Александр Неймарк, Руководитель PayStore.com, 1@paystore.com
Публикации в СМИ с упоминанием проекта PayStore.com, как партнера Альфа-Банка по предоставлению агрегатора балансов вызвал неоднозначные отклики на рынке и, чтобы ответить на все вопросы, которые ко мне поступили за последние несколько дней, я решил написать этот материал и приоткрыть завесу тайны над «Сервисом контроля балансов».
Сегодня я открыл свой мейл, на который часто приходят отзывы от наших пользователей, и прочитал вот такое письмо (поясню, что в этом банке не только операции, но и вход обязательно подтверждать по СМС, и это нельзя отключить):
«Спасибо Вам за чудесный софт. P.S. как я и ожидал с подключением услуги Супербанк вместо Суперинфо Ваша программа перестала получать данные (СМС она же не перехватывает). Теперь пойду отключать Супербанк. Удобное мгновенное отслеживание изменений баланса с помощью Вашей программы мне гораздо важнее кривоватого Супербанка». И знаете, читая такие строки я понимаю — у этой технологии есть будущее. Пользователи современных финансовых продуктов просто в восторге от того, что могут объединить в одном интерфейсе разные «личные кабинеты» провайдеров. Когда мы сделали это открытие (а мы занимаемся этим вопросом уже много лет), мы поняли, что появился новый рынок для банков и крупных электронных кошельков.
Зачем это нужно банкам и крупным кошелькам?
Во-первых: увеличивается посещаемость сервисов ДБО. Вспомните, когда и зачем вы в последний раз заходили в интернет-банк? Невысокий процент возврата пользователей — это большая проблема. А ведь банкам очень важно быть в постоянном контакте в клиентами и не тратить деньги на лишнюю рекламу. Добавив в ДБО Банка свои балансы пользователь сам, ДОБРОВОЛЬНО будет заходить в интернет или мобильный банк с завидной регулярностью. Его мотивация возврата в данный банк резко повысится.
Во-вторых: где пользователь видит баланс — там он и может оплатить. Добавьте под отображение баланса кнопку «Пополнить» — и пользователь ваш. А еще можно прислать push-уведомление вида: «Мы видим, что вот здесь деньги заканчиваются и знаем, как важен для вас этот сервис, давайте пополним счет прямо сейчас». Удобство этой технологии в том, что поля в форме платежа заполняются автоматически — мы ведь не только смотрим баланс, но и можем найти нужные данные в личном кабинете провайдера и передать их в платежную форму банка. И в-третьих (самое важное): банки хотят видеть ВСЮ финансовую жизнь клиента, а не только её часть. Допустим, у вас есть счет в банке «А» на сумму 20 000 рублей. И счет в банке «В» на сумму 1 000 000 рублей и постоянные обороты по счету. Так вот, банк «А» думает, что вы обладаете весьма скромными доходами. Он же не знает, какова реальная картина вашей финансовой жизни. Но стоит вам разрешить ему видеть свою информацию в других банках, и он сможет более тонко понимать вас и не спамить вас стандартными предложениями, а подстроиться под ваши нужды, потребности и дать вам более привлекательные финансовые условия по своим продуктам.
Почему это безопасно?
Мы миллион раз слышали слова: «Шеф, все пропало, гипс снимают, клиент уезжает, у вас все украдут, вас всех продадут и вы все под колпаком ФСБ (ЦРУ)». По факту: никто никому ничего не передает, никто никакие базы не продает и не собирается продавать. Пользователи не могут передавать данные от личных кабинетов провайдеров третьим лицам, но не компьютерной программе, которая «третьим лицом» не является. Вспомните, как легко вы отдаете свои персональные данные web-браузерам, а ведь Google тоже может «воровать» ваши данные. На самом деле, никто ничего не собирается воровать. Данные передаются программе (например, вводятся в специальном интерфейсе на стороне банка) и хранятся в зашифрованном виде (с использованием аппаратного шифрования) на наших серверах или на серверах банка. Банк может доверить хранение паролей нам или хранить пароли у себя на серверах и таким образом гарантировать своим клиентам, что доверенные пары логинов и паролей не уйдут дальше сервисов банка. У каждого провайдера есть свой IP-адрес, поэтому легко проверить, что логины и паролю передаются только по назначению. Скрипт берет логин и пароль на стороне банка, идет по указанному адресу на сайт провайдера, забирает данные и доставляет их строго назад в ДБО банка. Никаких сторонних путей скрипт не знает. Все данные передаются по зашифрованному каналу HTTPS.
