So tätigen Sie sichere Online-Zahlungen in Ihrer App

Veröffentlicht: 2021-10-05

Da unsere Apps unzählige berüchtigte Hackerangriffe besiegen und aus dem Nichts und aus heiterem Himmel auftauchen, um unsere Zahlungssicherheit für mobile Apps in Frage zu stellen, hat das Streben nach mobiler Anwendungssicherheit in großen und kleinen Unternehmen bereits begonnen. Überall, von einem E-Commerce-Shop bis hin zu den Finanzsystemen der höheren Institutionen, verlangen die Leute eine Online-Zahlungssicherheits-App-Entwicklung. Die meistgesuchte Anfrage dieser Tage lautet: Wie kann man aber etwas mit einem höheren Schutzniveau aufbauen? Wir werden unser Bestes geben, um es hier hervorzuheben.

Sicher ist ein neues Schwarz.

Erinnern Sie sich an die jüngste Cyber-Epidemie, die in der Ukraine in Flammen aufgegangen ist und bereitwillig in die ganze Welt eingedrungen ist? Angriffe wie dieser beweisen, dass die Sicherheit aller Online-Transaktionen, nach der wir suchen, noch nicht perfekt ist – dass eines Tages alle Maschinen plötzlich dem Betrug nachgeben könnten. Es gibt verschiedene Arten von Betrug, aber die meisten Hacker zielen auf die Sicherheit von Finanzdaten ab, vor allem auf die Sicherheit von Bankkonten und Transaktionen.

Leider gibt es kein Allheilmittel für die Entwicklung von Mobile-Banking-Anwendungen nach einem Cyber-Angriff, aber es gibt sicherlich Dinge, die die Sicherheit von Zahlungen und Transaktionen erhöhen. Erstens gibt es 3 Zahlungsarten, die Ihr Projekt mit Sicherheit für mobile Anwendungen beinhalten kann:

  • Eingehend

  • Ausgehend

  • In-System-Transaktionen

Nehmen wir eine knallige mobile Anwendung von Uber und untersuchen alle drei Kategorien an ihrem Beispiel. Eingehende Zahlungen sind Zahlungen, die von einem Kunden für ein bestimmtes Produkt oder eine bestimmte Dienstleistung ausgeführt werden, bei deren Leistung Ihre Anwendung ihm hilft; Sobald deine Uber-Fahrt vorbei ist, wird deine Kreditkarte damit belastet. Ausgehende Zahlungen sind solche, die ein System selbst an die Mitarbeiter, für die es steht, leistet. Wenn der glückliche Kunde von einem Uber-Fahrer an seinen Zielort gebracht wird, hält das System für eine bestimmte Zeit durch und überweist dann automatisch Geld an den Fahrer. Diese Wartezeit ist so gestaltet, dass der Benutzer die Möglichkeit hat, sich über die Qualität des erhaltenen Dienstes zu beschweren. Diese Option erfordert eine gewisse Sorgfalt seitens des Benutzers - nach Ablauf dieser Frist kann der Kunde keinen Reklamationsbericht mehr ausfüllen. Sowohl ausgehende als auch eingehende Finanztransaktionen erfordern die Integration eines Drittanbieters in das System.

Anders verhält es sich jedoch mit den systeminternen Transaktionen – als Beispiel hierfür wären Finanztransaktionen zwischen den beiden Benutzern innerhalb des Systems. An dieser Stelle können Transaktionen auch ohne integrierten Zahlungsanbieter funktionieren, da alle Interaktionen innerhalb des erwähnten Systems stattfinden. Die zuvor beschriebenen Methoden zur Gebührenerhebung sind in Finanz-Apps aller Art weit verbreitet, zusammen mit den anderen Funktionen.

Wie sichern Sie Ihre mobile App? Brunnen,

Mobile Banking

...Sie brauchen SIE, um präsent zu sein.

„Jeder Schöpfer ist jederzeit willkommen, sich mit seinen Ideen einzubringen – im Interesse der Maximierung der Benutzerfreundlichkeit des Produkts!“

Grundsätzlich braucht jedes Mobile Wallet mit Sicherheit für Mobile Banking Apps im Kern eine gewisse Menge an Features, um es attraktiv und „nutzerfreundlich“ zu machen. Hier ist eine kurze Liste der Funktionen, die als die wesentlichen angesehen werden:

  • Jederzeit Zugriff auf Ihr Bankkonto, egal ob bei Regen oder Sonnenschein

  • Fähigkeit zu Finanztransaktionen, insbesondere:

a) Überweisen Sie Ihr Geld auf ein beliebiges Konto innerhalb dieses Banksystems.

