Mivel készíts előfizetői rendszert? Hogyan fogadj el bankkártyaadatokat a saját oldaladon?

Bemutatjuk biztonsági szempontból a Braintree-t, hiszen az előfizetés mögött ez a szív dobog. Biztonságos? Mit szólnak hozzá az emberek? Feltörhető? Ellopható?

A cikk végére minden választ tudni fogsz. Ez a téma azért különösen fontos, mert az onsite bankkártyás fizetés az online marketing jövője (vagy ez is).

Miért a Braintree?

Ha a saját oldaladon szeretnél bankkártyás fizetést adni (tehát a fizetésnél ne irányítson át a szolgáltató oldalára, hanem maradjon az oldaladon), akkor jelenleg 3 ilyen szolgáltatót ismerünk: Braintree, Barion, OTP Simple.

Eleve miért akarunk onsite fizetést?

Az oldalon tartás célja az, hogy a vásárlást könnyebbé és gyorsabbá tedd, illetve upsellezhess a többi oldalon. Emellett nálunk az előfizetés havidíját is ez a rendszer viszi.

Megkérdeztünk egy szintén előfizetői rendszerrel büszkélkedő céget, az Online Katapultot, hogy miért döntöttek ők a Braintree mellett. Domán Zsolt kérdésünkre elmondta, hogy több mint 1 évig kerestek olyan online fizetési szolgáltatót, amely megfelel az alábbi 4 kritériumnak:

1. tud rendszeresen terhelni kártyákat (előfizetéshez)
2. tud 1 kattintásos upsellt (azonnal levonja a pénzt az upsell oldalán, nem kell újra megadni a kártyaszámot)
3. hajlandó szerződni magyar cégekkel (10-ből 9 külföldi szolgáltató egyelőre nem hajlandó)
4. és relatíve könnyedén integrálható a MailMasterrel

A szerződéskötés után kb. 2 hétig tart az átfutási idő, és nem mindenkit fogadnak el, a magas kockázatúnak ítélt vállalkozásokkal nem szerződnek.

Az alaposság érthető: az ő jó hírnevük is múlik azon, hogy milyen cégekkel állapodnak meg, és azok hogyan működnek, illetve komoly előírások vonatkoznak rájuk.

A Braintree előnye, hogy Paypal-cég, utóbbi pedig szinonim a biztonságos online fizetéssel.

Hogyan reagálnak a vevők?

Kezdjük azzal, hogy mit szoktunk meg.

A bankkártyás fizetésnél eddig mindig a bankod oldalán adtad meg a bankkártyaszámod és adataid (és nem a kereskedőén). Ez az oda-visszairányítgatás az upsellezést nehézkessé teszi, ezt pedig a Braintree megoldja azzal, hogy a kereskedő oldalán írhatod be az adataid, és nincs átirányítgatás.

Technikailag az űrlapot iframe-mel behívod, és az űrlap nem a te oldaladhoz tartozik, hanem a Braintree-hez – nem fut át rajtad az adat, így nem is láthatod a bankkártyaszámot.

Bár az oldalunkon van, de ez az űrlaprész a Braintree-é.

Az egy dolog, hogy papíron mi biztonságos.

Másik dolog, hogy a vevők mit tartanak biztonságosnak, illetve mit szólnak ahhoz, hogy egy kereskedő oldalán ilyen érzékeny adatokat írjanak be.

Ha onsite fizetést vezetsz be, akkor a vevők érthető óvatosságát kezelned kell. Az Online Katapult esetét nehezítette, hogy új szereplők voltak a piacon, így a személyük sem adhatta meg a kellő hitelességet, ezért intenzív piacedukációba fogtak.

A képen látod, hogy hány bejegyzésben magyarázzák azt, hogy miért biztonságos ez a rendszer.

Elmondásuk szerint a jó vevőik megértették, hogy ez mind a cégnek, mind a vásárlónak hasznos és kényelmes.

