Webshopban bankkártyát elfogadni kereskedőként mennyire biztonságos?

Internet: PHP, CGI, stb.

Sziasztok!

Pont most vezetnék be webshopban online bankkártya elfogadást, és azon gondolkoztam, hogy bankkártyás csalások ellen létezik-e védelem, és ha lopott kártyával fizet valaki, lehet-e ez ellen egyáltalán tenni valamit?

Pont most írt erről az Index: http://index.hu/tech/2016/11/24/mi_tortenik_egy_lopott_bankkartyaszamma…

Megerősítette bennem az elképzelést, hogy igazából a kereskedő nem sok mindent tud tenni. Tényleg az a megoldás, amit a cikk ír, hogy bele kell kalkulálni a lopott kártyás vásárlások miatti veszteséget az árba?

Mivel összességében irdatlan pénzekről van szó, aminek a nagy része sosem térül meg, ezt a veszteséget (vagy a biztosítás költségét, amit kötnek rá) kénytelenek belekalkulálni az áraikba az online boltok és szolgáltatók, ahogy a bolti lopásokat a hagyományos áruházak. Így aztán végső soron minden vásárló megszívja.

Furcsa nekem, hogy még 2016-ra sem sikerült biztonságossá tenni az internetes vásárlást. Alapvetően az egész elgondolás hibás: a bankkártyaadatok ismeretében bárki vásárolhat adott kártyával az interneten. Sok esetben pedig a kereskedőhöz eljutnak a bankkártyaadatok, innentől kezdve pedig csak idő kérdése, hogy mikor szivárognak ki.

Pl. tök durva, hogy a legnagyobb szállásközvetítő oldalakon a legtöbb helyen meg kell adni foglaláskor a bankkártyaadatainkat, és hová kerülnek ezek a kártyaadatok? Közvetlenül eljutnak a szállásadóhoz. Aki aztán ha tárolja saját rendszerében, és azt a rendszert feltörik, máris kiszivárognak az adatok. De sokkal egyszerűbben is kiszivároghatnak: adott recepciós szépen felirogatja magának a kártyaaadatokat, majd észrevétlenül értékesíti azokat. Kb. soha nem derül ki szerintem. És gondoljunk bele, naponta hány internetes szállásfoglalás történik, ahol megadják a kártyaadatokat? Naponta több milliószor jutnak el kártyaadatok a legkülönfélébb szállások felé.

Ez csak egy példa volt. Az a lényeg, hogy ha egy adott webshopban lopott bankkártyával vásárol egy csaló, nem nagyon látok rá módot, hogy lehet ez ellen védekezni. Ha már teljesítésre került a megrendelés, és ezután reklamál csak az igazi bankkártyatulajdonos, akkor mit lehet tenni? A kereskedő nyeli le a veszteséget, az igazi kártyatulajdonos, a bank, a kártyakibocsátó, vagy mindenki megosztva?

Olyan rendszert kellett volna már rég bevezetni mindenhol, mint a Paypal: a kártyaadatok soha nem jutnak el a kereskedőhöz, így csak akkor lehet ellopni a kártyaadatokat, ha feltörik a Paypalt. Ha viszont a Paypal titkosítva tárolja a kártyaadatokat, akkor meg elég nehéz ugye feltörni.

Azt hiszem, a Mastercard és Visa cégeknek is van már Paypalhoz hasonló szolgáltatása, de nem számít, amíg nem teszik kötelezővé. Ugyanis a kérdés szempontjából az a fő probléma, hogy még mindig nagyon sok ellopott bankkártyaadat van, amit felhasználnak webshopokban vásárlásokhoz. Akkor oldódna meg a probléma, ha csak Paypal-szerű módszerrel lehet interneten fizetni, más módokat nem engedélyeznének a kártyatársaságok.

Akkor tényleg bele kell kalkulálni webshopnál online bankkártya elfogadáskor, hogy lesznek lopott kártyás vásárlások, ami miatt veszteség keletkezik, más védekezés nincsen?

( mauzi v | 2016. 11. 24., cs – 21:27 )

Használod valamelyik bank vPOS szolgáltatását, ahol a kereskedőhöz (hozzád) sosem jutnak el a kártyaadatok, csak a banktól egy visszaigazolás, hogy sikerült-e a zárolás vagy sem.

Ok és ez miben megoldás a problémára? Egyébként igen, olyan rendszereket néztem, amiknél hozzám nem jutnak el a kártyaadatokat, azt kéne még csak, hogy nekem kelljen tárolni, feldolgozni a bankkártyadatokat, ezt inkább kihagyom.

