> Дейсвительно, хакеры не смогли получить данные о сроках действия карт и коды CVC/CVV
А причина одна: хранить коды CVC/CVV прямо запрещено стандартом PCI-DSS (то есть теми же Visa/Mastercard) То есть уводить было нечего. А хранили бы — и их бы стащили.
Кстати в статье так и не сказано — увели номера кредиток или нет. Скорее всего увели.
> «Самое большее, что могут сэкономить покупатели, — 10−15 секунд, которые они тратят на то, чтобы достать карточку из кошелька или кармана. »
Автор из US, поэтому понятно почему он так считает. Насколько я помню, Америка — последняя крупная страна, где до сих пор основная масса используемых карт это карты с магнитной полосой (magnetic-stripe cards), а не более защищенные карты с чипом (EMV chip and pin cards). Карту с магнитной полосой действительно быстро «прокатить», в части US магазинов у меня даже подпись не спрашивали.
Но это скоро измениться. С 1 октября 2015 Visa меняет подход к определению ответственности за фрод для US транзакций. Если карточка не поддерживает чип — ответственным будем банк, если у мерчанта терминал не поддерживает чипы — ответственность (и убытки) на мерчанте. Детали в http://www.emv-connection.com/emv-migration-driven-by-payment-brand-milestones/ Похожую штуку делают и MasterCard с AmEx. То есть в течении года-полутора в US резко увеличится количество чипованных терминалов и карт.
А вот транзакция с такими картами это уже не 10-15 секунд. Нужно вставить карту, взять терминал, ввести пин. Сравните с «поднести телефон». А так как мерчанты будут обновлять терминалы на новые, чтобы поддерживать EMV chip cards, то новые терминалы будут из коробки поддерживать NFC, то есть Apple Pay.
> «Почему мобильные кошельки и Apple Pay не убьют пластиковые карты»
Автор не до конца понимает как работает Apple Pay, видимо. Это сейчас не мобильный кошелек, это не «убийца карт». Это удобный интерфейс _поверх_ существующей инфраструктуры кредитных карт, используя технологию от Visa/MasterCard: http://en.wikipedia.org/wiki/Host_card_emulation
Именно поэтому банки так промоутят Apple Pay — стали ли они бы это делать в ущерб себе?
Natalya, > «Евгений Казначеев, скажите пожалуйста для тех кто англ. не знает, о чем речь идет на 717 странице. Я написала в банк письмо на возврат денег по чаржбек за купленные электронные билеты у Эвитерры. Ответа из банка пока нет. Благодарю!» 1. Если вы оплатили кредиткой за товар или сервис и не получили его — можно вернуть деньги. Многие банки будут говорить, что это можно сделать только в случае фрода (если украли кредитку). Это не так. 2. У некоторых банков (например в ВТБ24) есть свои правила, что опротестовать транзакцию можно только в течении 40 дней после ее совершения. Это противоречит правилам Visa и Mastercard, у которых этот период равен 120 дням. Более того, в некоторых случаях отсчет начинается не с даты транзакции, а c даты, когда вы были должны получить сервис/товар. Поэтому если пожаловаться — банк продляет период. 3. Это задача продавца доказать, что товар на самом деле был выслан и получен или что сервис был оказан.
> «Что-то в админке нету поддержки Qiwi, да и в списке желаемых фич она висит как незавершенная.» К сожалению ребята, делающие пресс-релиз поторопились или же просто ошиблись. QIWI будет в следующей минорной версии, которая через пару недель выйдет. Уже в процессе тестирования.
> Трафа там практически нет, т.к. приложения заныкали далеко-далеко, а гемора с постоянными изменениями и глюками в API навалом. Nope. Наш опыт показывает совсем обратное. Пользователей приводит достаточно много, за последний год FB очень сильно улучшил свою Dev платформу как технически, так и в плане поддержки девелоперов.
