На волне всеобщего увлечения бесконтактной оплатой хочу поделиться подкапотным опытом Яндекс.Денег по запуску Apple Pay и Samsung Pay. Нашей команде пришлось координировать усилия с MasterCard и производителями смартфонов. Подружить эту компанию и не сойти с ума – задача сама по себе нетривиальная. Вдобавок мы были в первой волне тех, кто пришел на "праздник", и многие решения пришлось обкатывать на ходу.
Под катом подробности о подключении бесконтактных платежей в Яндекс.Деньгах, тестировании и особенностях работы систем безопасности с новым типом платежей.
В этом посте речь пойдет о платежных системах Apple Pay и Samsung Pay, которые основаны на схожих принципах и отличаются в деталях. Для простоты я буду называть их просто *Pay везде, где детали не принципиальны.
Зачем все это
Оплатить товар с телефона можно давно – достаточно установить мобильное приложение вашего банка, в котором должна быть опция бесконтактной оплаты (приложение Яндекс.Денег тоже подойдет, кстати). Данные о карте хранятся в защищенном виде на устройстве пользователя и доступны по технологии HCE – это программный аналог чипа банковской карты.
Есть и отдельные программы вроде Кошелька, которые предлагают возможности беспроводной оплаты для банков-партнеров и, в качестве бонуса, хранение скидочных карт.
Вот почему раньше для бесконтактной оплаты требовались дополнительные "прослойки":
Владельцы iPhone не могли платить бесконтактно, потому что интерфейс NFC в смартфонах Apple нельзя напрямую использовать для оплаты в сторонних приложениях. К тому же NFC появился только в iPhone 6 и SE.
- На многих современных смартфонах появилось отдельное устройство Secure Element (SE), которое выполняет функции EMV-чипа банковской карты и не привязано к конкретному банку или карте. Такое унифицированное решение удобнее пользователю и проще в реализации банку, у которого до этого не было оплаты со смартфона.
Apple Pay и Samsung Pay нужны в первую очередь для того, чтобы оплата со смартфона через NFC стала стандартизированной и безопасной.
Изначально платежные карты выпускались только с магнитной полосой, на которой был записан номер карты. Естественно, номер легко копировался, поэтому за дело взялась организация EMVCo, разработавшая более защищенный чип EMV. Эта мера позволила существенно сократить число мошеннических операций, но целиком проблему не решила. Кроме того, процесс оплаты был несовершенен и поэтому продолжались работы над дальнейшими улучшениями.
Далее появились бесконтактные платежи на пластике (MasterCard PayPass, VISA PayWave), а потом платежные функции карты стали частично переходить на мобильные устройства.
Путь был тернист, и среди прочих платежные системы пробовали следующие варианты:
SIM-карта со встроенным чипом Secure Element, выпускаемая совместно сотовым оператором и банком-эмитентом;
наклейка на телефон со встроенным беспроводным модулем и Secure Element;
- использование встроенного в телефон NFC-адаптера и программной эмуляции Secure Element (HCE).
В конечном счете MasterCard "перетасовал карты" и закрепил за производителями мобильных устройств функции хранения карточных данных и проведения оплаты. Так появился MasterCard Digital Enablement Service (MDES) от MasterCard, а затем и *Pay.
Но HCE все равно полностью не исчезла, так как позволяет банкам использовать собственные мобильные приложения для бесконтактной оплаты. То есть банк может самостоятельно добавить в свое приложение функцию оплаты с карты. Плюс к тому, в приложении можно реализовать какие-нибудь фирменные удобства вроде оплаты ЖКХ.
Кстати, в мобильных Яндекс.Деньгах тоже осталась опция бесконтактной оплаты через HCE — для всех тех, кто по разным причинам не может воспользоваться *Pay.
Подружить всех со всеми
Надеюсь, теперь все причинно-следственные связи восстановлены, поэтому вернемся к проекту бесконтактной оплаты Яндекс.Денег.
Если все равно что-то осталось туманным – обязательно спрашивайте в комментариях.
