Всё для рекламы
и про рекламу
Навигация по статье
Ошибки безопасности при внедрении оплаты Ошибка при выборе разработчика Установка непроверенных модулей / скриптов Использование устаревшего ПО и версий CMS Личный вклад в безопасность приема онлайн-платежей ТОП-3 действий, которые можно сделать прямо сейчас, чтобы повысить безопасность платежей на сайте
Маркетинг

Ошибки с приемом платежей на сайте, которые лучше не совершать

16897
Внедрение системы оплаты на сайте – процесс, который требует максимум внимания, ответственного отношения и квалифицированного подхода. Эта статья полезна, даже если у вас уже есть работающий интернет-магазин, в котором вроде бы всё прекрасно.
 
Давайте рассмотрим основные ошибки с приемом платежей на сайте и разложим всё по полочкам. Слово руководителю отдела web-разработки платежного сервиса Unitpay Илье Коваленко.

Ошибки безопасности при внедрении оплаты

Часто разработчик игнорирует требования по безопасности платежных скриптов:
 
1) Ограничение доступа по IP-адресу;
 
2) Недостаточная валидация входных параметров (цена, подпись).

Чем это грозит

Если нет ограничения по IP-адресу, к платежному скрипту на сайте можно обратиться из любого другого места и подтвердить оплату заказа. Если секретный ключ для формирования подписи скомпрометирован или подпись не проверяется, злоумышленник может «оплатить» заказ, на самом деле не заплатив ни копейки. А если нет проверки по стоимости – оплатить заказ на 1 000 рублей всего за рубль.

Что можно сделать

Соблюдайте рекомендации по безопасности, которые дает платежная система:
 
- Ограничьте доступ к платежным скриптам по IP: по ним должна обращаться только платежная система и никто иной (например, вот так выглядит список IP-адресов Unitpay);
- Проверяйте подпись. Секретный ключ знаете только вы и система. Если есть подозрения, немедленно поменяйте его и смените пароли для доступа к магазину и учетной записи в платежной системе;
- Проверяйте стоимость заказа. Недобросовестный пользователь может подменить сумму при формирования заказа на оплату.
 
В платежном сервисе Unitpay от этого можно защититься, если использовать подпись для формы оплаты. Это обязательная проверка цифровой подписи, наличие которой гарантирует защиту от подмены передаваемых значений (например, суммы платежа или номера заказа).

Ошибка при выборе разработчика

Чтобы удешевить web-разработку, работодатель часто нанимает специалистов с недостаточной квалификацией. Как правило, они допускают ошибки, которые приводят к плачевным последствиям.

Чем это грозит

Неквалифицированные разработчики недостаточно вникают в процессы, поэтому ошибка во время транзакции – один из распространенных вариантов. Это сильно бьет по репутации магазина: в следующий раз клиент задумается, покупать товар у вас или обратиться в другой магазин.
 
Также неопытность разработчика – частая причина ошибок, связанных с безопасностью системы.

Что можно сделать

Для доработки / внедрения платежных инструментов стоит обращаться только к квалифицированным специалистам.
 
Еще один важный момент: обязательно заключайте соглашение о неразглашении конфиденциальной информации – NDA (non-disclosure agreement). Этот документ помогает избегать утечки информации о финансовых операциях, к которой приглашенный специалист получает полный доступ.

Установка непроверенных модулей / скриптов

Не всегда для создания сайта владельцы магазинов обращаются к разработчикам. Часто выбирают готовое решение – WordPress, PrestaShop, Joomla и другие. Для интеграции с платежной системой используются модули, а в некоторых случаях – скрипты оплаты для данных CMS, которые есть в интернете на файлообменниках и различных форумах.

Чем это грозит

Вероятно, модуль или скрипт сомнительного содержания создавал неквалифицированный разработчик. Ошибки в коде сказываются на процессе оплаты или безопасности. Помимо случайных ошибок, программные продукты могут содержать «закладки»: это вредоносный код, оставленный намеренно.

Что можно сделать

Необходимо устанавливать только официальные модули, которые вы увидите на сайте платежного сервиса. Обратите внимание: если модуль есть в магазине, это еще не значит, что он официальный и надежный. Его может разместить разработчик любой квалификации.
 
Проверяйте эту информацию на официальном сайте платежного сервиса. Например, Unitpay предлагает 29 проверенных работающих модулей для интеграции платежного сервиса с популярными системами управления сайтом (Битрикс-1С, CS-Cart, Joomla, Drupal, Host-CMS и другие).
 
Если вам все же необходимо использовать сторонний модуль, проконсультируйтесь с квалифицированным специалистом. Пусть он проанализирует код и интегрирует модуль в систему – это убережет вас от будущих потерь.

Использование устаревшего ПО и версий CMS

Чем сложнее система, тем она более уязвима.