De ez nem megoldás a problémára: attól még, hogy a kártyaelfogadó cég feldolgozta a kártyát és levonta róla az összeget, honnan lehet tudni, hogy nem volt lopott a bankkártya? Leszállítom az árut a webshopból, utána 2 héttel jelentkezik az igazi kártyatulajdonos, hogy most vette észre, jogosulatlanul használták a kártyáját, bank visszaveszi tőlem a pénzt, az áru meg már kiszállítva -> veszteség.

Ez tuti? Akkor ez megnyugtató.

És nem bankkal szerződök, hanem egyéb céggel, akik online bankkártya elfogadást kínálnak, de nem bankok? Ők sem veszik vissza tőlem mint kereskedőtől a pénzt, ha lopott kártyával vásárolt valaki?

Mondjuk ha ez így van, akkor meg ez bele van építve a kártyaelfogadás díjába, tehát akkor közvetett módon mégis éri valamennyi kis kár a webshopot is az emiatt jelentkező magasabb kártyaelfogadási díj képében.

Akkor most mégis a webshop tulaj szívja meg?
Vesznek tőlem tegyük fel 2 milliós Rolex órát, kiszállítom, utána valamennyi idővel kapok egy chargeback-et, a pénzt visszaveszi a bank, az órát nem kapom vissza, elmegy 3 havi profit? Az vicces lenne. Mondjuk nem árulok Rolex órákat, csak egy példa volt.

Igen lehet, bár fizikai termék esetén talán annyival jobb, hogy tudod bizonyítani, hogy leszállítottad, nem fizikaiaknál nem igen vevők ilyesmire. De ha lopott a kártya, akkor pénz mindenképp visszamegy aztán lehet menni a rendőrségre feljelentést tenni mert mindenki szétteszi a karját.

( kbalint v | 2016. 11. 24., cs – 21:30 )

huhh, mintha anyám érvelését hallanám pár évvel ezelőttről, hogy miért nincs bankkártyája (már van, sőt azzal fizeti a számláit is - online).

0) szállásfoglalás != webshop

1) nagyon nehéz olyan banki interface-t találni 2016-ban (de 2002-ben is nehéz volt) ami neked átadja az ügyfél kártyaszámát. Vagy tényleges tranzakciót tudsz az interface-en bonyolítani, vagy be tudod foglalni az összeget.

2) a magyar bankok (általában) felelősséget vállalnak a tranzakciók hitelességéért. Tapasztalataim szerint a bank felelős az interface-en bonyolított tranzakciók hitelességéért, és nem a vele szerződött webshop. Volt már visszaélésre példa, és a bank egyszerűen bevasalta az összeget a magyar ügyfélen.

Nekem is van bankkártyám, használom is online, nem erre vonatkozott a kérdés.

A szállásfoglalás nem webshop, de nem értem, miért nem egyértelmű, amit írtam. Egy példát vázoltam fel, hogyan jut el naponta több millió bankkártyaadat közvetlenül mindenféle szállásadóhoz teljesen ellenőrizetlenül. Innentől kezdve ha van néhány rosszindulatú recepciós, minden további nélkül fel tudják maguknak írni a bankkártyadatokat. Ha foglalsz interneten szállást és elkérik garanciaként a bankkártyadataidat, akkor ezeket az adatokat látja a hotel, ahová foglaltál (név, kártyaszám, lejárati dátum, CVC). Ezért mondtam, hogy eleve nem biztonságos ez a rendszer, alapvetően hibás konstrukció. Tehát akkor könnyen illetéktelenek kezébe kerülhetnek kártyadatok, amikkel egyszer webshopban vásárolhat, és ez a kereskedő rizikója. Erre írtam ezt a példát.

Attól még, hogy nekem nem adja át a bankkártyaszámot, ez miben megoldás a felvázolt problémára, mely szerint nagyon sok lopott bankkártya van, amikkel akár az én webshopomban is fizethetnek?

Szerintem nem érted a kérdésem.

Biztos vagy abban, hogy mindig a bank nyeli le a veszteséget? a webshopnak soha nem lesz vesztesége? Ha igen, akkor ez megnyugtató. Bár gyanítom, annyira nem egyszerű azért a történet.

pontosan értettem a kérdésedet, tizensok éve foglalkozom webshopokkal+online fizetéssel és emellett két magyar szállásfoglalási site indításában is részt vettem, ezért írtam azt, amit írtam. Az általad vázolt "példák" nem életszerűek, hanem pontosan olyan félelmek, mint amilyenek az átlagember fejében van a bankbiztonsággal kapcsolatban. :)
Védve van a segged boltosként és vásárlóként is, ezt állítom a magyar bankokat és apikat ismerve.

na az szuper, szóval ha nálam a webshopban lopott kártyával vásárolnak, az nem az én gondom, hanem a kártyaelfogadó társaságé / banké, akivel szerződtem? Ő nyeli le a veszteséget?

