Muitas empresas podem tornar-se interessado na construção de seu próprio gateway de pagamento: os comerciantes que querem reduzir o pagamento de taxas de serviço, startups olhando para a oferta de um gateway em um carentes da região, ou de empresas on-line que começou com uma etiqueta branca de serviço que está agora apresentando-os com limitações técnicas, em vez de suporte.
no entanto, muitos não entendem completamente o tamanho e o escopo da construção de um gateway de pagamento do zero. Existem muitos equívocos sobre as etapas envolvidas na criação e execução de seu próprio gateway de pagamento.
neste artigo, responderemos a muitas perguntas para dar a você a imagem completa do que é necessário para construir sua própria solução de gateway de pagamento do zero.
por onde começo?
você pode pensar que precisa falar com desenvolvedores ou provedores de serviços de tecnologia ao pensar em construir um gateway de pagamento. Afinal, é uma solução digital para aceitar pagamentos com cartão de crédito.
no entanto, essa crença é equivocada; a primeira coisa que você precisa fazer é construir relacionamentos comerciais com um processador de pagamento ou um banco adquirente.
por que preciso de um processador de pagamento?
se você deseja oferecer um gateway de pagamento como um serviço, você precisa de algo para conectá-lo. Este algo é o processador de pagamento. Um processador de pagamento, às vezes chamado de serviço de comerciante, move a transação através da rede de pagamento. Às vezes, um banco adquirente pode ser um processador de pagamento.
o processador com o qual você escolhe fazer parceria fornecerá informações técnicas para integrar seu gateway ao sistema. Dependendo dos tipos de pagamento que você deseja aceitar, Pode ser necessário fazer parceria e integrar-se a vários processadores.
por que preciso de um banco adquirente?Se você é um comerciante que deseja ter seu próprio gateway de pagamento, você precisará de um processador de pagamento e um banco adquirente. Os comerciantes já precisam de uma conta de comerciante para aceitar pagamentos digitais, que são fornecidos pela aquisição de bancos. Um parceiro adquirente é um banco ou instituição financeira (FI) que processa pagamentos com cartão de crédito ou débito em nome de um comerciante. O banco adquirente que você escolher assumirá riscos para o seu negócio e, como tal, exigirá certos compromissos financeiros devido a estornos, reembolsos, devoluções de ACH e possíveis fraudes.
um banco adquirente não é o mesmo que um banco comercial, que oferece contas correntes e de poupança. Um banco comercial pode ter uma divisão de aquisição, mas nem todos os bancos comerciais podem subscrever contas comerciais. Certifique-se de que a instituição financeira com a qual deseja fazer parceria possa configurá-lo com uma conta de comerciante.
1. O cliente inicia uma compra digital. 2. O comerciante transmite as informações do titular do cartão para o gateway de pagamento. 3. O gateway de pagamento criptografa as informações do titular do cartão e as transmite ao processador de pagamento. 4. O processador de pagamento verifica as informações do titular do cartão e as transmite para a rede do cartão. 5. A rede de cartões transmite as informações ao banco emissor. 6-9. Dependendo da quantidade de fundos na conta do titular do cartão, uma mensagem aprovada ou recusada é transmitida de volta ao longo da rede de pagamento. 10. Se o pagamento for aprovado, os fundos são transmitidos para a conta do comerciante em seu banco adquirente.
que Especificações técnicas vou precisar?
seu processador de pagamento de escolha fornecerá as especificações necessárias para integrar seu gateway de pagamento com seu sistema e a rede geral de pagamento. Se você planeja aceitar muitos tipos de pagamento diferentes, pode ser necessário obter especificações adicionais de outros adquirentes ou processadores.
essas especificações técnicas informarão qual tecnologia você pode ou deve usar para construir seu gateway de pagamento.
e se eu quiser vender em várias localizações geográficas?
você precisará de um relacionamento com um processador que opera em todos os locais. Isso pode significar uma parceria com um processador específico que opera em vários locais ou parcerias com vários processadores.
os regulamentos locais para a região ou regiões em que você deseja fazer negócios também pesarão na escolha da tecnologia para o seu gateway de pagamento. Recebemos pedidos para ajudar a criar gateways para operar, como exemplos, na América Latina e na Malásia; as leis e padrões locais podem dificultar o crescimento de outros provedores de pagamento populares, como o PayPal, o que parece deixar em aberto uma lacuna para outros provedores.
no entanto, obstáculos para empresas maiores são obstáculos por um motivo; eles nem sempre são tão facilmente abordados por outros.
quanto custa construir um gateway de pagamento?