b) Überweisen Sie Ihr Geld auf jedes Konto, jede Kredit- oder Debitkarte weltweit.

c) Bezahlen Sie für alle Kommunikationsdienste - laden Sie Ihr Mobiltelefon auf, zahlen Sie bei Ihrem Internetanbieter usw.

d) Bezahlen Sie für alle anderen Dienstleistungen Dritter, die in der Geschäftslogik des Banksystems enthalten sind – Bus-/Flug-/Eisenbahntickets, Essen, Schönheitsprodukte und Spiele, Kino- und Fußballtickets (oder andere populäre Sporttickets). Die Anzahl der verschiedenen Zahlungen, die über Ihre Anwendung ausgeführt werden können, kann unterschiedlich sein, da alles von der Geschäftslogik und den Anforderungen abhängt, die in der Phase der Geschäftsanalyse erstellt wurden.

e) Die Möglichkeit, Ihre Rechnungen zu bezahlen, ist ebenfalls ein guter Hinweis, es kann das Engagement des Benutzers innerhalb der App maximieren, solange den Benutzern der gesamte Umfang der Dienstprogramme (Gas, Strom, Wasser, Heizung usw.) zur Verfügung steht.

  • Eine Möglichkeit, Ihre Karten zu verwalten (sperren/entsperren, ein Online-Zahlungslimit festlegen, PIN- oder CW2-Codes ändern, die vorhandene Karte hinzufügen, bestellen oder schließen).

  • Eine Funktion des Dotation Making würde für die Banking-App sehr gut funktionieren - was darauf hindeutet, dass Sie und Ihre Kunden an Wohltätigkeitsorganisationen jeglicher Art beteiligt sind.

  • Eine Möglichkeit, auf den Geo-Standort des Benutzers zuzugreifen und ihm die nahegelegenen Geldautomaten und die nächsten Bankfilialen anzuzeigen.

Der Funktionsumfang endet nicht mit den oben genannten - das sind diejenigen, an die unsere Business-Analysten denken könnten, wenn sie überlegen, wie man Online-Transaktionen absichert, aber jeder Schöpfer ist immer willkommen, seine Ideen mitzumachen - um der Maximierung willen Benutzerfreundlichkeit des Produkts!

Die Menge und Komplexität der genannten Funktionen würde eine doppelte Sicherheit für eine mobile Banking-Anwendung erfordern. Wie können Sie Ihre Online-Finanztransaktionen jedoch sicher machen?

1. Das System muss die finanziellen Anmeldeinformationen der Benutzer nicht speichern.

Sobald die eingehenden, ausgehenden oder systeminternen Vorgänge abgeschlossen sind, müssen alle kommerziellen Informationen des Benutzers beim Zahlungsdienstleister weggelassen werden, während Online-Transaktionen gesichert werden. Ein Anbieter hat normalerweise einen Tresor und das eingebaute Tokenisierungssystem, das alle Finanzoperationen durchführt und schützt. Auf Ihrer Website (oder in Ihrer Bewerbung) muss ein bestimmtes Formular eingefügt werden, das nicht Teil des gesamten Projektcodes ist, wie unten im Bild gezeigt:

Stripe-Zahlungsschema

Später gehen der erhaltene Token und die Datensicherheitsprotokolle des Formulars an unseren Server, und erst danach konnte eine Anwendung das System aufladen. Diese Arbeitsmethode wird von Stripe-Zahlungsanbietern häufig verwendet.

Obwohl diese Methode wirklich weithin bekannt ist, birgt sie eine gewisse Fallstricke. Wenn Ihr Antrag die Kartendaten an den Server direkt an den Zahlungsdienst sendet, wird der genaue Betrag nicht erwähnt. Es besteht also hypothetisch die Möglichkeit, dass das System mehr Geld abhebt, als es sollte - aus Versehen oder durch einen Systemfehler. Dieses Problem wurde noch nicht behoben. Obwohl Stripe eine praktische Lösung ist, bei der der Benutzer nirgendwo umgeleitet wird, fehlt ihm immer noch ein stabiler sicherer Prozess.

Ein weiteres weit verbreitetes System ist PayPal mit seiner Schaltfläche „Bezahlen über PayPal“.

