на карту данные карты отправителя, данные карты получателя, и подтвердил операцию одноразовым паролем в банке-эмитенте. Отличить мошенника от честного человека тут не получится – нет никаких данных, которые выделяли бы мошенника.

Именно по этой причине мы приняли решение отключить форму перевода платежей с карты на карты в нашей системе.

Какая-то системная борьба (а не просто закрытие сайтов после того, как они уже успели набрать много денег) может идти только со стороны банков-эмитентов – как карт отправителей, так и карт получателей.

От эмитентов карт отправителей хотелось бы видеть на странице подтверждения платежа заметное указание на то, что осуществляется именно перевод с карты на карту. Кроме того, так как со страницей подтверждения платежа мошенник может поступить так же, как со страницей перевода – «проксировать» её для пользователя в виртуальном браузере; это потребует большей невнимательности со стороны пользователя, но хотелось бы ещё чтобы банки, отправляющие одноразовые коды в SMS-сообщениях, предупреждали о переводе и в тексте сообщения. На вашем примере – в SMS-сообщении написано «P2P», среднему пользователю это ни о чём не говорит.

От эмитентов карт получателей – запрет на получение денег для карт с не подтверждённой личностью владельца (для виртуальных карт типа яндекс.денег и киви).

А пользователям стоит внимательнее следить за тем, где они вводят данные карты. Как уже было сказано, если на странице для ввода номера карты есть сертификат EV – то, по крайней мере, это не аноним и не однодневка; в случае чего хотя бы будет понятно, на какую организацию писать заявление. Да и мошенникам постоянно регистрировать новые компании и получать сертификаты EV будет затруднительно; это может сделать такое мошенничество невыгодным.

Советы же вида «если левый ОГРН – то это мошенники», «если нет номера телефона – то это мошенники» и т.п. действуют как советы «если письмо написано с грамматическими ошибками – то это фишинг». Т.е. действует только до тех пор, пока мошенники могут себе позволить не напрягаться и писать неграмотные письма. Как только все узнают об этих советах – мошенники сразу начнут писать фишинговые письма грамотно, а на сайтах начнут указывать реальные правдоподобные ОГРН и телефоны.
Пожалуйста! Именно в этой статье платежи не при чём :)
Для большего интереса со стороны читателей мы стараемся писать не только на тему платежей, но и про технологии вообще.
Но большинство постов в наших блогах именно про финтех:
https://habrahabr.ru/company/payonline/
https://geektimes.ru/company/payonline/
Безусловно, мы всегда стараемся поддерживать не только карты, но и все самые удобные и популярные способы оплаты, такие как MasterPass и электронные кошельки(Яндекс.Деньги, QIWI, WebMoney)
Если по истечении срока рассмотрения заявления вы получаете отказ в возврате или не получаете решения банка вовсе, в таком случае можете попробовать требовать возврата средств в судебном порядке.
Если вы об операции chargeback, то да, но это не стандартная «функция» банка, а вопрос диспутов — нужно аргументировать возврат средств. Если причина — неправомерное списание, т.е. мошенническая операция, то алгоритм подачи заявления следующий: http://payonline.ru/news/ecommerce/19718/.
Вы правы — клиринг в банках производится в лучшем случае раз в сутки, а в праздничные и выходные дни может занимать до недели.
Операция возврата и отмена операции — всё-таки не совсем правильные термины, в них действительно можно запутаться. Вообще, терминология у всех разная, мы используем понятия «холдирование» или «предавторизация» (они немного отличаются, но суть одна — заморозка средств на карте для последующего списания с возможностью мгновенного возврата) и «чарджбэк» — возврат средств, когда платеж уже совершен. Для совершения чарджбека нужны веские основания, сам процесс может занимать месяцы.
Если вопрос идет об УСН «доходы минус расходы», то да, нашу комиссию можно принять к учету.
Мы предоставляем акт выполненных работ.
Да, и такое возможно.
Срок холдирования («заморозки») средств на карте устанавливается банком-эмитентом (максимально-30 дней).
Но в некоторых случаях этот срок (реальный) может быть гораздо меньше.

В настоящий момент, согласно правилам Международных Платежных Систем, сроки подтверждения (завершения) транзакций следующие:

Visa
— 5 календарных дней для транзакций по картам Visa Electron;
— 8 календарных дней для транзакций по другим картам Visa.

MasterCard
— 7 календарных дней для транзакций по картам MasterCard, Maestro.

Поэтому мы рекомендуем подтверждать транзакцию при работе с PreAuth в срок не более 5 дней, дабы потом не возникало спорных моментов.
Спасибо за идею!
Спасибо за вопрос, как-то упустили в тексте. Нет, не оплачиваются. Комиссия не снимается до прохождения платежа. Нет платежа — нет комиссии.
Система fraud-мониторинга, которая позволяют оценить ряд факторов, среди которых основными являются:
  • Страна, из которой совершается платеж.
  • Страна банка, выпустившего карту.
  • Размер платежа.
  • Количество платежей с карты.
  • Платежная история банковской карты.
  • Профиль среднестатистического плательщика магазина.

Всего используется более 140 фильтров.
Для Xamarin пока не планируется.
Уверяю вас причин для опасения нету, у нас система соответствующая всем мировым стандартам безопасности, ежегодно проходим сертификацию PCI DSS
Для того чтобы работать напрямую с данными банковских карт нужно каждый год проходить дорогую процедуру сертификации PCI DSS. Это могут себе позволить или платежные системы, такие как мы, или очень крупные магазины. На мелких магазинах оплата в один клик реализуется с сохранением токена, который передается на сервер PayOnline, а мы уже совершаем платеж.
Смотрите выше ответ, магазин данные не получает и не сохраняет, все происходит на стороне платежной системы, которой вы можете полностью доверять, т.к. чтоб работать с данными карты нужно каждый год проходить дорогостоящую процедуру сертификации и аудита.

Information

Rating
Does not participate
Location
Москва, Москва и Московская обл., Россия
Registered
Activity