Molte aziende può diventare interessati a costruire un proprio gateway di pagamento: i commercianti che vogliono ridurre il pagamento tasse di servizio, start-up alla ricerca nell’offrire un gateway in underserved di regione o di aziende online che ha iniziato con un etichetta bianca servizio che è ora di presentare loro limiti tecnici, invece di supporto.
Tuttavia, troppi non comprendono appieno le dimensioni e la portata della costruzione di un gateway di pagamento da zero. Ci sono molte idee sbagliate circa i passaggi coinvolti con la creazione e l’esecuzione del proprio gateway di pagamento.
In questo articolo, risponderemo a molte domande per darti il quadro completo di ciò che è necessario per costruire la tua soluzione di gateway di pagamento da zero.
Da dove inizio?
Si potrebbe pensare di aver bisogno di parlare con gli sviluppatori o fornitori di servizi tecnologici quando si pensa di costruire un gateway di pagamento. Dopo tutto, è una soluzione digitale per accettare pagamenti con carta di credito.
Tuttavia, questa convinzione è fuorviante; la prima cosa che dovrai fare è costruire relazioni commerciali con un processore di pagamento o una banca acquirente.
Perché ho bisogno di un processore di pagamento?
Se desideri offrire un gateway di pagamento come servizio, hai bisogno di qualcosa a cui collegarlo. Questo qualcosa è il processore di pagamento. Un processore di pagamento, a volte chiamato un servizio commerciante, sposta la transazione attraverso la rete di pagamento. A volte una banca acquirente può essere un processore di pagamento.
Il processore con cui scegli di collaborare ti fornirà informazioni tecniche per integrare il tuo gateway con il loro sistema. A seconda dei tipi di pagamento che si desidera essere in grado di accettare, potrebbe essere necessario collaborare e integrarsi con diversi processori.
Perché ho bisogno di una banca acquirente?
Se sei un commerciante che desidera avere il proprio gateway di pagamento, avrai bisogno di un processore di pagamento e di una banca acquirente. I commercianti hanno già bisogno di un account commerciante per accettare pagamenti digitali, che vengono forniti acquisendo banche.
Un partner acquirente è una banca o un istituto finanziario (FI) che elabora i pagamenti con carta di credito o di debito per conto di un commerciante. La banca acquirente che scegli si assumerà il rischio per la tua attività e, in quanto tale, richiederà determinati impegni finanziari a causa di chargeback, rimborsi, ritorni ACH e potenziali frodi.
Una banca acquirente non è la stessa di una banca commerciale, che offre conti correnti e conti di risparmio. Una banca commerciale può avere una divisione acquirente, ma non tutte le banche commerciali possono sottoscrivere conti mercantili. Assicurati che l’istituto finanziario con cui desideri collaborare possa configurarti con un account commerciante.
1. Il cliente avvia un acquisto digitale. 2. Il commerciante trasmette le informazioni del titolare della carta al gateway di pagamento. 3. Il gateway di pagamento crittografa le informazioni del titolare della carta e le trasmette al processore di pagamento. 4. Il processore di pagamento verifica le informazioni del titolare della carta e le trasmette alla rete della carta. 5. La rete di carte trasmette le informazioni alla banca emittente. 6-9. A seconda della quantità di fondi nel conto del titolare della carta, un messaggio approvato o rifiutato viene trasmesso lungo la rete di pagamento. 10. Se il pagamento è approvato, i fondi vengono trasmessi sul conto del commerciante presso la banca acquirente.
Di quali specifiche tecniche avrò bisogno?
Il tuo processore di pagamento preferito fornirà le specifiche necessarie per integrare il tuo gateway di pagamento con il loro sistema e la rete di pagamento complessiva. Se si prevede di accettare diversi tipi di pagamento, potrebbe essere necessario ottenere specifiche aggiuntive da altri acquirenti o processori.
Queste specifiche tecniche informeranno quale tecnologia è possibile o necessario utilizzare per costruire il gateway di pagamento.
Cosa succede se voglio vendere in più località geografiche?
È necessaria una relazione con un processore che opera in tutte le posizioni. Questo può significare una partnership con un processore specifico che opera in più sedi, o partnership con più processori.
Le normative locali per la regione o le regioni in cui si desidera fare affari peseranno anche sulla scelta della tecnologia per il gateway di pagamento. Abbiamo ricevuto richieste per contribuire a creare gateway per operare in, come esempi, America Latina e Malesia; leggi e standard locali possono rendere difficile la crescita per altri fornitori di pagamento popolari come PayPal, che sembra lasciare aperto un vuoto per altri fornitori.
Tuttavia, gli ostacoli per le imprese più grandi sono ostacoli per una ragione; non sono sempre così facilmente affrontati da altri.
Quanto costa costruire un gateway di pagamento?