De a szállásfoglalásos példa miért nem életszerű? Az tény, hogy eljutnak a kártyaadatok a szállásadókhoz, innentől kezdve ha egy recepciós ezeket eladja, akkor 1) ezt nem lehet megakadályozni, 2) soha nem derül ki. Ezt csak arra írtam példaként, hogy ne csodálkozzunk, hogy ilyen sok lopott kártyaadat van, amíg ilyen lyukas a rendszer.

Sok szállásfoglaló oldalon úgy működik a foglalás, hogy meg kell adnod a kártyaadaidat a foglaláshoz. Aztán ha későn mondod le vagy nem mész el, akkor a szállásadó megterhelheti a kártyádat, beszedve így a kötbért. Hogyan terheli meg? Egyszerűen megnyitja a foglalásod, amiben LÁTJA a bankkártyaszámod, lejárati dátumot, sokszor még a CVC-t is. Ezt bepötyögi a bankkártya terminálba, és megpróbálja megterhelni. Remélheted, hogy nem írják fel egy kis cetlire a kártyadataidat, ami aztán hónapokig pihen a recepción.

De akár el is adhatja az adatokat, ha ezt tenné, sosem derülne ki. Nagyon nem biztonságos rendszer.

szállások: amennyiben online bekérik az kártyaadatokat, az csak a) az identitásod ellenőrzésére használják [azonos névre szóljon a kártya és a foglalás is] b) befoglalják / leemelik az összeget a számládról. Nem jut el a recepciósig a kártyaadatod. Akkor féljél inkább attól, hogy lefénymásolja az útleveled / személyid amikor bejelentkezel, ha már identity theft.
nem hiszem, hogy sok magyar lopott kártyaszám lenne csak úgy a világban; és egyébként is van egy nem nyilvános adatbázis a letiltott kártyákról, ezt viszont a kártyakibocsájtók intézik, tehát már a banki oldalról lepattannak a gyanús tranzakciók.

Szerintem ezt rosszul tudod, mert én fent vagyok egy szállással a booking.com-on és egyéb helyeken, és ha kártyagaranciát kérek a foglaláshoz, akkor eljut hozzám a teljes kártyadat: név, kártyaszám, lejárati dátum, CVC kód. Látom plain textben. Azt csinálok vele, amit akarok. Ez így működik minden szállásnál. MInden szállásadó látja a teljes kártyaadatokat. naponta több milliószor.

Azt írtad, hogy "Nem jut el a recepciósig a kártyaadatod". De eljut. Olyan, mintha felírnád egy papírra a kártyadadaidat és odaadnád a recepciós kezébe. Amikor szállásfoglalás mellé kérik a kártyádat a foglalás garantálásához. Ezt egy az egyben továbbítja a szállásközvetítő a szállásnak plain textben, persze SSL-en keresztül.

Tolem is kerte nemet hotel, hogy akkor kuldjem mar el szkennelve a kartyamat. Mikor megirtam, hogy ez tobb mint insecure, akkor mar eleg volt a kartyaszamot megadni es azzal lecsekkoltak. Egyebkent nagyon szeretik hasznalni, az online vonatjegyhez is kerik, ha nincs szemelyid amit szeretnek.

otp-vel amúgy is vigyázni kell!
Mikor még ügyfelük voltam akkor játszották el, hogy belecsempésztek az aláírandó papírok közé egy olyat, hogy hozzájárulok, hogy adataimat kiadják harmadik félnek.
Még szerencse, hogy minden papírt átolvasok mielőtt aláírok.
Mikor mondtam, hogy ezt így nem írom alá még fel voltak háborodva és köteleztek volna aláírni. Végül csak talált egy olyat, hogy beikszeli a gépbe, hogy nem járulok hozzá.
Ki is kellett persze nyomtatni újra a paksamétát mert ugye a gépbe nem lehetett csak ezt az egy papírt nyomtatni...
Nem is voltam náluk sokáig ügyfél.

pch
--
http://www.buster.hu "A" számlázó
--

Én sem szeretem őket, lépek is tőlük, amint sikerül minden kötődésemet kivezetnem, DE nemrég pont ők voltak azok, akik felhívtak, hogy mennyire vagyok épp Thaiföldön, mert hogy ott használták az előbb a bankkártyámat. Miután tisztáztuk, hogy munkaidőben nem nagyon, másnap a számlámon volt a leemelt összeg, meg az előző nap azért "administrative" ráterhelt kártyaletiltási díj.
Szóval, ilyen szempontból, mint kártyatulajdonos védve vagyok a lopás ellen, de úgy gondolom, webshop-ként is, ha az API-jukon keresztül fizet valaki, akkor ők vállalják a tranzakció felelősségét (max. kikérik a webshoptól a jogtalan kártyahasználóról ismert infókat).

