Uygulamanızda Güvenli Çevrimiçi Ödemeler Nasıl Yapılır?

Uygulamalarımız, mobil uygulama ödeme güvenliğimize meydan okumak için birdenbire ortaya çıkan kötü şöhretli hacker saldırılarını alt ederken, büyük ve küçük işletmelerde mobil uygulama güvenliği için çabalar şimdiden hız kazanmaya başladı. Her yerde, bir e-ticaret mağazasından ve daha yüksek kurumların finansal sistemlerine kadar insanlar bir çevrimiçi ödeme güvenliği uygulaması geliştirme talebinde bulunur. Bugünlerde en çok aranan istek şu: Daha yüksek koruma düzeyine sahip bir şey nasıl oluşturulur? Burada onu vurgulamak için elimizden geleni yapacağız.

Güvenli Yeni Bir Siyahtır.

Ukrayna'da alevler içinde patlayan ve tüm dünyayı kolayca istila eden son siber salgını hatırlıyor musunuz? Bunun gibi saldırılar, aradığımız tüm çevrimiçi işlem güvenliğinin henüz mükemmel olmadığını - bir gün tüm makinelerin birdenbire sahtekarlığa teslim olabileceğini kanıtlıyor. Çeşitli dolandırıcılık türleri vardır, ancak çoğu bilgisayar korsanının hedeflediği şey, başta banka hesaplarının ve işlemlerin güvenliği olmak üzere finansal veri güvenliğidir.

Ne yazık ki, bir siber saldırı vefatından sonra mobil bankacılık uygulaması geliştirme için her derde deva değil, ancak kesinlikle ödemelerin ve işlemlerin güvenliğini artıran şeyler var. Öncelikle, mobil uygulamalar için güvenlikli projenizin içerebileceği 3 tür ödeme vardır:

• Gelen

• Dışa dönük

• Sistem içi işlemler

Uber'in harika bir mobil uygulamasını ele alalım ve örneğinde üç kategoriyi de inceleyelim. Gelen ödemeler, uygulamanızın gerçekleştirmesine yardımcı olan belirli bir ürün veya hizmet için bir müşteri tarafından gerçekleştirilen ödemelerdir; Uber yolculuğunuz bittiğinde, bunun için kredi kartınızdan ödeme alınır. Giden ödemeler, bir sistemin kendisi tarafından temsil edildiği çalışanlara yapılan ödemelerdir. Mutlu müşteri bir Uber sürücüsü tarafından varış noktasına teslim edildiğinde, sistem belirli bir süre beklemede kalır ve ardından otomatik olarak sürücüye para aktarır. Bu bekleme süresi, kullanıcının aldığı hizmetin kalitesinden şikayet edebilmesi için tasarlanmıştır. Bu seçenek, kullanıcı tarafından belirli bir düzeyde özen gösterilmesini gerektirir - bu süre sona erdiğinde, müşteri artık bir şikayet raporu dolduramaz. Hem giden hem de gelen finansal işlemler, sisteme entegre edilecek bir üçüncü taraf ödeme sağlayıcısını gerektirir.

Sistem içi işlemlerde işler farklı çalışır - bunun bir örneği, sistem içindeki iki kullanıcı arasındaki finansal işlemler olabilir. Bu noktada, bahsedilen sistem içinde gerçekleşen tüm etkileşimler nedeniyle işlemler entegre bir ödeme sağlayıcısı olmadan da çalışabilir. Daha önce açıklanan ücret toplama yöntemleri, diğer özelliklerle birlikte her türlü finansal uygulamada yaygın olarak kullanılmaktadır.

Mobil uygulamanızın güvenliğini nasıl sağlarsınız? İyi,

...Onlara İhtiyaç Duyarsınız.

"Her içerik oluşturucu her zaman fikirlerine katılabilir - ürünün kullanılabilirliğini en üst düzeye çıkarmak adına!"

