wiele firm może zainteresować się budowaniem własnej bramki płatniczej: kupcy chcący obniżyć opłaty za usługi płatnicze, startupy szukające bramki w regionie o niedostatecznym zasięgu lub firmy internetowe, które zaczynały od usługi białej etykiety, która obecnie przedstawia im ograniczenia techniczne zamiast wsparcia.
jednak zbyt wielu nie rozumie w pełni rozmiaru i zakresu budowania bramki płatności od zera. Istnieje wiele błędnych przekonań na temat kroków związanych z tworzeniem i uruchamianiem własnej bramki płatności.
w tym artykule odpowiemy na wiele pytań, aby uzyskać pełny obraz tego, co jest niezbędne do zbudowania własnego rozwiązania bramki płatności od podstaw.
od czego zacząć?
możesz pomyśleć, że musisz porozmawiać z programistami lub dostawcami usług technologicznych, gdy myślisz o budowie bramki płatności. W końcu jest to cyfrowe rozwiązanie do przyjmowania płatności kartą kredytową.
jednak to przekonanie jest błędne; pierwszą rzeczą, którą musisz zrobić, to zbudować relacje biznesowe z procesorem płatności lub bankiem przejmującym.
Dlaczego potrzebuję procesora płatności?
jeśli chcesz zaoferować bramkę płatności jako usługę, musisz coś podłączyć. To coś jest procesorem płatności. Procesor płatności, czasami nazywany usługą sprzedawcy, przenosi transakcję przez sieć płatności. Czasami Bank nabywający może być procesorem płatności.
procesor, z którym zdecydujesz się współpracować, dostarczy Ci informacji technicznych, aby zintegrować bramę z ich systemem. W zależności od rodzajów płatności, które chcesz zaakceptować, być może będziesz musiał współpracować i zintegrować się z kilkoma procesorami.
po co mi Bank autoryzacyjny?
jeśli jesteś sprzedawcą, który chce mieć własną bramkę płatności, potrzebujesz procesora płatności i banku autoryzującego. Sprzedawcy potrzebują już konta sprzedawcy, aby akceptować płatności cyfrowe, które są dostarczane przez banki przejmujące.
partnerem autoryzującym jest bank lub instytucja finansowa (FI), która przetwarza płatności kartą kredytową lub debetową w imieniu akceptanta. Wybrany przez Ciebie bank nabywający podejmie ryzyko dla Twojej firmy i jako taki będzie wymagał pewnych zobowiązań finansowych z powodu obciążeń zwrotnych, zwrotów, zwrotów ACH i potencjalnych oszustw.
Bank nabywający nie jest tym samym, co bank komercyjny, który oferuje rachunki czekowe i oszczędnościowe. Bank komercyjny może mieć dział przejmowania, ale nie wszystkie banki komercyjne mogą gwarantować rachunki kupieckie. Upewnij się, że instytucja finansowa, z którą chcesz współpracować, może skonfigurować Ci konto sprzedawcy.
1. Klient inicjuje zakup cyfrowy. 2. Sprzedawca przesyła informacje o posiadaczu karty do bramki płatności. 3. Bramka płatnicza szyfruje informacje o posiadaczu karty i przesyła je do procesora płatności. 4. Procesor płatności weryfikuje informacje o posiadaczu karty i przesyła je do sieci kart. 5. Sieć kart przesyła te informacje do banku wydającego kartę. 6-9. W zależności od kwoty środków na koncie posiadacza karty zatwierdzona lub odrzucona wiadomość jest przesyłana z powrotem wzdłuż sieci płatności. 10. Jeśli płatność zostanie zatwierdzona, środki są przekazywane na konto Sprzedawcy w jego banku nabywającym.
jakie specyfikacje techniczne będą potrzebne?
wybrany przez Ciebie procesor płatności dostarczy specyfikacje niezbędne do zintegrowania bramki płatności z systemem i ogólną siecią płatności. Jeśli planujesz akceptować wiele różnych rodzajów płatności, może być konieczne uzyskanie dodatkowych specyfikacji od innych autoryzowanych lub Przetwarzających.