La nostra stima ballpark per la creazione di un gateway di pagamento minimum Viable product (MVP) è compresa tra $200K e $250K. Questo dipende ovviamente dalla funzionalità che desideri incorporare nel tuo gateway. L’MVP descritto qui sarebbe almeno farti impostare nell’accettare pagamenti con carta di credito e di debito.
Quanto tempo ci vuole per costruire un gateway di pagamento?
Può richiedere anni per costruire un gateway di pagamento da zero. Una soluzione più rapida è quella di concedere in licenza un prodotto white label, che può essere installato e funzionante in pochi mesi. Molti prodotti white label possono essere personalizzati in base alle esigenze della tua azienda.
Può anche richiedere mesi o anni per i processori o gli acquirenti di decidere di integrarsi con il gateway di pagamento, rendendolo praticabile per l’uso sul mercato.
Per costruire un gateway di pagamento MVP da zero, stimiamo approssimativamente fino a sei mesi. Questa stima probabilmente oscillerà a seconda delle specifiche della tua richiesta.
Non risparmierò denaro a lungo termine se costruisco il mio gateway?
Forse, se il volume di elaborazione è abbastanza grande. Molti erroneamente supporre che se ospitano una soluzione di gateway di pagamento di loro che possono eliminare le spese di elaborazione della carta di credito che stanno pagando al loro processore.
Le commissioni per l’utilizzo e/o l’elaborazione della rete di carte saranno sempre richieste da fornitori come Visa e Mastercard.
I costi di interscambio e regolamento possono essere eliminati solo con integrazioni dirette con i fornitori di reti di carte. Questo livello di integrazione ha davvero senso solo se la tua azienda elabora volumi di transazioni molto grandi, ad esempio in miliardi.
I supplementi possono essere ridotti possedendo il proprio gateway di pagamento, ma ciò dipende nuovamente dal fatto che il volume delle transazioni compensi il costo di costruzione e gestione di un gateway di pagamento.
Possedere e gestire il proprio gateway di pagamento comporta anche il costo aggiuntivo di pagamento per i server e la manutenzione del prodotto gateway.
Vale la pena prendere un prodotto open source in-house o sviluppare il proprio se l’eliminazione di alcune delle commissioni relative al gateway di terze parti compensa il prezzo annuale di manutenzione del gateway, audit PCI DSS, certificazioni e altri costi miriadi.
Non dimenticare la sicurezza
Collaborare con un processore e ottenere le specifiche tecniche per l’integrazione sono solo la punta dell’iceberg. I commercianti cercano gateway di pagamento sicuri per aumentare la fiducia dei clienti. Gateway di pagamento sicuri con meccanismi di rilevamento delle frodi possono aiutare a evitare chargeback e altri problemi derivanti da acquisti fraudolenti.
Nelle prossime sezioni, discuteremo altri concetti che possono avere un impatto sulla tua capacità di costruire e gestire il tuo gateway di pagamento.
Che cos’è PCI DSS?
Le aziende che gestiscono le informazioni sui titolari di carta devono essere conformi allo standard di sicurezza dei dati del settore delle carte di pagamento o PCI DSS. PCI DSS è un elenco di pratiche che le aziende utilizzano per migliorare la sicurezza delle transazioni con carta e difendere le informazioni del titolare della carta dal furto.
Secondo Rodolphe Simonetti, Global managing director di Verizon, esiste una stretta correlazione tra la mancanza di conformità PCI DSS e le violazioni informatiche. “I nostri dati dimostrano che non abbiamo mai indagato su una violazione dei dati sulla sicurezza delle carte di pagamento per un’organizzazione conforme a PCI DSS”, è stato citato nel rapporto sulla sicurezza dei pagamenti 2019 di Verizon. “La conformità funziona.”
Una violazione della sicurezza non riguarda solo la perdita di informazioni sui clienti: le aziende subiscono anche una perdita di fiducia dei clienti, vendite future o la minaccia di azioni legali. Essi sono soggetti a multe per mancato rispetto PCI DSS e, se ne hanno uno, la perdita del loro conto commerciante.
Di quale livello di conformità PCI DSS ho bisogno?
Esistono quattro livelli di conformità PCI DSS. Decidere quale è necessario incontrare è un processo complicato, ma generalmente si suddivide in quattro aree:
- Raccolta: le informazioni del titolare della carta saranno raccolte sul browser del cliente, sul server del commerciante o sul server del gateway di pagamento?
- Archiviazione: i dati della carta saranno archiviati sui server del commerciante o sui server del gateway di pagamento?
- Trasmissione: come verranno trasmessi i dati della carta al gateway?
- Elaborazione: le informazioni del titolare della carta saranno elaborate dal commerciante o dal gateway di pagamento?
Le seguenti tecnologie possono aiutare a proteggere le informazioni dei clienti e proteggere dagli attacchi informatici. Tuttavia, l’uso di una o di una combinazione di queste tecnologie non costituisce la conformità PCI DSS.
