Chirkov.net: блог

Совкомбанк родил какую-то лютую хню под названием SovComPay, а я пару месяцев назад придумал следующий концепт, в реализации которого готов поучаствовать. Пишите-звоните!

Сервис «легкого» эквайринга для уличной торговли, самозанятых, МСБ

Для приема платежей используется смартфон с банковским приложением. После идентификации, клиенту открывается счёт (опционально может быть и электронный кошелёк и даже без идентификации, если продавца устраивают лимиты) и выпускается виртуальная (опционально реальная) карта (с целью оптимизации затрат на P2P может выпускаться набор из карт разных платежных систем). Карта токенизируется и может использоваться для платежей или снятия наличных, генерируя ещё и эмитентский доход.

Для совершения платежей используются следующие механизмы:

⁃ система быстрых платежей

⁃ P2P переводы в рамках карточных систем

⁃ E-commerce покупка

В зависимости от бизнес-модели клиента может использоваться один механизм или их комбинация в привязке к пороговым суммам. Как вариант для бизнесов с редкими покупками при каждой операции торговцу может рекомендоваться конкретный механизм, в зависимости от суммы и платежного средства, которым располагает покупатель, его готовности оплатить эмитентскую комиссию за перевод (покупка, перевод P2P или перевод через СБП). Торговцу можно предлагать тарификацию по схеме «interchange+”

Для приема платежей приложение умеет:

⁃ генерировать статический код с банковскими реквизитами для перевода через СБП и информировать о фактах успешных переводов

⁃ генерировать динамический код с деталями платежа для перевода через СБП и информировать о его успешной оплате

⁃ генерировать ссылку на платежную страницу банка с деталями платежа (сумма, назначение) которая доставляется покупателю через SMS, мессенджеры, мейл, QR-код. При переходе по этой ссылке покупателю остаётся ввести реквизиты карты или использовать токен XPay для подтверждения платежа (покупкой или P2P-переводом на номер карты клиента) или сканировать динамический QR для оплаты через СБП.

⁃ генерировать инвойс (уникальный числовой идентификатор), который доставляется покупателю любым способом (например голосом при продажах по телефону или доставке до двери) вместе с адресом платёжной страницы. При вводе этого номера на платёжной странице покупатель получает предзаполненные реквизиты получателя для оплаты картой или динамический QR для СБП.

Клиент может приобрести фискальный регистратор и автоматически фискализировать все операции через сервис.

В случае, если клиент подпадает под налогообложение для самозанятых, приложение предлагает ему возможность по каждой операции генерировать чеки, информировать Налоговую, а также выбрать вариант оплаты налогов: резервирование суммы налога с каждой операции и оплата раз в месяц или списание суммы в случае ее достаточности (напоминание о необходимости оплатить налог). Возможность получить из банка информацию о платежах, пришедших мимо сервиса, ввести вручную информацию о платежах наличными или в другие банки для расчёта налога.

На прошлой неделе соцсеть ВКонтакте запустила VKPay и благодаря товарищу, который перевёл мне червончик я затестировал как оно работает.

В общем и целом это электронный кошелек, баланс которого пополняется с карт. Кошелёк предназначен для перевода средств между участниками соцсети, оплаты традиционных услуг (телефония, интернет и т.п.), покупок на строящемся маркетплейсе в соцсети (сейчас это одежда с атрибутикой соцсети). Предполагается, что всякие сыровары, тортопроизводители и другие сувенироделатели, реализующие товар в соцсети будут использовать этот инструмент и оборот достигнет 100 ярдов в год. Посмотрим что для этого есть в VKPay.

О переводе червончика я узнал получив входящее сообщение от товарища. После клика на сообщении провалился в приложение VKPay, которое также доступно из меню мобильного приложения ВКонтакте как отдельный пункт. VKPay требует задать пин-код из четырёх цифр и после чего просит идентифицироваться введя полное ФИО (если не проставить отчество – будет ошибка идентификации), номер паспорта и СНИЛС или ИНН на выбор. Через несколько минут прилетает подтверждение идентификации (или отказ) и деньги зачисляются на кошелёк (до этого рядом с нулевым балансом кошелька светились манящие “10Р вас ожидает”). В общем все это я проскочил как-то быстро, даже оферты не заметил. Поэтому на следующее утро решил отправить червончик дальше, своей дочери, с тем чтобы задокументировать процесс, ну и может он ей пригодится. Я ошибся:) но продолжим по порядку.

