många företag kan bli intresserade av att bygga sin egen betalningsgateway: handlare som vill minska betalningstjänstavgifterna, startups som tittar på att erbjuda en gateway i en underserverad region eller onlineföretag som började med en white label-tjänst som nu presenterar dem med tekniska begränsningar istället för support.
men för många förstår inte helt storleken och omfattningen av att bygga en betalningsgateway från början. Det finns många missuppfattningar om stegen med att skapa och köra din egen betalning gateway.
i den här artikeln kommer vi att svara på många frågor för att ge dig en fullständig bild av vad som är nödvändigt för att bygga din egen betalningsgateway-lösning från början.
var börjar jag?
du kanske tror att du behöver prata med utvecklare eller teknikleverantörer när du funderar på att bygga en betalningsgateway. Det är trots allt en digital lösning för att acceptera kreditkortsbetalningar.
men denna tro är missvisad; det första du behöver göra är att bygga affärsrelationer med antingen en betalningsprocessor eller en förvärvande bank.
Varför behöver jag en betalningsprocessor?
om du vill erbjuda en betalningsgateway som en tjänst behöver du något att ansluta till. Det här är betalningsprocessorn. En betalningsprocessor, som ibland kallas en handelstjänst, flyttar transaktionen via betalningsnätverket. Ibland kan en förvärvande bank vara en betalningsprocessor.
processorn du väljer att samarbeta med kommer att ge dig teknisk information för att integrera din gateway med deras system. Beroende på vilka betalningstyper du vill kunna Acceptera kan du behöva samarbeta och integrera med flera processorer.
Varför behöver jag en förvärvande bank?
om du är en Handlare som vill ha en egen betalningsgateway behöver du en betalningsprocessor och en förvärvande bank. Handlare behöver redan ett handelskonto för att acceptera digitala betalningar, som tillhandahålls genom att förvärva banker.
en förvärvande partner är en bank eller finansinstitut (FI) som behandlar kredit-eller betalkortsbetalningar på uppdrag av en Handlare. Den förvärvande banken du väljer kommer att ta risk för ditt företag och som sådan kommer att kräva vissa ekonomiska åtaganden på grund av återkrav, återbetalningar, ach-avkastning och potentiellt bedrägeri.
en förvärvande bank är inte samma sak som en kommersiell bank, som erbjuder kontroll-och sparkonton. En kommersiell bank kan ha en förvärvande division, men inte alla affärsbanker kan teckna handelskonton. Se till att den finansiella institutionen du vill samarbeta med kan ställa in dig med ett handelskonto.
1. Kunden initierar ett digitalt köp. 2. Handlaren överför kortinnehavarens information till betalningsporten. 3. Betalningsgatewayen krypterar kortinnehavarens information och överför den till betalningsprocessorn. 4. Betalningsprocessorn verifierar kortinnehavarens information och överför den till kortnätverket. 5. Kortnätverket överför informationen till den utfärdande banken. 6-9. Beroende på mängden pengar på kortinnehavarens konto överförs ett godkänt eller avvisat meddelande tillbaka längs betalningsnätverket. 10. Om betalningen godkänns överförs medel till handlarens konto hos deras förvärvande bank.
vilka tekniska specifikationer behöver jag?
din betalningsprocessor kommer att tillhandahålla de specifikationer som krävs för att integrera din betalningsgateway med deras system och det övergripande betalningsnätverket. Om du planerar att acceptera många olika betalningstyper kan du behöva få ytterligare specifikationer från andra förvärvare eller processorer.
dessa tekniska specifikationer kommer att informera vilken teknik du kan eller bör använda för att bygga din betalning gateway.
vad händer om jag vill sälja på flera geografiska platser?
du behöver en relation med en processor som fungerar på alla platser. Detta kan innebära ett partnerskap med en specifik processor som fungerar på flera platser eller partnerskap med flera processorer.
lokala regler för regionen eller regionerna som du vill göra affärer i kommer också att väga på valet av teknik för din betalning gateway. Vi har fått förfrågningar om att hjälpa till att skapa gateways för att fungera i, som exempel, Latinamerika och Malaysia; lokala lagar och standarder kan göra tillväxten svår för andra populära betalningsleverantörer som PayPal, vilket verkar lämna ett gap för andra leverantörer.
hinder för större företag är dock hinder av en anledning; de är inte alltid så lätt att ta itu med av andra.
hur mycket kostar det att bygga en betalningsgateway?