Все дальнейшие сценарии буду иллюстрировать на примере карт Яндекс.Денег, по которым набралось больше всего информации.
Чтобы пользователь мог непринужденно оплатить товар с телефона, нужно тесное сотрудничество четырех сторон:
сервиса бесконтактных платежей от производителя смартфона (Apple Pay и Samsung Pay);
платежной системы (MasterCard);
эмитента карточки (Яндекс.Деньги);
- банка-эквайера продавца.
Таким образом, команде Яндекс.Денег нужно было договориться с Apple, Samsung, Mastercard и реализовать поддержку обновленных платежных протоколов на своей стороне. Еще потребовалось добавить прием платежей через Apple Pay и Samsung Pay в Яндекс.Кассу – платёжное решение для бизнеса. Но это уже другая история.
На иллюстрации не хватает банка-эквайера – убрал его для простоты.
Когда пользователь добавляет карту в кошелек, Apple Wallet формирует криптограмму с зашифрованными данными карты и цифровой подписью, а затем отправляет ее в MasterCard. Там криптограмма расшифровывается и происходит токенизация. Токенизация – это формирование номера DPAN, который представляет собой синоним оригинальной карты, уникальный для каждого физического устройства.
Digital Primary Account Number (DPAN) – это специальный номер-токен, который платежная система выдает конкретному устройству для использования одной из карт пользователя. Такой номер уникален для каждого устройства и поэтому генерируется каждый раз при добавлении одной и той же карты в кошелек очередного устройства.
Токен нужен для того, чтобы не хранить на мобильном устройстве реальных платежных данных.
Но DPAN не будет сгенерирован, пока MasterCard не проверит поддержку *Pay на стороне эмитента, то есть Яндекс.Денег. Для этого необходимо:
Дождаться проверки Apple или Samsung возможности использовать устройство в качестве оплаты (не украден ли телефон, есть ли права Root и т.д.).
Подключиться к MasterCard Digital Enablement Service (MDES). Подробности о подобных приложениях едва ли не полностью подпадают под NDA, поэтому желающим придется запрашивать документацию напрямую у MasterCard.
Реализовать поддержку специфических запросов *Pay.
- Протестировать систему с Apple, Samsung и MasterCard. Тестирование частично выездное, поэтому тут все не так просто, как может показаться.
Но пользователь может захотеть добавить карту не вручную, а из приложения Яндекс.Денег. Такая возможность есть, но используется немного другой механизм.
Красный, желтый, зеленый
Когда пользователь добавляет карточку в кошелек телефона, запускается один из трех сценариев дальнейшего развития событий, в зависимости от степени риска:
Зеленый. Используется когда запрос на добавление карты приходит от мобильного приложения эмитента (Яндекс.Деньги) и в нем есть специальный ключ, подтверждающий аутентификацию пользователя в банковском приложении. Дополнительных проверок не требуется.
Желтый. Обычно используется при добавлении карты вручную или с помощью камеры телефона (OCR). Кошелек спросит CVV-код карты и запросит дополнительную аутентификацию.
- Оранжевый. Фактически означает отказ в добавлении карты.
Если у вас еще нет пластиковой карты Яндекс.Денег, то для пробы пера можно выпустить виртуальную прямо в приложении.
Но мы живем не в идеальном сферическом мире, поэтому часто будет использоваться именно желтый путь. Чтобы он тоже проходил гладко и на этапе распознавания реквизитов карты камерой не было проблем, мы отправили в Apple более 200 фото тестовых карточек. Без этого обучения алгоритм распознавания периодически ошибался и пытался добавить в кошелек карту с неверными данными.
Предполетная подготовка
Когда необходимый софт на бэкенде был готов, а бета-версия Яндекс.Денег обучена премудростям Apple Pay (для Samsung Pay опция токенизации через наше мобильное приложение пока недоступна), настала утомительная пора тестирования.