te specyfikacje techniczne poinformują, jakiej technologii możesz lub powinieneś użyć do zbudowania bramki płatności.
co zrobić, jeśli chcę sprzedawać w wielu lokalizacjach geograficznych?
będziesz potrzebował relacji z procesorem, który działa we wszystkich lokalizacjach. Może to oznaczać współpracę z konkretnym procesorem działającym w wielu lokalizacjach lub współpracę z wieloma procesorami.
lokalne przepisy dotyczące regionu lub regionów, w których chcesz prowadzić działalność, będą również miały wpływ na wybór technologii dla bramki płatności. Otrzymaliśmy prośby o pomoc w tworzeniu bram do działania, na przykład w Ameryce Łacińskiej i Malezji; lokalne przepisy i standardy mogą utrudnić rozwój innym popularnym dostawcom płatności, takim jak PayPal, co wydaje się pozostawiać otwartą lukę dla innych dostawców.
jednak przeszkody dla większych firm są przeszkodami nie bez powodu; nie zawsze są one tak łatwo rozwiązywane przez innych.
ile kosztuje zbudowanie bramki płatności?
nasze szacunki dotyczące utworzenia bramki płatniczej minimum viable product (MVP) wynoszą od 200 000 do 250 000 usd. jest to oczywiście zależne od funkcjonalności, którą chcesz włączyć do swojej bramki. Opisany tutaj MVP pozwoli Ci przynajmniej skonfigurować przyjmowanie płatności kartą kredytową i debetową.
jak długo trwa budowa bramki płatności?
zbudowanie bramki płatności od podstaw może potrwać lata. Szybszym rozwiązaniem jest licencjonowanie produktu z białą etykietą, który może być uruchomiony w ciągu zaledwie kilku miesięcy. Wiele produktów white label można dostosować do potrzeb Twojej firmy.
procesory lub jednostki rozliczeniowe mogą również potrzebować miesięcy lub lat, aby zdecydować się na integrację z bramką płatności, dzięki czemu jest ona opłacalna do użytku na rynku.
aby zbudować bramę płatności MVP od zera, szacujemy z grubsza do sześciu miesięcy. Oszacowanie to prawdopodobnie będzie się wahać w zależności od specyfiki Twojego wniosku.
czy nie zaoszczędzę pieniędzy na dłuższą metę, jeśli zbuduję własną bramę?
może, jeśli objętość przetwarzania jest wystarczająco duża. Wielu błędnie zakłada, że jeśli hostują własne rozwiązanie bramki płatności, mogą wyeliminować opłaty za przetwarzanie kart kredytowych, które płacą swojemu procesorowi.
opłaty za korzystanie z sieci i/lub przetwarzanie kart będą zawsze wymagane przez dostawców takich jak Visa i Mastercard.
koszty wymiany i rozliczeń można wyeliminować tylko dzięki bezpośredniej integracji z dostawcami sieci kart. Ten poziom integracji ma sens tylko wtedy, gdy Twoja Firma przetwarza bardzo duże wolumeny transakcji, takie jak miliardy.
dopłaty można zmniejszyć poprzez posiadanie własnej bramki płatniczej, ale jest to ponownie zależne od tego, czy wolumen transakcji kompensuje koszty budowy i obsługi bramki płatniczej.
posiadanie i obsługa własnej bramki płatniczej wiąże się również z dodatkowymi kosztami płacenia za serwery i utrzymanie produktu gateway.
warto wziąć produkt open source w domu lub opracować własny, jeśli wyeliminowanie niektórych opłat związanych z bramkami innych firm kompensuje roczną cenę utrzymania bramy, audytu PCI DSS, certyfikatów i innych niezliczonych kosztów.
nie zapomnij o bezpieczeństwie
Współpraca z procesorem i uzyskanie specyfikacji technicznych integracji to tylko wierzchołek góry lodowej. Sprzedawcy szukają bezpiecznych bramek płatniczych, aby zwiększyć zaufanie klientów. Bezpieczne bramki płatnicze z mechanizmami wykrywania oszustw mogą pomóc uniknąć obciążeń zwrotnych i innych problemów wynikających z nieuczciwych zakupów.
