Главная » Windows XP

Как оплатить смартфоном с NFC Яндекс деньги приложение. Наше решение для Android Что необходимо для работы в Apple Pay

09.08.16 104 555 0

Настраиваем дополнительный способ оплаты на телефоне

В вашем телефоне есть чип, с помощью которого можно платить, как будто это бесконтактная карта. Подносите телефон к терминалу - бип! - операция прошла.

Илья Аноним

сотрудник Тинькофф-банка

Скажу прямо: это выглядит эффектно, но пока что не слишком удобно. В России еще много неправильно настроенных терминалов, которые не принимают оплату телефоном. И хотя Тинькофф-банк постоянно работает с другими банками над этой проблемой, пока что она не решена окончательно. Но это вопрос времени.

Через год-два в крупных городах с телефона можно будет расплачиваться в любом кафе, магазине, автобусе и метро. Пока это не так, есть смысл держать бесконтактную оплату про запас. Во-первых, это пригодится, если забудете дома бумажник или потеряете карту. Во-вторых - вдруг ваш любимый супермаркет уже принимает бесконтактную оплату? Тогда можно будет ходить за продуктами вообще без бумажника, с одним телефоном.

Если у вас есть Андроид и пять минут времени, потратьте их на настройку бесконтактной оплаты. Никогда не знаешь, когда она пригодится.

Что понадобится

Вам нужен телефон на базе Андроида. Почти все телефоны фирм Samsung, HTC, Alcatel, Huawei, Meizu, ZTE и Xiaomi работают на Андроиде. Поэтому если у вас не Айфон, скорее всего, у вас Андроид.

Еще нужна поддержка технологии NFC - near field communication. Если вы купили смартфон в последние два года, скорее всего, он уже поддерживает эту технологию. Если сомневаетесь, есть ли в вашем телефоне NFC, проверьте по перечню на сайте NFC World .

Также потребуется поддержка HCE - Host Card Emulation. Она есть во всех телефонах на Андроиде, начиная с версии 4.4 Kitkat 2013 года. Если вашему телефону меньше трех лет и вы регулярно обновляете программы, то поддержка HCE у вас должна быть.


Если у вас Айфон, пока что технология бесконтактных платежей в России вам недоступна. Она может появиться в любой момент, и когда это произойдет - мы вам сообщим.

Если у вас есть карта Тинькофф-банка

Если вы пользуетесь картами Тинькофф-банка, скачайте или обновите мобильный банк. Он уже поддерживает бесконтактные платежи. Запустите приложение, нажмите на иконку бесконтактного платежа, введите пароль, и всё, можно прикладывать телефон к терминалу:


Деньги спишутся с той карты, к которой вы включите бесконтактную оплату. Чтобы настроить это, заходите в мобильном банке в нужную карту → услуги → бесконтактная оплата:


Перезайдите в приложение, и значок бесконтактной оплаты появится на том же экране, на котором вы вводите код безопасности. Бесконтактную оплату можно подключить только к активной карте: если у вас, например, выпущена дополнительная карта, а основная перевыпущена и еще не активирована, то бесконтактная оплата может не работать. Если у вас на экране «Услуги» не виден переключатель «Бесконтактная оплата», напишите в службу поддержки банка, и вам подскажут, что делать.

Если пользуетесь «Яндекс-деньгами»

«Яндекс-деньгами» можно расплачиваться так же, как и обычными деньгами. Для этого нужно выбрать на главном экране приложения «Бесконтактные платежи», вспомнить свой пароль от Яндекса и ввести код из СМС. После этого Яндекс создаст вам виртуальную карту, которой вы будете платить через телефон. Деньги спишутся с вашего счета Яндекс-денег.


При экспериментах я заметил, что если долго не пользоваться «Яндекс-деньгами», то в какой-то момент приложение забывает, что ты ему разрешил совершать платежи, и начинает заново просить пароль и код из смс.