Кстати, для подключения к "банкету" недостаточно все реализовать и сообщить в MasterCard о готовности – платежная система и производители телефонов обязательно проверят вас лично. Например, по поводу Apple Pay к нам приехал товарищ из компании UL с набором всевозможных гаджетов Apple. Одних только iPhone у него было 6 штук — 3 поколения в 2 версиях (простая и Plus). С их помощью аудитор проверил множество сценариев оплаты, включая возврат средств.
Обновленный процессинг Яндекс.Денег работал в изолированном тестовом сегменте, поэтому для проверки использовался "белый список" карт – для них MasterCard просто включил платежи *Pay. Но вот с тестовой средой от Apple были некоторые сложности.
Например, отдельной платежной инфраструктуры для обкатки не было, поэтому тестировщикам Яндекс.Денег пришлось перевести свои смартфоны и Apple ID на регион "США" и подбирать ответы на некоторые запросы самостоятельно.
Но дьявол кроется в деталях, а ошибки – на последней миле. Оказалось, что далеко не все банки следят за обновлением прошивок своих терминалов, а кассирам в большинстве своем чужды современные технологии.
Карту давайте…
Моделей платежных терминалов и прошивок к ним довольно много, и у самых древних из них мозги сходили с ума от *Pay. Пришлось понимать и прощать, попутно сообщая в поддержку соответствующих банков о “небольших сложностях с POS-терминалом”.
Когда все уже вроде бы работало, по некоторым транзакциям в мобильный кошелёк стали приходить суммы с прочерком. Это явно означало проблемы вне систем Яндекс.Денег. Конечно, на саму оплату такие отчеты не влияли, но когнитивный диссонанс присутствовал.
(Не)лазейка для мошенников
Токенизация карт со стороны Яндекс.Денег, как и других банков, сопровождается проверкой таких запросов на мошеннические паттерны. Для этого в Яндекс.Деньгах существует отдельный механизм со своей сложной логикой и полномочиями блокировать крайне подозрительные операции – система антифрода.
Так как система работает на основе определенных правил, обнаружилась потенциальная проблема с безопасностью при токенизации чужой карты на устройство. Для этого нужны номер карты, срок действия и CVC2. Да, эмитент наверняка запросит дополнительную валидацию, но даже в случае с SMS-паролем фишинг и социальная инженерия работают. При сумме оплаты до 1000 рублей терминал даже пин-код не спросит, а SMS-оповещения включены до сих пор не у всех владельцев карт.
С такими угрозами можно бороться на уровне процессинга. Каждое действие пользователя со своим счетом или картой рассматривается в режиме онлайн фрод-машиной: если сработает хотя бы одно блокирующее правило, то транзакция будет отклонена.
Для каждого пользователя Яндекс.Денег формируется индивидуальный поведенческий профиль: что он любит и не любит, как и когда обычно платит, типичные периоды активности и множество других признаков. На основе этой информации и с помощью машинного обучения строится прогноз будущих значений, то есть наиболее вероятных действий человека. Если антифрод замечает отклонения фактических показателей от их прогноза, то может запросить дополнительную аутентификацию или отклонить транзакцию.
Про машинное обучение в системах безопасности можно много интересного рассказать в связи с его давним внедрением в Яндекс.Деньгах, но это уже тема отдельной статьи.
Если вы по работе сталкивались с другими нюансами подключения к *Pay – поделитесь в комментариях, многим будет любопытно.
Комментарии (52)
MAXXL
07.02.2017 12:07Если я хожу днем в магазин каждый день, а потом внезапно пошел ночью в дорогой ресторан — не будет ли это «сигналом для блокирующего правила»? Не останусь ли я с неоплаченным счетом, с отклоненными транзакциями?
dimskiy
07.02.2017 12:21Вы знаете, напомнило мой опыт зарубежной поездки с пластиком — как раз отклонили оплату счета в греческом ресторане, персонал уже смотреть подозрительно начал… Тогда спасла вторая карточка :)
А по сути — антифрод проверяет транзакции по множеству критериев, использует машинное оубчение. Алгоритм достаточно сложен и его регулярно обновляют для стабильно высокой точности срабатывания. Подробнее про алгоритмы в антифроде будет как раз в следующей статье — сейчас дописываем про машинное обучение в системах безопасности.
