アプリケーションでの銀行カード支払いの受け入れ-PayOnline Payment SDK

夏の終わりに、PayOnlineはMicrosoftと一緒に、PayOnline Payment SDKのリリースを発表しました。これにより、モバイルアプリケーション開発者は非現金支払いをWindowsストアおよびWindows Phoneアプリケーションに統合できます。 9月12日に、Payment SDKのプレゼンテーションでWindows Campでプレゼンテーションを行い、アプリケーション開発者と顔を合わせて会い、アプリケーションで支払いの受け入れを実装する最も興味深い側面について話しました。 インターネットの獲得がインターネット上、特にHabré（ 1、2 ）で行われることについて多くのことが書かれているので、繰り返したくありません。すぐにビジネスに取り掛かりましょう。







「アダルト」IPSP（インターネット支払いサービスプロバイダー）と同様に、支払いトランザクションを実行できる独自のAPIがあります。 インターフェースを開発者に渡し、受け取った「コンストラクター」から、彼の側のアプリケーション開発者が、支払人と取得銀行の相互作用を担当する支払いサービスの部分を構築します。



すべてが素晴らしいものであり、開発がWebサイトに関する限りです。 インターネットの獲得とは、インターネット上でお金を受け取ることであり、したがって、この特異性を考慮して不正防止技術が開発されています。





モバイルアプリケーションでの支払い受け入れ統合の最も簡単な形式は、組み込みのブラウザーです。 取得銀行または支払いゲートウェイの支払いページと、3-Dセキュア検証確認コードを入力するためのページを表示するには、ブラウザーを構築する必要があります。 しかし、アプリケーションの設計とインターフェイスの整合性を侵害したくない場合はどうでしょうか？



この場合、上記で作成したAPIが役に立ちます。 ただし、APIを使用する場合、特に3-Dセキュアプロトコルの実装に関しては、支払いゲートウェイとのアプリケーション統合に関するかなりの作業がアプリケーション開発者にかかっています（補足記事を参照）。



ここで最も興味深いのは、SDKの説明です。SDKを使用すると、迅速かつ苦痛なく、「muchをあまり使わずに」カード支払いの承認をアプリケーションに統合できます。

コード例

Windowsストアアプリケーションのサンプルコードを検討してください。 これは、支払いの受け入れを保証するのに十分です。

private void Pay() { var conf = new Configuration { MerchantId = 1, Key = "PrivateKey", }; var request = new PayRequest { Amount = 30m, Currency = Currency.Rub, OrderId = "335636462808", CardExpMonth = 1, CardExpYear = 2018, CardCvv = 100, CardHolderName = "CARD HOLDER", CardNumber = "4111111111111111", Email = "cardholder@example.com", }; var po = new Processing(conf); po.ThreeDs += po_ThreeDs; po.Success += po_Success; po.Decline += po_Decline; po.Error += po_Error; po.Pay(request); } void po_Error(object sender, Exceptions.PaymentSDKException e) { } void po_Decline(object sender, PayResponse e) { } void po_Success(object sender, PayResponse e) { } void po_ThreeDs(object sender, PayResponse e) { ((Processing)sender).NavigateToAcsUrl(Browser, e); } class Configuration : IConfiguration { public int MerchantId { get; set; } public string Key { get; set; } }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ここで何が起こっていますか。



支払いを行うには、IConfigurationインターフェイスを実装する必要があるオブジェクトを受け入れるProcessingオブジェクトを使用する必要があります。



実装は非常にシンプルで、2つのフィールド：IDと接続時に発行される秘密キーです。

 class Configuration : IConfiguration { public int MerchantId { get; set; } public string Key { get; set; } }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

Processingオブジェクトは4つのイベントを提供します：

• 成功-支払いが成功した場合に発生します。
• 辞退-実施を拒否した場合に発生します。
• エラー-支払い時にエラーが発生した場合、たとえば、ネットワークが利用できません。
• ThreeD-追加の3-Dセキュアチェックが必要です。

後者の場合、ユーザーに発行銀行のページを表示して、コードまたはパスワードを入力し、応答を処理する必要があります。 すべてを手動で実行するか、NavigateToAcsUrlメソッドを使用できます。NavigateToAcsUrlメソッドは、ユーザーコントロール（ブラウザー（プラットフォームごとに独自のブラウザー）およびPayResponseオブジェクト）をパラメーターとして受け取ります。



最後に、Payメソッドを呼び出すには、次のフィールドを含むPayRequestを渡す必要があります。

• 金額-支払い金額。
• 通貨-通貨（ルーブル、米ドル、ユーロがサポートされています）。
• OrderId-システムで生成する注文のID。
• CardExpMonth-カードの有効期限月。
• CardExpYear-カードの有効期限。
• CardCvv-CVC2 / CVV2。
• CardHolderNameは、カード名義人の名前です。
• CardNumber-カード番号。
• 電子メール-支払人の電子メール。

