Глобальная технологическая трансформация влечёт за собой непрерывное увеличение количества цифровых финансовых транзакций, а значит, пользователи получают всё больше возможностей для оплаты товаров и услуг по всему миру. Только в России доля безналичных платежей растёт уже 7 лет подряд. Этими данными поделились аналитики Центробанка РФ в июне 2021 года.
Если в 2014 году к преимущественно безналичным платёжным инструментам (БПИ) среди россиян обращались всего 26%, то в 2020 году этот показатель составил уже 70%. Среди наиболее популярных БПИ — мобильный и онлайн-банкинг (45%), интернет-платежи (33%) и электронный кошелёк (18%).
Растущая популярность тех или иных сервисов и всеобщая цифровизация, вызванная пандемией COVID-19, — это факторы, оказывающие сильное влияние на кибербезопасность. Хотя число пользователей, которые пострадали от действий киберпреступников в 2020 году сократилось, атаки стали более тактическими, а в их фокусе оказался бизнес.
Как же в подобных условиях обеспечить надёжность программного решения и безопасность финансовых транзакций ваших пользователей?
Часть 1. Разные платёжные шлюзы и их уязвимости
Понятная и простая для пользователя процедура оплаты — обязательное условие успешного функционирования практически любого бизнеса. Обеспечение многообразия платёжных шлюзов позволяет клиенту сэкономить своё время, а после ― с большей вероятностью возвращаться к вашему программному решению ещё и ещё.
В зависимости от особенностей ПО тип сервиса для обработки платежей может отличаться:
Размещённый платежный шлюз позволяет перейти со страницы заказа на сервер оплаты. После ввода платёжных реквизитов пользователь возвращается на ваш сайт. Ключевые преимущества этого типа оплаты ― безопасность проводимых транзакций и простота в использовании. Но у данного подхода есть недостатки, к примеру, продавец не может контролировать весь процесс покупки из-за факторов, присущих внешним платёжным шлюзам.
Самостоятельные платежные шлюзы аккумулируют информацию на веб-сайте продавца. Пока пользователь остаётся на странице или в приложении магазина, данные в фоновом режиме передаются в банк. Преимущество этого решения состоит в высоком качестве обслуживания клиентов, ведь вся транзакция выполняется в одном месте, а продавец отслеживает путь платежа через настраиваемый поток. Но сложности могут возникнуть из-за того, что самостоятельные платёжные шлюзы обычно не имеют группы технической поддержки.
В частном случае сервис может быть представлен:
Платёжными шлюзами, размещёнными через API. Они позволяют клиентам вводить данные карты непосредственно на странице оформления заказа, что обеспечивает контролируемый клиентский опыт. Сильной стороной этого типа сервиса служит возможность интеграции, например, с мобильными устройствами, планшетами и прочее. А вот слабым местом подобных решений является безопасность, потому что исключительно продавцы несут ответственность за соответствие требованиям PCI DSS и приобретение сертификатов SSL.
Шлюзами интеграции местных банков. Они перенаправляют клиента на веб-сайт банка, где они вводят свою платёжную и контактную информацию. Преимущество состоит в быстрой и простой настройке, что подходит для малых предприятий, которым нужна прозрачная структура единовременных платежей. Ключевой сложностью выступает ограниченное число функций, качество которых нужно проверять.
Как видите, вне зависимости от типа платёжного шлюза, существуют узкие места, которые могут негативно повлиять на функционирование программного приложения. Минимизировать сложности часто помогает забота о качестве ПО.
Часть 2. Для чего тестировать платёжные шлюзы?
При оплате в магазине или отделении банка для подтверждения транзакции используется POS-терминал, но аналогичная система проверки нужна и в онлайн-среде. Само собой, если какой-либо из элементов системы не работает должным образом, риски для продавца растут. Пользователь, в свою очередь, предполагает, что онлайн-оплата пройдёт без каких-либо заминок. Даже незначительные сложности с цифровыми платежами могут отразиться на лояльности клиентов.
Ещё одной причиной привлечения QA-команды является оценка соответствия внутренним бизнес-процессам банка. Это особенно актуально в случае использования шлюзов, которые принадлежат банку.
Внедрение тестирования ПО позволяет убедиться, что платёжный цикл завершён успешно, а конфиденциальные данные обрабатываются безопасно во время каждой онлайн-транзакции, удобство использования — на высоком уровне, равно как производительность и функциональность ваших онлайн-каналов оплаты.
Часть 3. Стратегия тестирования платёжных шлюзов
Тестировать лучше на ранних стадиях создания ПО, как в случае с завоевавшей доверие концепцией shift left (привлечение QA-специалистов ещё на этапе планирования требований).
За счёт более глубокого понимания ПО и раннего выявления сбоев инженеры по качеству помогают предотвратить появление дефектов в логике продукта, а также снизить временные и финансовые затраты на его развитие.
Перед началом тестирования специалисты по обеспечению качества изучают параметры платёжного шлюза и соответствие бизнес-целям, отвечая на ряд вопросов:
Зашифрованы ли пароли и прочие конфиденциальные данные?
Какие применяются меры по борьбе с мошенничеством?
Как система будет обрабатывать неудавшийся платеж?
Работает ли весь цикл транзакции по безопасному протоколу HTTPS?
Процесс тестирования платёжного шлюза включает несколько сценариев, поэтому важно определить оптимальный набор требований для канала цифровых платежей. По нашему мнению, в стратегию по качеству стоит включить:
Функциональное тестирование. Проверка всех полей, пользовательского интерфейса, своевременная отправка уведомлений о транзакции на электронную почту.
Тестирование производительности. Оценка эффективности работы приложения в период загрузки, в пиковые моменты (в сезон распродаж), а также в различных средах.
Тестирование безопасности. Обзор всех типов шифрования, доступа для аутентифицированных пользователей и надлежащих предупреждений о нарушениях безопасности.
Тестирование интеграции. Анализ согласованности приложения с платёжным шлюзом, выбор правильного формата валюты, точность потока транзакции и время обработки запроса.
Сотрудничество со специалистами по обеспечению качества позволит лучше подготовиться к выходу на рынок со сложным программным продуктом, обеспечить безопасность финансов и информации ваших клиентов.
Заключение
Создание по-настоящему надёжного программного решения может стать вашим конкурентным преимуществом на рынке. Ведь своевременное устранение дефектов ПО повысит защищённость проводимых транзакций.
В пользу тестирования платёжного шлюза вашего программного решения говорит сразу несколько факторов.
Во-первых, так вы сможете обезопасить себя и клиентов от финансовых потерь.
Во-вторых, забота о качестве ПО сохранит данные ваших пользователей в безопасности и не позволит третьим лицам завладеть ими, ведь это важный фактор доверия к вашей компании.