Ennek ellenére én igyekszem kerülni, hogy közvetlen a webshop-on megadjam a kártyaadataimat. Nemzetköziben csak PayPal, itthon meg csak ismert bank API-ja. pl. a Simple-t sem vagyok hajlandó használni - annak ellenére, hogy közben kiderült, hogy az is az OTP-é.

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

1: Nekem sajnos nem ez a tapasztalatom: kulfoldi vasarlas eseten szinte 100%-ban a kereskedo honlapjan irom be az kartyaadatokat. A magyar szolgaltatok (pl. https://www.wirecard.hu) is probaljak arre ravazetni a webshopokat, hogy a kartyaadatokat a bolt oldalan kelljen megadni es azokat mentsek el(!) a webshopok, hogy legkozelebb ne kelljen bepotyogni es igy majd mennyivel tobben fognak vasarolni!

Legutobb az aliexpress-en akartam valamit venni, de nem lehetett paypal-al fizetni es valahogy nem volt ingerem egy kinai oldalra beirni a kartyaadatamiat. A megoldas az lett, hogy https://wirexapp.com/ -en csinaltam egy virtualis bankkartyat, amit bitcoinnal feltoltottem es ezzel fizettem.

Pont most futottam bele: 


const stripe = require('stripe')('sk_test_BQokikJOvBiI2HlWgH4olfQ2');

// Create your first payment from a test card.
const charge = await stripe.charges.create({
  amount: 2000,
  currency: 'usd',
  source: {
    number: '4242424242424242',
    cvc: '123',
    exp_month: 12,
    exp_year: 2018
  }
});

https://stripe.com/

Megneztem a tobbi nagy feldolgozot is es mindenhol ugyanez a gyakorlat:
- https://www.braintreepayments.com/payment-methods/accept-credit-cards
- https://worldpay.com/us/developers/apidocs/creditcardnotpresent.html?la…
- https://github.com/cardinity/cardinity-sdk-php#create-new-payment

( Proci85 v | 2016. 11. 24., cs – 22:01 )

Bizonyos bankoknál online kártyás vásárlás során SMS-ben egy kódot kapsz. Ezt a webes felület bekéri a fizetési procedúra során. Nem tudom, hogy minden webes interface tudja-e értelmezni ezt a módot. A linuxakademia.hu rögtön jól reagálta le, meg is lepődtem.
Elvileg van tokenes megoldás is. Szóval jobb helyeken a kártyán szereplő adat (ami tényleg cink, hogy mindent szerepeltet), már kevés.

Ez nem megoldás a felvázolt problémára. nem az a kérdés, te hogyan véded a saját kártyaadataidat, hanem ha van egy webshopod, hogyan védekezel a lopott kártyás vásárlások ellen. Amíg nem a fentihez hasonló módon lehet csak mindenhol fizetni online, addig fennáll a probléma.

Szuper, de aki nem így tesz, ellopják a kártyaadatait és vásárolnak vele a webshopodban, akkor hajadra kenheted, hogy a saját bankkártyaadataidat megvédted, mert nem is erre vonatkozott a kérdés, hanem hogy mit csinálsz, ha saját webshopodban mások lopott bankkártyaadataival vásárolnak.

Magyarországon is, Angliában is a legtöbb bankkártyámhoz tartozik plusz ellenőrzés. Amikor megadom a kártya adataimat akárhol, akkor átküld egy másik lapra, ahol általában egy külön jelszó pár karakterét kell beírni.
https://en.wikipedia.org/wiki/3-D_Secure

A magyar Citibankos kártyám esetén SMS-ben küldenek egy kódot, és azt kell megadni.

( eax | 2016. 11. 24., cs – 22:30 )

"Pont most vezetnék be webshopban online bankkártya elfogadást, és azon gondolkoztam, hogy bankkártyás csalások ellen létezik-e védelem, és ha lopott kártyával fizet valaki, lehet-e ez ellen egyáltalán tenni valamit?"

