Особливості мобільного SDK для прийому платежів і як його інтегрувати

  • Юлия
  • 07.04.2020 473

Ми вже досить багато говорили про платіжні шлюзи та їх механізми роботи в транзакційному ланцюжку. Але питання про те, як взаємодіють мобільні додатки з платіжними сервісами, а також саму природу платіжного шлюзу в контексті нативного інтерфейсу мобільного додатку ми ще не обговорювали. Сьогодні ми спробуємо розкрити основні аспекти цієї теми, а також розповісти про можливості мобільного SDK для вашого бізнесу.

Кожен раз при бронюванні номера на Airbnb, покупці декору та кухонного приладдя в Ikea або оформляючи замовлення нових кросівок на Asos, ви взаємодієте з платіжними шлюзами – інструментами, які грають ключову роль при обробці транзакцій.

Говорити про тренди mobile-shopping зараз в якомусь роді вважається поганим тоном, так як це давно стало невід’ємною частиною нашого повсякденного життя, адже ми робимо покупки “прямо на ходу”. При цьому прогноз, в якому обсяг ринку до 2021 року досягне $ 274,4, виглядає цілком реалістичним.

Масовий перехід від PC до мобільних пристроїв в останні роки змусив ритейлерів розробляти програми для eCom із вбудованими платіжними шлюзами. Але для початку давайте згадаємо як саме вони працюють.

Що таке платіжний шлюз?

Простіше кажучи, платіжний шлюз – це свого роду “посередник” між банком-еквайєром і торговцем. Тобто, учасник у платіжному ланцюжку, який робить можливою будь-яку фінансову транзакцію шляхом передачі даних між пристроєм та фінансовою установою-еквайєром.

Платіжні шлюзи вкрай необхідні для додатків, що працюють в сфері електронної комерції, в тому числі бронювання готелів і авіаквитків, покупок продуктів і т.п. Такі гіганти електронної комерції, як Amazon, Groupon, H & M, Paytm є провідними провайдерами додатків в сфері mobile-shopping. А шлюзи, які вони вживали, забезпечують покупцям можливість оплатити товари, не відволікаючись від шопінгу. До речі, Paytm, як великий e-Com гравець, навіть розробив свій власний якісний та надійний платіжний шлюз.

Як працює механізм платіжного шлюзу у мобільному додатку?

Давайте згадаємо процес обробки платежу в додатку, який ми зазвичай робимо за кілька секунд. Отже:

  • при перегляді веб-сайту користувач додає товари до кошику, який посилається на платіжний шлюз;    
  • як тільки клієнт ввів дані своєї картки в певні поля та підтвердив операцію, запит відправляється на платіжний шлюз;    
  • потім цей самий запит відправляється оброблювачу банка-еквайєра. На цьому етапі обробник зазвичай запитує у користувача додатковий захисний код 3DS, щоб підтвердити операцію (якщо карта підтримує технологію 3D-Secure);
  • після успішного підтвердження захисного коду МПС Visa / MasterCard і банк-емітент схвалюють запит. Після підтвердження транзакції банк відправляє код авторизації продавцю;
  • з карткового рахунку клієнта списується сума покупки. 

Як інтегрувати платіжний шлюз в мобільний додаток?

Стандарти PCI DSS

Вибір надійного провайдера визначається наявністю в нього сертифіката відповідності протоколу безпеки PCI DSS – стандарту безпеки та збереження даних банківських карток при оплаті товарів і послуг онлайн. Він застосовується до всіх організацій, які беруть участь в процесі обробки платіжних карток: процесингові центри, фінустанови та провайдери послуг, а також інші компанії, які обробляють, зберігають та передають платіжні дані клієнтів.

Щоб відповідати стандарту PCI, сервіс-провайдер, перш за все, повинен реалізувати повністю захищену мережу та регулярно її тестувати, впроваджувати елементи шифрування та контролю доступу до системи безпеки.

З оплатою товарів на веб-сайті мерчанта все трохи простіше: досить скористатися платіжним рішенням від провайдера, яке буде перенаправляти користувача на форму для введення даних банківської картки, розташованої на сайті платіжного шлюзу з PCI DSS сертифікацією, або довантажувати цю сторінку через технологію iFrame. При такій схемі взаємодії мерчант не вступає в зону дії протоколу безпеки, оскільки платіжні дані не передаються через його сервери.

У чому особливість підключення платіжного сервісу в mobile-app?