Читать полностью »

По-моему уже все производители смартфонов отметились созданием своих платежных сервисов: ApplePay, AndroidPay, SamsungPay, MiPay, HuaweiPay. Подчеркиваю все это именно СЕРВИСЫ, хотя относительно них и пытаются употреблять термин “платежная система”, но ни один из них не является платежной системой ни в терминах российского 161ФЗ, ни с точки зрения здравого смысла, т.к. все они паразитируют на существующих платежных системах и не имеют собственной межбанковской расчетной инфраструктуры. На российский рынок недавно вышли, практически одновременно, ApplePay и SamsungPay и я попробовал разобраться в их бизнес-моделях и мотивации банков сотрудничать с этими сервисами. Объединяет эти сервисы то, что они работают только на свежем модельном ряду смартфонов, обладающем NFC и технологических приседаний требуют только от эмитентов, взаимодействуя с эквайерами стандартным образом, но есть между ними и существенные различия.

Читать полностью »

Наверное, уже пора высказаться по поводу захлестнувшей банковский рынок мессенджеромании. Похвально быть ближе к клиенту и предоставлять ему сервисы через все каналы, которые клиенту потенциально удобно использовать. Мессенджеры плотно оккупировали повседневную жизнь большинства пользователей мобильных платформ и появление банков там с информационными сервисами выглядит вполне логичным:

• в связи с возросшим покрытием мобильным интернетом и снижением тарифов на него, мессенджер может быть альтернативой SMS-транспорту для оповещения клиентов об операциях
• боты в мессенджерах могут предоставлять разнообразную не персонифицированную информацию о продуктах банка (тарифы и условия, адреса и график работы офисов и отделений), принимать заявки на продукты и услуги
• кроме этого банки и финтех компании все чаще используют мессенджеры для предоставления персонифицированной информации о клиентских счетах и остатках, аутентифицируя клиента. Умные при этом аутентифицируют клиента, перебрасывая его на свой сайт и возвращая назад в мессенджер

Но некоторым этого мало и они пытаются с помощью ботов в мессенджерах предоставлять финансовые услуги, в частности переводы с карты на карту (украинский бот Коля, NaKa бот от МИнБ, …), но совсем некоторым и этого мало – на конференции FinTechLab2016 был презентован проект первого бот-банка TalkBank, который по аналогии с Рокет/Инстабанками выпускает клиентам карты реального банка (в данном случае Транскапиталбанка), но вместо мобильных интерфейсов все операции проводит в мессенджерах (заявку я им тогда оставил, но так пока со мной и не связались – видимо не заработало). Хорошо ли это? На той же конференции я задал вопрос про независимый или промышленный (по типу PCI DSS) аудит безопасности мессенджеров руководителю Digital Security Медведовскому и зам.нач.управления безопасности ЦБ Сычеву и они в один голос сказали, что любой мессенджер надо воспринимать как абсолютно не доверенную среду. Однако, далеко не все инноваторы в погоне за модным трендом и коротким рублем задумываются над этими вопросами. Считается, что раз Дуров сказал, что его Телеграм самый защищенный и раз никто публично не объявил о его взломе, то это истинно так. Ок, пока не взломали, а завтра взломают и что? Пока в мессенджерах не было денег, действительно серьезным хакерам его ломать было интересно только из спортивного интереса… А кто гарантирует от внутренней утечки, когда какой-нибудь оператор или администратор мессенджера использует или подменит транзакционные данные? Почему бы по е-мейлу не отправлять слипы для P2P переводов или с почтовыми голубями (их тоже никто много столетий не перехватывал)?

