Какие меры безопасности предусмотрены в LiqPay POS? Комментарий А.Витязя

Новый сервис LiqPay POS, предназначеный для приема безналичных платежей по пластиковым картам, вызвал массу противоречивых отзывов в среде технических специалистов. Основная обеспокоенность была вызвана вопросом безопасности платежей и защиты транзакций от мошенников.

pos-liqpayВ качестве примера рассматривалась следующая ситуация:

"1)продаем что-то, отправляем счет клиенту. Пока клиент набирает подтверждение, отправляем еще запрос с новой суммой в n раз большей. Клиент как-раз отправляет смс с подтверждением и денежка у нас. Второй запрос не обяззательно отправлять с того же телефона, с которого был отправлен первый счет.
2)клиент получил два счета от разных торговцев. отправив смс-подтверждение чей счет он оплатит? Для того, чтобы это как-то нормально работало в смс-счете надо высылать уникальный номер, который должен отправляться покупателем в ответном смс".

Мы попросили прокомментировать этот вопрос руководителя «Центра электронного бизнеса» ПриватБанка, Александра Витязя.

А.В.: Как происходит расчет в этом POS? После совершенной транзакции клиент получит подтверждающее SMS от нас и увидит что сумма не та.

Б.: То есть, обнаружив, что сумма не та и заподозрив неладное, клиент может отозвать платеж?

А.В.: Конечно! К тому же мы сейчас расширяем паузу между повторными счетами. Поймите: мы видим таких умников и денег они не получат, зато в черный список попадут. На самом деле, всем руководят в этой нише лимиты. Разрешенные к переводу суммы довольно невелики: это сервис для тех кто не может позволить себе настоящий POS.

Б.: Прокомментируйте, пожалуйста, рассмотренную ситуацию.

А.В.: Вокруг каждого инвойса есть защитный временной слой - 5 минут, в течение этого времени действует только последний неоплаченный счет. Если 5 минут истекли, то 2-й счет становится текущим.


  • Основная обеспокоенность вызвана тем, что платежная система LiqPay не зарегистрирована Национальным банком Украины поэтому ответственность за платежи никто в ней не несет

    http://www.bank.gov.ua/Pl_syst/pps.htm

  • Борис

    Не знаю… Как-то неубедительно Витязь комментирует…

  • Джек

    2Олекса Карпів: Webmoney тоже не зарегистрированы, но это ни у кого кроме чиновников не вызывает обеспокоенности. Есть платежные системы, а есть электронные деньги. Закона по вторым еще нет. А существующему постановлению они не противоречат.

    В чем проблема? Боретесь с конкурентами? ;)

  • Борис

    «Вокруг каждого инвойса есть защитный временной слой – 5 минут, в течение этого времени действует только последний неоплаченный счет. Если 5 минут истекли, то 2-й счет становится текущим.»
    А если выставили три счета (случайно, не ушло смс с первого раза — покрытие плохое). Я как покупатель должен рассчитать в какие 5 минут мне попасть с ответом? Как догадаться покупателю какой счет действует в эти 5 минут и нет ли еще каких-то счетов?

  • @Борис, Если смс не ушло случайно, то счетов все-таки 2 а не 3 :)
    Обычно в смсках указана дата. От этого и стоит отталкиваться.

  • Serj

    В открытом виде, а именно через СМС передавать номер карты и CVV. Это бред. О какой безопасности идет речь. О каких пяти минутах. Фрода будет столько, что как Приват начнет работать, так и закончит. Такое ощущение что школьник писал программу.

  • Честно говоря никогда не стал бы отправлять смс с такими даными но ради эксперимента сделал бы вот как: оплатил бы цветочки сел в машину и уехал, на ближ перекрёстке отозвал платёж, и поехал бы дальше довольный))) привет приветбанку!