vår ballpark uppskattning för att skapa en betalning gateway minimum viable product (MVP) är mellan $200k och $250k. Detta är naturligtvis beroende av den funktionalitet du vill införliva i din gateway. MVP som beskrivs här skulle åtminstone få dig att acceptera kredit-och betalkortsbetalningar.
hur lång tid tar det att bygga en betalningsgateway?
det kan ta år att bygga en betalningsgateway från början. En snabbare lösning är att licensiera en white label-produkt, som kan vara igång på bara några månader. Många white label-produkter kan anpassas efter ditt företags behov.
det kan också ta månader eller år för processorer eller förvärvare att besluta att integrera med din betalning gateway, vilket gör det lönsamt för marknadsanvändning.
för att bygga en MVP-betalningsgateway från början uppskattar vi ungefär upp till sex månader. Denna uppskattning kommer sannolikt att fluktuera beroende på detaljerna i din förfrågan.
sparar jag inte pengar på lång sikt om jag bygger min egen gateway?
kanske, om din bearbetningsvolym är tillräckligt stor. Många felaktigt anta att om de värd en betalning gateway lösning av sina egna att de kan eliminera kreditkort bearbetning avgifter som de betalar till sin processor.
avgifter för användning av kortnätverk och/eller bearbetning kommer alltid att krävas av leverantörer som Visa och Mastercard.
utbyte och avvecklingskostnader kan endast elimineras med direkta integrationer med kortnätsleverantörer. Denna integrationsnivå är egentligen bara meningsfull om ditt företag bearbetar mycket stora transaktionsvolymer, till exempel i miljarder.
tillägg kan minskas genom att äga din egen betalningsgateway, men detta beror igen på om din transaktionsvolym kompenserar kostnaden för att bygga och driva en betalningsgateway.
äga och driva din egen betalning gateway kommer också med den extra kostnaden för att betala för servrar och gateway produktunderhåll.
det är bara värt att ta en öppen källkodsprodukt internt eller utveckla din egen om att eliminera några av de tredjepartsgateway-relaterade avgifterna kompenserar det årliga priset för gateway-underhåll, PCI DSS-revision, certifieringar och andra otaliga kostnader.
glöm inte säkerheten
att samarbeta med en processor och få tekniska specifikationer för integration är bara toppen av isberget. Handlare letar efter säkra betalningsportar för att öka kundernas förtroende. Säkra betalningsgateways med bedrägeribekämpningsmekanismer kan hjälpa till att undvika återkrav och andra problem till följd av bedrägliga inköp.
under de kommande avsnitten diskuterar vi andra koncept som kan påverka din förmåga att bygga och driva din egen betalningsgateway.
vad är PCI DSS?
företag som hanterar kortinnehavarinformation måste följa Payment Card Industry Data Security Standard eller PCI DSS. PCI DSS är en lista över metoder som företag använder för att förbättra säkerheten för korttransaktioner och försvara kortinnehavarens information från stöld.
enligt Rodolphe Simonetti, Global managing director på Verizon, finns det en nära korrelation mellan bristen på PCI DSS-efterlevnad och cyberbrott. ”Våra data visar att vi aldrig har undersökt ett säkerhetsbrott för betalningskort för en PCI DSS-kompatibel organisation”, citerades han i Verizons 2019-Betalningssäkerhetsrapport. ”Efterlevnad fungerar.”
ett säkerhetsbrott handlar inte bara om att förlora kundinformation: företag lider också av förlust av kundförtroende, framtida försäljning eller hot om rättsliga åtgärder. De är föremål för böter per PCI DSS-överträdelse och, om de har en, förlusten av deras handelskonto.
vilken PCI DSS-efterlevnadsnivå behöver jag?
det finns fyra nivåer av PCI DSS-överensstämmelse. Att bestämma vilken du behöver träffa är en komplicerad process, men bryter i allmänhet ner i fyra områden:
- samling: kommer kortinnehavarinformation att samlas in i kundens webbläsare, handlarens server eller betalningsgateway-servern?
- Lagring: kommer kortdata att lagras på handlarens servrar eller på betalningsgatewayens servrar?
- överföring: Hur kommer kortdata att överföras till porten?
- bearbetning: kommer kortinnehavarens information att behandlas av handlaren eller av betalningsporten?
följande tekniker kan hjälpa till att säkra kundinformation och skydda mot cyberattacker. Användningen av en eller en kombination av dessa tekniker utgör emellertid inte PCI DSS-överensstämmelse.
PCI DSS compliance är en mångfacetterad uppsättning standarder som täcker en rad ämnen och discipliner. Läs mer om PCI DSS på PCI Security Standards Councils webbplats.
