Como fazer pagamentos online seguros em seu aplicativo

Como nossos aplicativos estão derrotando inúmeros ataques de hackers notórios, parecendo surgir do nada e do nada para desafiar nossa segurança de pagamento de aplicativos móveis, a busca pela segurança de aplicativos móveis em grandes e pequenas empresas já começou a decolar. Em todos os lugares, desde uma loja de comércio eletrônico até sistemas financeiros de instituições superiores, as pessoas solicitam o desenvolvimento de um aplicativo de segurança de pagamento online. A solicitação mais pesquisada atualmente é: como construir algo com um nível de proteção mais alto? Faremos o nosso melhor para destacá-lo aqui.

Seguro é um novo preto.

Lembra-se da recente ciberepidemia que explodiu em chamas na Ucrânia e invadiu prontamente o mundo inteiro? Assaltos como este provam que toda a segurança das transações online que procuramos ainda é imperfeita - que um dia todas as máquinas poderiam ceder à fraude, de repente. Existem vários tipos de fraude, mas algo que a maioria dos hackers visa é a segurança dos dados financeiros, principalmente a segurança de contas bancárias e transações.

Infelizmente, não existe uma panacéia para o desenvolvimento de aplicativos de banco móvel a partir de um ataque cibernético, mas certamente existem coisas que aumentam a segurança dos pagamentos e das transações. Em primeiro lugar, existem 3 tipos de pagamentos que seu projeto com segurança para aplicativos móveis pode envolver:

• Entrada

• Extrovertido

• Transações no sistema

Vamos pegar um aplicativo móvel incrível do Uber e estudar todas as três categorias em seu exemplo. Pagamentos recebidos são aqueles conduzidos por um cliente para um determinado produto ou serviço que seu aplicativo o ajuda a realizar; uma vez que sua viagem no Uber termina, seu cartão de crédito é cobrado por isso. Pagamentos de saída são aqueles conduzidos por um sistema próprio aos funcionários que ele representa. Quando o cliente satisfeito é entregue por um Uber-driver ao seu ponto de destino, o sistema aguarda por um certo período de tempo e então transfere automaticamente o dinheiro para o motorista. Este período de espera foi pensado para que o usuário tenha a oportunidade de reclamar da qualidade do serviço recebido. Esta opção requer um certo nível de cuidado por parte do usuário - uma vez que esse período termina, o cliente não pode mais preencher um relatório de reclamação. As transações financeiras de entrada e saída exigem que um provedor de pagamento terceirizado seja integrado ao sistema.

As coisas funcionam de forma diferente com as transações no sistema - como um exemplo, seriam as operações financeiras entre os dois usuários dentro do sistema. Nesse ponto, as transações também podem funcionar sem um provedor de pagamento integrado, devido a todas as interações que acontecem dentro do sistema mencionado. Os métodos de cobrança de taxas descritos anteriormente são amplamente usados ​​em aplicativos financeiros de todos os tipos, juntamente com os outros recursos.

Como proteger seu aplicativo móvel? Nós vamos,

... Você precisa que eles estejam presentes.

“Cada criador é sempre bem-vindo para se juntar às suas ideias - para maximizar a usabilidade do produto!”

Basicamente, toda carteira móvel com segurança para aplicativos de mobile banking em seu núcleo precisa de uma certa quantidade de recursos para torná-la atraente e “usada pelo usuário”. Aqui está uma pequena lista de recursos considerados essenciais:

• Acesse sua conta bancária a qualquer hora, faça chuva ou faça sol

• Capacidade de fazer transações financeiras, em particular:

a) Transfira seus fundos para qualquer conta deste sistema bancário.

b) Transfira seus fundos para qualquer conta, cartão de crédito ou débito em todo o mundo.

c) Pague por quaisquer serviços de comunicação - recarregue seu celular, pague ao seu provedor de internet, etc.

d) Pagar quaisquer outros serviços de terceiros que façam parte da lógica de negócio do sistema bancário - bilhetes de autocarro / avião / comboio, alimentação, produtos e jogos de beleza, bilhetes de cinema e futebol (ou qualquer outro desporto popular). O número de pagamentos diferentes que podem ser realizados por meio de seu aplicativo pode ser diferente, pois tudo depende da lógica de negócios e dos requisitos criados no estágio de análise de negócios.

e) A capacidade de pagar suas contas também é uma boa dica, pode maximizar o envolvimento do usuário dentro do aplicativo, desde que os usuários possam ter todo o escopo de serviços públicos (gás, eletricidade, água, aquecimento e assim por diante) presentes.

• Uma capacidade de gerenciar seus cartões (bloqueá-los / desbloqueá-los, definir um limite de pagamento online, alterar os códigos PIN ou CW2, adicionar, solicitar ou fechar o cartão existente).

• Um recurso de dotação funcionaria muito para o aplicativo bancário - sugerir que você e seus clientes estão envolvidos com a caridade de qualquer tipo.

• A capacidade de acessar a geolocalização do usuário e mostrar a ele os caixas eletrônicos e as agências bancárias mais próximas.

O escopo dos recursos não termina com o mencionado acima - esses são os que nossos analistas de negócios poderiam pensar ao considerarem como proteger as transações online, mas cada criador é sempre bem-vindo para se juntar a suas ideias - para maximizar usabilidade do produto!

A quantidade e a complexidade dos recursos mencionados exigiriam uma segurança dupla para um aplicativo bancário móvel. Como tornar suas transações financeiras online seguras?