В остальных случаях

В магазине приложений Гугла есть приложение «Кошелёк» разработчика CardsMobile. В нем можно платить виртуальными мобильными картами четырех банков: Тинькофф-банка, «Русского стандарта», «Санкт-Петербурга» и «Московского индустриального банка». Чтобы подключить одну из этих карт, зайдите в раздел «Карты - банки»:


Обратите внимание на тип карты, которую вы хотите подключить:

  • Предоплаченная - значит, что вы можете ее оформить, даже если у вас нет счета в этом банке. Оформляете карту, отправляете на нее деньги, платите. Сколько положили - столько и можно потратить.
  • К существующему счету - значит, что у вас уже должен быть счет в этом банке. К нему подключается дополнительная виртуальная карта для бесконтактных платежей. При оплате деньги будут списываться с этого счета.

Выберите, какую карту вам выпустить: предоплаченную или к основному счету. Дождитесь, пока банк ее выпустит, пополните по реквизитам, и можно платить. Карта Тинькофф-банка выпускается за 5-10 минут.

Посмотрите также на другие возможности этого приложения: на транспортные и скидочные карты. В Москве пока что транспорт не работает, но в Екатеринбурге, например, уже работает.

Держите оплату с телефона про запас

К сожалению, бесконтактная оплата через телефон еще не так совершенна, как оплата картой. В магазинах встречаются неправильно настроенные терминалы, которые не принимают такую оплату. Бывают терминалы, которые вообще не поддерживают бесконтактную оплату. Поэтому пока что рассчитывать на телефон как на основное платежное средство нельзя: слишком много всего может пойти не так.

Постепенно ситуация улучшится, и как только в Москве или Петербурге можно будет целый день расплачиваться с телефона - мы об этом напишем. А пока отнеситесь к оплате телефоном как к запасному варианту на всякий случай. Убедитесь, что всё настроено и работает, и держите про запас. И проверьте свой местный супермаркет: возможно, он уже принимает оплату с телефона.

Яндекс.Деньги добавили новый метод бесконтактной оплаты — через Android Pay. Пользователи теперь могут платить этим способом с виртуальных и пластиковых карт Mastercard от Яндекс.Денег, а компании — принимать платежи через Android Pay с помощью Яндекс.Кассы. Сервис станет полностью доступен с 23 мая.

Платить бесконтактно Яндекс.Деньгами через Android Pay

Android Pay позволяет оплачивать покупки, просто приложив смартфон к платежному терминалу. Чтобы использовать сервис, нужно скачать приложение Android Pay и привязать к нему виртуальную или пластиковую карту Яндекс.Денег. Важно также включить в мобильном устройстве функцию бесконтактных платежей NFC. Подтверждать такие платежи можно отпечатком пальца или паролем к телефону, иногда требуется ввести пин-код. Оплачивать покупки через Android Pay можно с Android-смартфонов версии KitKat 4.4 и выше, а также с помощью умных часов на Android Wear 2.0. Этот способ расчетов работает не только в офлайне, но и в мобильных приложениях.

С помощью Яндекс.Кассы компании могут настроить приём платежей через Android Pay в мобильных приложениях. Для интернет-магазина или сервиса оплата через Android Pay будет выглядеть как обычная покупка с банковской карты. При этом пользователю не придётся вводить платёжные данные — они уже хранятся в его телефоне и надёжно зашифрованы.

Оплата через Android Pay полностью безопасна: каждая операция защищена технологией Mastercard Digital Enhancement Service (MDES).

Россия стала одиннадцатой страной, где появился Android Pay, присоединившись к США, Великобритании, Японии и другим. Кроме Android Pay, платить бесконтактно Яндекс.Деньгами можно также через Apple Pay, Samsung Pay и в приложении Яндекс.Денег — с помощью NFC или QR-кодов. Владельцы карт Яндекс.Денег могут рассчитываться в одно касание везде, где поддерживается бесконтактная технология Mastercard — это более 6 миллионов торговых площадок в 96 странах мира, 50 из которых — европейские. За последний год доля бесконтактных платежей через Яндекс.Деньги выросла на 13%. Для оплаты этим способом 81% пользователей сервиса выпускают виртуальные карты.