w kolejnych sekcjach omówimy inne koncepcje, które mogą mieć wpływ na Twoją zdolność do budowania i obsługi własnej bramki płatności.
co to jest PCI DSS?
firmy, które obsługują informacje o posiadaczach kart, muszą przestrzegać standardu bezpieczeństwa danych w branży kart płatniczych (PCI DSS). PCI DSS to lista praktyk stosowanych przez firmy w celu poprawy bezpieczeństwa transakcji kartowych i ochrony informacji o posiadaczach kart przed kradzieżą.
według Rodolphe ’ a Simonettiego, Globalnego dyrektora zarządzającego w firmie Verizon, istnieje ścisła korelacja między brakiem zgodności z PCI DSS a naruszeniami cybernetycznymi. „Nasze dane pokazują, że nigdy nie badaliśmy naruszenia bezpieczeństwa danych kart płatniczych w organizacji zgodnej z PCI DSS”, powiedział w raporcie bezpieczeństwa płatności firmy Verizon z 2019 roku. „Zgodność działa.”
naruszenie bezpieczeństwa to nie tylko utrata informacji o klientach: firmy cierpią również na utratę zaufania klientów, przyszłą sprzedaż lub groźbę podjęcia kroków prawnych. Podlegają one grzywnie za nieprzestrzeganie PCI DSS oraz, jeśli je posiadają, za utratę konta sprzedawcy.
jakiego poziomu zgodności PCI DSS potrzebuję?
istnieją cztery poziomy zgodności PCI DSS. Decyzja, którą z nich musisz spotkać, jest skomplikowanym procesem, ale zazwyczaj dzieli się na cztery obszary:
- zbieranie: czy informacje o posiadaczu karty będą gromadzone w przeglądarce klienta, na serwerze sprzedawcy lub na serwerze bramki płatności?
- Przechowywanie: czy dane karty będą przechowywane na serwerach sprzedawcy lub na serwerach bramki płatności?
- Transmisja: w jaki sposób dane karty będą przesyłane do bramki?
- przetwarzanie: czy dane posiadacza karty będą przetwarzane przez akceptanta lub przez bramkę płatności?
poniższe technologie mogą pomóc w zabezpieczeniu informacji o klientach i ochronie przed cyberatakami. Jednak zastosowanie jednej lub kombinacji tych technologii nie stanowi zgodności z PCI DSS.
zgodność z PCI DSS to wielopłaszczyznowy zestaw standardów, który obejmuje szereg tematów i dyscyplin. Dowiedz się więcej o PCI DSS na stronie internetowej PCI Security Standards Council.
EMV
EMV (co oznacza EuroPay, Mastercard i Visa) to globalny standard płatności kredytowych i debetowych opartych na technologii kart chipowych. Każda transakcja kartą chipową zawiera dziesiątki informacji, które są wymieniane między kartą, terminalem POS i Bankiem autoryzującym lub gospodarzem procesora.
EMV nie zastępuje zgodności z PCI; EMV został stworzony w celu ochrony przed nieuczciwym użyciem kart w sklepie. Jeśli chcesz akceptować transakcje kartą, musisz być w stanie udowodnić, że masz wsparcie do obsługi transakcji EMV.
EMV 3-D Secure
EMV Three-Domain Secure, lub 3DS, to protokół komunikacyjny, który umożliwia Klientom uwierzytelnianie się podczas dokonywania zakupów e-commerce I m-commerce bez karty (card-not-present-CNP). Protokół zapewnia dodatkową warstwę bezpieczeństwa, która pomaga zapobiegać nieautoryzowanym transakcjom CNP, chroniąc sprzedawcę przed oszustwami. 3DS obejmuje trzy domeny: domenę sprzedawcy / nabywcy, domenę wystawcy i domenę interoperacyjności.