ABATAPA
07.02.2017 12:43У моего знакомого при поездке с семьёй в Европу заблокировали карту одного из самых крупных банков после оплаты отеля и аренды машины. При звонке в банк неофициально признали, что это «действия службы безопасности», и, несмотря на то, что это не прописано в договоре, это — обычная практика. На разблокировку потребовалось 2-3 дня. Хорошо, что у супруги была своя карта, она не была привязана к общему счёту, и на счёте были деньги.
shifttstas
07.02.2017 12:51+1На разблокировку потребовалось 2-3 дня
Банк Почты России?ABATAPA
07.02.2017 13:03Нет. Банк, который тут уже несколько человек назвали с той же проблемой.
shifttstas
07.02.2017 13:05+2Никогда не понимал, почему кто-то стесняется написать, что Банк ХХХ — днище, не пользуйтесь им {а тут аргументация}
immaculate
07.02.2017 21:10Поэтому я отказался от использования карты Альфа-Банка за границей. У них нет возможности указать даты поездки за границу. Ни через интернет-банк, ни в офисе. В итоге, каждый раз, заплатив за чашку кофе $3, я получаю звонок из А-Б, который в роуминге обходится мне в $15 или дороже. Понимаю, что это забота обо мне, но мне неудобно, когда мне постоянно звонят в дорогой роуминг, да еще и приходится довольно долго объясняться с оператором, что да, это я, да, купил чашку кофе, да, за границей.
Alex_Belyaev
07.02.2017 12:15+3Лично для меня поведенческие механизмы зло, раз 5 мне карту Альфа банк блокировал за мои покупки на интернет площадках и в поездках в другие страны, где я оставался без карты и денег и просьбой подойти в отделение Альфы и подписать заявление для её разблокировки.
Надеюсь ваша система поинтеллектуальней и не мешает самому пользователю пользоваться собственными средствами.kernel72
07.02.2017 12:27Такая же беда была с Альфа-банком. Но сейчас они перезванивают и уточняют, я ли пытался совершить эту операцию, после чего разблокируют. А заграницей достаточно предупредить их и блокировки не будет.
Rayslava
07.02.2017 13:19Я когда говорил с таким вот звонящим, выяснил, что за границей меньший шанс блокировки, если снимать деньги в банкомате в каком-нибудь достаточно центральном отделении банка, а не просто на улице. Собственно, в две последние поездки делал так и уже не блокировали.
immaculate
07.02.2017 21:14Пару лет назад их точно нельзя было предупредить. В офисе мне сказали, что такой возможности нет, пользуйтесь картой как обычно, если что, вам позвонят. Но это не особенно удобно, т.к. в роуминге звонок иногда обходится дороже покупки, по крайней мере я два или три раза так попал с А-Б на разговор в 800-1000 рублей, и что-то отбило охоту пользоваться их картами за границей.
Хотя понимаю, что это забота обо мне, и это лучше, чем если бы кто угодно мог украсть мои деньги (у знакомой с карты другого банка как-то сняли где-то в другой стране, когда она была в Москве). Но можно все-таки как-то удобнее сделать. В другом банке у меня есть возможность в Интернет-банке отметить, что я буду в такой-то стране в такие-то дни.
kernel72
08.02.2017 12:08Ну сейчас, такая возможность у Альфы есть. Предупредить их можно из чатика в мобильном приложении и у меня это прокатывало. Была в прошлом году ситуация, в Тайланде заблокировали карту, когда пытался снять денег через банкомат. Разблокировать удалось там же прям из мобильного приложения без звонков в банк.
