Что такое «СБПэй» и каковы его возможности? Способен ли он заменить Apple Pay, Google Pay, Mir Pay или Samsung Pay?
Мы живем в нестабильное время санкционных землетрясений, то один сервис отключат, то другой… Так ушли с рынка России Google Pay и Apple Pay, печаль, конечно, но что поделать.
Когда пропадает что-то привычное, на смену ему появляется что-то новое. Раз есть спрос, значит, будет и предложение — это один из основополагающих законов экономики, так будет всегда.
И поэтому, сегодня, я хочу познакомить Вас с одним из таких, только выходящих на арену, сервисов. Он еще не совсем готов к масштабному использованию, но имеет хорошие перспективы и возможно в будущем, сможет полностью заменить ушедшие сервисы.
В прошлых статьях я уже знакомил Вас с НСПК (Национальная Система Платежных Карт), поэтому сейчас не буду подробно на этом останавливаться. Итак, у нас есть НСПК, которая создала систему «Мир» и СБП (Система Быстрых Платежей). Последняя уже широко используется и внедряется во всех, даже даленных уголках России.
В 21 году НСПК выпустила и приложение «СБПэй», уже к 1му июля 2022 года все крупные банки, присутствующие в России должны наладить работу с данным приложением, в противном случае будет применена система штрафов, предусмотренная государством.
Итак, познакомимся поближе с этим приложением, что оно уже умеет и чему научится в ближайшем будущем.
«СБПэй» основано на СБП. СБП работает по номеру мобильного телефона, проводя платеж незамедлительно, в любое время дня и ночи. Хочу отметить, что за месяц платежи до 100 000р проходят без комиссии, а так же имеется оплата по QR-коду, что тоже должно быть весьма удобно.
В «СБПэй» НСПК сделала упор на оплату без участия карт вовсе. Важно иметь лишь дебетовый счет в банке, подчеркну, работают только дебетовые счета. Такие счета есть у всех, кто оформлял себе карту или открывал вклад в банке.
В приложении так же имеются возможности оплаты на кассе офлайн, по QR-коду или NFC. Приложению совершенно не важно, какая у Вас карта, и с какой системой она работает, «Мир», Visa, Mastercard или UnionPay, оно работает с самим счетом, к которому привязана или не привязана карта.
QR-коды уже вводятся в крупных сетях, например уже сейчас их поддерживают:
- Wildberries;
- Л’Этуаль;
- Красное & Белое.
NFC пока что, работает только в тестовом режиме и найти эту функцию можно не во всех банках, имеющихся в приложении. Но то, что это скоро будет внедрено полностью, уже радует. Так же приложение спасает тех, у кого нет в телефоне функции NFC. Так же это отличный вариант для пользователей iPhone, которые не имеют возможности пользоваться сервисами SberPay, MirPay или Samsung Pay, потому что «СБПэй» поддерживается, как на Android, так и на iOS (от 13 версии).
Как работает «СБПэй»
1). Скачиваем приложение с Google Play или App Store;
Рейтинг очень маленький, так как снижают за сырость, но я думаю потом пофиксят.
2). Выбираем банк партнер из большого списка неизвестных в основном банков;
На данный момент есть Русский Стандрат, Банк Москвы и ПочтаБанк из известных
3). Регистрируем номер телефона (для получения уведомлений);
4). Добавляем номер дебетового счета с которого планируем совершать покупки.
5). Для покупки при помощи кодов, на главном экране выбираем оплатить по QR-коду.
Если хотим оплатить онлайн, то нам нужно выбирать СБП и создавать Qr код для оплаты.
Само приложение простое и имеет простейшие настройки. У меня получилось найти только ПочтаБанк в банках партнерах, подходящих мне.
6). В приложении есть возможность не только сканировать QR коды, но и оплачивать по NFC
Правда в моем случае терминал вернул ошибку оплаты, но может это связано с моим вкладом в почтабанке.
Рекомендую тем, у кого есть возможность, так же попробовать оплатить смартфоном. И обязательно отписывайтесь в комментариях с каким банком это прошло или не прошло. У меня проверить его работу с Русским Стандартом и Банком Москвы возможности нет.
Вывод
«СБПэй» уже получил большую огласку, да пока приложение сыровато, но его оперативно докручивают разработчики, а так же внедряют в систему работы банков и магазинов, а это значит, что в ближайшее время он станет достойной заменой всем остальным подобным сервисам.
Будем надеятся на повсеместную работу оплаты по NFC и на быстрое подключение основных крупных банков. Тогда СБПэй сможет стать самым попуялрным платежэным средством в условиях блокировки конкурентов. Пока еще остается только подождать.
1 апреля запускается «СБПэй»: что это такое, как работает и безопасно ли пользоваться?
