アプリで安全なオンライン支払いを行う方法

公開: 2021-10-05

私たちのアプリが悪名高いハッカー攻撃の大群を打ち負かし、モバイルアプリの支払いセキュリティに挑戦するためにどこからともなく立ち上がっているように見えるので、大小の企業におけるモバイルアプリケーションのセキュリティへの取り組みはすでに始まっています。 電子商取引店から高等機関の金融システムに至るまで、人々はどこでもオンライン決済セキュリティアプリの開発を要求しています。 最近最も検索されているリクエストは、保護レベルの高いものを構築する方法です。 ここでそれを強調するために最善を尽くします。

セキュアは新しい黒です。

ウクライナで炎上し、世界中に容易に侵入した最近のサイバー流行を覚えていますか? このような攻撃は、私たちが探しているすべてのオンライントランザクションのセキュリティがまだ不完全であることを証明しています。ある日、すべての機械が突然詐欺に屈する可能性があります。 詐欺にはさまざまな種類がありますが、ほとんどのハッカーが狙っているのは、金融データのセキュリティ、主に銀行口座とトランザクションのセキュリティです。

残念ながら、サイバー攻撃の減少によるモバイルバンキングアプリケーション開発の万能薬はありませんが、支払いとトランザクションの安全性を高めるものは確かにあります。 まず、モバイルアプリケーションのセキュリティを備えたプロジェクトに含まれる可能性のある支払いには次の3種類があります。

  • 着信

  • 発信

  • システム内トランザクション

Uberの強力なモバイルアプリケーションを取り上げて、その例で3つのカテゴリすべてを調べてみましょう。 入金とは、アプリケーションがクライアントの実行を支援する特定の製品またはサービスに対してクライアントが行う支払いです。 Uberの乗車が終了すると、クレジットカードに請求されます。 支払いとは、システム自体がシステム自体によって、それが表す従業員に対して行われる支払いです。 幸せなクライアントがUberドライバーによって目的地に配達されると、システムは一定期間保持し、その後自動的にドライバーに送金します。 この待機期間は、ユーザーが受けたサービスの品質について不満を言う機会を持つことができるように設計されています。 このオプションでは、ユーザー側からある程度の注意が必要です。この期間が終了すると、クライアントは苦情レポートに記入できなくなります。 発信と着信の両方の金融取引では、サードパーティの支払いプロバイダーをシステムに統合する必要があります。

ただし、システム内トランザクションでは動作が異なります。たとえば、システム内の2人のユーザー間の財務操作がその例です。 この時点で、前述のシステム内ですべてのやり取りが発生するため、統合された支払いプロバイダーがなくてもトランザクションは機能します。 前述の料金徴収方法は、他の機能とともに、あらゆる種類の金融アプリで広く使用されています。

モバイルアプリを保護する方法は? 良い、

モバイルバンキング

...あなたはそれらが存在する必要があります。

「製品の使いやすさを最大化するために、すべてのクリエイターが自分のアイデアに参加することをいつでも歓迎します!」

基本的に、モバイルバンキングアプリのセキュリティを中核とするすべてのモバイルウォレットには、魅力的で「ユーザーが使用する」ために一定量の機能が必要です。 必須機能と見なされる機能の短いリストを次に示します。

  • いつでもあなたの銀行口座にアクセスできます。

  • 特に金融取引を行う能力:

a)この銀行システム内の任意の口座に資金を送金します。

b)世界中のアカウント、クレジットカード、またはデビットカードに資金を送金します。

c)通信サービスの支払い-携帯電話の充電、インターネットプロバイダーへの支払いなど。

d)銀行システムのビジネスロジックに含まれるその他のサードパーティサービス(バス/飛行機/鉄道のチケット、食品、美容製品とゲーム、映画とサッカー(またはその他の人気のあるスポーツ)のチケット)の料金を支払います。 アプリケーションを介して実行できるさまざまな支払いの数は、ビジネス分析の段階で作成されたビジネスロジックと要件にすべて依存するため、異なる場合があります。

e)請求書を支払う機能もかなりのヒントです。ユーザーがユーティリティ(ガス、電気、水道、暖房など)の全範囲を利用できる限り、アプリ内でのユーザーのエンゲージメントを最大化できます。

  • カードを管理する機能(カードのブロック/ブロック解除、オンライン支払い制限の設定、PINまたはCW2コードの変更、既存のカードの追加、注文、またはクローズ)。

  • 溺愛作成の機能は、バンキングアプリで大いに機能します。これは、あなたとあなたのクライアントがあらゆる種類の慈善団体に関与していることを示唆しています。

  • ユーザーの地理的位置にアクセスし、近くのATMと最寄りの銀行の支店を表示する機能。

機能の範囲は上記で終わるわけではありません-それらは私たちのビジネスアナリストがオンライントランザクションを保護する方法を検討するときに考えることができるものですが、最大化するために、すべての作成者はいつでも彼のアイデアに参加することを歓迎します製品の使いやすさ!

上記の機能の量と複雑さは、銀行のモバイルアプリケーションに二重のセキュリティを必要とします。 しかし、オンライン金融取引を安全にする方法は?