ЗЫ. Я не работаю на Альфа банк =) просто делюсь опытом
dimskiy
07.02.2017 12:37Согласен, системы безопасности часто балансируют на грани неудобств для пользователя. Зато меньше шанс, что дон Педро из Бразилии использует данные вашей карты для решения своих финансовых затруднений. Даже именитые сервисы не всегда с должным вниманием к карточкам относятся — например, был скандал с одной системой бронирования, которая в открытом виде скидывала данные клиентских карт в отели. А персонал печатал и оставлял на стойке ресепшена…
Для более объективной оценки по части безопасности, рекомендую заранее рассказать о планируемой поездке банку. Например, в Яндекс.Деньгах достаточно просто написать в поддержкуMAXXL
07.02.2017 12:43+1У меня есть карта Сбербанка. Ни в одной поездке блокировок не было, да и вообще не было пока. И банк о поездках не предупреждал. У Сбербанка плохие алгоритмы или что-то еще? Кто-нибудь со сберовской картой попадал на внезапные отклонения транзакций и блокировки? Просто интересно- у них так все круто, или все плохо? Надо как-то беспокоиться и подстилать соломку?
dimskiy
07.02.2017 12:54Про Сбербанк не подскажу, но вообще у каждого банка свои «погремушки» и разные приоритеты по части безопасности. К примеру, лично на моей самой старой НЕ сбербанковской карте тоже не было блокировок за рубежом, хотя вот тут писали выше, что бывает. А подстелить соломку — всегда полезно, часто достаточно просто второй карты другого банка. Заодно поможет при краже бумажника
MAXXL
07.02.2017 13:23Как поможет вторая карта при краже бумажника? Только если ее хранить не в бумажнике?
dimskiy
07.02.2017 13:33Все верно — вторую карту можно хранить в номере в сейфе, либо в чемодане. Конечно, чемодан не спасет от блокировки карты в ресторане, но тут или выбирать меньшее зло, или просто использовать карточку, например, супруги — получается аж три карты.
Главное, соблюсти баланс между подстраховкой и паранойей :)MAXXL
07.02.2017 14:05+1А, ну такую подстраховку использую. Думал может новое что-то придумали. Подстраховка -вариант №3 — немного налички в потайном кармане. Тоже не приходилось воспользоваться, но уверенности придает.
MAXXL
07.02.2017 13:26А еще вопрос — если блокируется карта, то блокируется и счет этой карты? Можно ли с помощью банк клиента перевести со счета заблокированной карты на другою карту/карту другого банка?
dimskiy
07.02.2017 13:36Зависит от банка, но чаще все же блокируется именно карта — можно перевести деньги со счета на другую карточку. В одном банке даже по телефону предложили прямо в реальном времени разблокировать пластик, чтобы я мог вывести деньги вовне. Дело было за 3ч до вылета, поэтому они прониклись моим волнением в голосе :)
jukkagrao
07.02.2017 14:09Обычная практика — предоставлять опцию в личном кабинете блокировать транзакции за границей или нет, и да не карту, а транзакции, писеть в поддержку -моветон, тем более что рещение ехать в другую страну может быть принято спонтанно и в отсутсвие интернета
trueromio
07.02.2017 15:30Согласен, в Украине стандартная практика безусловно блокировать транзакции за рубежом (по крайней мере, в нескольких банках, с которыми сталкивался я и моя девушка), если ты не предупредил о поездке банк. Да, это немного неудобно, но, как по мне, такой «вайтлистинг» гораздо безопасней.
servant
07.02.2017 12:57И вот еще интересно — фрод следит только за одной конкретной картой? Ну т.е. если я реальной картой оплатил в одном месте, а брат/жена/папа через минуту с помощью *PAY в другом регионе/стране — будет отказ? И есть какой-то порог по сумме, до которого фроду вообще дела нет?
dimskiy
07.02.2017 13:37Антифрод следит и за счетом, cумма операции тоже имеет значение. Но и этого было бы недостаточно, поэтому мы также берем в расчет конкретный магазин, частотность платежей и еще с десяток менее значимых факторов.
Антифрод анализирует операции даже по 1 рублю, т. к. это могут быть пробивки. При этом, например, третий платеж одной и той же карточкой на 100р в AppStore будет воспринят вполне лояльноservant
07.02.2017 13:51Ну т.е. он понимает, что карточка и телефон могут быть и использоваться разными человеками в одно время в разных местах? Ну например, одна у ребёнка на обеды и проезд, телефон у себя, для того же — не будет проблем?
dimskiy
07.02.2017 14:20Правилами Яндекс.Денег (как и большинства банков) не допускается использование вашей карты третьими лицами. То есть, привязка карты в *Pay телефона другого человека формально приравнивается к компрометации.