Ez az 1 milliard dollaros kerdes. :)

Amit lehet ellene tenni, az a kockazatelemzes. Megnezed, hogy mi az aru, vasarolt-e mar nalad a juzer, mi a kiszallitasi cim, melyik orszagbol van a kartya, ez alapjan pedig megtippeled, hogy mekkora esellyel fraud. Pl. ha a juzer minden hetvegen rendel egy zacsko pillecukrot 500 forintert, ugyanazzal az OTP-s kartyaval, magyar IP-rol, ugyanabba a csepeli panelbe, az eleg valoszinu hogy legitim. Ha tor-rol rendelnek egy nagyobb szallitmany arany Rolexet egy amerikai kartyaval Uzbegisztanba, akkor lehet kezdeni gyanakodni, meg akkor is, ha harmadikra azert eltalalja a CVC kodot.
Ilyet egyebkent a legtobb payment provider biztosit, nyilvan penzert.

A masik amit lehet tenni, az a CVC-AVS-3DSecure kombo, utobbinal el a liability shift, azaz az authentikalt tranzakcioknal a fraud risk-et az issuer viseli.

Amit viszont hozza kell tenni, hogy ezek kozul egyik sincs ingyen, koltsege van annak is, ha elutasitasz (legitim) tranzakciokat es annak is ha "tultolod" a userek azonositasat (minden extra kotelezoen kitoltendo mezo csokkenti a konverziot).

--
"You're NOT paranoid, we really are out to get you!"

Nem felteteleztem az ellenkezojet. Hogy konkretan ki keri el a kartyaszamot, az ebbol a szempontbol mellekes, annyit szamit, hogy igy nem kell PCI-DSS compliantnek lenned, de a felelosseg meg a tied (ami logikus is, te tudod eldonteni, hogy hol szeretned beloni a hatart a false negative es a false positive kozott).

Itt van pl. a sagepay doksija, ez eleg informativ.

--
"You're NOT paranoid, we really are out to get you!"

( gyu v | 2016. 11. 24., cs – 23:03 )

Hint: PayPal-on, mint alternatíván nem gondolkodtál?
Nem tudom mekkora jutalékot vonnak, de általában én ha egy webshopban látok kártyás fizetési lehetőséget meg paypal-t, akkor 10-ből 10-szer paypal-al fizetek.
Átlag webshop-nál fene tuda, hogy a kártyás fizetés hogy történik. Egyetlen egy hely van, ahol vonakodva ugyan de megadtam a bankkártya-adataimat fizetéskor: bud.hu. Valahogy úgy tűnik, ők még mindig a kőkorban élnek, de sajnos a reptérhez legközelebb ők tudnak parkolót biztosítani, így nem volt alternatíva :(

Igen de akinek nincs Paypal fiókja? ha nincs sima bankkártyás fizetési lehetőség, az szerintem rontja a konverziót. Minél többféle fizetési lehetőség van, annál jobb (egy bizonyos határig). Ha csak a Paypalt engedem és valakinek van bankkártyája, de nincs Paypal fiókja, akkor tudtommal a Paypal rákényszeríti a regisztrációra, és csak utána tud vásárolni. Az viszont eléggé konverzió romboló.

Egyébként igen, megoldás lenne, ha mondjuk csak Paypalt vagy banki utalást fogadnék el, de akkor kizárom azokat, akik kártyával fizetnének, de nem ismerik / nem akarnak Paypalt használni.

( pch v | 2016. 11. 25., p – 07:41 )

Amiket eddig csináltam webshopokat ott a beírt kártyaadat nem került a webshop tulajdonába.
Átadtad az árucikkeket a végösszeget a tokent meg egy biztonsági kódot.
Visszajött, hogy sikerült vagy nem és ha nem akkor miért nem.
Meg egy ellenőrző token, hogy tudd azonosítani, hogy tényleg a bankból jött a válasz.
Ha sikerült visszakaptad:
-kártyaszám első és utolsó 3-3 szám
-kártya ügyfél neve
-token
-levett összeg
Ha nem sikerült:
-token
-hibakód
-kártyaszám első és utolsó 3-3 szám

pch
--
http://www.buster.hu "A" számlázó
--

Nemegészen.
Mármint nem banki oldalon. Van olyan cég aki direkt erre építette fel a szolgáltatását.
Van api-ja plugin modul minden sz@r ami megkönnyíti a munkádat.
Nagyon korrektek, ha beszélsz velük.
Én mindig őket ajánlom ha valaki webshopba akar online fizetést.
Már csak azért jobb mert nem függsz a bankodtól.

pch
--
http://www.buster.hu "A" számlázó
--

( sj | 2016. 11. 25., p – 08:16 )

bankkártyás csalások ellen létezik-e védelem

legalabbis valami enyhites lenne, ha pl. ha a fizikai kartyan lathato szamot nem lehetne a neten hasznalni, hanem arra csak a virtualis kartya lenne jo.