Zsolt részletezi: „A legjobb vevőink egyenesen imádják, mert ők is tudják nagyon jól, hogy gyorsabb előkapni a pénztárcából a bankkártyát, mint belépni a banki felületre, majd kikeresni a visszaigazoló emailben a díjbekérőt, bepötyögni a számlaszámot, az utalás összegét, a kedvezményezettet stb. Ráadásul az azonnali hozzáférés is egy szuper előnye a kártyás fizetésnek infotermékeknél, bónuszoknál. Az emberek szeretik a gyorsaságot, szerintünk ez a jó irány.”

Természetesen számíthatsz bizalmatlanságra még akkor is, ha a piacon ismert szereplő vagy (mint mi). Néhány vevőnk jelezte, hogy inkább manuálisan utalna, hiszen úgy megtarthatja az utalásai felett a kontrollt – egyébként az előfizetés egy kattintással lemondható, tehát a kontroll a vevőnél marad.

Üzleti döntés, hogy a különutas fizetést engedélyezed-e, avagy szólsz a vevőidnek, hogy ez a szolgáltatásod csak havidíjjal érhető el. Mindkettő jó válasz lehet, hiszen az előbbivel vevőt tartsz meg, utóbbival pedig pozicionálsz.

A kényelem, amit kapsz

Ezzel a fizetéssel teljesen automatikus a fizetés. Ez azt jelenti, hogy előfizetés után automatikusan vonódik le havonta a havidíjad egészen addig, amíg előfizető vagy. Nekünk hasonlóan könnyű: automatikusan kiállítjuk a számlát. Aki pedig nem fizetett, annak az előfizetését automatikusan szüneteltetjük.

Könnyű, kényelmes és gyors.

A klasszikusabb fizetésnél havonta kellene utalnod, amit nekünk külön adminisztrálnunk kell.

Biztonság a marketinges és a fejlesztő szemével

Mivel pénzt kezelsz és utalásokat fogadsz, így a biztonság kulcsfontosságú. Nemcsak azért, mert a marketinganyagaidban edukálnod kell majd a vevőket, hogy a megfelelő bizalmat kiépítsd. Nemcsak azért, mert pillanatok alatt megbüntetnek, ha a beérkező fizetésekkel valami nincs rendben.

Hanem azért, mert az etikus működés megköveteli, hogy csak biztonságos rendszereket használj – mind a magad, mind a vevőid érdekében.

A Braintree nyilvánvalóan azt állítja magáról, hogy biztonságos cég, de ez még önmagában nem elég, az interneten egy ideig bárki bármit állíthat magáról. Ezért megszólaltattunk 2 oldalt: a marketingest és a fejlesztőt – más szemmel nézik ugyanazt a rendszert. Zsolt és József is aktívan dolgozik egy olyan rendszeren, amelybe Braintree-fizetést integráltak.

Domán Zsolt (Online Katapult) szerint a Braintree ezért biztonságos:

1. Az iframe-technológiának köszönhetően úgy látszik kívülről, mintha a kereskedő honlapján adnád meg a kártya adataidat, de valójában a Braintree weboldalának egy apró részlete van beépítve a miénkbe [vagy a te oldaladba – a szerk.]. Ergo mi sosem látjuk az elküldött adatokat, nem mentjük és nem tároljuk azokat. Minden kártyaadat-kezelést a Braintree végez.
2. A Braintree a PayPal leányvállalata, a technológia is eléggé összeforrt a két cég között. A PayPal a világ egyik legrégebb óta bankkártyás fizetéssel foglalkozó cége, így azt hiszem, ez egy elég jó alap ahhoz, hogy biztonságos rendszereket csináljanak. [Toronymagasan piacvezető a PayPal – a szerk.]
3. Minden banknak van egy úgynevezett visszahívási (chargeback) funkciója, aminek az a lényege, hogy ha illetéktelen terhelést látsz a bankkártyádon, akkor csak jelzed a bankod ügyfélszolgálatának, és az összeget visszahelyezik a számládra. Ekkor a Braintree értesül és a kereskedőt elég komolyan előveszi, feltesz bizonyos kérdéseket a tranzakcióval kapcsolatosan. Amennyiben gyakran fordul elő visszahívás, szerződést bontanak és lemondhatsz arról, hogy szóba állnak veled még egyszer. Érdemes nem terhelni a kártyákat anélkül, hogy a vevő beleegyezett volna és megfelelően tájékoztatva lett volna, különben gyorsan vége a braintree-s szerződésnek. Ez önmagában szerintem egy elég jó tény a fizetés biztonságosságára.
4. A Braintree felé le kell jelenteni azt, hogy milyen forgalomra számítasz. Ha ezt meghaladod, vagy gyanús forgalmi statisztikád van (pl. hirtelen ugrás), akkor automatikusan befagyasztják a pénzedet és addig nem utalják ki neked, amíg nem tisztáztad magadat. Ilyenkor bekérik a tranzakciók számláit, a vevői adatokat – és akár a vevőket is felhívják. Mi egyszer már jártunk így, 1 hónapig tartott a vizsgálat, mire sikerült tisztázni azt, hogy nem csalással értük el a forgalomnövekedést [Hanem a vártnál jobban sikerült egy kampányuk – a szerk.]. Nagyon komolyan veszik a dolgukat ilyen téren. Ha én ugyan le is emelném minden vevőmnek a bankkártyájáról az összes pénzt, nem tudna hozzám eljutni, mert automatikusan fagyasztják a gyanús forgalmú fiókokat.
5. Ráadásul mivel mi egy tanácsadó cég vagyunk, a hitelünk a legfontosabb. Amint híre menne annak, hogy jogosulatlanul visszaélünk a bankkártyás fizetéssel, nem állna szóba velünk egy partnerünk se, a vevőink pedig főleg nem. Emiatt nem érdemes eljátszani semelyik fél bizalmát.

Samu József, a Marketingszöveg.com fejlesztője és a StarGeckos vezető fejlesztője szerint:

A Braintree egy (Level 1) PCI DSS kompatibilis fizetési kapu. A PCI DSS (Payment Card Industry Data Security Standard) a vezető kártyakibocsátók által létrehozott ipari szabvány, amelynek minden kártyás fizetési szolgáltatást nyújtó vállalatnak meg kell felelnie, és amely egy sor előírással garantálja a kártyás fizetések biztonságát.

Az egyik kulcskérdés a fizetési adatok védelme.

Amikor Braintree segítségével fizetsz a Marketingszöveg.comon, akkor a következő történik:

1. A szerverünk jelzi a Braintree felé, hogy fizetni fogsz. A szerverünk egy egyszer használatos kulcsot kap, ezt továbbítja a böngésződnek.
2. A böngésződben megadod a fizetési adatokat, majd a kapott egyszer használatos kulcsot és a fizetési adataidat továbbítod a Braintree szerverei felé. A mi szerverünkre ezek az adatok nem jutnak el.
3. A böngésződ a Braintree-től kap egy újabb egyszer használatos kulcsot, amelyet továbbít a mi szerverünkre. A mi szerverünk ezzel a kulccsal lekérdezheti a Braintree szervereiről az ún. „Payment Method Tokent”. A fizetési adataidhoz ezzel nem férünk hozzá, de hivatkozhatunk rá. [Talán érthetőbb, ha egy analógiával is bemutatjuk: képzeld el azt, hogy az egész fizetést levelezésben intézzük. Ha fizetni szeretnél, akkor a fizetési adataidat (bankszámlaszám, CV és hasonlók) beteszed egy borítékba, majd a borítékra ráírsz egy összeget (azaz kiválasztod a terméket, amit megvásárolnál). Ezt a borítékot a Braintree-nek küldöd el (iframe), amely a fizetést feldolgozza (jelez a bankodnak, megtörténik a fizetés), és rögzíti a mi fiókunkban, hogy fizettél. Mi a pénzhez úgy juthatunk hozzá, ha a borítékra hivatkozunk. Magát a borítékot akkor sem tudnánk felbontani, ha akarnánk – hiszen a benne lévő fizetési adatok nem futnak át a szerverünkön, a szerver egy fix azonosítóval csak hivatkozni tud az adott tranzakcióra – a szerk.]