Если карта будет заблокирована, у супруги или ребенка не получится ничего доказать техподдержке. Рекомендую для таких случаев просто выпустить для них отдельные карты в системе, между которыми можно мгновенно переводить деньги
darken99
07.02.2017 14:22Чем в данном случае использование Яндекс.Денег отличается от любой другой карты?
По сути это такая же карта как у любого банка.dimskiy
07.02.2017 14:52Если вы имеете ввиду оплату через *Pay, то карту Я.Денег проще выпустить (есть виртуальная, есть и не именная, которую можно сразу получить у нас в офисе), ее привязка к кошельку выполняется несколько проще если делать это через приложение Я.Денег.
В остальном вы правильно сказали — карта работает аналогично любой другой карте MasterCarddarken99
07.02.2017 22:21Просто выпустить карту мало, на ней еще и деньги должны быть :)
Если у человека нет доходов на Я.Деньги то по сути преимуществ нет никаких, от слова совсем.
Если честно я ожидал увидеть в статье что-то на предмет отличия системы токенизации. Или что у вас своя Payment система, совсем не связанная с конкурентами.
А так получается что у вы для *Pay ничем от обычного банка не отличаетесь.
kypexin
08.02.2017 10:54Если у человека нет доходов на Я.Деньги то по сути преимуществ нет никаких, от слова совсем.
Карта Яндекс.Денег — она для пользователей Яндекс.Денег :) Так что вы отчасти правы, в общем случае — если вы не пользуетесь сервисом, то она может быть вам и ни к чему. Но вполне возможно, что побудить к тому, чтобы стать пользователем, вас могут в том числе и многочисленные «плюшки», предлагаемые для держателей именно этой карты (кэшбеки, программы лояльности, беспроцентное снятие наличных в любых банкоматах и т.д. и т.п. — всего предостаточно).
dimskiy
08.02.2017 11:52Кошелек — удобный инструмент для онлайн-расчётов, и есть много сценариев, в которых это или самый удобный, или даже единственный способ получения каких-то выплат онлайн: фриланс, кэшбек-сервисы, чаевые и т.д. И наша карта позволяет этими деньгами сразу расплачиваться в офлайне.
Процесс токенизации стандартный для всех банков, так как происходит на стороне MasterCard. Однако, аутентификация при этом может быть как проще, так и сложнее в каждом конкретном случае — об этом есть в статье, в разделе про зеленый, желтый и оранжевый пути.
SuhoffGV
10.02.2017 18:34За исключением того, что не все сервисы принимают карты яндекс. Конечно это не проблема яндекса, а проблема «кривого» сервиса, но страдает в итоге пользователь яндекс карты.
Например UBER не принимает к оплате ни виртуальные ни реальные яндекс карты. Причем узнаешь об этом только при попытке заказать/оплатить машину. Как способ оплаты, в uber можно внести и виртуальную и реальную карту. Но оплатить не получится. И информации об этом нет ни на uber ни у яндекс.
ps про Яндекс-такси я в курсе.
prs123
07.02.2017 16:00Почему только MasterCard?
А так, жаль, что во многих телефонах нету NFC и большинство терминалов/кассиров не знает об NFC ничего (Питер)kypexin
08.02.2017 10:49Почему только MasterCard?
Получение лицензии на эмиссию карт и статуса партнёра МПС — достаточно долгий и трудоёмкий процесс; внедрять сразу обе дорого и сложно; ну и да, MasterCard также по различным историческим причинам.
theRavel
07.02.2017 16:31-3Для каждого пользователя Яндекс.Денег формируется индивидуальный поведенческий профиль
В этой истории тоже? Вам не стыдно работать в этой компании?Green_world
07.02.2017 18:01-1Знаете я немного удивлен Вами.Уходить из Яндекс(который на секунду входит в топ работодателей), из-за того того что кто-то совершил ошибку в алгоритмах (или сам человек заблокировал), как минимум неразумно…
Я не говорю что они мягкие и пушистые(мой опыт с Яндекс.деньгами тоже не очень, но это уже впрочем другая история), но увольняться… когда надо наоборот показать какая команда у Яндекса:).