Temelde, özünde mobil bankacılık uygulamaları için güvenlik bulunan her mobil cüzdan, çekici ve “kullanıcı tarafından kullanılan” hale getirmek için belirli miktarda özelliğe ihtiyaç duyar. Temel özellikler olarak kabul edilen özelliklerin kısa bir listesi:

• Her zaman banka hesabınıza erişin, yağmur yağsın ya da parıldasın

• Özellikle finansal işlemler yapabilme yeteneği:

a) Paranızı bu bankacılık sistemindeki herhangi bir hesaba aktarın.

b) Paranızı dünya çapındaki herhangi bir hesaba, kredi kartına veya banka kartına aktarın.

c) Herhangi bir iletişim hizmeti için ödeme yapın - cep telefonunuzu şarj edin, internet sağlayıcınıza ödeme yapın vb.

d) Bankacılık sisteminin iş mantığına dahil olan diğer üçüncü şahıs hizmetleri için ödeme yapın - otobüs/uçak/tren biletleri, yemek, güzellik ürünleri ve oyunlar, sinema ve futbol (veya diğer popüler spor) biletleri. Başvurunuz üzerinden gerçekleştirilebilecek farklı ödemelerin sayısı, iş mantığına ve iş analizi aşamasında oluşturulan gereksinimlere bağlı olduğundan farklı olabilir.

e) Faturalarınızı ödeyebilmeniz de oldukça iyi bir ipucudur, kullanıcılar tüm altyapı hizmetlerine (gaz, elektrik, su, ısıtma vb.) sahip olabildikleri sürece, kullanıcının uygulama içindeki katılımını en üst düzeye çıkarabilir.

• Kartlarınızı yönetme (onları bloke etme/blokesini kaldırma, çevrimiçi ödeme limiti belirleme, PIN veya CW2 kodlarını değiştirme, mevcut kartı ekleme, sipariş etme veya kapatma) yeteneği.

• Dotasyon oluşturma özelliği, bankacılık uygulaması için büyük ölçüde işe yarayacaktır - bu, sizin ve müşterilerinizin her türlü hayır kurumuna dahil olduğunuzu düşündürür.

• Kullanıcının coğrafi konumuna erişme ve ona yakındaki ATM'leri ve en yakın banka şubelerini gösterme yeteneği.

Özelliklerin kapsamı yukarıda belirtilenlerle bitmez - bunlar, çevrimiçi işlemlerin nasıl güvence altına alınacağını düşünürken iş analistlerimizin düşünebilecekleri özelliklerdir, ancak her içerik oluşturucu, en üst düzeye çıkarmak adına fikirlerine katılmaya her zaman memnuniyetle karşılanır. ürünün kullanılabilirliği!

Bahsedilen özelliklerin miktarı ve karmaşıklığı, bir bankacılık mobil uygulaması için çifte güvenlik gerektirecektir. Yine de çevrimiçi finansal işlemlerinizi nasıl güvenli hale getirebilirsiniz?

1. Sistemin, kullanıcıların finansal kimlik bilgilerini kaydetmesi gerekmez.

Gelen, giden veya bir sistem içi işlemler tamamlandıktan sonra, çevrimiçi işlemlerin güvenliğini sağlarken, kullanıcının tüm ticari bilgilerinin ödeme hizmeti sağlayıcısında bırakılması gerekir. Bir sağlayıcı normalde tüm finansal işlemleri yürüten ve koruyan bir kasaya ve yerleşik tokenizasyon sistemine sahiptir. Web sitenize (veya başvurunuza), aşağıdaki resimde gösterildiği gibi, tüm proje kodunun parçası olmayan belirli bir form eklenmelidir:

Daha sonra alınan token ve formun veri güvenlik protokolleri sunucumuza gider ve ancak bundan sonra bir uygulama sistemi şarj edebilir. Bu çalışma yöntemi, Stripe ödeme sağlayıcısı tarafından yaygın olarak kullanılmaktadır.

Bu yöntemin gerçekten yaygın olarak bilinmesine rağmen, içinde belirli bir tuzak var. Başvurunuz kartın verilerini sunucuya doğrudan ödeme hizmetine gönderdiğinde, aktarılan kesin tutardan bahsetmiyor. Yani varsayımsal olarak konuşursak, sistemin olması gerekenden daha fazla para çekme şansı var - yanlışlıkla veya sistem hatası. Bu sorun henüz çözülmedi, bu nedenle Stripe, kullanıcının herhangi bir yere yönlendirilmediği kullanışlı bir çözüm olmasına rağmen, hala istikrarlı bir güvenli süreçten yoksundur.

Yaygın olarak bilinen bir diğer sistem, “PayPal ile öde” düğmesi ile PayPal'dır.