Сегодня несколько крупных банков подтвердили, что уже с 1 апреля откроют возможность для своих клиентов подключать расчетные счета к приложению «СБПэй». «СБПэй» разработано и выпущено национальной платежной системой НСПК и работает на основе СБП – Системы быстрых платежей. В отличие от других мобильных платежных систем вроде Apple Pay и Google Pay, которые прекратили работу в России, в приложение «СБПэй» придется добавлять не банковскую карту, а расчетный счет – привязав реквизиты, пользователь сможет оплачивать товары и услуги прямым перечислением через принятые в СБП способы, такие как QR-коды и специальные кнопки на сайтах.
Отметим, что приложение дублирует функциональность, которая уже заложена во многих мобильных клиентах банков: распознавать QR-код с помощью камеры и обрабатывать кнопку «заплатить с помощью СБП» умеют и СберБанк, и «Тинькофф», и многие другие.
«СБПэй» – это СберБанк?
Несмотря на некое сходство аббревиатур, «СБПэй» не имеет отношения к СберБанку и открыт для подключения всех российских банков, которые обслуживают розничных клиентов. В настоящий момент в списке есть около трех десятков банков, среди которых широко известны лишь «Русский Стандарт» и МКБ. Однако к 1 апреля ожидается приход ВТБ, ПСБ, Почта Банка, Росбанка, Тинькофф Банка и других.
В чем выгода?
Для российских владельцев iPhone, на которых недоступны сторонние платежные системы вроде MirPay, необходимость эквайеров обеспечить поддержку «СБПэй» станет основным способом выйти из дома без кошелька и все же смочь рассчитаться в магазине или кафе с помощью смартфона.
Популяризация нового способа оплаты выгодна торговым точкам – для них комиссии по СБП-платежам намного ниже (не более 0,7% и не более 1 500 рублей в абсолютном значении). Кроме того, это позволяет маленьким точкам принимать безналичные платежи без дорогостоящего оборудования – отобразив код на экране кассы или установив специальную программу на смартфон.
Впрочем, энтузиастам бонусных программ и кэшбэков стоит помнить – при оплате через СБП баллы/рубли не начисляются.
Это безопасно?
Поскольку списание идет напрямую с расчетного счета, НСПК рекомендует при утере телефона немедленно обратиться в банк и «заблокировать возможность несанкционированного использования». Такой прямой доступ к расчетному счету, на который у многих начисляется зарплата, выглядит более рискованным, чем ситуация, в которой нужно просто перевыпустить карту.
На странице системы также рекомендуется обязательно защищать телефон ПИН-кодом, отпечатком пальца или идентификацией по лицу. Отметим здесь, что вход в приложение при этом дополнительно защищается еще одной проверкой кода/лица/отпечатка, что прибавляет уверенности.
Также при оплате в малознакомых торговых точках следует сверять название магазина и реквизиты, которые отображаются на экране.
Комментарий руководителя вертикали «Карты» Банки.ру Антона Сергунова:
«У покупателей сейчас нет уверенности и четкого понимания, в каких магазинах сейчас можно расплатиться с помощью QR-кода. Списка нет, но есть уверенность, что он будет расширяться – по сути, ЦБ сейчас делает работу по техническому развитию проекта именно со стороны банков. Торговым точкам и их техническим партнерам предстоит оперативно обновить свои кассы и терминалы. А пока мы находимся в переходном этапе, можем посоветовать клиентам все же не забывать карту дома и носить ее в кошельке. В тех точках, где QR-коды поддерживаются, рекомендуем использовать возможность освоить новую технологию. России предстоит взять пример с КНР, где полтора миллиарда человек могут расплатиться с помощью QR-кода практически повсеместно».
Все в порядке, но.
Этот текст мало кто будет читать и мы можем написать здесь все, что угодно, например.
Вы живете в неведении. Роботы уже вторглись в нашу жизнь и быстро захватывают мир, но мы встали на светлый путь и боремся за выживание человечества. А если серьезно, то.
В целях обеспечения безопасности сайта от кибератак нам необходимо убедиться, что вы человек. Если данная страница выводится вам часто, есть вероятность, что ваш компьютер заражен или вы используете для доступа IP адрес зараженных компьютеров.
Если это ваш частный компьютер и вы пытаетесь зайти на сайт, например, из дома — мы рекомендуем вам проверить ваш компьютер на наличие вирусов.
Если вы пытаетесь зайти на сайт, например, с работы или открытых сетей — вам необходимо обратиться с системному администратору и сообщить, что о возможном заражении компьютеров в вашей сети.
Как работает SberPay под капотом
Как вы думаете, когда и чем впервые оплатил человек?