Может написал как-то странно, но суть это отразит).
vikarti
07.02.2017 18:01Что значит Оранжевый сценарий и почему — «фактически означает отказ»? Как выбирается сценарий и кем? MasterCard в зависимости от того от кого запрос?
Как именно работает возврат платежа магазином? в магазине в обычной ситуации попросят номер карты а тут что?
что будет если на момент оплаты у телефона нет связи, совсем нет?
Как правильно объяснять кассиру что это вот такой новый способ и все нормально и нет показать карту чтобы имя проверить — нет возможности потому что ее с собой нет?dimskiy
08.02.2017 12:52При отмене возможны 2 варианта — отмена операции или возврат (если деньги уже списаны со счета):
- Отмену обязательно нужно оформлять с того же устройства, с которого была совершена покупка. Сотрудник магазина на терминале оформляет возврат по аналогии с возвратом на карту и на шаге предъявления карты нужно на смартфоне выбрать в wallet карту, с которой был совершен платеж. Далее нужно приложить телефон к терминалу и подтвердить возврат с помощью Touch ID или пароля;
- Для возврата процедура такая же, но могут потребоваться и данные реальной карты. Подробнее о возможных сценариях вы можете прочесть в этой справке Apple
Интернет для работы *Pay не нужен, а кассиру можно вообще ничего не объяснять и просто приложить смартфон к терминалу, если он поддерживает бесконтактную оплату. Иногда просят еще назвать последние цифры карты — это нужно, если кассовая система не дружит с терминалом.
marinichev
07.02.2017 18:17+1Расстраивает во всех приложениях, что оплата телефоном через NFC получается гораздо дольше, чем оплата картой с бексонтактными платежами.
Пример. Стоишь на кассе, укладываешь пробитые кассиром продукты в пакет, кассир называет сумму, далее
Сценарий1:
1. Достаешь телефон,
2. Разблокировка телефона,
3. Запуск приложения (клик 1),
4. Вход в режим бесконтактных платежей (клик 2),
5. Вход в режим оплаты (клик 3),
6. Ввод пин кода (+4 клика),
7. Приложил телефон к терминалу, ввел доп. пин на терминале (если требуется)
8. Оплата.
Сценарий2:
1. Достаешь бумажник,
2. Достаешь карту,
3. Приложил карту к терминалу, ввел доп. пин на терминале (если требуется)
4. Оплата.
При оплате картой — необходимых манипуляция в два раза меньше. Многие приложения в момент оплаты еще требуют доступ в интернет, в крупных ТЦ часто с этим проблемы, что вызывает дополнительные задержки.marinichev
07.02.2017 18:22Как возможный вариант упрощения: делать ярлык/виджет на главном экране «Бексонтактная оплата»:
1. Клик по ярлыку,
2. Ввод пин-кода приложения (карты),
3. Прикладывание телефона к терминалу, ввод доп. пин на терминале (если требуется)
4. Оплата.
NeuroHunter
07.02.2017 21:19Для Apple Pay это выглядит гораздо проще, чем вы описали:
1) достаешь телефон / Apple Watch
2) дважды нажимаешь на Home / боковую кнопку на Apple Watch
3) прикладываешь к терминалу
4) оплата прошла
MAXXL
07.02.2017 21:22Получается в iPhone быстрее — достал телефон, приложил к терминалу, приложил палец к сенсору. Платеж прошел.
Пока писал — уже выше ответили. Кстати я не нажимаю кнопку Home дважды. Можно настроить чтобы было достаточно только приложить палец к сенсору когда телефон увидел запрос от терминала.
Lexsus333
08.02.2017 12:35Уже достаточно давно пользуюсь системой яндекс-деньги, в том числе и пластиковой картой. Самое привлекательное для меня — перевод со сбербанка без комиссии.