1. O sistema não precisa salvar as credenciais financeiras dos usuários.

Uma vez que as operações de entrada, saída ou dentro do sistema sejam concluídas, é necessário que todas as informações comerciais do usuário sejam deixadas de fora do provedor de serviços de pagamento enquanto protege as transações online. Um provedor normalmente possui um cofre e o sistema de tokenização embutido, que conduz e protege todas as operações financeiras. Em seu site (ou em sua aplicação) deve ser inserido um formulário específico que não faça parte do código de todo o projeto, conforme mostrado abaixo na imagem:

Posteriormente, o token recebido e os protocolos de segurança de dados do formulário vão para o nosso servidor, e só depois disso um aplicativo poderá carregar o sistema. Este método de trabalho é amplamente utilizado pelo provedor de pagamento Stripe.

Apesar de esse método ser realmente amplamente conhecido, há uma certa armadilha nele. Quando seu aplicativo envia os dados do cartão para o servidor direto para o serviço de pagamento, ele não menciona o valor exato transferido. Portanto, hipoteticamente falando, há uma chance de o sistema sacar mais dinheiro do que deveria - por engano ou bug do sistema. Esse problema ainda não foi resolvido, portanto, embora o Stripe seja uma solução útil em que o usuário não é redirecionado para lugar nenhum, ele ainda carece de um processo seguro e estável.

Outro sistema amplamente conhecido é o PayPal, com seu botão “pagar via PayPal”.

A forma de funcionamento do PayPal é de “processamento de pagamentos de aplicativo da web” - como quando um usuário acessa a tela de pagamento, ele automaticamente transfere o direito do usuário para a plataforma do PayPal. Quando posteriormente um cliente paga através do serviço, seu aplicativo de mobile banking deve criar uma entidade enviada ao PayPal a seguir, que informa se o pagamento foi recebido ou não.
O ponto principal que diferencia os gateways de pagamento móvel do Stripe e do PayPal é que no PayPal permite que você veja a quantidade real de fundos transferidos, mas redireciona você para a plataforma deles; por outro lado, o Stripe não obriga você a seguir nenhum link externo, mas os problemas de segurança do pagamento móvel da “soma precisa” podem distrair seus futuros usuários.

2. O sistema deve manter os tokens seguros e sonoros.

Se você estiver construindo um aplicativo móvel seguro com opção de assinatura - ele deve ser armazenado em segurança no banco de dados do serviço. A estrutura do projeto deve permitir que esses tokens sejam mantidos apenas lá - excluindo-se o perfil público ou a opção de qualquer outra entidade.

Outra forma de proteger as transações financeiras é criptografar a proteção HTTPS na estrutura do site. Se não houver nenhum no site - o usuário não deve transferir o dinheiro para o recurso de terceiros, a fim de proteger suas transações financeiras online.

3. Tente evitar o erro de “Exceção, Pagamento, Repetição”.

A coisa mais assustadora que pode acontecer ao seu pagamento (transferências de fundos, quando o sistema transfere fundos para os usuários), é um “ciclo sem fim”. Um pagamento aos usuários é uma das tarefas em segundo plano executadas por um sistema e, se ocorrer uma exceção, a tarefa é executada novamente. Como resultado, cada transação pode ser enviada repetidamente para um único usuário.

Como evitar isso:

• Defina o gerenciador de tarefas em segundo plano de forma que as tarefas financeiras não entrem em um ciclo infinito;
• Em cada estágio onde um elemento é editado ou criado, ajudaria se você anotar sobre ele no arquivo de log, para que nenhuma mudança passe despercebida. Mesmo que ocorra um loop, pelo menos você poderá perceber o motivo e para onde foi o dinheiro, para que possa ser devolvido aos usuários.

Resumindo, o aplicativo bancário seguro exige que as seguintes regras sejam seguidas:

• Sem credenciais financeiras de usuários para armazenar

• Sem transferência de dinheiro para as plataformas sem proteção HTTPS.

• Cada resposta ou solicitação do servidor, cada ação, webhook ou retorno de chamada deve ser registrado detalhadamente

• O processo de pagamento deve ser simplificado ao máximo, contando ao máximo com o provedor de serviços de pagamento, evitando a criação de carteira eletrônica interna sempre que possível

• Sempre tire um tempo para testar como o aplicativo é executado, pois somente durante o processo de teste todos os casos negativos podem ser previstos

• O uso de web hooks e callbacks é fortemente recomendado

• Sempre verifique o relatório que o sistema de pagamento fornece, pois você pode detectar se ocorrer um problema logo ali

A Mobileluição de Tudo.

Uma das tendências mais comuns que toda empresa tem atualmente é tornar-se móvel com a segurança de aplicativos móveis e a criptografia de aplicativos móveis. Desde as grandes corporações financeiras até as menores lojas de esquina, esses dispositivos inteligentes ocuparam tudo o que o mundo ocupou. Além disso, uma rápida digestão dos insights do Statista sugere que essa tendência só vai crescer nos próximos 7 anos.

Independentemente da plataforma que você escolher - segurança de aplicativos iOS ou Android, proteger o banco on-line é um processo complexo, mas verdadeiramente recompensador. Imagine, você tem o potencial de desenvolver a sensação de segurança para os usuários e seus fundos, para permitir que milhões de pessoas descansem pacificamente à noite ... não é algo que tem um futuro transformador?

Escrito por Alex Averyanov, Oleg Tsarenko e Elina Bessarabova.