Вряд ли это была знакомая всем карта с чипом и магнитной полосой во времена до нашей эры…
Конечно, альтернатива наличке появилась еще за пару тысяч лет до этого…
Началось все со старого доброго бартера, когда люди обменивались не QRами, чтобы деньги перевести по телефону, а реальными вещами/товарами, равноценными друг другу.
И так продолжалось очень долго, уровень бартера вышел на международный. Все товары для каждого участника торговли были по разному ценны, значит нужна валюта, которая устроит всех!
Первыми на полку пошли слитки из драгоценных металлов со своим весом и формой, но и их спустя много лет заменили на монеты. Попробуй так в магазин со слитком сходить! Неудобно…
Чеканные монеты постепенно вытеснили бартер и сделали торговлю с обменом быстрее и проще.
Но больше всего не везет купцам. Хоть монеты явно удобнее слитков, их же нужно охранять, перевозить, помимо всего товара в повозке.
Так человечество пришло к первым бумажным деньгам. И тут купцы заликовали. Ведь вместо телеги с металлоломом, они ходили уже с добротной «котлетой».
Не много, не мало, а прошла тысяча лет от появления налички до пластиковой карты с магнитной полосой.
Потом карта обзавелась сначала контактным чипом (микросхемой), улучшив свою безопасность в разы, потом дуальным чипом с поддержкой контактного и бесконтактного интерфейса.
Так, эволюционным путем, мы пришли к бесконтактной оплате телефоном, которая на научном языке называется Оплата через NFC. И с 2011 года успешно ей пользовались, вплоть до текущего момента.
Но!! С небольшим перерывом, пока мы в поте лица чуть больше полугода восстанавливали SberPay.
Но, что это такое, из-за чего же все «поломалось», и как все «починилось» ? Как раз об этом я и расскажу вам дальше.
Давайте разберёмся, как устроена бесконтактная оплата телефоном с помощью SberPay и как добавить его поддержку в Android-приложение.
Глава 1. Бесконтактная оплата
Платить телефоном можно при помощи технологии NFC (Near Field Communication). Это такой чип (микросхема), который позволяет двум устройствам передавать/получать данные на небольшом расстоянии в 10 см.
Для оплаты нужно всего-то несколько участников:
Телефон с поддержкой NFC
POS терминал с NFC (сейчас они все снабжены модулем для приема бесконтактных платежей)
Чуть ниже процесс отображен на схеме.
Раньше для оплаты было множество сервисов: Apple Pay, Google Pay, Samsung Pay, Mir Pay, SberPay. Но в России из-за санкций международные платёжные системы Visa и Mastercard (далее МПС) ушли, ведь именно платёжные системы создают токены и генерируют ключи, которые так нужны нам для оплаты. А за МПС ушли и привычные для нас сервисы токенизации карт.
Глава 2. Почему не работает оплата на iOS
У Android-приложений есть доступ к модулю NFC, с помощью которого телефон взаимодействует с терминалом и обменивается данными с приложением, а в iPhone такого доступа нет. В iOS за безопасность этих взаимодействий отвечает Secure element — микросхема в совокупности с программным обеспечением. Она сертифицированна по стандарту EMVco, по которому также проходят сертификацию производители микросхем для банковских карт. Через эту микросхему проходят все команды, связанные с платёжной функцией телефона по обмену данными между терминалом и приложением. И, конечно, доступ к нему имеет лишь одно приложение — Apple Pay. А так как Apple Pay ограничен в части использования для NFC-платежей в России, то.
Какие платёжные средства для бесконтактной оплаты сейчас доступны на iOS?
• Платёжные стикеры. Кстати, кто не знает, недавно наши друзья по цеху запустили стикеры с героями Союзмультфильма.
• Оплата улыбкой. Если увидите терминал с камерой, скажите кассиру, что хотите оплатить по биометрии, и посмотрите в камеру.
А теперь мы с вами подробнее рассмотрим этапы добавления поддержки бесконтактной оплаты в Android-приложение: токенизацию, оплату и синхронизацию данных.
Глава 3. Токенизация
Токенизация карты — это технология преобразования конфиденциальных данных банковской карты в специальный токен, с помощью которого можно оплачивать покупки. Схематично токенизация и оплата выглядят так:
Как проходит токенизация:
Аттестация устройства. Перед началом токенизации мобильное приложение аттестует устройство. Если проверка на доступность и безопастность успешна, то функциональность становится доступна, в противном случае мы скрываем точки входа. Со стороны Android-приложения работа с токенами, хранение и обновление данных в БД реализовано в SDK, который подключается к проекту.
Регистрация кошелька. Чтобы токенизировать карту, сначала нужно зарегистрировать кошелёк. В мобильном приложении определённым алгоритмом генерируется идентификатор кошелька. После этого инициализируются ключи шифрования и приходит сертификат от SDK. Данные отправляются в бекенд, в SDK для аутентификации кошелька с учётом данных о самом устройстве. И если всё в порядке, то кошелёк активируется с ещё одной итерацией взаимодействия с бекендом. Этот процесс выполняется только один раз. То есть, если кошелёк ранее уже был активирован, то при токенизации карт берутся готовые данные о кошельке.