Платить через телефон к сожалению не выходит (хоть и есть такое желание), т.к. пользуюсь Limia 640. Планируется ли добавить в приложение для Windows Phone возможность бесконтактной оплаты?
way4day
11.02.2017 08:59У меня как-то заблокировали карту ВТБ24. При этом мои действия не проверялись службой собственной безопасности. Они сами так решили, как мне сказали — подозрение на то что карта скомпрометирована. Позже поделились что произошла разовая блокировка довольно большого количества карт. При том что у меня нет привычки скакать от банка к банку. Хотя опыт по карточным продуктам весьма не малый. Ладно, средства были, и на самой карте осталось не так много денег, но ждать пару недель пока перевыпустят карту. А если это была единственная карта? И филиал банка был бы вне зоны доступа? Идем дальше. В том же альфа банке есть возможность установить лимиты на использование денежных средств. Причем установка лимитов происходит моментально, подтверждением через СМС. т.е. если у меня украдут карту, будут знать все данные которые только о карте возможны, то все равно не смогут ей воспользоваться, просто потому что карта покажет кукиш. 0? лимит это не шутки, зато идя в магазин или собираясь оплатить через интернет я могу за минуту или быстрее установить лимит равным сумме предполагаемой траты, даже стоя в очереди. Возможно не так удобно, но поставить в сутки лимит на оплату картой в магазине 2000? вполне реально, даже если украдут карту, больше одного раза воспользоваться ей не смогут, а при включенном СМС информировании уже будет звонком что с картой что-то происходит.
Смотрим дальше. Многие банки предлагают выпуск дополнительной карты к счету с лимитами на использование, причем карта хоть и именная, но не на имя владельца счета, а на имя держателя карты, допустим, жены. И пусть пользуется. Опять же в некоторых банках (не во всех, разумеется), есть возможность иметь несколько счетов в разных валютах. Причем перепривязывать карту к конкретному счету практически моментально, через онлайн банк или через приложение. Что довольно удобно. Если ест долларовый счет (допустим специально откладывал на поезду на отдых), то привязка той же карты к счету в долларах помогает избежать конвертации валюты. В итоге имеем не кучу карт с разным назначением, а одну-две карты универсальные, а что с ней будет происходить, как ее будут использовать, и что по ней допустимо — решать будет владелец. То что у Яндекс денег есть возможность обзавестись несколькими обезличенными картами, на мой взгляд — здорово. Можно парочку не привязывать, а просто хранить дома, на случай утери или повреждения основной, тем более что списание происходит только за привязанную карту. Потерял одну, или просто не уверен в том что она безопасна, заблокировал, привязал другую (причем через телефон) и пошел отдыхать дальше. К сожалению, большинство из перечисленных операций для продвинутых или, хотя бы, тех кто может с этим всем совладать. Но многое это оптимальное сочетание безопасности и удобства. Плюс, для тех кто во всем этом разбирается можно бы и отключать принудительную блокировку счета в случае если система что-то заподозрит. Все же воспользоваться деньгами будет уже практически невозможно. К примеру, я сижу дома, и использую VPN (причины могут быть разные) И если я для системы сейчас в России, через 15 минут в Африке, через 30 в США. То это Интернет, ничего не поделаешь, имею право использовать свои деньги где хочу и как хочу, и автоматическая блокировка карт в этом случае пбольше принесет вреда, чем пользы.
Честно говоря, я не знаю, насколько Яндекс Деньги способны меняться, насколько гибкую политику будут использовать для развития, но многие из приведенных мной действий/опций сделали бы пользование данным сервисом гораздо интереснее. Во всяком случае для меня. Пока использую как чисто воспомогательную систему распределения финансов. Расценивать как полноценную замену всему и сразу пока, увы, не смогу. Но надеюсь на лучшее. В случае чего, можно расписать по пунктам что хотелось бы. Спасибо если смогли осилить это полностью. ))) Но в двух словах всего не расскажешь)
rekby
все интересно, но как будто просто вводная часть. без содержания.