О Яндекс.Деньгах

Яндекс.Деньги — сервис электронных платежей, который помогает пользователям оплачивать товары и услуги из кошельков в Яндекс.Деньгах и с банковских карт, а компаниям — принимать онлайн-оплату через Яндекс.Кассу.

Электронный кошелёк в Яндекс.Деньгах — самый популярный в рунете, по данным исследований Markswebb Rank & Report на 2016 год и Mediascope на 2017. К началу 2017 года у сервиса было около 30 млн пользователей, каждый день открывается примерно 15 тыс. новых кошельков. Яндекс.Деньги предлагают собственные банковские карты Mastercard. К весне 2017 года пользователи сервиса выпустили около 600 тыс. пластиковых и 11 млн виртуальных карт.

Яндекс.Касса — универсальное платёжное решение для бизнеса. Она позволяет сайтам и мобильным приложениям настроить приём оплаты самыми популярными способами: с помощью Яндекс.Денег и других электронных кошельков, с банковских карт, через мобильные и интернет-банкинги Сбербанка, Альфа-Банка и Промсвязьбанка, со счетов мобильных номеров, через QR-коды, бесконтактную технологию Apple Pay и наличными через 250 тыс. точек приёма платежей в России и других странах СНГ. По данным исследований MARC и Тэглайна, Касса — самое популярное в стране платёжное решение. Сегодня к ней подключено больше 75 тыс. сайтов. Каждую секунду через сервис проходит до 600 платежей.

За новостями Яндекс.Денег можно также следить в нашем блоге, Твиттере и Фейсбуке.

Известная отечественная российская платежная система Яндекс Деньги довольно быстро стала популярной. В настоящее время она вполне успешно конкурирует с гигантом Вебмани. Для современных пользователей разработчики данной системы придумали много интересных сюрпризов и фишек.

Так, у пользователей Яндекс.Денег внезапно появилась возможность пополнить свой электронный кошелек при помощи Apple Pay - средства для интернет- и мобильных платежей. Эта услуга доступна в программе Яндекс.Деньги для iOS на телефонах iPhone 6 и новее, а также на планшетах iPad Pro, mini 3, Air 2 и более новых моделях.

Как платить Apple Pay

После подключения Apple Pay к Яндекс Деньги не придется даже доставать карточку с бумажника или кармана. Достаточно будет поднести смартфон к терминалу бесконтактной оплаты. Проплачивать при помощи системы платежей Apple Pay всегда безопасно. Никаких ПИН-кодов предоставлять не надо. К Touch ID нужно будет приложить палец для подтверждения платежа.

Что необходимо для работы в Apple Pay

  1. iPhone 6 или iPhone SE, последние модели смартфонов.
  2. Авторизация в iCloud, а также включенный Touch ID.
  3. Банковская карта Яндекс, либо наиболее новая версия программы Яндекс.

iPhone 6 на Яндекс Маркете

iPhone SE на Яндекс Маркете

Как добавить Apple Pay к приложению Яндекс Деньги

Никогда не нужно бояться новых технологий. Помните о том, что они созданы для облегчения вашей жизни. Разработчики ИТ-технологий всегда советуют пользователям следовать простой и четкой инструкции.

  1. Открывайте приложение Яндекс деньги.
  2. Нажимаете на вкладку Apple Pay.
  3. Получаете бесплатно виртуальную карту Яндекс.
  4. Нажимаете на вкладку «Добавить в Apple Wallet».
  5. Заполняете информационные поля.
  6. Принимаете соглашение для пользователей.
  7. Ждете подтверждения от Apple Wallet.

Как пользоваться Яндекс Деньгами для бесконтактной оплаты

В любом современном банковском терминале с возможностью полностью бесконечной оплаты необходимо сделать следующее:

  1. Просто поднести телефон к терминалу и приложить палец к Touch ID.
  2. Денежные средства моментально улетят с кошелька Яндекс.