EMV
EMV (som står för EuroPay, Mastercard och Visa) är den globala standarden för kredit-och debetbetalningar baserade på chipkortteknik. Varje chipkorttransaktion innehåller dussintals bitar av information som utbyts mellan kortet, POS-terminalen och den förvärvande banken eller processorns värd.
EMV ersätter inte PCI-efterlevnad; EMV skapades för att försvara sig mot bedräglig användning av kort i en butik. Om du vill acceptera kort nuvarande transaktioner, måste du kunna bevisa att du har stöd för att hantera EMV transaktioner.
EMV 3-D Secure
EMV Three-Domain Secure, eller 3DS, är ett meddelandeprotokoll som gör det möjligt för konsumenter att autentisera sig när de gör kort-inte-närvarande (CNP) e-handel och m-handel inköp. Protokollet ger ett extra säkerhetslager som hjälper till att förhindra obehöriga CNP-transaktioner, vilket skyddar Handlaren från bedrägerier. 3DS inkluderar de tre domänerna för merchant / acquirer domain, emittent domain och interoperability domain.
EMV 3ds effektiviserar användarupplevelsen genom att förbättra kommunikationen ’i bakgrunden’ mellan den utfärdande banken, förvärvaren och Handlaren.
tokenisering
tokenisering, processen att skydda känslig data genom att ersätta den med en token, används ofta för att förhindra kreditkortsbedrägerier. I kreditkort tokenization, kortinnehavarens primära kontonummer ersätts med token. Token skickas sedan genom de olika nätverk som behövs för att behandla betalningen, men faktiska bankuppgifter exponeras aldrig eftersom de hålls i ett säkert tokenvalv.
tokenisering i sig kommer inte att göra en Merchant PCI-kompatibel, men det anses vara en ”bästa praxis.”Det kan bidra till att minska PCI DSS omfattning.
P2PE
P2PE, eller peer-to-peer-kryptering, låter organisationer skapa säker kommunikation mellan enheter och skyddar överförd känslig information från exponering för mellanliggande enheter i samma nätverk.
P2PE används ofta som en efterlevnadslösning för PCI DSS.
alternativ till att bygga din egen betalningsgateway
White label service
en white label-tjänst kan vara ett snabbt sätt att komma igång och erbjuda din egen betalningslösning. Det kan också minska kostnaderna för bearbetning genom att minska antalet mellanhänder mellan ditt företag och din förvärvare/processor.
det finns många smaker av white label service, från värdlösning till dedikerad gateway till licensierad open source – betalningsgateway-programvara.
om du är orolig för att white label kanske inte ger den anpassningsnivå du letar efter finns det alternativ. En kund som pratade med oss om det exakta scenariot lärde sig att bygga en betalningsgateway från början inte var en kostnadseffektiv lösning för sina problem med att anpassa sin nuvarande white label gateway. Istället slutade de förhandla om kontroll över sin källkod för att genomföra nödvändiga förändringar snabbare. Du kan också samarbeta med en teknikleverantör för att genomföra förändringar i din takt.
Ersättningsleverantör
om du för närvarande samarbetar med en av de välkända PSP: erna som Stripe, Paypal eller Square finns det alternativ där ute. Dessa leverantörer är dock marknadsledande av en anledning-deras tekniska innovation har särskiljat dem från de andra.
som sådan, medan du kan samarbeta med en av sina konkurrenter, kommer priset inte att vara mycket lägre än vad du för närvarande betalar. På samma sätt kommer det att vara svårt att hitta ett alternativ som har betydande tekniska fördelar framför dem på grund av deras marknadsledande status.
slutsats
nu när du har ett väl avrundat perspektiv på vad som går till att skapa en betalningsgateway, är du fortfarande intresserad av att bygga din egen gateway? Prata med en av våra betalningsexperter idag.
Softjourn är en global leverantör av tekniktjänster med över tio års erfarenhet av att arbeta med kort & betalningsleverantörer. Vi har byggt kreativa lösningar eller utökat interna tekniska team för att ge support och projektspecifik expertis som resulterar i intäktsgenererande funktioner.
vi är specialiserade på att möjliggöra och bevara säkerheten för förbetalda kort, utveckla transaktionssimulatorer för att spara utrullningstid och skapa repeterbara och strategiska metoder för att hantera betalningsåtervinning. Vi hjälper våra kunder—betalningsprocessorer, banker, transaktionsförvärvare och leverantörer av förbetalda kort—genom att utnyttja vår expertis för att öka marknadsandelarna.