Sok esetben pedig a kereskedőhöz eljutnak a bankkártyaadatok,

na ez itt a gaz, de erre is jo a virtualis kartya

Pl. tök durva, hogy a legnagyobb szállásközvetítő oldalakon a legtöbb helyen meg kell adni foglaláskor a bankkártyaadatainkat

ez is meger egy kozepso ujjat

Ha viszont a Paypal titkosítva tárolja a kártyaadatokat, akkor meg elég nehéz ugye feltörni.

Hatttooo, egy sec. audit eredmenyet azert szivesen megneznem...

( hory v | 2016. 11. 25., p – 13:43 )

Hogy ki fizeti a hamis kartyazas koltseget, rogzitve van a terms & conditions -ben, amikor szerzodsz kartya elfogadasra. El kell olvasni.

( transglob v | 2016. 11. 25., p – 14:31 )

Szia,

a bankkártya elfogadás egy igen bonyolult kérdés.
Azt semmiképpen nem ajánlanám neked, hogy nálad bármilyen kártyaadat megjelenjen. Amint nálad megjelenik kártyaadat máris PCI-DSS compliant-nak kell lenned.
A PCI esetében a kötelezettségeid attól függnek, hogy mi a tevékenységed (pl. ha webshop vagy az más kategória mintha payment provider vagy) vagy hány tranzakciót végzel. (https://www.pcisecuritystandards.org/document_library?category=pcidss&d…)
Ha esetleg felmerülne valakiben, hogy igen van az a szint, hogy csak nyilatkoznod kell akkor lenyilatkozod, hogy compliant vagy aztán csinálod ahogy akarod érdemes a mérleg másik oldalára tenni, hogy ezek után kártyaadatok kerülnek ki tőled és ezt a kártyatársaság veszi észre akkor kártyaadatonként ~10EUR a bünti! (természetesen ez is változó vannak "kedvezmények" :) )
Mindenképpen egy Payment provider használatát ajánlanám neked viszont ebben az esetben a fraud kezelését nem tudod elvégezni mert nem látsz kártyaadatot!
Fraud kezelésre vannak service-ek (https://seon.io/, https://www.maxmind.com/en/home) amiket a Payment providerek használnak is (igen ennek ellenére átcsúszik jópár fizetés)
A Payment provider választásakor amiket mérlegelni kell a szerződés apróbetűin kívül azok a díjak, az integrálhatóság és, hogy mit kérnek cserébe.
Ha pl a Barion-t (https://www.barion.com) választod akkor ott a díjak alacsonynak mondhatók, az integrálhatóság se egy túl nagy feladat (Rest API, illetve vannak pluginek pl Woocommerce-hez) viszont a kosártartalmat cserébe át kell adnod.

remélem segítettem a döntés meghozásában :)

zeller

( Charybdis | 2016. 11. 29., k – 19:24 )

Nem túl megnyugtató választ kaptam az egyik nagy bankkártyaelfogadó cégtől. Azt írják, hogy ők szűrik a lopott bankkártyákat, de ha túl későn veszik észre a lopott kártyával való fizetést és utána reklamál az igazi bankkártyatulajdonos, akkor a kereskedőnek kell megtéríteni a kárt. De ez állítólag ritkán fordul elő és inkább csak digitális termékeknél.

Hát kösz. Elég, ha egyetlen egyszer fordul elő egy nagy értékű terméknél, egy kis cég ilyen esetben már bukhatja több havi profitját, rossz esetben még csődbe is mehet.

Ezek szerint elég nagy kockázat ez az internetes bankkártyás elfogadás projekt, kivéve ha Paypalt fogadok csak el. Akkor mégis inkább lehet, hogy marad csak a Paypal.

Mondok erre egy példát, hogy egy nagyobb voip-platform fejlesztője miért NEM javasolja a Paypal-t (csak annak valami advanced verzióját):
1) a felhasználó regisztrál weben
2) Paypal-al feltölt (mondjuk 50EUR-t)
3) gyorsan letelefonálja (mondjuk drága országba v emeltdíjas számra)
4) majd hirtelen felindulásból kér Paypal visszatérítést

A kereskedő a rendszerben azonnal jóváírta az összeget
amit az Ügyfél el is használt
majd vissza is kapott.
A kereskedő hirtelen bukott 50EUR-t, open reg rendszernél pedig péntek estétől hétfő reggel elkövethetik pár alkalommal...