Mindez természetesen kódolt csatornákon keresztül történik. A megoldás eredményeképpen a kecske is jóllakik, és a káposzta is megmarad: nem ismerjük a kártyaadataidat, így nem tudunk vele visszaélni, sőt nem lehet tőlünk ellopni sem (tehát hiába törnék fel hackerek a szerverünket, ott csak számukra teljesen haszontalan tokeneket és azonosítókat találnának, a kártyaadataid továbbra is biztonságban maradnának). Mégis végre tudjuk hajtani a tranzakciókat a konkrét fizetési adatok nélkül is – egy ellenőrzött és biztonságos rétegen keresztül.

A Braintree mellett szól a kiváló kódminőségű és brutálisan jól dokumentált API is, amely szinte kizárja a hibák lehetőségét, illetve említésre méltó a PCI DSS előírásokat messze túlteljesítő „Braintree Fraud Tools”, amely fejlett csalás elleni eszközöket kínál.

Általánosságban is elmondható, hogy a kártyás fizetés biztonságosabb a készpénzesnél, mert a szervereken mindennek nyoma marad. Ha a pénztárcádból eltűnik egy tízezres, nehéz bebizonyítani, hogy nem te költötted el, és nem lehet tudni, hogy hová került. Amikor ugyanez a bankszámládon történik, egyértelműen látszik minden.

A legnagyobb biztonsági rés az, ha valaki feltöri a géped, és egy olyan szoftvert telepít, ami a billentyűleütéseid figyeli. Ha a kereskedő csinálja ezt szerveroldalról, akkor a Braintree azonnal tiltja az adott kereskedőt. Ha egy idegené a szoftver, akkor utána a netbankodba is ugyanolyan veszélyes belépni, tehát ez nem Braintree-specifikus biztonsági probléma.

Az alábbi két képen látod, hogy honnan tudhatod biztosan, hogy az adott űrlap adatai a Braintree-hez jutnak el (és nem hozzánk).

Látnod kell egy Braintree-logót, ami kattintható.

Erre rákattintva eljutsz az adott kereskedő verifikációs oldalára, nálunk ez így néz ki. Figyeli természetesen a dátumot, hiszen az az érdekes, hogy az adott pillanatban valóban fogadhatunk-e el fizetést.

És mennyire szeretnék az emberek megadni a bankkártyaadataikat?

A sima előfizetésnel egyelőre csak konverziót látunk, és nem jön el panasz hozzánk. A különutasok évi fizetést kérnek, vagy ÁFA-mentes számlát – előbbit megadjuk, utóbbit nem tudjuk megadni, mert a szolgáltatás Magyarországon valósul meg, ergo a magyar ÁFA-törvény vonatkozik rá.

Volt egy 10 napos akciónk: ha beregisztráltál, akkor 10 napig ingyen láthattál minden anyagot, ezt Katapulték élő adásában kezdtük el promózni.

Ezért cserébe bekértük a bankkártyaadatokat – ennek oka az, hogy a komolytalan embereket kiszűrjük. Itt 72 aktív trialosunk volt (és több száz regisztráló: 1-2 nap alatt megdupláztuk a felhasználói kört), és 3 levélről tudok, akik azt mondták, hogy egy trialért nem adnak meg bankkártyaadatokat.

Ezt az ellenállást nem tudod teljesen legyőzni: idővel hozzászokik a társadalom az onsite fizetéshez, addig piacedukációval segíthetsz. De mindig lesz, aki arra hivatkozik, hogy elfelejtené lemondani – nem tudod helyette beírni a naptárba, hogy mikor mondja le.

Neked milyen tapasztalataid vannak? Nézz meg egy ilyen rendszert belülről (mondjuk regisztrálj be hozzánk, nézegesd a Braintree oldalát), hiszen ez a jövő.