Меры безопасности при оплате товаров или услуг в интернет-магазине пластиковой карточкой

Для исключения мошеннических действий при оплате товаров или услуг в интернет-магазине следует соблюдать ряд правил (стандартов) безопасности.

После нажатия на ссылку «Оплатить с помощью пластиковой карты» должна появиться платежная форма специального платежного шлюза. Это может быть Assist, Chronopay, PayPal и др. При этом в адресной строке браузера должно отображаться соединение по безопасному протоколу https, например https://paypal.com/ru, а в нижней части окна браузера должен появиться замочек. Их появление свидетельствует о том, что соединение установлено с использованием протокола безопасности SSL. Перехватить данные в этом случае мошеннику становится невозможно.

Платежный шлюз — это аппаратно-программный комплекс, позволяющий автоматизировать процесс приема платежей с использованием сети Интернет, разрабатываемый платежной системой, которая определяет правила работы с платежным шлюзом и отвечает за его поддержку. Платежный шлюз может быть реализован аппаратными средствами или с помощью программ. Так, платежный шлюз Qiwi gateway, разработанный компанией Юмисофт, представляет собой программную вставку (патч) к стандартному модулю «Интернет-магазин» и позволяет организовать на сайте возможность оплаты товара наличными через терминалы Qiwi.

Обычно платежный шлюз содержит несколько частей:

• • платежную форму в формате HTML-страницы, размещенную на сайте интернет-магазина. Она включает ряд параметров — идентификатор продавца, сумму и комментарий платежа. Активировав форму, покупатель перенаправляется на сам платежный шлюз;
• • страница оплаты — страница или набор страниц, размещенных на платежном шлюзе. На этих страницах покупатель повторно видит данные о покупке. Здесь ему предоставляется возможность отказаться от платежа, произвести авторизацию или выбрать определенные опции. Действия, которые необходимо выполнить для удачного завершения покупки, целиком зависят от платежной системы;
• • страницы статуса платежа («Success URL» и «Fail URL»), размещенные на сайте продавца. На эти страницы покупатель перенаправляется после завершения процесса оплаты, независимо от его успешности (удачный или неудачный);
• • страница результата платежа («Result URL») на сайте продавца. Страница результата платежа принимает данные о прошедшей платежной операции. Именно на этом этапе должны вноситься необходимые изменения, связанные с данным платежом.

Эта страница вызывается автоматом (ботом) платежного шлюза вне зависимости от действий покупателя. Даже если у покупателя прервется соединение после оплаты и он не сможет перейти на страницу статуса платежа, страница результата платежа будет вызвана.

На странице оплаты шлюз обязан запросить у покупателя ввод кода CVV2 (Card Verification Value 2). Это трехили четырехзначный код, в зависимости от платежной системы. Применяется для проверки подлинности карты при оплате через Интернет. Находится либо на полосе для подписи держателя карты, либо после четырех последних цифр номера карты. Если при этом будет запрашиваться PIN-код карты, то это неправомерные действия мошенников. PIN-код должен знать только владелец карты (даже сотрудники банка не должны знать этот номер). PIN-код используется только в автоматизированных системах самообслуживания.

Появление на платежных страницах дополнительных окон с предложением повторно ввести номер карты должно насторожить владельца карты.

Покупателю желательно удостовериться в истинности сайта магазина с помощью поисковой системы. На поддельные сайты покупателей могут приводить подделанные под оригинал адреса магазинов. Подделка может осуществляться с использованием слешей (/), тире, точек. Например, вместо supermagazine.ru могут использоваться адреса super-magazine.com или super.magazine.ua и т. п.

Ни одна процессинговая или банковская система не вправе запросить у покупателя данные его паспорта или другого удостоверяющего личность документа. Это признак мошеннических действий.