Én egyszer régebben PayPal vásárlóként kértem ilyen visszatérítést, mert vettem egy ebookot PayPallal, amire 100% garanciát vállalt az eladó, érvényesítettem az eladónál a garanciát határidőn belül, de nem kaptam semmilyen választ. Ekkor kértem a PayPaltól a visszatérítést, de meg kellett indokolni, hogy miért kérem. Eltelt kis idő, ami alatt az eladónak volt lehetősége választ adni a panaszomra. Nem jött válasz az eladótól, ezért a PayPal vette kézbe az ügyet, megvizsgálták, és visszautalták a pénzt.

Gondolom ez hasonlóan működik most is, tehát ha az eladó bizonyítja, hogy már elhasználta az egyenleget, linkeli az ÁSZF-et, akkor gondolom azért a PayPal nem utalgatja vissza alapból a pénzt.

PayPal nagyon a felhasználó felé húz és az eladónak kell igazolni, hogy a vásárló nyafogása alaptalan.

Ha a vásárló balfasz és valahogy belépnek az accountjába és azzal rendelnek valamit, majd késöbb jelzi a PayPal-nak hogy ezt nem is ő rendelte, akkor is simán visszavonhatják a kereskedőtől a pénzt.

Az eladó rá van szorulva, hogy PayPal fizetési módot kirakja, különben elesik azoktól a vásárlóktól akik azt használnák és ezt a PayPal ki is használja.

A magas fee-ről és a botrány átváltási árfolyamról ne is beszéljünk:

Jelenleg épp így vált: 1 EUR -> 298.708 HUF, 325.407 HUF -> 1 EUR

Pár napja jött: 


Donation details
Sent by *  1,00 USD
Fee        0,34 USD
Amount     0,66 USD

fair.

PayPal rossz átváltási árfolyama csak akkor baj, ha ki szeretnéd utalni a magyar PayPal fiókból a bent lévő devizát, mert ekkor csak magyar bankba enged utalni és forintban (PayPal váltja át a bent lévő devizát forintra a saját árfolyamukon, majd ezt a forintot utalja ki a magyar bankszámlára).

Egyéb esetekben elkerülhető. Vásárláskor meg kell adni, hogy a kártyatársaság árfolyamát használja (eldugott opció a vásárlói oldalon). Bejövő pénznél pedig meg kell adni, hogy külön alszámlát használjon minden devizának, ekkor sincs átváltás.

Az a baj, hogy ha pl gbp-ben utal nekem valaki, akkor bár tárolhatom gbp-ként, de ha az usa-ból akarok vásárolni, akkor az szar árfolyamon átváltódik usd-be, ha németországból akkor eur-ra, ha magyar webshopból, akkor meg huf-ra.

Tény hogy így csak 1x szopod meg az árfolyamot, de akkor is eléggé....

Azért ilyen egyértelmű felhasználói visszaélésnél a PayPal sem enged visszatérítést kérni. Ettől függetlenül kétség kívül részrehajlóak a vevő felé. Egy automatikus havidíj levonást például simán visszaadnak a vevőnek ha az "nem egyértelmű hogyan kell felmondani" vagy hasonló ürüggyel bepróbálkozik.

Mondjuk azt nem értem még, ha ritkán fordul elő becsúszott lopott bankkártya, akkor miért nem vállalja át ennek költségét a kártyaelfogadást biztosító szolgáltató? ja mert valójában mégsem annyira ritka eset ez, hogy átvállalják? Ha ilyen ritka lenne, simán átvállalhatnák.

( szabi2k v | 2016. 11. 29., k – 23:57 )

Mar regebb volt, de foglalkoztam online kartyafizetessel nemzetkozi siteokon. Tagsagdijat lehetett kartyaval fizetni, szoval nem kezzelfoghato targyrol volt szo, de azert leirom a tapasztalatokat...

