Підключаємо оплату картами, що має бути на сайті?

Введення

Оплата карткою на сайті або в застосунку – це найзручніший спосіб для прийняття платежів, велика кількість бізнесів переходить в онлайн сферу, і ми дедалі частіше стикаємося із запитами про підключення онлайн-платежів.

Що таке торговий (мерчант) рахунок?

Торговий рахунок (Мерчант рахунок) – це тип банківського рахунку, який дозволяє вашому бізнесу приймати платежі за допомогою дебетових або кредитних карт онлайн. Під час використання мерчант-рахунку, вам не знадобиться створювати свій власний комерційний банківський рахунок, натомість потрібно буде підписати угоду з платіжним процесором, який керує цим банківським рахунком. Під час укладення угоди з платіжним процесором, останній привласнює вам ідентифікатор, цей ідентифікатор продавця і слугуватиме вашим торговим рахунком.

Згідно з умовами договору, виплати акумульованих вами коштів на торговому рахунку відбуватимуться з певною періодичністю на розрахунковий рахунок вашої юридичної особи.

Як працюють мерчант рахунки

Торгові (Мерчант) рахунки є ключовим аспектом бізнес-операцій для більшості мерчантів. Мерчантом (Торговцем) може називатися будь-яка особа або компанія, що здійснює продаж товарів або послуг.

У мерчанта є безліч варіантів при виборі постачальника послуг торгового рахунку. Торгові рахунки надаються банками-еквайєрами або платіжними агрегаторами, які співпрацюють з мерчантами для полегшення проведення електронних платежів. Ключовим компонентом під час ухвалення рішення є вартість транзакції.

Процесинговий договір є основним документом, що регулює взаємовідносини між мерчантом і мерчант провайдером. Ключові умови договору включають тарифи щодо кожної транзакції, які стягує банк, мережу обробки карток банку, штрафи, а також будь-які щомісячні або щорічні збори, які банк стягує за надання цих послуг.

Платіжний шлюз

Платіжний шлюз – це служба, яку використовуватиме ваш сайт для ініціювання транзакції та отримання зворотного зв’язку, такого як схвалення або відмова щодо транзакції. Це віртуальний еквівалент терміналу для банківських карток в оффлайн магазинах. Фактично, він являє собою віртуальний термінал для проведення спеціальних транзакцій за банківськими картками так само, як це робиться за допомогою звичайного терміналу.

Платіжний шлюз відповідає за надання звітів про розрахунки, а також за ініціювання повернень і анулювання транзакцій. Шлюз обробляє всю конфіденційну інформацію безпечним способом. Він також слугує для підтримання заходів із боротьби з шахрайством, таких як перевірка адреси або геолокації. Коли процесор визначає, схвалена або відхилена транзакція, він передає авторизацію назад шлюзу, який надає відповідь вашій системі електронної комерції.

Платіжний процесор

Платіжний процесор і платіжний шлюз – це дві різні структури. Шлюз – це служба, яку ваша система електронної комерції використовує для взаємодії з платіжним процесором. Платіжний процесор – це служба, яка фактично взаємодіє з банками-емітентами карток.

Коли транзакція передається платіжному процесору від шлюзу, процесор надсилає запит до банку-емітента картки. Потім банк-емітент картки проводить перевірку транзакції на предмет шахрайства, кредиту і боргу, після чого повідомляє процесору статус “схвалено” або “відхилено”. Платіжний процесор надсилає цю відповідь шлюзу для передання назад у вашу систему електронної комерції.

Процесор платежів – це той, з ким ви будете укладати угоду, і саме він виконує всю важку роботу. Він також бере на себе більшу частину ризику і, отже, буде ретельно перевіряти вас і ваш бізнес, перш ніж підписати угоду з вами.

E-commerce

Нарешті, вам потрібен спосіб продавати свої товари, щоб ініціювати транзакцію за карткою. Це може бути система електронної комерції або призначене для користувача програмне забезпечення, написане вами або вашими розробниками для взаємодії з платіжним шлюзом. Якщо ви вже використовуєте систему електронної комерції або плануєте використовувати її, то перед прийняттям рішення про вибір платіжного шлюзу вам необхідно подивитися, з якими платіжними шлюзами вона сумісна.

Обробка транзакцій

Усі операції з карткою відбуваються протягом декількох хвилин і тягнуть за собою різні збори для мерчанта, які списуються з його рахунку. Банк-еквайєр стягує з продавця комісію за кожну транзакцію. Мережевий процесор також стягує з продавця комісію за кожну транзакцію. Ці збори можуть становити від 0,5% до 5,0% від суми транзакції плюс $0,20-0,30 за транзакцію.