PCI PA-DSSについて

もちろん、経験豊富な読者は、SDKでカード番号を操作してPCI DSSがどのように機能するかを確認します。 はい、確かに、支払い中に銀行カードのデータを入力するアプリケーションは、正式にはPCI DSS標準、またはむしろPCI PA-DSSに該当します。



投稿で詳細に書いた PCI DSSとは何ですか？ PCI PA-DSSは、関連するPCI DSSペイメントカード業界のペイメントアプリケーションセキュリティ標準です。

• 範囲：カード所有者に関するデータを保存、処理、または転送するアプリケーション。
• 適用基準：少なくとも1つのカード番号（PAN）の保管、処理、または転送。
• 適合基準：要件の100％への準拠。
• 確認方法：監査組織による申請の監査。
• 確認頻度：毎年。

標準の範囲から理解しやすいため、アプリケーションに銀行カードのデータが入力された場合、標準の範囲内に収まります。 また、APIとSDKの両方を使用するアプリケーションの所有者は、証明書の取得について検討する必要があるように思われます。



ただし、最初に、モバイルアプリケーションには明確な要件（オンラインストアなど）がまったくないことに注意してください。2番目に、小規模企業の場合、認証は正式にのみ厳密に必要です。 たとえば、クレジットカードで支払う機会を顧客に提供するすべてのオンラインストアには、サービスプロバイダーの安全な支払いページで支払い自体が行われる場合でも、PCI DSSレベル4証明書が必要です。 ただし、1か月に20,000ルーブルのカード売り上げがあるオンラインストアでは、毎年の認定を受ける必要がないことは誰にとっても明らかです。同じ状況は、モバイルアプリケーションのPA-DSS認定にも当てはまります。

支払いデータをpayIDに置き換える可能性について

標準の要件は、銀行カードデータを入力するアプリケーションに適用されます。 アプリケーションが支払いデータを入力せず、特定の識別子を入力した場合、アプリケーションはカードデータの処理を中止し、認証は不要になります。



2013年の初めに、PayIDプロジェクトを開始しました。これにより、支払い情報を入力せずに支払いを受け入れることができます。 銀行カードの所有者は、payIDでアカウントを作成し、銀行カードをそれにバインドし、PayOnline経由で支払いを受け入れるサイトで支払いを行う場合、彼は完全なカードの詳細を入力しませんが、彼のpayIDとCVC \ CVVコードを入力します。 これにより、オンラインストアまたはアプリケーションから支払人までの銀行カードデータを処理する責任を軽減することができます。これにより、カードデータとアカウントのお金の100％のセキュリティを確保できます。



PayID支払いをアプリケーションに組み込むと、組み込みの支払いフォームなしでカード支払いを受け入れ、PA-DSS認定、恐怖、および非難を渡すことができます。

Pro Future Payment SDK

上で書いたように、この夏の終わりにWindows SDKを開始しましたが、この製品はまだ新鮮であり、活発に開発中です。 一般に、モバイルアプリケーションでのカード支払いの受け入れの範囲は、それ自体非常に新しいものです。 セキュリティ標準がまだ策定されている限り、標準の電子商取引ほど厳しく管理されているわけではありません。



しかし、ロシアでのモバイルインターネットの人気の成長のダイナミクス、電話からスマートフォンへの大規模な移行、ロシア語のアプリケーションの数の増加-これらはすべて、電子商取引のモバイルセグメント、その可能性と収益化能力で働くことの約束を物語っています。

そのため、Payment SDKの開発を継続し、いくつかの方向に進む予定です。

• 開発者にとっての機会の拡大：プラットフォームのリスト（Android、iOS）およびサポートされているプログラミング言語のリスト-ここにあるものはすべて明確で、コメントはありません。
• カードからカードへの転送：カードからカードへの転送のサービスが実装されており、すでにHabréでそれについて書いています。 このサービスを寄付スキームに従って動作するアプリケーションに統合する可能性を実装することを考えています。 アプリケーション所有者は、IPの登録、名刺Webサイトの作成、および支払いゲートウェイとの契約を締結する必要を回避できます。 彼は、送金を受け取るために銀行カードのみが必要です。
• アプリケーションでのpayIDを介した便利な支払い受理： payIDの使用が便利で収益性の高い理由は、PCI PCI-DSS投稿に関する部分から明らかです。 これにより、認証コストを回避し、カードデータに対する責任を軽減し、新規顧客を引き付けることができます。

現在、アプリケーションに既に存在する場合、カード所有者を識別子の所有者にシームレスに変換する方法を考えています。



考えるべき多くのトピックがありますが、それだけではありません。建設的な批判、PayOnline Payment SDKを開発するための興味深いアイデア、提案に対してhabrazhitelに感謝します。



nugetからダウンロードできます： https ://www.nuget.org/packages/PayOnline_PaymentSDK/