> Не все приложения можно технически перевести на HTTPS! Технически говоря, от вас Фейсбук не требует перевести все приложение на HTTPS. Он требует прописать HTTPS Canvas URL. Именно контент с этого URL будут видеть пользователи, которые смотрят FB по HTTPS. Вы же думаете о таких пользователях, да? Например если взять пример приложения с телеканалами, то по HTTPS URL можно отдавать страничку, объясняющую что вот при такой включенной функции FB приложение работать не может по вот таким причинам и что нужно сделать шаги А, Б и Ц.
Об этом изменении Фейсбук объявил еще 10 мая: https://developers.facebook.com/blog/post/497 и дал 5 (!) месяцев, чтобы все разработчики успели купить этот сертификат. Если разработчики за 5 месяцев не удосужились почитать девелоперский блог, увидеть параметр secure_canvas_url в настройках приложения, то наверное и хорошо, что приложения от этого разработчика не будет.
Спросили кое-кого из PayPal. Ответили вот что: This notice is more related to calculation of cross-border payment fees. Unfortunately, accounts based out of Russia still don’t have the ability to withdraw funds to a bank. Хотя возможно они просто не хотят раскрывать пока своих планов.
> Невозможность заплатить карточкой без регистрации давно была одной из неприятных особенностей PayPal Разве PayPal Standard не давал заплатить карточкой без создания аккаунта? Да, это возможность была неявной, но все таки была.
Дискуссии пользователя
https://xkcd.com/1172/
> Дейсвительно, хакеры не смогли получить данные о сроках действия карт и коды CVC/CVV
А причина одна: хранить коды CVC/CVV прямо запрещено стандартом PCI-DSS (то есть теми же Visa/Mastercard) То есть уводить было нечего. А хранили бы — и их бы стащили.
Кстати в статье так и не сказано — увели номера кредиток или нет. Скорее всего увели.
А переведите https://www.quora.com/What-is-Apple-Pay-and-why-is-it-important/answers/6937776 ? Это развеет некоторые мифы и непонятки у людей о Apple Pay.
> «Самое большее, что могут сэкономить покупатели, — 10−15 секунд, которые они тратят на то, чтобы достать карточку из кошелька или кармана. »
Автор из US, поэтому понятно почему он так считает. Насколько я помню, Америка — последняя крупная страна, где до сих пор основная масса используемых карт это карты с магнитной полосой (magnetic-stripe cards), а не более защищенные карты с чипом (EMV chip and pin cards). Карту с магнитной полосой действительно быстро «прокатить», в части US магазинов у меня даже подпись не спрашивали.
Но это скоро измениться. С 1 октября 2015 Visa меняет подход к определению ответственности за фрод для US транзакций. Если карточка не поддерживает чип — ответственным будем банк, если у мерчанта терминал не поддерживает чипы — ответственность (и убытки) на мерчанте. Детали в http://www.emv-connection.com/emv-migration-driven-by-payment-brand-milestones/ Похожую штуку делают и MasterCard с AmEx. То есть в течении года-полутора в US резко увеличится количество чипованных терминалов и карт.
А вот транзакция с такими картами это уже не 10-15 секунд. Нужно вставить карту, взять терминал, ввести пин. Сравните с «поднести телефон». А так как мерчанты будут обновлять терминалы на новые, чтобы поддерживать EMV chip cards, то новые терминалы будут из коробки поддерживать NFC, то есть Apple Pay.
> «Почему мобильные кошельки и Apple Pay не убьют пластиковые карты»
Автор не до конца понимает как работает Apple Pay, видимо. Это сейчас не мобильный кошелек, это не «убийца карт». Это удобный интерфейс _поверх_ существующей инфраструктуры кредитных карт, используя технологию от Visa/MasterCard: http://en.wikipedia.org/wiki/Host_card_emulation
Именно поэтому банки так промоутят Apple Pay — стали ли они бы это делать в ущерб себе?
> Apple хранит снимки карт прямо с телефоне
Разве?
