Ошибки с приемом платежей на сайте, которые лучше не совершать

Внедрение системы оплаты на сайте – процесс, который требует максимум внимания, ответственного отношения и квалифицированного подхода. Эта статья полезна, даже если у вас уже есть работающий интернет-магазин, в котором вроде бы всё прекрасно.
 
Давайте рассмотрим основные ошибки с приемом платежей на сайте и разложим всё по полочкам. Слово руководителю отдела web-разработки платежного сервиса Unitpay Илье Коваленко.

Ошибки безопасности при внедрении оплаты

Часто разработчик игнорирует требования по безопасности платежных скриптов:
 
1) Ограничение доступа по IP-адресу;
 
2) Недостаточная валидация входных параметров (цена, подпись).

Чем это грозит

Если нет ограничения по IP-адресу, к платежному скрипту на сайте можно обратиться из любого другого места и подтвердить оплату заказа. Если секретный ключ для формирования подписи скомпрометирован или подпись не проверяется, злоумышленник может «оплатить» заказ, на самом деле не заплатив ни копейки. А если нет проверки по стоимости – оплатить заказ на 1 000 рублей всего за рубль.

Что можно сделать

Соблюдайте рекомендации по безопасности, которые дает платежная система:
 
- Ограничьте доступ к платежным скриптам по IP: по ним должна обращаться только платежная система и никто иной (например, вот так выглядит список IP-адресов Unitpay);
- Проверяйте подпись. Секретный ключ знаете только вы и система. Если есть подозрения, немедленно поменяйте его и смените пароли для доступа к магазину и учетной записи в платежной системе;
- Проверяйте стоимость заказа. Недобросовестный пользователь может подменить сумму при формирования заказа на оплату.
 
В платежном сервисе Unitpay от этого можно защититься, если использовать подпись для формы оплаты. Это обязательная проверка цифровой подписи, наличие которой гарантирует защиту от подмены передаваемых значений (например, суммы платежа или номера заказа).

Ошибка при выборе разработчика

Чтобы удешевить web-разработку, работодатель часто нанимает специалистов с недостаточной квалификацией. Как правило, они допускают ошибки, которые приводят к плачевным последствиям.

Чем это грозит

Неквалифицированные разработчики недостаточно вникают в процессы, поэтому ошибка во время транзакции – один из распространенных вариантов. Это сильно бьет по репутации магазина: в следующий раз клиент задумается, покупать товар у вас или обратиться в другой магазин.
 
Также неопытность разработчика – частая причина ошибок, связанных с безопасностью системы.

Что можно сделать

Для доработки / внедрения платежных инструментов стоит обращаться только к квалифицированным специалистам.
 
Еще один важный момент: обязательно заключайте соглашение о неразглашении конфиденциальной информации – NDA (non-disclosure agreement). Этот документ помогает избегать утечки информации о финансовых операциях, к которой приглашенный специалист получает полный доступ.

Установка непроверенных модулей / скриптов

Не всегда для создания сайта владельцы магазинов обращаются к разработчикам. Часто выбирают готовое решение – WordPress, PrestaShop, Joomla и другие. Для интеграции с платежной системой используются модули, а в некоторых случаях – скрипты оплаты для данных CMS, которые есть в интернете на файлообменниках и различных форумах.

Чем это грозит

Вероятно, модуль или скрипт сомнительного содержания создавал неквалифицированный разработчик. Ошибки в коде сказываются на процессе оплаты или безопасности. Помимо случайных ошибок, программные продукты могут содержать «закладки»: это вредоносный код, оставленный намеренно.

Что можно сделать

Необходимо устанавливать только официальные модули, которые вы увидите на сайте платежного сервиса. Обратите внимание: если модуль есть в магазине, это еще не значит, что он официальный и надежный. Его может разместить разработчик любой квалификации.
 
Проверяйте эту информацию на официальном сайте платежного сервиса. Например, Unitpay предлагает 29 проверенных работающих модулей для интеграции платежного сервиса с популярными системами управления сайтом (Битрикс-1С, CS-Cart, Joomla, Drupal, Host-CMS и другие).
 
Если вам все же необходимо использовать сторонний модуль, проконсультируйтесь с квалифицированным специалистом. Пусть он проанализирует код и интегрирует модуль в систему – это убережет вас от будущих потерь.

Использование устаревшего ПО и версий CMS

Чем сложнее система, тем она более уязвима.

Чем это грозит

Как только уязвимость получает огласку, злоумышленники начинают её использовать в своих целях. К примеру, критическая уязвимость дает доступ к администраторской панели магазина, к файлам на сервере или к базе данных. В худших случаях взломщик получает полный контроль над информацией, в том числе возможность влиять на платежи и заказы.

Что можно сделать

Необходимо регулярно обновлять ПО и скрипты, на которых работает интернет-магазин. В некоторых случаях эта задача требует привлечения квалифицированного программиста.
 
Помните, что связка «проверенный модуль + устаревшая версия CMS» не гарантирует 100% безопасность системы.

Личный вклад в безопасность приема онлайн-платежей

Напоследок о человеческом факторе. Например, вы видели в личном кабинете сервиса предупреждение о дополнительной защите данных при помощи двухфакторной аутентификации, но не поставили галочку. Или, как многие пользователи, используете один и тот же пароль на разных ресурсах. Риск потери аккаунта резко увеличивается.

Чем это грозит

Злоумышленник может использовать доступ к личному кабинету, чтобы опустошить баланс, используя вывод средств. Авторизация под вашими данными не вызовет никакого подозрения. Он получит данные о статистике ваших платежей или сможет отменить заказы пользователей через вашу систему.

Что можно сделать

Подключить двухфакторную аутентификацию, использовать уникальный сложный пароль для личного кабинета. Также важно создать уникальный пароль для почты, так как через неё восстанавливают доступ ко многим сервисам. Потеряв доступ к почте, вы автоматически рискуете потерять доступ во всех зарегистрированным сервисах.

ТОП-3 действий, которые можно сделать прямо сейчас, чтобы повысить безопасность платежей на сайте

Прием платежей на сайте – рекомендации
 
В этой статье – распространенные ошибки и рекомендации, как их избегать. Игнорируя их, вы создаете брешь для злоумышленников. Вопросы информационной безопасности в финансовой сфере могут стоить очень дорого, поэтому отнеситесь с должным вниманием к этому!
 
Илья Коваленко, руководитель отдела web-разработки Unitpay
 
Автор материала – Илья Коваленко, руководитель отдела web-разработки платежного сервиса Unitpay
 
В помощь онлайн-предпринимателям универсальное платежное решение для малого и среднего бизнеса – Unitpay. Это сервис по приему платежей на сайте + выгодная аренда онлайн-касс под ключ.