Как-то не сложилось у меня с разными платежными системами, я их больше в теории знаю. В т.ч. PayPal. И есть у меня цель - как следует со всеми ними разобраться. Решил начать с PayPal.
По своей сути PayPal представляет собой нечто, очень похожее на банк. И работает с самыми обычными (безналичными) деньгами, или, как принято сейчас уточнять, с фиатными. Дело в том, что есть платежные системы, которые работают с т.н. титульными знаками (такова, например, WebMoney), а есть такие, которые работают с привычными безналичными фиатными деньгами. Так вот, PayPal, по сути - просто как бы банк, который предоставляет специальное банковское обслуживание. Все те "вкусности и плюшки", за которые любят PayPal в мире - это просто, условно говоря, особый банковский продукт.
Я добавляю "как бы" и "условно" потому, что в разных странах у этой платежной сети не обязательно "полноценный банк". Есть еще какая-то хитрая штука, которая, например, в российском законодательстве называется "Небанковской Кредитной Организацией". Условно говоря, это урезанный банк. НКО не может давать кредиты и хранить депозиты. Иными словами, НКО не может заниматься эмиссией кредитных денег.
Но нас, как обычно, интересуют не юридические и экономические, а технические тонкости. Поэтому дальше о них.
С т.зр. плательщика PayPal представляет собой как бы продавца (Merchant), или, точнее, вендора (Vendor) с POS-терминалом. А для платежей с помощью пластиковых карт есть такая интересная вещь, как Recurrent Payments, или, иначе говоря, "повторяющиеся платежи". Они в данном случае не совсем повторяющиеся, но используют именно этот механизм.
Зачем, собственно?
Дело вот в чем. Есть такой стандарт в отрасли, как PCI DSS (Payment Card Industry Data Security Standard). Там много умных и важных вещей, которые строго регламентируют меры безопасности при обращении с данными платежных карт. По этим требованиям, например, нельзя ни в каком виде (даже зашифрованными страшными шифрами и подписанными кровью) хранить PIN'ы карт, нельзя хранить CVV вместе с остальными данными карты (PAN, имя кардхолдера и срок действия) в определенных случаях ну и т.д.
Так вот, PayPal фактически проводит карточные транзакции, но карту вы ему предъявляете только один раз. Как же так? Это небезопасно! Отчасти так и есть. Просто PayPal использует ту самую специфичную операцию - Recurrent Payment.
С т.зр. международных платежных систем (Visa, MasterCard etc) это особый вид платежа. Подразумевается, например, что вы регулярно совершаете платеж одному и тому же вендору (поставщику товара или услуги), реквизиты одни и те же, меняются только детали (например, сумма). Пользователю было бы удобно в ряде случаев, чтобы списание происходило автоматически, без активных действий с его стороны. Например, коммунальные платежи. Потому они и называются Recurrent, повторяющиеся. Но для полноценной карточной транзакции надо или предъявить PIN, или CVV, а банк (финансовый институт) связан стандартом PCI DSS и хранить такие вещи не имеет права. И PayPal тоже является финансовым институтом. А платежи нужно совершать. Что делать?
Вот как раз здесь и работает Recurrent Payment, при создании такой транзакции не требуется ни PIN, ни CVV, ничего чувствительного, кроме обычных легкодоступных данных карты. Но от обычной транзакции эта отличается тем, что в ней есть признак recurring. Вообще, в теории, еще нужна ссылка на исходную транзакцию (та, которая как бы "повторяется"), но тут зависит от правил каждой конкретной платежной сети. В большинстве случаев ссылки на исходную транзакцию нет. Хотя, в некоторых новых технологиях, например, в визовской MIT (Merchant-Initiated Transactions) ссылка обязательна.
Ну и, поскольку операция - более опасная, чем обычная транзакция, ее намного проще опротестовать. Эта легкость нужна, чтобы защитить пользователя от возможных злоупотреблений со стороны недобросовестных продавцов.
Получается, PayPal работает примерно так.
Первая транзакция нужна для регистрации в системе, плюс проверямем, что карта рабочая (с нее получилось снять денег), плюс получаем данные карты. А дальше все последующие платежи PayPal - "перечисления" - это Recurrent Payments с разной суммой, в пользу PayPal. А дальше - обычный банковский бизнес по переводу безналичных денег, конверсией валют, валютным контролем и т.д. PayPal получил денег с вашей карты и работает уже с ними в пользу третьих лиц (перечисляет на счета продавца).
Это так для физических лиц. А, собственно, юридические лица просто заводят самые обычные рассчетные счета в PayPal и работают в какой-то степени, как если бы это был обычный банк (обычный финансовый институт). Кстати, по моей информации, PayPal без комиссии выводит рубли со счета в PayPal на счета в российских банках.
Ну и, насколько я знаю, "неиспользуемые" деньги, хранящиеся на счетах PayPal сама PayPal размещает на депозиты в разных партнерских банках, чтобы дополнительно подзаработать. Собственно, с появлением 3D-Secure технологии (планирую рассказать в ближайшее время) PayPal, стала, скорее, просто обычной удобной системой, ничем примечательным с т.зр безопасности (как это было на заре ее развития) от других систем не отличающейся. Да и в Россию полноценно она пришла к тому времени, когда все научились прекрасно обходиться без нее. Впрочем, может, я чего-то не знаю? Если так - пишите, разберемся.
Подписывайтесь на канал "Технологии Денег" в Яндекс.Дзен и Телеграм! У меня еще много интересного материала!