PayPal'ın çalışma şekli bir "web uygulaması ödeme işleme" yöntemidir - bir kullanıcı ödeme ekranına geldiğinde, kullanıcı hakkını otomatik olarak PayPal'ın platformuna aktarır. Bir müşteri hizmet aracılığıyla ödeme yaptığında, mobil bankacılık uygulamanızın daha sonra PayPal'a gönderilen ve ödemenin alınıp alınmadığını bildiren bir varlık oluşturması gerekir.
Stripe ve PayPal mobil ödeme ağ geçitlerini birbirinden ayıran kilit nokta, PayPal'da aktarılan paranın gerçek miktarını görmenize izin vermesi, ancak sizi onların platformuna yönlendirmesidir; Öte yandan, Stripe herhangi bir harici bağlantıyı takip etmenizi sağlamaz, ancak "kesin toplam" mobil ödeme güvenlik sorunları gelecekteki kullanıcılarınızın dikkatini dağıtabilir.

2. Sistem Jetonları Güvenli ve Sağlam Tutmalıdır.

Abonelik seçeneği olan güvenli bir mobil uygulama oluşturuyorsanız, bu uygulama hizmetin veritabanında güvenli bir şekilde saklanmalıdır. Projenin yapısı, bu belirteçlerin yalnızca orada tutulmasına izin vermelidir - genel profil veya başka herhangi bir varlığın seçeneği hariç tutularak.

Finansal işlemleri güvence altına almanın başka bir yolu da HTTPS korumasını web sitesinin yapısına şifrelemektir. Web sitesinde yoksa - kullanıcı, çevrimiçi finansal işlemlerinizi güvence altına almak için parayı üçüncü taraf kaynağa aktarmamalıdır.

3. “İstisna, Ödeme, Tekrar” hatasından kaçınmaya çalışın.

Ödemenizin başına gelebilecek en korkunç şey (sistem kullanıcılara para aktardığında para transferleri), “sonsuz döngü”dür. Kullanıcılara ödeme, bir sistem tarafından yürütülen arka plan görevlerinden biridir ve bir istisna olursa, görev yeniden çalıştırılır. Sonuç olarak, her işlem yalnızca bir kullanıcıya defalarca gönderilebilir.

Bu nasıl önlenir:

• Arka plan görevlerinin yöneticisini, finansal görevlerin sonsuz bir döngüye girmeyeceği şekilde ayarlayın;
• Bir öğenin düzenlendiği veya oluşturulduğu her aşamada, bunu günlük dosyasına not etmeniz yardımcı olacaktır, böylece hiçbir değişiklik fark edilmeyecektir. Bir döngü oluşsa bile, en azından nedenini ve paranın nereye gittiğini fark edebileceksiniz, böylece kullanıcılara geri dönebileceksiniz.

Tüm konuları özetlemek gerekirse, güvenli bankacılık uygulaması aşağıdaki kurallara uyulmasını gerektirir:

• Saklanacak kullanıcının finansal kimlik bilgileri yok

• HTTPS koruması olmayan platformlara para transferi yapılmaz.

• Her sunucunun yanıtı veya isteği, her eylemi, web kancası veya geri araması en ayrıntılı şekilde günlüğe kaydedilmelidir.

• Ödeme süreci, mümkün olduğunca kurum içi e-cüzdan oluşturmaktan kaçınarak, ödeme hizmeti sağlayıcısına maksimum düzeyde güvenerek basitleştirilmelidir.

• Uygulamanın nasıl çalıştığını test etmek için her zaman zaman ayırın, çünkü yalnızca test sürecinde tüm olumsuz durumlar tahmin edilebilir

• Web kancalarının ve geri aramaların kullanılması şiddetle tavsiye edilir

• Her zaman ödeme sisteminin size sunduğu raporu kontrol edin, orada bir sorun olup olmadığını anlayabilirsiniz.

Her Şeyin Mobilizasyonu.

Bugünlerde her işletmenin sahip olduğu en yaygın trendlerden biri, mobil uygulama güvenliği ve mobil uygulama şifrelemesi ile mobil hale gelmektir. Büyük finans şirketlerinden en küçük köşe dükkanlarına kadar bu akıllı cihazlar dünyanın her yerini işgal etti. Ayrıca, Statista'nın içgörülerinin kısa bir özeti, bu eğilimin yalnızca 7 yıl içinde büyüyeceğini gösteriyor.

Hangi platformu seçerseniz seçin - iOS veya Android uygulama güvenliği, çevrimiçi bankacılığı korumak karmaşık ama gerçekten ödüllendirici bir süreçtir. Milyonlarca insanın geceleri huzur içinde dinlenmesine izin vermek için, kullanıcılar ve fonları için güvenlik duygusunu geliştirme potansiyeline sahip olduğunuzu hayal edin… Bu, yaşamı değiştiren bir geleceği olan bir şey değil mi?

Alex Averyanov, Oleg Tsarenko ve Elina Bessarabova tarafından yazıldı.