Кстати, Google опроверг инфу насчет приоритета https, новости о котором оказались уткой. Правда? http://googlewebmastercentral.blogspot.ru/2014/08/https-as-ranking-signal.html
Natalya, > «Евгений Казначеев, скажите пожалуйста для тех кто англ. не знает, о чем речь идет на 717 странице. Я написала в банк письмо на возврат денег по чаржбек за купленные электронные билеты у Эвитерры. Ответа из банка пока нет. Благодарю!» 1. Если вы оплатили кредиткой за товар или сервис и не получили его — можно вернуть деньги. Многие банки будут говорить, что это можно сделать только в случае фрода (если украли кредитку). Это не так. 2. У некоторых банков (например в ВТБ24) есть свои правила, что опротестовать транзакцию можно только в течении 40 дней после ее совершения. Это противоречит правилам Visa и Mastercard, у которых этот период равен 120 дням. Более того, в некоторых случаях отсчет начинается не с даты транзакции, а c даты, когда вы были должны получить сервис/товар. Поэтому если пожаловаться — банк продляет период. 3. Это задача продавца доказать, что товар на самом деле был выслан и получен или что сервис был оказан.
> Простите меня конечно, но о каких carchback’ах все тут говорят? Visa International Operating Regulations: http://corporate.visa.com/_media/international-operating-regulations.pdf Страница 717 про «Services not rendered or Merchandise Not Received».
> Но каким образом? Вот как: http://web.archive.org/web/20130608090709/http://slonaty.ru
Хм. на странице https://www.paypal.com/worldwide/ Россия переместилась в секцию «PayPal Localized Sites — Your Customized Total Payment Solution», а была в «Send Money to Anyone in the Growing PayPal Network»: http://web.archive.org/web/20110715055446/https://www.paypal.com/worldwide/ Значит скоро добавят вывод средств — ура!
@happywalrus То API никакого отношения к трекингу не имеет.
Комикс от SMBC в тему: http://www.smbc-comics.com/?id=2286
> «Что-то в админке нету поддержки Qiwi, да и в списке желаемых фич она висит как незавершенная.» К сожалению ребята, делающие пресс-релиз поторопились или же просто ошиблись. QIWI будет в следующей минорной версии, которая через пару недель выйдет. Уже в процессе тестирования.
Psyho, а в чем не удалось разобраться? Были бы рады узнать, где у нас есть непонятные области и что улучшить. И спасибо за фидбэк, учтем и исправим.
> Трафа там практически нет, т.к. приложения заныкали далеко-далеко, а гемора с постоянными изменениями и глюками в API навалом. Nope. Наш опыт показывает совсем обратное. Пользователей приводит достаточно много, за последний год FB очень сильно улучшил свою Dev платформу как технически, так и в плане поддержки девелоперов.
> Не все приложения можно технически перевести на HTTPS! Технически говоря, от вас Фейсбук не требует перевести все приложение на HTTPS. Он требует прописать HTTPS Canvas URL. Именно контент с этого URL будут видеть пользователи, которые смотрят FB по HTTPS. Вы же думаете о таких пользователях, да? Например если взять пример приложения с телеканалами, то по HTTPS URL можно отдавать страничку, объясняющую что вот при такой включенной функции FB приложение работать не может по вот таким причинам и что нужно сделать шаги А, Б и Ц.
Об этом изменении Фейсбук объявил еще 10 мая: https://developers.facebook.com/blog/post/497 и дал 5 (!) месяцев, чтобы все разработчики успели купить этот сертификат. Если разработчики за 5 месяцев не удосужились почитать девелоперский блог, увидеть параметр secure_canvas_url в настройках приложения, то наверное и хорошо, что приложения от этого разработчика не будет.
Спросили кое-кого из PayPal. Ответили вот что: This notice is more related to calculation of cross-border payment fees. Unfortunately, accounts based out of Russia still don’t have the ability to withdraw funds to a bank. Хотя возможно они просто не хотят раскрывать пока своих планов.
http://bccplease.com/
> базе данных платежных шлюзов НЕ хранятся полные номера банковских карт и CVV. Полные номера карт можно хранить.
> Невозможность заплатить карточкой без регистрации давно была одной из неприятных особенностей PayPal Разве PayPal Standard не давал заплатить карточкой без создания аккаунта? Да, это возможность была неявной, но все таки была.