Банки-еквайєри також стягують з продавців щомісячні збори, а також збори в особливих ситуаціях, як наприклад чарджбек. Щомісячна комісія за рахунком торговця виплачується банку-еквайєру за покриття певних ризиків електронних платіжних карток, що можуть виникнути внаслідок транзакції, а також за послуги з розрахунку коштів за транзакцією.

Чарджбек (eng. Chargeback) або поворотний платіж – це плата, що повертається на платіжну картку після того, як клієнт успішно оскаржив статтю у виписці за рахунком або звіті про транзакції. Це відбувається в разі неотримання товару або послуги, яка була оплачена клієнтом. У разі задоволення запиту на чарджбек і повернення коштів клієнту, мерчант зобов’язаний сплатити штраф або комісію на чарджбек. Запит на чарджбек можна оскаржити згідно з наявними процедурами Visa і Mastercard.

Процес повернення платежу може бути ініційований як продавцем, так і банком-емітентом держателя картки. Якщо зворотний платіж ініційовано банком-емітентом, то банк-емітент сприяє зворотному платежу за допомогою зв’язку зі своєю процесинговою мережею. Потім банк мерчанта отримує сигнал і санкціонує переказ коштів з підтвердженням останнього.

Як це працює

Нижче буде представлено схематичне зображення всього грошового потоку.

Яка інформація має бути на сайті? Вимоги мерчант-провайдерів.

Інформація, необхідна на вашому бізнес-сайті для використання Stripe

Stripe, як і інші мерчант-провайдери, це міжнародна система для захищених інтернет-транзакцій, що дає змогу компаніям приймати платежі в декількох валютах.

Stripe одна з найпопулярніших і багатофункціональних систем, яка також підтримує локальні методи оплати.

Щоб використовувати Stripe, ваш сайт повинен містити (як мінімум):

• Повний опис пропонованих товарів або послуг
• Валюти транзакції
• Контактні дані служби підтримки клієнтів (телефон, електронна пошта, адреса)
• Правила повернення/повернення і доставки (при доставці фізичних товарів)
• Юридичні або експортні обмеження (якщо застосовно)
• Політику конфіденційності
• Правила та умови будь-яких рекламних акцій
• Можливості щодо забезпечення безпеки та політику передачі даних платіжних карт
• Повна інформація про мерчанта (дані про юридичну особу та адресу)

Інформація, необхідна на вашому бізнес-сайті для використання Fondy

Fondy висуває до своїх користувачів ширший спектр вимог.

Загальні вимоги до сайту

• сайт повинен працювати, і всі його сторінки відображаються правильно
• усі товари та послуги на сайті повинні мати докладні описи та специфікації
• продукти та послуги, які ви продаєте, повинні відповідати тим, які ви вказали в заявці на участь у програмі Fondy
• якщо у вас є сертифікати та ліцензії, їх необхідно опублікувати на сайті.

Документи на сайті 

Наступні правила мають бути чітко представлені покупцеві до того, як він/вона здійснить платіж:

• політика конфіденційності
• політика доставки
• політика повернення

Валюти та способи оплати

На сайті має бути присутня інформація про підтримувані валюти.

Логотипи платіжних систем

Також, на сайті необхідно розмістити логотипи карткових платіжних систем на головній сторінці, щоб клієнти знали, які способи оплати приймаються, перш ніж зробити покупку.

Відомості про вашу компанію

Повинні бути відображені такі відомості про вашу компанію:

• назва компанії
• адреса зареєстрованого офісу
• місце реєстрації
• реєстраційний номер
• адреса електронної пошти
• контактний номер телефону

Юридичні вимоги до наповнення сайту

Вимоги щодо наповнення сайту дуже варіюються залежно від країни, в якій ви збираєтеся пропонувати свої послуги та товари, проте ми опишемо загальні вимоги, які підійдуть для більшості країн.

Захист персональних даних

Важливо розуміти, що для обробки платежів буде використовуватися персональна інформація ваших клієнтів, для збору та обробки якої повинні виконуватися певні вимоги щодо захисту персональних даних, згідно з місцевим законодавством. У випадку країн ЄС – це положення General Data Protection Regulation (GDPR).

Необхідно скласти два основні документи у сфері конфіденційності для вашого бізнесу.

• Privacy policy – цей документ регулює весь потік персональних даних усередині вашої компанії та її співробітниками.
• Privacy notice – публічний документ для ваших клієнтів, який повинен знаходитися на сайті та надавати повну інформацію про ваш бізнес, дані, які ви збираєте, мету та суб’єктів передачі персональних даних.

У сфері персональних даних існує стандарт, відповідність якому нерідко вимагають мерчант-провайдери, щоб упевнитися, що ви дотримуєтеся застосовного законодавства.

Що таке Стандарт PCI?

У разі, якщо ви хочете приймати платежі прямо на вашому сайті, без переходу на сторінку оплати надану мерчант-провайдером, від вас вимагатимуть довести відповідність стандартам PCI.