Чем это грозит

Как только уязвимость получает огласку, злоумышленники начинают её использовать в своих целях. К примеру, критическая уязвимость дает доступ к администраторской панели магазина, к файлам на сервере или к базе данных. В худших случаях взломщик получает полный контроль над информацией, в том числе возможность влиять на платежи и заказы.

Что можно сделать

Необходимо регулярно обновлять ПО и скрипты, на которых работает интернет-магазин. В некоторых случаях эта задача требует привлечения квалифицированного программиста.
 
Помните, что связка «проверенный модуль + устаревшая версия CMS» не гарантирует 100% безопасность системы.

Личный вклад в безопасность приема онлайн-платежей

Напоследок о человеческом факторе. Например, вы видели в личном кабинете сервиса предупреждение о дополнительной защите данных при помощи двухфакторной аутентификации, но не поставили галочку. Или, как многие пользователи, используете один и тот же пароль на разных ресурсах. Риск потери аккаунта резко увеличивается.

Чем это грозит

Злоумышленник может использовать доступ к личному кабинету, чтобы опустошить баланс, используя вывод средств. Авторизация под вашими данными не вызовет никакого подозрения. Он получит данные о статистике ваших платежей или сможет отменить заказы пользователей через вашу систему.

Что можно сделать

Подключить двухфакторную аутентификацию, использовать уникальный сложный пароль для личного кабинета. Также важно создать уникальный пароль для почты, так как через неё восстанавливают доступ ко многим сервисам. Потеряв доступ к почте, вы автоматически рискуете потерять доступ во всех зарегистрированным сервисах.

ТОП-3 действий, которые можно сделать прямо сейчас, чтобы повысить безопасность платежей на сайте

Прием платежей на сайте – рекомендации
 
В этой статье – распространенные ошибки и рекомендации, как их избегать. Игнорируя их, вы создаете брешь для злоумышленников. Вопросы информационной безопасности в финансовой сфере могут стоить очень дорого, поэтому отнеситесь с должным вниманием к этому!
 
Илья Коваленко, руководитель отдела web-разработки Unitpay
 
Автор материала – Илья Коваленко, руководитель отдела web-разработки платежного сервиса Unitpay
 
В помощь онлайн-предпринимателям универсальное платежное решение для малого и среднего бизнеса – Unitpay. Это сервис по приему платежей на сайте + выгодная аренда онлайн-касс под ключ.
Хотите тоже написать статью для читателей Yagla? Если вам есть что рассказать про маркетинг, аналитику, бизнес, управление, карьеру для новичков, маркетологов и предпринимателей. Тогда заведите себе блог на Yagla прямо сейчас и пишите статьи. Это бесплатно и просто
Опубликовано редакцией Yagla
16897
1
Читайте ещё статьи по этой теме

Как за счет горячих запросов и гиперсегментации повысить конверсию сайта в 2,5 раза. Кейс турфирмы Статья

Слишком мало заявок, к тому же дорогих– стандартная ситуация для малого бизнеса. Как её исправить, на что сделать ставку– своим опытом делится специалист по контекстной рекламе Александр Матвеев.

Как посмотреть объявления конкурентов в Яндекс.Директе Статья

Хотите «пошпионить» за конкурентами? Это может быть не только интересно, но и полезно. Например, вы получите инсайты о том, как сделать свою рекламу эффективнее.3

От чего зависит цена клика в контекстной рекламе и как её снизить Статья

Сколько стоит клик по рекламному объявлению? В Яндексе это значение начинается от 30 копеек, в Google - от 1 цента ($0,01). Цена клика, или показатель CPC, непосредственно влияет на то, какой бюджет нужно вложить в рекламную кампанию.
Написать комментарий
Свежее

Сеошное фаталити: кейс по продвижению сайта сети компьютерных клубов с нуля до 10К + визитов в месяц Статья

Что общего между ачивками, спидраном и 12-летним экспертом по компьютерным играм? Все это мы с успехом использовали для продвижения сайта сети компьютерных клубов. И добились отличных результатов: рост трафика в 19,5 раз, конверсий — в 42,5 раз.

Как качественно работать в сфере нутра арбитража и какие офферы лучше выбирать? Статья

Нутра арбитраж – это один из самых прибыльных и стабильных способов заработка на привлечении трафика. В этой вертикали арбитражники работают с продуктами для здоровья и красоты, такими как БАДы, средства для похудения, улучшения потенции, витамины и косметика.

Будущее медицины: как АО «Навигатор» внедряет ИИ и MR для повышения качества медицинской помощи Статья

В последние годы медицина претерпевает значительные изменения благодаря внедрению передовых технологий, таких как искусственный интеллект (ИИ) и смешанная реальность (MR). В АО «Навигатор» мы нацелены на использование этих инноваций, чтобы сделать медицинское обслуживание более качественным и доступным для пациентов.