Пользователи Яндекс.Денег смогут также оплачивать через систему платежей Apple Pay покупки в приложениях, на сайтах и в интернет-магазинах. Для того, чтобы платить таким образом, необходимо добавить в Apple Wallet виртуальную или пластиковую карту Яндекс.Денег. Это можно сделать через приложение Apple Wallet, либо Яндекс.Деньги для iOS. При платеже с карты Яндекс.Денег средства будут списываться из электронного кошелька - у них общий баланс. Виртуальная карточка выпускается за пару секунд. Пластиковую же можно получить по почте или в офисе компании. Всего под маркой Яндекс.Денег было выпущено более 500000 пластиковых и 11 миллионов виртуальных карточек MasterCard.

Платежи через систему Apple Pay абсолютно безопасны. Данные карточки не хранятся ни на смартфоне пользователя, ни на серверах компании Apple. Вместо этого учетной записи устройства присваивается специальный уникальный номер, который обязательно шифруется и хранится в чипе данного устройства с названием «Безопасный элемент».

В самое ближайшее время Яндекс.Деньги будут подключать прием платежей через Apple Pay фирмам, которые сегодня используют Яндекс.Кассу - универсальное платежное средство для бизнеса.

В очередной раз сервис Yandex Money доказал свою продвинутость и превосходство над многими конкурентами, предоставив своим пользователям возможность расплачиваться через NFC. И без сверхсовременных фишек Яндекс Кошелек рассматривается пользователями, как один из самых перспективных электронных бумажников России, получивший распространение не только на территории РФ, но и за её пределами. Если ваше мобильное устройство соответствует требованиям системы, вы теперь легко сможете превратить его в платёжный инструмент.

Что представляет собой функция NFC?

С английского понятие переводится как «коммуникация ближнего поля» (Near Field Communication). Речь идёт о беспроводной связи, передаваемой на небольшие расстояния.

2 совместимых в рамках НФК устройства могут без проблем взаимодействовать друг с другом, если поместить их на небольшое расстояние, равное нескольким сантиметрам.

Технологию активно применяют в смартфонах. Цели её внедрения могут быть разными:

  • быстрый обмен ссылками и файлами;
  • применение устройства в роли пропуска на закрытые для общего доступа территории;
  • превращение смартфона в аналог банковской карточки.

Как совершаются бесконтактные платежи из кошелька Яндекс Деньгами с помощью смартфона?

Если у вас смартфон, поддерживающий описываемую опцию, вам не придётся скачивать никаких дополнительных драйверов. Достаточно обновить версию Yandex.Money для смартфонов, выбрав последний вариант обновления, и в настройках указать на «Бесконтактные платежи».

Ваш мобильник автоматически станет платёжным инструментом системы MasterCard. На его виртуальном балансе появится сумма, равная тому количеству денег, которые вы храните в электронном бумажнике. Вы получите возможность оплачивать товары и услуги, используя вместо банковских карт мобильный телефон.

Вот, что ещё нужно знать, если у вас установлена NFC метка:

  1. Можно платить Яндекс Деньгами без оставления кассиру подписи или введения PIN-кода. Последний поступает в SMS только в том случае, если общая стоимость покупки превысила сумму 1 000.00 рублей.
  2. Описываемый способ расчётов по всем параметрам отвечает требованиям безопасности МастерКард.

Сами расчёты происходят по следующему алгоритму:

  1. Нажимаете на смартфоне на команду «Оплатить».
  2. Вводите код доступа.
  3. Подносите девайс как можно ближе к считывающей панели аппарата.

Деньги ушли в оплату вашей покупки, а с вас не будет взыскано никакой дополнительной комиссии за использование Яндекс Деньги NFC.

Где действует подобный способ оплаты?

Оплата Яндекс картой постепенно уступает позиции новому типу расчётов. Ежедневно по всему миру торговые точки устанавливают устройства, снабжённые описываемой технологией. На данный момент её используют 74 государства в более, чем 4 000 000 магазинах.

Торговые точки России активно переходят на НФК. Так за последний год количество объектов, предоставляющих возможность бесконтактных расчётов телефоном, выросло на 140%.

Безопасно ли это?

Как и оплата Яндекс картой в магазинах, приложение телефона – безопасный метод расчётов, о чём позаботилась платёжная система МастерКард:

  • вы сами формируете код доступа к приложению;
  • все ваши платёжные данные зашифрованы по современным технологиям.