PayPal-Schema

Die Funktionsweise von PayPal ist eine „Web-App-Zahlungsabwicklung“ – wenn ein Benutzer den Zahlungsbildschirm aufruft, überträgt es das Benutzerrecht automatisch auf die Plattform von PayPal. Wenn ein Kunde später über den Service bezahlt, muss Ihre mobile Banking-App als nächstes eine an PayPal gesendete Entität erstellen, die informiert, ob die Zahlung eingegangen ist oder nicht.
Der Hauptunterschied zwischen den mobilen Zahlungsgateways von Stripe und PayPal besteht darin, dass Sie in PayPal den tatsächlichen Betrag der überwiesenen Gelder sehen können, Sie jedoch zu deren Plattform weitergeleitet werden. Auf der anderen Seite zwingt Stripe Sie nicht dazu, externen Links zu folgen, aber die Sicherheitsprobleme bei der „genauen Summe“ beim mobilen Bezahlen könnten Ihre zukünftigen Benutzer ablenken.

2. Das System muss Token sicher und intakt halten.

Wenn Sie eine sichere mobile App mit einer Abonnementoption erstellen, muss sie sicher in der Datenbank des Dienstes gespeichert werden. Die Struktur des Projekts sollte es ermöglichen, dass diese Token nur dort aufbewahrt werden – mit dem Ausschluss des öffentlichen Profils oder der Option einer anderen Einrichtung.

Eine andere Möglichkeit, Finanztransaktionen abzusichern, besteht darin, den HTTPS-Schutz in die Struktur der Website zu verschlüsseln. Wenn keine auf der Website vorhanden ist, sollte der Benutzer das Geld nicht an die Drittanbieter-Ressource überweisen, um Ihre Online-Finanztransaktionen abzusichern.

3. Versuchen Sie, den Fehler „Ausnahme, Auszahlung, Wiederholung“ zu vermeiden.

Das Schrecklichste, was Ihrer Auszahlung passieren kann (Geldtransfers, wenn das System Geld an die Benutzer überweist), ist eine „Endlosschleife“. Eine Auszahlung an Benutzer ist eine der Hintergrundaufgaben, die von einem System ausgeführt werden, und wenn eine Ausnahme auftritt, wird die Aufgabe erneut ausgeführt. Als Ergebnis konnte jede Transaktion immer wieder nur an einen Benutzer gesendet werden.

So verhindern Sie dies:

  • Stellen Sie den Manager für Hintergrundaufgaben so ein, dass Finanzaufgaben nicht in eine Endlosschleife geraten;
  • Auf jeder Stufe, in der ein Element bearbeitet oder erstellt wird, wäre es hilfreich, wenn Sie dies in der Protokolldatei vermerken, damit keine Änderung unbemerkt bleibt. Selbst wenn eine Schleife auftritt, können Sie zumindest den Grund erkennen und wo das Geld geblieben ist, damit es an die Benutzer zurückgegeben werden kann.

Um alle Dinge auf den Punkt zu bringen, erfordert eine sichere Banking-App die folgenden Regeln:

  • Keine finanziellen Anmeldeinformationen der Benutzer zum Speichern

  • Kein Geldtransfer zu den Plattformen ohne HTTPS-Schutz.

  • Jede Antwort oder Anfrage jedes Servers, jede Aktion, jeder Webhook oder Rückruf sollte bis ins kleinste Detail protokolliert werden

  • Der Zahlungsprozess sollte so weit wie möglich vereinfacht werden, sich maximal auf den Zahlungsdienstleister verlassen und nach Möglichkeit die Erstellung von E-Wallets im eigenen Haus vermeiden

  • Nehmen Sie sich immer Zeit, um zu testen, wie die App läuft, da nur während des Testprozesses alle negativen Fälle vorhergesagt werden können

  • Die Verwendung von Web-Hooks und Callbacks wird dringend empfohlen

  • Überprüfen Sie immer den Bericht, den das Zahlungssystem Ihnen liefert, da Sie feststellen können, ob dort ein Problem auftritt

Die mobile Lösung von allem.

Einer der häufigsten Trends, den jedes Unternehmen heutzutage hat, ist, mit der Sicherheit mobiler Apps und der Verschlüsselung mobiler Apps mobil zu werden. Von den großen Finanzkonzernen bis hin zu den kleinsten Tante-Emma-Laden haben diese intelligenten Geräte alles auf der Welt besetzt. Darüber hinaus deutet ein kurzer Überblick über die Erkenntnisse von Statista darauf hin, dass dieser Trend in den nächsten 7 Jahren nur zunehmen wird.

Unabhängig davon, für welche Plattform Sie sich entscheiden – iOS- oder Android-Anwendungssicherheit – der Schutz des Online-Bankings ist ein komplexer, aber wirklich lohnender Prozess. Stellen Sie sich vor, Sie haben das Potenzial, das Sicherheitsgefühl für Benutzer und ihre Gelder zu entwickeln, Millionen von Menschen nachts friedlich ausruhen zu lassen … hat das nicht eine lebensverändernde Zukunft?

Geschrieben von Alex Averyanov, Oleg Tsarenko und Elina Bessarabova.