EMV 3DS usprawnia obsługę użytkownika, poprawiając komunikację „w tle” między bankiem wydającym, autoryzującym i Akceptantem.
tokenizacja
tokenizacja, proces ochrony poufnych danych poprzez zastąpienie ich tokenem, jest często stosowany w celu zapobiegania oszustwom związanym z kartami kredytowymi. W tokenizacji karty kredytowej główny numer konta posiadacza karty jest zastępowany tokenem. Token jest następnie przekazywany przez różne sieci potrzebne do przetworzenia płatności, ale rzeczywiste dane bankowe nigdy nie są ujawniane, ponieważ są przechowywane w bezpiecznym skarbcu tokenów.
tokenizacja sama w sobie nie zapewni zgodności PCI sprzedawcy, ale jest uważana za ” najlepszą praktykę.”Może to pomóc w zmniejszeniu zakresu PCI DSS.
p2pe
p2pe, czyli szyfrowanie peer-to-peer, pozwala organizacjom tworzyć bezpieczną komunikację między urządzeniami i chroni przesyłane poufne informacje przed ekspozycją na urządzenia pośrednie w tej samej sieci.
P2PE jest często używany jako rozwiązanie zgodności dla PCI DSS.
alternatywy dla budowania własnej bramki płatności
usługa White label service
usługa white label może być szybkim sposobem na uruchomienie i zaoferowanie własnego rozwiązania płatniczego. Może również obniżyć koszty przetwarzania, zmniejszając liczbę pośredników między Twoją firmą a nabywcą/podmiotem przetwarzającym.
istnieje wiele smaków usługi white label, od hostowanego rozwiązania przez dedykowaną bramę do licencjonowanego oprogramowania open source payment gateway.
jeśli obawiasz się, że biała etykieta może nie zapewnić poziomu dostosowania, którego szukasz, istnieją opcje. Klient, który rozmawiał z nami na temat tego konkretnego scenariusza, dowiedział się, że zbudowanie bramki płatności od zera nie jest opłacalnym rozwiązaniem dla ich problemów związanych z dostosowywaniem obecnej bramki white label. Zamiast tego negocjowali kontrolę nad swoim kodem źródłowym, aby szybciej wdrożyć potrzebne zmiany. Możesz również współpracować z dostawcą usług technologicznych, aby wdrażać zmiany w swoim tempie.
Dostawca usług zastępczych
jeśli obecnie współpracujesz z jednym z dobrze znanych dostawców usług PSP, takich jak Stripe, Paypal lub Square, istnieją alternatywy. Jednak dostawcy Ci nie bez powodu są liderami rynku — ich innowacje techniczne odróżniają ich od innych.
jako taki, chociaż możesz współpracować z jednym z ich konkurentów, pobierana cena nie będzie znacznie niższa niż obecnie płacisz. Podobnie trudno będzie znaleźć alternatywę, która ma nad nimi znaczną przewagę technologiczną ze względu na ich status lidera na rynku.
podsumowanie
teraz, gdy masz dobrze zaokrągloną perspektywę tego, co wchodzi w tworzenie bramki płatności, nadal jesteś zainteresowany budową własnej bramki? Porozmawiaj z jednym z naszych ekspertów ds. płatności już dziś.
Softjourn jest globalnym dostawcą usług technologicznych z ponad dziesięcioletnim doświadczeniem w pracy z kartami & dostawców usług płatniczych. Stworzyliśmy kreatywne rozwiązania lub powiększyliśmy wewnętrzne zespoły techniczne, aby zapewnić wsparcie i specjalistyczną wiedzę projektową, co skutkuje funkcjami generującymi przychody.
specjalizujemy się w zapewnianiu i zachowaniu bezpieczeństwa kart przedpłaconych, opracowywaniu symulatorów transakcji w celu oszczędzania czasu roll-out oraz tworzeniu powtarzalnych i strategicznych podejść do zarządzania odzyskiwaniem płatności. Pomagamy naszym klientom-procesorom płatności, bankom, autoryzacjom transakcyjnym i dostawcom usług kart przedpłaconych—wykorzystując naszą wiedzę w celu zwiększenia udziału w rynku.