nossa estimativa para a criação de um produto mínimo viável de gateway de pagamento (MVP) está entre $200k e $250k. isso é naturalmente dependente da funcionalidade que você deseja incorporar em seu gateway. O MVP descrito aqui pelo menos o configuraria para aceitar pagamentos com cartão de crédito e débito.
quanto tempo leva para construir um gateway de pagamento?
pode levar anos para construir um gateway de pagamento do zero. Uma solução mais rápida é licenciar um produto de marca branca, que pode estar instalado e funcionando em apenas alguns meses. Muitos produtos de marca branca podem ser personalizados de acordo com as necessidades da sua empresa.
também pode levar meses ou anos para processadores ou adquirentes decidirem se integrar ao seu gateway de pagamento, tornando-o viável para uso no mercado.
para construir um gateway de pagamento MVP do zero, estimamos aproximadamente até seis meses. Essa estimativa provavelmente flutuará dependendo das especificidades de sua solicitação.
não economizo dinheiro a longo prazo se eu construir meu próprio gateway?
talvez, se o seu volume de processamento é grande o suficiente. Muitos assumem erroneamente que, se hospedarem uma solução de gateway de pagamento própria, podem eliminar as taxas de processamento de cartão de crédito que estão pagando ao processador.
as taxas de uso e/ou processamento da rede de cartões serão sempre exigidas por provedores como Visa e Mastercard.
os custos de Intercâmbio e liquidação só podem ser eliminados com integrações diretas com provedores de rede de cartões. Esse nível de integração realmente só faz sentido se sua empresa processar volumes de transações muito grandes, como os bilhões.As sobretaxas podem ser reduzidas por possuir seu próprio gateway de pagamento, mas isso depende novamente de o volume da transação compensar o custo de construção e operação de um gateway de pagamento.
possuir e operar seu próprio gateway de pagamento também vem com o custo adicional de pagar pela manutenção de servidores e produtos de gateway.
vale a pena pegar um produto de código aberto internamente ou desenvolver o seu próprio se eliminar algumas das taxas relacionadas a gateway de terceiros compensar o preço anual de manutenção de gateway, auditoria PCI DSS, certificações e outros custos inumeráveis.
não se esqueça da segurança
a parceria com um processador e a obtenção de especificações técnicas para integração são apenas a ponta do iceberg. Os comerciantes procuram gateways de pagamento seguros para aumentar a confiança do cliente. Gateways de pagamento seguros com mecanismos de detecção de fraude podem ajudar a evitar estornos e outros problemas resultantes de compras fraudulentas.
nas próximas seções, discutiremos outros conceitos que podem ter um impacto na sua capacidade de construir e operar seu próprio gateway de pagamento.
o que é PCI DSS?
as empresas que lidam com as informações do titular do cartão devem cumprir o padrão de segurança de dados do setor de cartões de pagamento, ou PCI DSS. PCI DSS é uma lista de práticas que as empresas usam para melhorar a segurança das transações de cartão e defender as informações do titular do cartão contra roubo. De acordo com Rodolphe Simonetti, Diretor administrativo global da Verizon, há uma estreita correlação entre a falta de conformidade com PCI DSS e violações cibernéticas. “Nossos dados mostram que nunca investigamos uma violação de dados de segurança de cartão de pagamento para uma organização compatível com PCI DSS”, disse ele no Relatório de segurança de Pagamento de 2019 da Verizon. “Compliance funciona.”Uma violação de segurança não se trata apenas de perder informações do cliente: as empresas também sofrem uma perda de confiança do cliente, vendas futuras ou a ameaça de ação legal. Eles estão sujeitos a multas por descumprimento do PCI DSS e, se tiverem uma, a perda de sua conta de comerciante.
que nível de conformidade PCI DSS eu preciso?
existem quatro níveis de conformidade com PCI DSS. Decidir qual deles você precisa encontrar é um processo complicado, mas geralmente se divide em quatro áreas:
- coleta: as informações do titular do cartão serão coletadas no navegador do cliente, no servidor do comerciante ou no servidor do gateway de pagamento?
- armazenamento: os dados do cartão serão armazenados nos servidores do comerciante ou nos servidores do gateway de pagamento?Transmissão: como os dados do cartão serão transmitidos ao gateway?Processamento: as informações do titular do cartão serão processadas pelo comerciante ou pelo gateway de pagamento?
as seguintes tecnologias podem ajudar na segurança das informações dos clientes e na proteção contra ataques cibernéticos. No entanto, o uso de uma ou uma combinação dessas tecnologias em si não constitui conformidade PCI DSS.
PCI DSS compliance é um conjunto multifacetado de padrões que cobrem uma variedade de tópicos e disciplinas. Saiba mais sobre o PCI DSS no site do PCI Security Standards Council.
