Сегодня хотим поговорить о том, что из себя представляют современные платёжные системы, которыми мы пользуемся повсеместно, и как они работаю изнутри.
Напомним, как происходит этот процесс на различных торговых площадках, которые распространены на территории СНГ и дружественных ему стран:
- логинимся
- выбираем интересный нам товар
- переходим в корзину к оплате
- выбираем оплату картой и….
Видим незнакомое нам окошко совсем не сайта торговой площадки, а что-то связанное со словом PAY и деньги, или что-то подобное.
Нас уверяют, что данная страница соответствует всем требованиям безопасности транзакций и это и правда так (если конечно сайт маркетплейса не был скомпрометирован) и мы вводим с полной уверенностью данные нашей карты и вуаля! Нам говорят, что товар оплачен, а деньги списаны с карты. Все что нам осталось – так это ждать доставки. Правда просто?
А теперь заглянем под капот, как это работает?
У каждой системы есть фронт энд и бек энд. То есть та сторона, что нас принимает и отдаёт на обработку куда-то дальше.
Именно это самый интересный момент - любая платёжная система не является местом, где деньги оседают.
Она агрегирует платежи и проксирует их в банки/банк которые к ней подключены. Естественным моментом является то, что вся цепочка проведения транзакций должна быть безопасна – так как это деньги пользователей.
И тут, наступает момент средств защиты этих самых чувствительных данных. На разных эшелонах применяются различные средства, всё зависит от модели OSI на каждом конкретном этапе прохождения транзакции. Так как, уровни OSI меняются, следовательно, на различных этапах нужно использовать различные средства.
Обычно любая уважающая себя платёжная система предоставляет открытый API для интеграции или даже более того различные плагины для CMS.
В зависимости от забора платёжная система ставит преграды – некоторые из них сразу ставят большой бетонный с колючей проволокой, охраной, церберами и прочим.
Другие же просто устанавливают хлипенький штакетник, который разваливается при небольшом ветерке (очень надеюсь, что таких немного).
После первого забора мы проходим по пути от фронта к бэку – там уже установлены (я так думаю) системы более глубокого анализа, ибо есть риск получить опыт из древнегреческой мифологии, где хотели получить как бы коня, а оказалось, что конь-то с сюрпризом.
Такие системы как раз и вычисляют, где там спрятан сюрприз и вообще спрятано ли там что-то.
Система сбора и анализа событий с набором плейбуков по респонсу является в 2022м году таким маст-хэвом, что только бизнес с отсутствием инстинкта самосохранения им не пользуется.
Так как, на данный момент автоматизированный ответ, даже есть он будет через фолс-позитив будет намного лучше реализации риска.
Подчеркнем, что это не значит, что нужно бежать и внедрять – можно просто использовать open source и различные модули для перекрытия каких-то хотя бы участков.
Информационная Безопасность это процесс и архитектура, а не красная кнопка «сделать всё».
А теперь к практике, кликните сюда и можете пройти демо-оплату через платёжную страницу, чтобы посмотреть, как это работает в интерфейсе нашего сервиса PayBox.