PCI надає комплексні стандарти та допоміжні матеріали, які включають рамки специфікацій, інструменти, вимірювання та ресурси підтримки, щоб допомогти організаціям забезпечити безпеку інформації про власників карток.

PCI DSS дає необхідну основу для розроблення повного процесу забезпечення безпеки даних платіжних карток, який містить у собі запобігання, виявлення та відповідне реагування на будь-яку загрозу безпеці персональних даних.

Ключовою частиною відповідності стандарту PCI є захист інформації про рахунки, включно зі способом зберігання інформації, а також обладнання та постачальників послуг, які ви використовуєте.

Вимоги для відповідності PCI:

1. Використання файрволу
2. Належний захист паролів
3. Надійне шифрування даних платіжних карт
4. Використання антивірусу
5. Оновлення програмного забезпечення
6. Обмеження доступу до даних
7. Унікальні ідентифікатори для доступу до інформації про картки
8. Обмеження фізичного доступу
9. Створення та ведення журналів для доступу до інформації
10. Тестування своєї ОС на наявність вразливостей
11. Наявність Data map

Однією з основних умов відповідності вищезазначеному стандарту є заборона на зберігання коду безпеки банківської картки. Номер безпеки картки, який називають багатьма абревіатурами, включно з CVV2, CID і CSC, – це тризначний номер на зворотному боці карток Visa/MasterCard/Discover або чотиризначний номер на лицьовому боці карток American Express. Він розроблений для того, щоб продавці могли дізнатися, чи справді клієнт, який авторизує транзакцію телефоном або через Інтернет, має картку.

Що таке Terms and Сonditios?

Коротко кажучи, угода про умови (Terms & Conditions) встановлює права та обов’язки постачальника послуги та одержувача/користувача цієї послуги.

Ця угода є невід’ємною частиною будь-якого сайту і містить у собі безліч пунктів і розділів, як-от: відповідальність і зобов’язання сторін, оплата, відшкодування, управління обліковим записом, форс мажор та інше.

Фактично, це договір, який ваш клієнт підписує з вами, приймаючи умови, зафіксовані в ньому, за допомогою натискання галочки в спеціальному вікні.

Залежно від країни, в якій ви пропонуватимете свої послуги/товари, – цей договір, а також його форма і назва можуть різнитися. В Україні на сайтах часто роблять два окремі документи – Публічна оферта і Правила користування.

Однак сьогодні, найпоширенішою практикою, особливо для компаній орієнтованих на ринок ЄС і США, є створення однієї єдиної угоди під назвою Terms and Conditions.

Для цілей цієї статті буде розкрито пункт про повернення та відшкодування.

Що таке політика повернення та відшкодування?

Політика повернення та відшкодування інформує покупців про ваші умови, якщо вони не задоволені товарами або послугами, які вони у вас придбали.

Це часто стосується матеріальних товарів, таких як одяг або електроніка. Політика повернення та відшкодування поширюється також і на цифрові товари та послуги, проте є винятки. Усе залежить від місцевого законодавства щодо захисту прав споживачів у країні, в якій зареєстровано ваш бізнес.

Політика повернення та відшкодування, як правило, містить такі елементи:

• Витрати на повернення або відшкодування, наприклад, клієнт повинен оплатити зворотню доставку.
• Строки повернення товару.
• Форма повернення, наприклад, магазинний кредит або повернення покупної ціни.

Ці умови прописуються в умовах користування.

Ви також можете прописати Умови користування та політику повернення окремими документами на вашому сайті, для зручності користувачів.

Висновки

Чеклист для підключення оплати картками на вашому сайті:

1.  Перевірка та налаштування всієї технічної складової вашого сайту, як-от: наявність усіх необхідних вікон, логотипів і чекбоксів.
2. Підготовка та розміщення на сайті всіх необхідних даних про вашу компанію та політик згідно із законодавством, а також контактів підтримки.
3. Перевірка технічної складової сайту щодо безпеки сайту та персональних даних клієнтів.

Після закінчення роботи з наповнення вашого сайту і перевірки на відповідність усім законодавчим нормам – необхідно укласти договір з мерчант-провайдером. Для цього вам необхідно:

1. Вибрати мерчант провайдера, вивчивши всі умови.
2. Подати заявку і пройти перевірку бізнесу/сайту на відповідність усім законодавчим нормам і вимогам мерчант провайдера.
3. Провести технічну інтеграцію.

Основна проблема, з якою стикаються підприємці під час під’єднання мерчант-рахунку, – невідповідність сайту вимогам мерчант-провайдера/законодавству, що застосовується.

Наші юристи будуть раді проконсультувати і супроводити процес з підключення мерчант рахунку, а також підготувати відповідні політики для вашого сайту.