La conformità PCI DSS è un insieme sfaccettato di standard che coprono una gamma di argomenti e discipline. Ulteriori informazioni su PCI DSS sul sito web del PCI Security Standards Council.
EMV
EMV (che sta per EuroPay, Mastercard e Visa) è lo standard globale per i pagamenti di credito e debito basati sulla tecnologia delle chip card. Ogni transazione con chip card contiene dozzine di informazioni che vengono scambiate tra la carta, il terminale POS e la banca acquirente o l’host del processore.
EMV non sostituisce la conformità PCI; EMV è stato creato per difendersi dall’uso fraudolento delle carte in un negozio. Se si desidera accettare le transazioni presenti sulla carta, è necessario essere in grado di dimostrare di avere il supporto per gestire le transazioni EMV.
EMV 3-D Secure
EMV Three-Domain Secure, o 3DS, è un protocollo di messaggistica che consente ai consumatori di autenticarsi quando effettuano acquisti di e-commerce e m-commerce card-not-present (CNP). Il protocollo fornisce un ulteriore livello di sicurezza che aiuta a prevenire transazioni CNP non autorizzate, proteggendo il commerciante dalle frodi. Il 3DS include i tre domini di merchant / acquirente dominio, dominio emittente, e il dominio di interoperabilità.
EMV 3DS semplifica l’esperienza dell’utente migliorando la comunicazione “in background” tra la banca emittente, l’acquirente e il commerciante.
Tokenizzazione
La tokenizzazione, il processo di protezione dei dati sensibili sostituendoli con un token, viene spesso utilizzata per prevenire frodi con carte di credito. Nella tokenizzazione della carta di credito, il numero di conto principale del titolare della carta viene sostituito con il token. Il token viene quindi passato attraverso le varie reti necessarie per elaborare il pagamento, ma i dettagli bancari effettivi non vengono mai esposti perché sono conservati in un vault token sicuro.
La tokenizzazione in sé e per sé non renderà un PCI commerciante conforme, ma è considerata una “best practice.”Può aiutare a ridurre l’ambito PCI DSS.
P2PE
P2PE, o crittografia peer-to-peer, consente alle organizzazioni di creare comunicazioni sicure tra dispositivi e protegge le informazioni sensibili trasmesse dall’esposizione a dispositivi intermedi sulla stessa rete.
P2PE viene spesso utilizzato come soluzione di conformità per PCI DSS.
Alternative per costruire il proprio gateway di pagamento
White label service
Un servizio white label può essere un modo rapido per ottenere installato e funzionante offrendo la propria soluzione di pagamento. Può anche ridurre i costi di elaborazione riducendo il numero di intermediari tra la tua azienda e il tuo acquirente/processore.
Esistono molti tipi di servizio white label, dalla soluzione ospitata al gateway dedicato al software open source payment gateway con licenza.
Se sei preoccupato che white label potrebbe non fornire il livello di personalizzazione che stai cercando, ci sono opzioni. Un cliente che ha parlato con noi riguardo a quello scenario esatto ha appreso che costruire un gateway di pagamento da zero non era una soluzione economica per i loro problemi relativi alla personalizzazione del loro attuale gateway white label. Invece, hanno finito per negoziare per il controllo sul loro codice sorgente al fine di implementare le modifiche necessarie più velocemente. Puoi anche collaborare con un fornitore di servizi tecnologici per implementare le modifiche al tuo ritmo.
Fornitore di servizi sostitutivi
Se stai attualmente collaborando con uno dei noti PSP come Stripe, Paypal o Square, ci sono alternative là fuori. Tuttavia, questi fornitori sono leader di mercato per un motivo: la loro innovazione tecnica li ha distinti dagli altri.
Come tale, mentre è possibile collaborare con uno dei loro concorrenti, il prezzo addebitato non sarà molto inferiore a quello che si sta pagando attualmente. Allo stesso modo, sarà difficile trovare un’alternativa che abbia significativi vantaggi tecnologici rispetto a loro a causa del loro status di leader di mercato.
Conclusione
Ora che hai una prospettiva a tutto tondo di ciò che va nella creazione di un gateway di pagamento, sei ancora interessato a costruire il proprio gateway? Parla con uno dei nostri esperti di pagamenti oggi.
Softjourn è un fornitore globale di servizi tecnologici con oltre un decennio di esperienza di lavoro con le carte & Fornitori di servizi di pagamento. Abbiamo creato soluzioni creative o aumentato team tecnici interni per fornire supporto e competenze specifiche per il progetto, con conseguente funzionalità generatrici di entrate.
Siamo specializzati nell’abilitare e preservare la sicurezza delle carte prepagate, nello sviluppo di simulatori di transazioni per risparmiare tempo di roll-out e nella creazione di approcci ripetibili e strategici per la gestione del recupero dei pagamenti. Aiutiamo i nostri clienti-processori di pagamento, banche, acquirenti di transazioni e fornitori di servizi di carte prepagate—sfruttando la nostra esperienza per aumentare la quota di mercato.