1.システムはユーザーの金銭的資格情報を保存する必要はありません。

着信、発信、またはシステム内の操作が完了したら、オンライントランザクションを保護しながら、すべてのユーザーの商業情報を決済サービスプロバイダーに残しておく必要があります。 プロバイダーには通常、すべての財務業務を実行および保護するボールトと組み込みのトークン化システムがあります。 以下の画像に示すように、Webサイト(またはアプリケーション)には、プロジェクト全体のコードの一部ではない特定のフォームを挿入する必要があります。

ストライプ支払いスキーム

その後、受信したトークンとフォームのデータセキュリティプロトコルがサーバーに送信され、その後、アプリケーションがシステムに課金できるようになります。 この作業方法は、Stripe支払いプロバイダーによって広く使用されています。

この方法は本当に広く知られていますが、それには特定の落とし穴があります。 アプリケーションがカードのデータをサーバーに直接支払いサービスに送信する場合、転送された正確な金額については言及されていません。 したがって、仮想的に言えば、システムが必要以上のお金を引き出す可能性があります-誤ってまたはシステムのバグ。 この問題はまだ解決されていないため、Stripeはユーザーがどこにもリダイレクトされない便利なソリューションですが、それでも安定した安全なプロセスが不足しています。

もう1つの広く知られているシステムはPayPalで、「PayPal経由で支払う」ボタンがあります。

PayPalスキーム

PayPalの仕組みは、「ウェブアプリの支払い処理」です。ユーザーが支払い画面を押すと、ユーザーの権利がPayPalのプラットフォームに自動的に転送されます。 さらにクライアントがサービスを介して支払う場合、モバイルバンキングアプリは次にPayPalに送信されるエンティティを作成する必要があります。これにより、支払いが受領されたかどうかが通知されます。
StripeとPayPalのモバイル決済ゲートウェイが異なる重要な点は、PayPalでは実際に送金された金額を確認できますが、プラットフォームにリダイレクトされることです。 一方、Stripeでは外部リンクをたどることはできませんが、「正確な金額」のモバイル決済セキュリティの問題により、将来のユーザーの気が散る可能性があります。

2.システムはトークンを安全かつ健全に保つ必要があります。

サブスクリプションオプションのある安全なモバイルアプリを構築している場合は、サービスのデータベースに安全に保存する必要があります。 プロジェクトの構造では、これらのトークンをそこにのみ保持できるようにする必要があります。パブリックプロファイルまたは他のエンティティのオプションは除外されます。

金融取引を保護するもう1つの方法は、HTTPS保護をWebサイトの構造に暗号化することです。 ウェブサイトに何もない場合、オンラインの金融取引を保護するために、ユーザーは第三者のリソースに送金しないでください。

3.「例外、支払い、繰り返し」の間違いを避けるようにしてください。

支払いに発生する可能性のある最も恐ろしいこと(システムがユーザーに資金を転送するときの資金移動)は、「無限ループ」です。 ユーザーへの支払いは、システムによって実行されるバックグラウンドタスクの1つであり、例外が発生した場合、タスクは再実行されます。 その結果、すべてのトランザクションを1人のユーザーにのみ何度も送信できました。

これを防ぐ方法:

  • 財務タスクが無限ループにならないように、バックグラウンドタスクのマネージャーを設定します。
  • 要素が編集または作成されるすべての段階で、ログファイルにその要素について記録しておくと、変更が見過ごされないようにするのに役立ちます。 ループが発生した場合でも、少なくともその理由とお金の行き先に気付くことができるので、ユーザーに返金することができます。

すべての問題を一言で言えば、安全な銀行アプリでは、次のルールに従う必要があります。

  • 保存するユーザーの財務クレデンシャルはありません

  • HTTPSで保護されていないプラットフォームへの送金はありません。

  • すべてのサーバーの応答または要求、すべてのアクション、Webhook、またはコールバックは、最も詳細にログインする必要があります

  • 支払いプロセスは、可能な限り社内での電子財布の作成を避け、支払いサービスプロバイダーに最大限に依存して、そのほとんどに簡素化する必要があります

  • テストプロセス中にのみすべてのネガティブケースを予測できるため、アプリの実行方法をテストするために常に時間をかけてください

  • Webフックとコールバックの使用を強くお勧めします

  • 問題がすぐそこに発生するかどうかを見つけることができるので、支払いシステムが提供するレポートを常に確認してください

すべてのMobilelution。

最近のすべてのビジネスで最も一般的な傾向の1つは、モバイルアプリのセキュリティとモバイルアプリの暗号化を使用してモバイルに移行することです。 巨大な金融会社から小さなコーナーショップまで、これらのスマートガジェットは世界のあらゆる場所を占めてきました。 さらに、Statistaの洞察をざっと見てみると、この傾向は今後7年以内にしか成長しないことがわかります。

選択するプラットフォーム(iOSまたはAndroidアプリケーションのセキュリティ)に関係なく、オンラインバンキングの保護は複雑ですが、本当にやりがいのあるプロセスです。 想像してみてください。何百万人もの人々を夜に安らかに休ませるために、ユーザーとその資金の安心感を育む可能性があります…それは人生を変える未来を持っているものではありませんか?

Alex Averyanov、Oleg Tsarenko、ElinaBessarabovaによって書かれました。