Последним доводом в сторону безопасности является невозможность произвести оплату на сумму более 1 000.00 рублей без ПИНа, который приходит владельцу.

Как узнать, поддерживает ли ваш телефон данную технологию?

Проверить наличие опции в вашем мобильном устройстве можно несколькими способами:

  • найдите в интернете перечень телефонов NFC и сверьтесь, присутствует ли в нём используемая вами модель;
  • проверьте наличие упоминаний об NFC в Руководстве по использованию гаджета;
  • поищите опцию в меню настроек устройства;
  • попробуйте притулить девайс к считывающей панели, функция может сама активироваться;
  • поищите антенну NFC и т. д.

Если у вас Айфон, возможность производить с его помощью бесконтактную оплату есть только у версий 7 и выше. Шестёрками можно оплачивать только покупки с Apple Pay.

Преимущества и недостатки

Важным преимуществом бесконтактной оплаты с Яндекса посредством телефонов с встроенной опцией NFC является быстрота и простота совершения денежных операций. Не стоит забывать и об их безопасности.

Недостаток состоит в том, что есть ещё много торговых точек, которые не внедрили технологию.

Заключение

Внедрение технологии NFC стало для сервиса Яндекс Деньги важным решением, повлиявшим на его рейтинги и сделавшим электронный кошелёк ещё более востребованным в России, где внедрение новых финансовых опций идёт полным ходом.


Под катом подробности о подключении бесконтактных платежей в Яндекс.Деньгах, тестировании и особенностях работы систем безопасности с новым типом платежей.


В этом посте речь пойдет о платежных системах Apple Pay и Samsung Pay, которые основаны на схожих принципах и отличаются в деталях. Для простоты я буду называть их просто *Pay везде, где детали не принципиальны.

Зачем все это

Оплатить товар с телефона можно давно – достаточно установить мобильное приложение вашего банка, в котором должна быть опция бесконтактной оплаты (приложение Яндекс.Денег тоже подойдет, кстати). Данные о карте хранятся в защищенном виде на устройстве пользователя и доступны по технологии HCE – это программный аналог чипа банковской карты.


Есть и отдельные программы вроде Кошелька , которые предлагают возможности беспроводной оплаты для банков-партнеров и, в качестве бонуса, хранение скидочных карт.


Вот почему раньше для бесконтактной оплаты требовались дополнительные "прослойки":

    Владельцы iPhone не могли платить бесконтактно, потому что интерфейс NFC в смартфонах Apple нельзя напрямую использовать для оплаты в сторонних приложениях. К тому же NFC появился только в iPhone 6 и SE.

  1. На многих современных смартфонах появилось отдельное устройство Secure Element (SE), которое выполняет функции EMV-чипа банковской карты и не привязано к конкретному банку или карте. Такое унифицированное решение удобнее пользователю и проще в реализации банку, у которого до этого не было оплаты со смартфона.
Apple Pay и Samsung Pay нужны в первую очередь для того, чтобы оплата со смартфона через NFC стала стандартизированной и безопасной.

Небольшой экскурс в появление Secure Element и безопасность карточек

Изначально платежные карты выпускались только с магнитной полосой, на которой был записан номер карты. Естественно, номер легко копировался, поэтому за дело взялась организация EMVCo , разработавшая более защищенный чип EMV . Эта мера позволила существенно сократить число мошеннических операций, но целиком проблему не решила. Кроме того, процесс оплаты был несовершенен и поэтому продолжались работы над дальнейшими улучшениями.



Путь был тернист, и среди прочих платежные системы пробовали следующие варианты:

    SIM-карта со встроенным чипом Secure Element, выпускаемая совместно сотовым оператором и банком-эмитентом;

    наклейка на телефон со встроенным беспроводным модулем и Secure Element;

  • использование встроенного в телефон NFC-адаптера и программной эмуляции Secure Element (HCE).

В конечном счете MasterCard "перетасовал карты" и закрепил за производителями мобильных устройств функции хранения карточных данных и проведения оплаты. Так появился MasterCard Digital Enablement Service (MDES) от MasterCard, а затем и *Pay.