З мобільними додатками процес трохи ускладнюється. Почнемо з того, що для обробки платежів у мобільному додатку звичайний PCI DSS не підходить. Для цього був розроблений окремий протокол PA DSS – по суті, адаптація сертифіката безпеки під роботу певних програм. Його основною функцією є безперешкодна інтеграція PCI DSS-сертифікованого додатку в платіжну інфраструктуру. І будь-яка компанія, яка відповідає стандарту безпеки, може спокійно використовувати PA DSS софт для обробки банківських даних клієнтів без додаткових перевірок. Іншими словами, при підключенні до сертифікованої компанії-провайдера, власникам мобільних додатків можна не переживати за безпеку.

Але тоді постає питання, чим же тоді відрізняється інтеграція сервісу з прийому платежів в веб-додаток від інтеграції в мобільний?

Раніше було доступно декілька її сценаріїв. Один з них – через webview, коли клієнт перенаправляється з інтерфейсу програми в веб-інтерфейс платіжної форми. Але оскільки користувач залишає нативний зрозумілий інтерфейс та переходить зовнішній ресурс, з якого ймовірно може не повернутися – цей спосіб явно не найефективніший і сильно впливає на зниження конверсії.

Деякі працювали за таким сценарієм: компанії могли безпосередньо інтегруватися з платіжним шлюзом через API і таким чином підключити сервіс прийому платежів через нативну платіжну форми в своєму додатку. Але так як мобільний додаток не може функціонувати без серверної частини (бекенд), який обслуговує білінг і основну бізнес-логіку, то є ризик, що дані для платника можуть передаватися на несертифікований сервер мерчанта. Тоді може випадково статися витік даних через те, що розробник мобільної програми не закодував app на передачу платіжних даних на незахищений сервер.

Тому для сценарію з прямим підключенням до платіжного шлюзу через API, мобільному додатку обов’язково пройти сертифікацію PCI DSS. Але є один нюанс: не кожному великому гравцеві це під силу, не кажучи вже про МСБ.

Яка обстановка зараз?

Для того, щоб вирішити вищеописану проблему, наша команда розробила свого роду бібліотеку SDK (Software Development Kit), завдяки якій розробник може додати сервіс прийому платежів в свій додаток. Цей готовий набір інструментів робить банківські дані клієнтів доступними тільки для зчитування. А це, в свою чергу, знімає відповідальність з мобільного додатка та необхідність відповідати стандарту безпеки, оскільки він не обробляє та не зберігає платіжні дані користувачів.

Крім переваги безпеки це також дає значне підвищення конверсії в мобільному додатку. Оскільки в момент здійснення платежу клієнтові більше не потрібно переходити у вікно браузера, весь платіжний шлях знаходиться всередині програми в максимально зрозумілому для нього інтерфейсі.

Інтеграція з SDK – це дуже суттєва економія. Так як мобільне SDK є частиною технологічної системи PSP Platon і працює в зв’язці з API, то онлайн-магазин, який вже підключився до цього API, може практично без особливих вкладень інтегруватися і з SDK. На практиці, ми реалізували інтерфейс прийому платежів в мобільному додатку як для IOS так і для Android, який доступний великим інтернет-магазинах і невеликим стартапам.

Для чого потрібен девелопер?

У будь-якому випадку, бібліотека SDK – це набір інструментів, призначений для розробника, тому оцінити принцип її роботи без залучення фахівця не вийде. Але наша команда подбала про впровадження детальної документації практично в кожну лінійку коду PSP Platon SDK. Це набагато спростить роботу вашому девелоперу при інтеграції рішення. Більш детальну інформацію ви можете знайти на нашому Wiki.

Підписатися на розсилку

Зараз ми всі стали свідками тренду збільшення кількості платежів як через веб-додатки, так і в мобільних додатках. А це в свою чергу пояснює той факт, що попит на сервіси, подібні PSP Platon SDK, на ринку з кожним роком буде тільки рости.

Тому наша команда не має наміру зупинятися, а вже зараз працює над покращенням сервісу прийому платежів в мобільному додатку, яке буде найбільш точно відповідати платіжним сценаріями клієнтів, додаємо нові методи оплати та функції кастомізації.

avatar

Читайте також

На нашому сайті використовуються файли cookie для збору інформації в маркетингових цілях. Детально про збір інформації ви можете ознайомитися в «Політиці конфіденційності».