Самый незащищенный в этой ситуации клиент, потому что когда с его карты сопрут деньги (сделают перевод не тому получателю, или на другую сумму, или просто сольют все использованные в сервисе карты кардерам), куда он пойдет? Мессенджер ткнет в свою оферту, в которой указано, что позволяет текстовыми сообщениями и картинками обмениваться и совсем не предполагал, что кто-то через него деньги передавать будет. Банк-эмитент скажет – ну ты сам разгласил все данные своей карты, еще бы на заборе их развесил. Банк-эквайер скажет, что весь фрод был в мессенджере, за который он не отвечает, а он все выполнил согласно оферте, с которой клиент согласился совершая операцию…

PS а чуть меньше года назад я встречался с одними стартаперами, которые собираются в партнерстве с одним из мессенджером его в средство платежа превратить. То есть клиент совершает покупки, ему приходит уведомление в мессенджер, где он подтверждает операцию списания со своего банковского счета. Подтвержает SMS-паролем, естественно! The END

Друг написал в FB, что ему удалось в реальной жизни использовать на пиво, когда-то полученные, 500 проморублей с помощью платежного приложения PayQR. Сейчас в России (и не только) множество стартапов предлагают без всяких новомодных ApplePay зарегистрировать в их приложении карту и использовать её реквизиты, оплачивая покупки в смартфоне. Идея очень интересная, хотя и не бесспорна с точки зрения безопасности и во многих  случаях удобства/простоты совершения операции, по сравнению с использованием самой карты. Друг сказал, что в приложении карта привязывается путём авторизации на случайную сумму и потом покупка проходит уже просто через ввод пароля в приложение – никаких CVV2 и новомодных 3DSecure! Мне стало интересно, как они предполагают разбираться с массовым фордом, который в этом случае неизбежен при масштабном использовании сервиса и я решил скачать приложение и посмотреть оферту, ссылок на которую на самом сайте не найти.

Надо сказать, что заметить оферту в приложении без специальной подготовки очень не просто, но меня на мякине не проведёшь и я погрузился в увлекательное с первых же пунктов чтиво, осилить которое в силу объёма сможет не каждый:). Признаюсь, что дочитав до пункта 5.1.3, в котором я заверяю компанию ФИТ, что не страдаю заболеваниями, которые мешают мне правильно понять всю суть  соглашения, с которым соглашаюсь путём регистрации, я регистрироваться передумал и приложение PayQR удалил, но записи, демонстрирующие безграничный юридический цинизм компании, ФИТ сделал:
Читать полностью »

Дошёл и мой ход попробовать популярное приложение для заказа такси Uber. Критиковать юзабилити самого приложения не стану, меня заинтересовала некорректная работа с карточными авторизациями приложения, которое заточено на оплату поездки только с привязанной в приложение картой. Итак, что не так:

1. Приложение требует зарегистрировать как минимум одну карту с вводом cvv2. При регистрации делается проверка карты. Если вы уже зарегистрировали карту, то удалить её не получится – приложение требует, чтобы оставалась как минимум одна зарегистрированная карта, а после новостей о “фродовых поездках” (аналогичные случаи уже были и в России) как-то страшно оставлять там карты.
2. А карты оставлять страшно,  потому что при авторизации Uber использует обычную MO/TO транзакцию без признака recurrent и без cvv2, которую присылает от имени британского эквайера, с терминала, зарегистрированного в Нидерландах, и вменяемые эмитенты, заботящиеся о своих клиентах такие транзакции отбивают. Соответственно воспользоваться картой эмитента с развитым риск-контролем в Uber вы не сможете и регистрировать придётся методом перебора карту банка, который авторизует MO/TO покупки без cvv2.

Клиринг, как ни странно, приходит честный – в рублях, хотя нарушение в виде cross-boarding эквайринга на лицо

Антон Арнаутов (основатель проекта ReBanking) на прошлой неделе достаточно успешно попытался повторить Finovate в России в рамках мероприятия FinTechLab  на котором были интересные стартапы, были занудные выступления спонсоров и просто откровенное самолюбование Домашних денег, которые никому ничего не продавали, а просто рассказали как они круто автоматизировались, жаль что по факту времени для вопросов не предусмотрели, но содержательно мероприятие вполне удалось, в отличии от традиционных конференций на которые последнее время почти не хожу…

Что мне запомнилось и понравилось в виде конспекта:

Читать полностью »