Но HCE все равно полностью не исчезла, так как позволяет банкам использовать собственные мобильные приложения для бесконтактной оплаты. То есть банк может самостоятельно добавить в свое приложение функцию оплаты с карты. Плюс к тому, в приложении можно реализовать какие-нибудь фирменные удобства вроде оплаты ЖКХ.


Кстати, в мобильных Яндекс.Деньгах тоже осталась опция бесконтактной оплаты через HCE - для всех тех, кто по разным причинам не может воспользоваться *Pay.

Подружить всех со всеми

Надеюсь, теперь все причинно-следственные связи восстановлены, поэтому вернемся к проекту бесконтактной оплаты Яндекс.Денег.


Если все равно что-то осталось туманным – обязательно спрашивайте в комментариях.


Все дальнейшие сценарии буду иллюстрировать на примере карт Яндекс.Денег, по которым набралось больше всего информации.


Чтобы пользователь мог непринужденно оплатить товар с телефона, нужно тесное сотрудничество четырех сторон:

    сервиса бесконтактных платежей от производителя смартфона (Apple Pay и Samsung Pay);

    платежной системы (MasterCard);

    эмитента карточки (Яндекс.Деньги);

  1. банка-эквайера продавца.

Таким образом, команде Яндекс.Денег нужно было договориться с Apple, Samsung, Mastercard и реализовать поддержку обновленных платежных протоколов на своей стороне. Еще потребовалось добавить прием платежей через Apple Pay и Samsung Pay в Яндекс.Кассу – платёжное решение для бизнеса. Но это уже другая история.



На иллюстрации не хватает банка-эквайера – убрал его для простоты.


Когда пользователь добавляет карту в кошелек, Apple Wallet формирует криптограмму с зашифрованными данными карты и цифровой подписью, а затем отправляет ее в MasterCard. Там криптограмма расшифровывается и происходит токенизация. Токенизация – это формирование номера DPAN, который представляет собой синоним оригинальной карты, уникальный для каждого физического устройства.


Памятка о DPAN и его особенностях

Digital Primary Account Number (DPAN) – это специальный номер-токен, который платежная система выдает конкретному устройству для использования одной из карт пользователя. Такой номер уникален для каждого устройства и поэтому генерируется каждый раз при добавлении одной и той же карты в кошелек очередного устройства.


Токен нужен для того, чтобы не хранить на мобильном устройстве реальных платежных данных.


Но DPAN не будет сгенерирован, пока MasterCard не проверит поддержку *Pay на стороне эмитента, то есть Яндекс.Денег. Для этого необходимо:

    Дождаться проверки Apple или Samsung возможности использовать устройство в качестве оплаты (не украден ли телефон, есть ли права Root и т.д.).

    Подключиться к MasterCard Digital Enablement Service (MDES). Подробности о подобных приложениях едва ли не полностью подпадают под NDA, поэтому желающим придется запрашивать документацию напрямую у MasterCard.

    Реализовать поддержку специфических запросов *Pay.

  1. Протестировать систему с Apple, Samsung и MasterCard. Тестирование частично выездное, поэтому тут все не так просто, как может показаться.

Но пользователь может захотеть добавить карту не вручную, а из приложения Яндекс.Денег. Такая возможность есть, но используется немного другой механизм.

Красный, желтый, зеленый

Когда пользователь добавляет карточку в кошелек телефона, запускается один из трех сценариев дальнейшего развития событий, в зависимости от степени риска:

    Зеленый . Используется когда запрос на добавление карты приходит от мобильного приложения эмитента (Яндекс.Деньги) и в нем есть специальный ключ, подтверждающий аутентификацию пользователя в банковском приложении. Дополнительных проверок не требуется.

    Желтый . Обычно используется при добавлении карты вручную или с помощью камеры телефона (OCR). Кошелек спросит CVV-код карты и запросит дополнительную аутентификацию.

  • Оранжевый . Фактически означает отказ в добавлении карты.

Если у вас еще нет пластиковой карты Яндекс.Денег, то для пробы пера можно выпустить виртуальную прямо в приложении.