Если банк доверяет хранение логинов и паролей нам (в облаке), мы работаем с обезличенными данными и просто доставляем информацию, ставя её в соответствие искусственному ID. Реального человека, скрывающегося за этим ID, знает только банк, поэтому, никакие персональные данные пользователей не уходят на сторону, мы не знаемся «сливом» базы партнеров. Все клиенты партнера остаются его клиентами на 100%. Мы находимся в постоянном контакте со службами безопасности десятков банков и нашли компромисс с каждой службой. Используемая технология полностью безопасна, верифицирована и проверена. Она работает ровно так, как описано выше. Кроме того, важно понимать, что логин и пароль от входа в интернет-банк предоставляет возможность только посмотреть баланс и историю транзакций, а совершить транзакцию мы не можем, она защищена дополнительной авторизацией (OTP, ЭЦП, платежный пароль, токен и т.д.). Поэтому, никакой угрозы для сохранности денег клиента данная технология не представляет!
Почему синтаксический анализ, а не API?
На самом деле, так называемый «парсинг» — это только одна из технологий, которую мы используем. Если не вдаваться в подробности, процесс взаимодействия с провайдеров — это сложный аналитико-синтетический процесс интеграции, которая в некоторых случаях в разы сложнее и полноценней, чем прямой API к серверу провайдера. И когда я слышу: «Да что там, просто парсят сайты, вот договориться о работе по API — это большая задача», я всегда предлагаю моим собеседникам чуть расширить горизонт восприятия проблемы.
Во-первых, давайте сразу обозначим главные минусы работы по API:
1. В большинстве случаев, API предоставляет меньше информации, чем позволяет получить наша технология. Эта информация более ограничена и по содержанию и по возможностям использования.
2. API всегда передает Вам то, что хочет провайдер, а не его клиенты. API — это решение «сверху» и оно не всегда тонко учитывает все запросы «снизу» (то есть со стороны клиентов).
3. Если Вы, как партнер, работающий по API, не понравитесь провайдеру, он легко может Вас заблокировать В ЛЮБОЙ МОМЕНТ без объяснения причин (вспомните «Яндекс Wonder»).
Во-вторых: наша технология — это не просто работа с балансами. Она позволяет создавать так называемый «виртуальных провайдеров», то есть группы данных по разным провайдерам, синергетически сведенные в одно смысловое пространство по запросу рынка. Представьте, что существует «виртуальный провайдер» балансов и данных по платежам пользователя, «виртуальный провайдер» по активностям пользователя в социальных сетях, «провайдер поиска работы», «провайдер коммуникаций и обмена информацией» и множество других провайдеров, которые объединяют все стороны жизни пользователя.
Объединив всех этих провайдеров вместе, мы получим единого суперпровайдера, который в одном кабинете (например, в Альфа-Клике или в аккаунте «ВКонтакте» доставит пользователю всю информацию по любому вопросу, по любых связям из любой отрасли знаний. Таким образом, наша технология — это технология глобального энричмента данных (data enrichment), о котором сейчас активно говорят банки, электронные кошельки, социальные сети и другие игроки рынка.
Александр Неймарк, Руководитель PayStore.com, 1@paystore.com
...
От редакции Roem.ru: Присылайте свои статьи, авторские колонки, обзоры и аналитику на editor@roem.ru. Авторам качественных текстов — гонорары, слава и полезные знакомства в комментариях.
Статья — пустой маркетинговый bullshit, нацеленный успокоить «пользователей-дурачков». Никакого отношения к ИБ ни одно слово в этой статье не имеет. Именно поэтому основные аргументы звучат примерно так «аппаратно зашифровано супер черным ящиком», «используется https», «никто ничего не ворует, мамой клянусь!» — в общем, магические маркетологические приемчики, сводящие все к «здесь все надежно и все супер-защищено» (ВСЕ СУПЕР КОНФИДЕНЦИАЛЬНО (c)). Отсюда такое же вранье про «мы общаемся, мы договорились, но мы незаконно парсим». У вас есть пара пароль-логин. В открытом исходном виде. По-другому и не может быть в ваших условиях. Все. Здесь больше нечего обсуждать.