После регистрации кошелька происходит токенизация карты, привязываемой к кошельку.
Запрос на токенизацию. Когда пользователь добавляет карту МИР в мобильное приложение, оно отправляет запрос на токенизацию в TSP (Token Service Provider). В запросе указываются данные о карте и мобильном устройстве, после чего идёт запрос в платёжную систему (ПС),
Создание токена. После получения запроса ПС проверяет возможность токенизации этой карты у банка-эмитента: нет ли ограничений, не заблокирована ли карта и т.д. При успешном ответе ПС создаёт уникальный токен и связывает его с соответствующей картой.
Далее ПС создаёт пачку платёжных ключей — обычно десяток (на одну транзакцию каждый раз тратится один ключ) — и отправляет в TSP. А сервис пересылает эти ключи с ID токена на хранение в мобильное приложение.
Хранение токена. Кошелёк и мобильное приложение хранят ID токена в своей защищенной базе данных вместо реальных данных карты с пачкой ключей и данными об устройстве.
Теперь мы знаем что такое такое токен, и как он попадает к нам в телефон. Но как проходит оплата? Погружаемся.
Глава 4. Оплата
При проведении транзакции через мобильное устройство приложение общается с POS-терминалом через SDK и передаёт ID токена вместо реальных данных карты, с одним платежным ключом на терминал. Затем платёж проходит через стандартную цепочку участников: банк-эквайер → платёжная система → банк-эмитент и обратно.
Получив команду APDU (Application Protocol Data Units), ожидаемую для старта оплаты от удалённого устройства (терминала), мы вызываем обработку в SDK. Все APDU определены в спецификации ISO/IEC 7816-4, это пакеты уровня приложения, которыми обмениваются считыватель NFC и сервис HostApduService. Такой протокол является полудуплексным, то есть считыватель NFC отправляет вам команду APDU и ждёт APDU-ответ.
Взаимодействия между терминалом и сервисом NFC в приложении должно быть максимально быстрым. Весь процесс оплаты выглядит так:
Обратный вызов от SDK.
Отображение экрана результата.
Платить можно без интернет-соединения, но до тех пор, пока в запасе есть платёжные ключи. Для их обновления потребуется выйти в интернет.
А чтобы все данные, которые лежат в кошельке, в TSP, в Платежной системе были одинаковые, необходимо обеспечить их синхронизацию.
Для обновления данных по токенам и кошельку необходима синхронизация с бекендом. Она выполняется при авторизации пользователя в приложении. В нашем приложении нужна ещё и фоновая синхронизация, для этого мы использовали workManager. Задача на синхронизацию ставилась в том числе и при оплате с соблюдением определённых условий.
Глава 5. Аутентификация CDCVM
Самое важное в процессе оплаты это что? Правильно. Б – безопасность.
А как сделать оплату NFC максимально безопасной, чтобы злоумышленник, приложив POS терминал к вашему карману, где лежит телефон, не смог списать какую-то крупную сумму, пока вы с ним третесь в час пик в метро?
Для этого используется технология CDCVM, которая расшифровывается как Consumer Device CVM. В этом случае пользователь вводит отдельный код доступа к платёжному приложению. Для запуска аутентификации на Android используется BiometricPrompt [2], с помощью которого выполняется системный запрос аутентификации с использованием одной из поддерживаемых биометрических технологий: отпечаток пальца или кодом.
Но и об удобстве не стоит забывать! Дополнительно, мы реализовали возможность оплачивать заблокированным телефоном. При этом можно даже выбрать сумму для оплаты, если вы этого сами хотите, без подтверждения отпечатком пальца или кодом: 100, 250, 500 или 1000 рублей.
Резюме
Мы обсудили базовые понятия бесконтактной оплаты на стороне мобильных приложений. Рассмотрели основные компоненты поддержки бесконтактных платежей в Android-приложении и основные этапы процесса оплаты.
И вот, что у нас получилось:
Оплата одним касанием (в прошлой версии SberPay был заточен под двойное касание). Так удобнее всего для быстрой оплаты: махнул по терминалу, забрал покупки и пошёл по делам дальше.
Индивидуальный и Живой дизайн для Сберкарт. Просто небольшое отличие от всех остальных кошельков, чтобы порадовать глаз. Выбрав любимую картинку для Сберкарты в приложении, мы автоматически поставим ее на экран оплаты в SberPay.
Отображение баланса карт во время оплаты.
Оплата в пределах выбранной суммы без разблокировки телефона.