Но мы живем не в идеальном сферическом мире, поэтому часто будет использоваться именно желтый путь. Чтобы он тоже проходил гладко и на этапе распознавания реквизитов карты камерой не было проблем, мы отправили в Apple более 200 фото тестовых карточек. Без этого обучения алгоритм распознавания периодически ошибался и пытался добавить в кошелек карту с неверными данными.

Предполетная подготовка

Когда необходимый софт на бэкенде был готов, а бета-версия Яндекс.Денег обучена премудростям Apple Pay (для Samsung Pay опция токенизации через наше мобильное приложение пока недоступна), настала утомительная пора тестирования.


Кстати, для подключения к "банкету" недостаточно все реализовать и сообщить в MasterCard о готовности – платежная система и производители телефонов обязательно проверят вас лично. Например, по поводу Apple Pay к нам приехал товарищ из компании UL с набором всевозможных гаджетов Apple. Одних только iPhone у него было 6 штук - 3 поколения в 2 версиях (простая и Plus). С их помощью аудитор проверил множество сценариев оплаты, включая возврат средств.


Обновленный процессинг Яндекс.Денег работал в изолированном тестовом сегменте, поэтому для проверки использовался "белый список" карт – для них MasterCard просто включил платежи *Pay. Но вот с тестовой средой от Apple были некоторые сложности.


Например, отдельной платежной инфраструктуры для обкатки не было, поэтому тестировщикам Яндекс.Денег пришлось перевести свои смартфоны и Apple ID на регион "США" и подбирать ответы на некоторые запросы самостоятельно.


Но дьявол кроется в деталях, а ошибки – на последней миле. Оказалось, что далеко не все банки следят за обновлением прошивок своих терминалов, а кассирам в большинстве своем чужды современные технологии.



Моделей платежных терминалов и прошивок к ним довольно много, и у самых древних из них мозги сходили с ума от *Pay. Пришлось понимать и прощать, попутно сообщая в поддержку соответствующих банков о “небольших сложностях с POS-терминалом”.


Когда все уже вроде бы работало, по некоторым транзакциям в мобильный кошелёк стали приходить суммы с прочерком. Это явно означало проблемы вне систем Яндекс.Денег. Конечно, на саму оплату такие отчеты не влияли, но когнитивный диссонанс присутствовал.

(Не)лазейка для мошенников

Токенизация карт со стороны Яндекс.Денег, как и других банков, сопровождается проверкой таких запросов на мошеннические паттерны. Для этого в Яндекс.Деньгах существует отдельный механизм со своей сложной логикой и полномочиями блокировать крайне подозрительные операции – система антифрода.


Так как система работает на основе определенных правил, обнаружилась потенциальная проблема с безопасностью при токенизации чужой карты на устройство. Для этого нужны номер карты, срок действия и CVC2. Да, эмитент наверняка запросит дополнительную валидацию, но даже в случае с SMS-паролем фишинг и социальная инженерия работают. При сумме оплаты до 1000 рублей терминал даже пин-код не спросит, а SMS-оповещения включены до сих пор не у всех владельцев карт.


С такими угрозами можно бороться на уровне процессинга. Каждое действие пользователя со своим счетом или картой рассматривается в режиме онлайн фрод-машиной: если сработает хотя бы одно блокирующее правило, то транзакция будет отклонена.


Для каждого пользователя Яндекс.Денег формируется индивидуальный поведенческий профиль: что он любит и не любит, как и когда обычно платит, типичные периоды активности и множество других признаков. На основе этой информации и с помощью машинного обучения строится прогноз будущих значений, то есть наиболее вероятных действий человека. Если антифрод замечает отклонения фактических показателей от их прогноза, то может запросить дополнительную аутентификацию или отклонить транзакцию.


Про машинное обучение в системах безопасности можно много интересного рассказать в связи с его давним внедрением в Яндекс.Деньгах, но это уже тема отдельной статьи.


Если вы по работе сталкивались с другими нюансами подключения к *Pay – поделитесь в комментариях, многим будет любопытно.

Теги: Добавить метки