Офигеете сертифицировать

Это если вкратце

ну это понятно, мне интересен процесс, что надо для этого, как происходит сертификация

в инете полный голяк по этому

все как-то размыто написано, ничего не понять

там несколько уровней, самый просто кое-как можно пройти, а дальше просто ад

? дак есть какой-то наглядный пример?

Ну, отдадите от 30к$ специальной конторе за саму сертификацию и еще от 100к$ будут свои затраты. А потом все это нужно поддерживать и раз в какое-то время оплачивать проверки

серьезно?

такие суммы за сертификацию?

Мы в Гидре когда делали автоплатежи, этот вопрос изучали. Идея красивая, типа, вбил в личном кабинете данные кредитки, а Гидра каждый месяц слизывает сколько надо. Отток снижается, неплательщики исчезают как класс - лепота

Вот тут я подробно расписывал http://blog.hydra-billing.ru/stories/535

ама-файлы от сишки

могу глянуть позжей, мож чего и получится

через какой платежный шлюз работаете?

Правило буравчика такое: если у вас поток платежей меньше 1М$/мес, то дешевле платить комиссию платежной системе, у которой свой сертификат PCI DSS. Если платежей больше 1М$ в месяц, то можно подумать о своем сертификате

а сертификат какие плюсы дает вообще? )

Там в блоге перечислено все российское, что на момент публикации поддерживало рекуррентные платежи

ну я почитал уже...

Возможность хранить данные карточек клиентов на своем сервере. Всё.

а если я не хочу данные хранить, а только их получить от клиента и отправить на шлюз банка, но при этом НЕ сохранять их у себя, то тоже надо сертификат?

Ненене, не надо. Тогда только комиссию эквайеру платите и всё

если речь именно про рекуррентные платежи, когда вы сами списываете деньги с карты без действий клиента, то нужно обязательно описать всякие процедуры возвратов и тд на сайте и в договоре и это проверяют

а че? почему

Клиента в момент когда пора вводить карточку редиректите на сертифицированный платежный шлюз, он там вводит всё, а шлюз присылает вам токен

я понял он хочет сам эквайером выступать и напрямую с мерчантом взаимодействовать

а оно сейчас все с 3d secure процессится? vbv?

Дальше вы к шлюзу делаете запросы, мол, по токену такому-то списать пицот рублей. И оно списывается

а оно сейчас все с 3d secure процессится? vbv?

рекуррентные платежи только 1 раз надо подтвердить и дальше все, списываете сколько хотите

да это понятно

вообще мы тут со многими ребятами уже поговорили по поводу всех этих эквайеров и прочей этой "**лупы"... меня интересует такой момент 1) Клиент заходит на форму оплаты 2) Вбивает свою карту (на моем сайте) 3) Я данные принимаю на сервере, отсылаю их эквайеру, тот списывает бабки 4) Эквайре шлет мне в ответ "ок, все списалось" 5) Я делаю там что-то уже после оплаты автоматом в коде 6) Клиент получает то за что платил

Но как я понимаю, то нужна сертификация чтобы данные этих карт можно было вводить на сайте

или я ошибаюсь?

и да и нет. На вашем сайте присутствует iframe платежной системы и визуально все выглядит, что он вбивает карту вам, а на самом деле не вам

да вот и нет, надо чтобы в мою форму вбивал, без фреймов

Низя

а я уже просто передам их платежному шлюзу

без сертификата никак?

Хитрый план, но нет, нельзя :)

да вот и нет, надо чтобы в мою форму вбивал, без фреймов

а почему именно так, чем не устраивает работа по API с платежной системой?

я понял он хочет сам эквайером выступать и напрямую с мерчантом взаимодействовать

я правильно понял значит

ну у эквайеров там своя форма, приходится редирект делать

и все такое прочее

что не есть гуд )

ну в моем случае, конечно план работы этот подходит

но конечно лучше чтобы все выглядело будто я сам банкир 99 LVL и принимаю бабки сам )

без 3их там контор )

форма визуально выглядит «как родная», вы как-то не так себе представляете похоже

ну у эквайеров там своя форма, приходится редирект делать

они нынче позволяют свой дизайн задавать

свою шапку с сайта и т.д.

различия только в урле будут, но ктож туда смотрит

не, мне надо то что я описал

короче, сертификат обязон да? под такое

Да

а различия есть? или для всех одинаковый

различия есть, там много уровней PCI DSS

но если вы храните у себя данные карт, то все, вы уже попадаете на серъезную сертификацию

яб не сказал что это не возможно, но для "белой" конторы лучше так не делать

и не очень понятен смысл такой нереальной процедуры, с осмотром серверов для хранения карт и правильным датацентром с нужной безопасностью, когда iframe и прочие не сложные приемы создают полный эффект присутствия у вас этого же сертификата

а для сертификации еще и нужен свой сервер? или арендованный подойдет?

узнаю на будущее

а различия есть? или для всех одинаковый

https://www.transactpro.lv/ есть описание апи для интеграции с ними. это как раз для того что вы хотите

http://searchsecurity.techtarget.com/definition/PCI-DSS-merchant-levels

там схемка обрисована. гляньте

Вот тут я подробно расписывал http://blog.hydra-billing.ru/stories/535

из статьи русские чуваки - Cloud Payments, можете зарегить демку на planado.ru и посмотреть как выглядит оплата в разделе Настройки-Оплата, выберите оплату картой. Донейшены приветствуются ;)

суть такая, что нам не все типы эквайеров подходят )

ERROR: S client not available

нас многие банки говорят

идите лесом, не подключим )

типа их потом ЦБ побреет

там схемка обрисована. гляньте

это очень очень красноглазое API, у Cloud Payments обычный REST

это очень очень красноглазое API, у Cloud Payments обычный REST

а он точно дозволяет такое?

ну мы уже пару лет пользуемся и норм, платежи агрегированные приходят от Тинькова и Альфы

Тем временем https://meduza.io/news/2016/07/27/glava-fsb-prizval-reshit-problemu-beskontrolnosti-interneta

да. было уже сегодня

Я так понял, закона Яровой им оказалось ещё и недостаточно

мало

им

Экваеры могут Кастомизацию сделать

Формы

Запретить udp

И хттпс

Война чтоль грядет.

Истино говорю вам, налетит земля на небесную ось.

с внутренним врагом?

С внутренним не выйдет. Его сначала вырастить придется

так мы и вырастили

вон он сидит

в ГД

Ну чатик этот да, надо прямо по списку расстрелять. Но это так, абберации. В жмвой природе столько нет процента

товарищ майор и так уже всех записал в черный блокнотик

Ну и правильно. Чего тут отрицать.

Чутб чуть на хвост наступили и вылезла вражья сущность.

Делов то в интернет по отпечатку пальца и по белому списку сайтов. Для вас же стараются. Меньше внешнего канала растить.

Что там было, возникали Яро-опасения ?

Так, вернёмся обратно к эквайерам, те эквайеры принимают любые проекты? Ну не чернуха

И не адалт какой-то там

Что в рекомендациях от вас тут были