EMV
EMV (que significa EuroPay, Mastercard e Visa) é o padrão global para pagamentos de crédito e débito com base na tecnologia de cartão com chip. Cada transação de cartão com chip contém dezenas de informações que são trocadas entre o cartão, o terminal POS e o banco adquirente ou o host do processador.
a EMV não substitui a conformidade com PCI; a EMV foi criada para se defender contra o uso fraudulento de cartões em uma loja. Se você deseja aceitar transações presentes no cartão, precisará provar que tem o suporte para lidar com transações EMV.
EMV 3-D Secure
EMV Three-Domain Secure, ou 3ds, é um protocolo de mensagens que permite aos consumidores se autenticar ao fazer compras de E-commerce E M-commerce com cartão não presente (CNP). O protocolo fornece uma camada de segurança adicional que ajuda a prevenir transações não autorizadas de CNP, protegendo o comerciante de fraudes. O 3DS inclui os três domínios do domínio do comerciante/ adquirente, do domínio do emissor e do domínio de interoperabilidade.
o EMV 3DS simplifica a experiência do usuário, melhorando a comunicação “em segundo plano” entre o banco emissor, o ADQUIRENTE e o comerciante.
tokenização
tokenização, o processo de proteção de dados confidenciais, substituindo-o por um token, é frequentemente usado para evitar fraude de cartão de crédito. Na tokenização do cartão de crédito, o número da conta principal do titular do cartão é substituído pelo token. O token é então passado pelas várias redes necessárias para processar o pagamento, mas os detalhes bancários reais nunca são expostos porque são mantidos em um cofre de token seguro.
a tokenização por si só não tornará um comerciante compatível com PCI, mas é considerada uma “melhor prática.”Isso pode ajudar a reduzir o escopo do PCI DSS.
p2pe
p2pe, ou criptografia peer-to-peer, permite que as organizações criem uma comunicação segura entre dispositivos e protege informações confidenciais transmitidas da exposição a dispositivos intermediários na mesma rede.
P2PE é frequentemente usado como uma solução de conformidade para PCI DSS.
alternativas para construir seu próprio gateway de pagamento
serviço de etiqueta branca
um serviço de etiqueta branca pode ser uma maneira rápida de começar a funcionar oferecendo sua própria solução de pagamento. Ele também pode reduzir o custo de processamento, reduzindo o número de intermediários entre sua empresa e seu adquirente/processador.
existem muitos sabores de serviço de etiqueta branca, da solução hospedada ao gateway dedicado ao Software licenciado de gateway de pagamento de código aberto.
se você está preocupado que white label pode não fornecer o nível de personalização que você está procurando, há opções. Um cliente que falou conosco sobre esse cenário exato aprendeu que construir um gateway de pagamento do zero não era uma solução econômica para seus problemas em personalizar seu gateway de marca branca atual. Em vez disso, eles acabaram negociando o controle sobre seu código-fonte para implementar as mudanças necessárias mais rapidamente. Você também pode fazer parceria com um provedor de serviços de tecnologia para implementar mudanças no seu ritmo.
provedor de Serviços de substituição
se você está atualmente em parceria com um dos PSPs conhecidos como Stripe, Paypal ou Square, existem alternativas por aí. No entanto, esses fornecedores são líderes de mercado por um motivo — sua inovação técnica os diferenciou dos outros.
como tal, enquanto você pode fazer parceria com um de seus concorrentes, o preço cobrado não será muito menor do que o que você está pagando atualmente. Da mesma forma, será difícil encontrar uma alternativa que tenha vantagens tecnológicas significativas sobre eles por causa de seu status de líder de mercado.
conclusão
agora que você tem uma perspectiva completa do que se passa na criação de um gateway de pagamento, você ainda está interessado em construir seu próprio gateway? Converse com um de nossos especialistas em pagamentos hoje.
a Softjourn é uma provedora global de serviços de tecnologia com mais de uma década de experiência trabalhando com cartões & provedores de Serviços de pagamentos. Construímos soluções criativas ou aumentamos as equipes técnicas internas para fornecer suporte e experiência específica do projeto, resultando em recursos de geração de receita.
somos especializados em Habilitar e preservar a segurança de cartões pré-pagos, desenvolver simuladores de transações para economizar tempo de implantação e criar abordagens repetíveis e estratégicas para gerenciar a recuperação de pagamentos. Ajudamos nossos clientes—processadores de pagamento, bancos, adquirentes de transações e provedores de serviços de cartão pré-pago-aproveitando nossa experiência para aumentar a participação de mercado.