Vlákno názorů k článku Payment Request API: informace o platební kartě bezpečně v prohlížeči od martin - Víte někdo o nějaké platební bráně fungující v...
-
martin (neregistrovaný)
Víte někdo o nějaké platební bráně fungující v ČR, která by toto Payment Request API podporovala?
Většina, co znám, se ohání tím, že je nutné, aby uživatel číslo karty zadával přímo na jejich webu. Řešení, které je vidět na mnoha zahraničních webech, že se číslo zadá přímo obchodníkovi (např. právě přes Payment Request API), prý není možné (nedovoluje to Payment Card Industry Data Security Standard).
-
KateStříbrný podporovatelAle Payment Request API neposílá číslo karty obchodníkovi. Funguje v podstatě podobně jako platební brány, jen není na serveru poskytovatele platební brány, ale v prohlížeči uživatele.
-
KateStříbrný podporovatel
Vzhledem k tomu že to ještě není hotové API a nepodporují to všechny prohlížeče neznám ještě ani jeden obchod, český nebo zahraniční, který by to podporoval.
A proč bránu? Vždyť to je technologie co platebním branám konkuruje :)
(ne že by to brány implementovat nemohly, ale v tu chvíli by byly redundantní a jejich účel by se omezil jen na zprostředkovatele EET) -
Payment Request API si vyžádá číslo karty a CVV, které vrátí OBCHODNÍKOVI, a je na něm, jak si peníze z té karty strhne. Viz screenshoty na https://ispis.cz/sandbox - Chrome upozorní, že data půjdou obchodníkovi, JavaScript obchodníka dostane k dispozici komplet údaje o kartě.
Obchodník pak potřebuje nějakou platební bránu - někoho, komu pošle to číslo karty a CVV a částku, a ten někdo mu a účet pošle peníze.
Zná někdo někoho takového? Proč je to v cizině běžné?
-
KateStříbrný podporovatel
Aha… Z některých popisů a tohoto blokového schématu https://developers.google.com/web/fundamentals/payments/images/4_the_payment_transaction_process.png jsem čekala že to zastoupí platební bránu a browser si vykomunikuje platbu sám přímo s kreditní společností. Pokud to bude fungovat tak, že nejen ukládám číslo karty a CVC v prohlížeči, ale zároveň ho posílám obchodu a ten ještě nějaké bráně, trochu se mi vytrácí ten přínos a z pohledu potenciální programátorky toho webu i to usnadnění. Asi si přes víkend projdu dokumentaci…
-
Proč by to měl do formuláře uživatel po sté opisovat, když si to obchodník může vytáhnout přes API? Nehledě na to, že kromě (nebo místo) platby kartou může obchodník podporovat třeba AndroidPay. Ten v ČR zatím není, ale bude.
Co v článku ještě nezaznělo, je to, že kromě údajů o kartě si obchodník může vyžádat i doručovací adresu. Pro zákazníka je tak celý nákup super jednoduchý.
-
KateStříbrný podporovatel
Osobně by se mi opravdu víc líbilo, kdyby se platba dala ověřit bočním kanálem bez účasti obchodu a obejít tak úplně třetí stranu, kdy se tím omezí řetězec dúvěry na můj PC a zprostředkovatele platby.
-
Přezdívka (neregistrovaný)
Přesně tak. V současnosti web obchodu zobrazí nějaké shrnutí objednávky a pak výzvu k zadání informací o kartě s tím, že jakmile je získá, tak už mu v případě absence potvrzovacího mechanismu nemůže nic zabránit, aby chtěl po zprostředkovateli platby úplně jinou než uživateli prezentovanou částku. Nehledě na to, že web může takto získaná data o kartách uchovávat, což prý sice vydavatelé karet výslovně zakazují, ale co je nám to platné. Pokud navrhovaný standard pouze automatizuje takhle dementně nastavený proces, tak nevidím absolutně žádné zlepšení bezpečnosti. Leda by vyšší bezpečnost byla absolutně podružná.
-
Míra (neregistrovaný)
Pokud celé tohle ultra super cool api bude sloužit k tomu aby tam nacpal svoje citlivý údaje typu čísla a ověřovacího kódu tak je to celé k ničemu.
Zejména pokud si tyto údaje bude moci přečíst libovolná stránka na kterou vlezu.
Zřejmě nejsem dostatečně blbej a línej (resp. nejsem cool a trendy) abych s nadšením rval svoje citlivý údaje všude.
To radši zůstanu totálně out a budu dál používat klasickou platební bránu s dvoufaktorovou autorizací transakce.Ten kdo nadšeně cpe svoje citlivý data do googlu, na Facebook a podobné weby z toho možná bude nadšený jak je to cool a trendy. Takových blbců se určitě najde dost. Ti ostatní to používat nebudou.