Amire figyelni kell:
- ha azt irja, hogy pl USA kartya es az IP-je Afrika vagy Azsia, legjobb le se vonni a penzt (meglepodnel, ha tudnad, hogy mennyien probalkoznak meg mindig ilyesmivel...), ezzel a csalok tobbseget ki is szurted :) Ha csak Magyarorszagi kliensekre szamitasz, akkor letilthatod az osszes kulfoldi IP-t, s maris egy halom gondtol megszabadultal.
- amin en dolgoztam nem volt nagyon sok rendeles naponta, ugyhogy kezzel at voltak nezve, ami nagyon gyanus, az vissza volt fizetve
- ne szamits arra, hogy a bank vagy barki mas atvalalja helyetted a kockazatot (ne szallits Rolexeket, ha nem tudod elviselni par termek elveszteset :) ), szamitsd nyugodtan bele az arba (legyen mondjuk + 10% (hasrautes)), es idovel (mondjuk felevente) finomitod... Ha kevesebb a csalo, akkor kevesebbet tegyel ra... Ha nagyon kis arressel dolgozol, es nagy a konkurencia... akkor pech... nincs otletem...
- van olyan online fizetes szolgaltato, amelyik simman lockolja az accountodat, penzestol, ha a "chargeback rate"-ed az "industrial average" felett van (valami 7% remlik, vagy 0.7%, mar nem emlekszem, de ez amugy is fugg attol, hogy mivel foglalkozol, ugyhogy nem relevans a te szemszogodbol)
- a Paypal-nel ha jol emlekszem fel evig vissza lehet kerni a penzt, es en is azt olvastam, hogy elegge vasarlo partiak, ugyhogy ne szamits sok egyutterzesre toluk, az egyetlen elonyuk a te oldaladrol az az, hogy van aki csak rajtuk keresztul hajlando fizetni. Tehat Paypal-t elfogadni nem ajanlott a gyenge idegzetuek szamara. :) En amelyik oldalon rendszeresen szoktam vasarolni (tehat megbizok bennuk) egy ideje inkabb beirom a kartya adataimat Paypal helyett, mert eleg kedvezotlen arfolyammal szamolnak.

En azt ajanlom, hogy nyugodtan kezdj el kartyat elfogadni, szamolj azzal, hogy csalok mindigis lesznek, es elobb vagy utobb hozzad is beteved egy, ugyhogy szamold bele az arba. Minden alkalom amikor a bank neked ad igazat az ajandek, biztos lesz olyan alkalom is amikor viszont bukod a termek arat.

Remelem segitettem, es bocs a biztos jelenlevo helyesirasi hibakert (parszor vegigolvastam, tobbszor nem fogom :) ).

Nincs véletlenül olyan kártyaelfogadó szolgáltató, aki átvállalja helyettem a lopott kártyák miatti kiesést, és ezért mondjuk cserébe többet kért a kártyaelfogadásért? Kell hogy legyen ilyen, hiszen csak tudják, kb. mennyi így a kiesés, azt hozzáadják a kártyaelfogadási díjba, és kész. Meg ugye ez így olyan lenne, mint egy biztosítás, mindenki fizet kicsivel többet, és akkor nincs az, hogy hirtelen adott kereskedőnek lesz egy milliós kára egy becsúszott lopott kártya miatt, hanem ezt a kiesést szétterítik mindenki között.

Amit nem értek, hogy a hazai rendszerben vPOS van, azaz nem találkozol a kártyaszámmal se, meg semmivel. Így nem hinném, hogy a csaló kártyákat rátolják a kereskedőre. Talán kereskedő végezhet reg adatok alapján előszűrést a MaxMind -os fraud keresővel vagy mellé a másikkal és rögtön pirosan világíthat, de ha mégsem fogja meg akkor mi lesz?

( Charybdis | 2016. 12. 01., cs – 12:29 )

Most írt az egyik kártyaelfogadási szolgáltató, hogy a Visa és Mastercard kártyatulajok 180 napig élhetnek a chargeback jogával. Hát ez igazán jó hír, szóval minden egyes online kártyás tranzakciónál 180 napig lebeg felettem Damoklész kardja, addig nem végleges a tranzakció, persze a terméket pár napon belül már leszállítom. De ha fél év múlva észreveszi az egybites user, hogy ellopták a kártyáját, akkor fizessem neki vissza az összes pénzt. Kivéve, ha a vevő Verified by Visa vagy MasterCard SecureCode extra biztonsági funkciókkal fizetett, mert akkor állítólag a vevő felelőssége minden tranzakció. De ez meg ugye nem kötelező és nem annyira elterjedt még.

Itt, Angliában, a 3-D secure nagyon elterjedt, szinte az összes online fizetésnél használják.
Saját magam által megadott jelszóból kell pár karaktert beírnom. A kártya adatok nem elegendőek a vásárláshoz.
Az elfogadónak viszont ez pénzbe kerül.

Magyarországon is van pár hely, ahol a kártyaadatokon kívül más is kell, de pl. a Citibankos hitelkártyámnál nem jelszóból karaktereket kérnek, hanem ők küldenek SMS-t. Sajnos csak magyar telefonra megy, szóval fel kellett hívnom őket és letiltatni. Így gáz, mert még ha az elfogadó kiépítette a rendszert, akkor sem lesz biztonságos.