Как объяснить сотрудникам и клиентам, что касса в смартфоне — это не страшно

Мы не можем отвечать за все подобные сервисы, но можем рассказать, как следим за безопасностью ваших данных в «Мобильном кассире» Эвотора.

Как работает мобильная онлайн-касса

Мобильная онлайн-касса — это приложение на смартфоне, в котором можно принимать платежи. Курьеру или менеджеру, который работает на выезде, не нужно возить с собой терминал. Достаточно зайти в приложение и принять оплату. 

Покупатель делает заказ по телефону или на сайте. Курьер привозит заказ. Покупатель осматривает заказ, видит, что всё в порядке, и готов оплатить. Курьер открывает приложение «Мобильный кассир», вводит сумму и выбирает способ платежа: наличные, QR-код или банковская карта. Клиент оплачивает заказ и получает электронный чек по смс или почте.

Стандарты безопасности платежей

Безопасность данных — мировая проблема. За её соблюдением следят все крупные игроки рынка. Они объединены в сообщество, которое разрабатывает и постоянно совершенствует стандарты безопасности банковских данных, — PCI.

Последний из таких стандартов — PCI MPoC. Он обеспечивает безопасность платежей на потребительских устройствах — смартфонах и планшетах. Этот стандарт появился только в конце 2022 года и сделал возможным превращение смартфонов в онлайн-кассы. 

Только наличие у приложения сертификата PCI MPoC подтверждает, что оно соответствует последним требованиям безопасности. 

Какие требования предъявляются к мобильным платежам

Любое приложение, которое превращает смартфон в онлайн-кассу, должно иметь несколько эшелонов безопасности. 

Проверка устройства при каждом входе в приложение. Для простоты мы объединили это в один этап, но на самом деле это целый комплекс проверок. Каждый раз, когда вы открываете мобильную онлайн-кассу, под капотом запускается сложный технический процесс: проверку проходит не только приложение, но и устройство, на котором оно установлено. 

В приложении проверяется имя пакета, версия приложения, целостность всех данных и контрольных сумм. На устройстве — все ли обновления безопасности установлены, не запущена ли эмуляция, то есть не пытаются ли мошенники запустить вашу мобильную онлайн-кассу на своем устройстве, и множество других проверок.

Если устройство не пройдёт эту проверку, появится сообщение о нарушении требований безопасности. Принять безналичный платёж на таком устройстве невозможно.

Одноразовые пароли. Войти в «Мобильный кассир» можно только с одноразовым паролем — OTP (one time password). Он действует ограниченное время. Если неправильно вводить одноразовый пароль много раз или делать это слишком долго, приложение будет заблокировано. Это убережёт от подбора пароля, если смартфон попадёт к мошенникам в руки. 

Цифровые отпечатки. Цифровой отпечаток есть у каждого устройства. Это след, который пользователь оставляет в интернете: браузер, которым вы пользуетесь, раскладка клавиатуры, версия операционной системы, часовой пояс и многое другое. Цифровой отпечаток уникален, как отпечаток пальца. «Мобильный кассир» проверяет цифровой отпечаток каждый раз, когда вы запускаете приложение.

Шифрование данных. Данные о платежах не хранятся на смартфоне. Чтобы даже в случае кражи данных мошенники не смогли воспользоваться информацией, она передаётся в зашифрованном виде. В «Мобильном кассире» используется сразу несколько механизмов шифрования. Среди них есть и те, которые используют во всех привычных банковских терминалах. 

Ввод пин-кода по специальной технологии. Самый современный стандарт — Pin On Glass — защищает пин-код от кражи, меняя расположение цифр на экране. Каждый раз цифры выстраиваются в случайном порядке: это не совсем удобно с точки зрения пользователя, но важно для безопасности данных. Мошенники не смогут определить пин-код по отпечаткам пальцев. 

Блокировка в случае подозрительных действий. У одного из пользователей «Мобильного кассира» стали подозрительно часто блокироваться приложения, установленные у сотрудников. Выяснилось, что курьеры пытались обойти слишком жёсткий KPI по времени доставки. Они привозили заказ, принимали оплату, а перед следующей оплатой переставляли время на смартфоне, если не укладывались в промежуток. В таких случаях работа приложения блокировалась. 

При каждом платеже приложение передаёт на сервер время на устройстве. Если время на смартфоне курьера пойдёт вспять, платёж не будет выполнен.

Подытожим

• Мобильная онлайн-касса — это приложение на смартфоне с функциями сразу трёх устройств: сканера, кассы и платёжного терминала.
• Приложение можно установить на личные или корпоративные телефоны сотрудников.
• Можно принимать платежи наличными, по QR-коду или банковской картой.
• Главное в мобильной онлайн-кассе — безопасность данных. Приложение должно соответствовать самому современному стандарту безопасности PCI MPoC. 
• «Мобильный кассир» Эвотора проверяет приложение перед запуском по нескольким параметрам: одноразовые пароли, цифровой отпечаток, время на устройстве и многое другое. Все данные передаются в зашифрованном виде. 
• При подозрительных действиях на устройстве приложение блокируется и платёж не проходит. Это позволяет защититься от мошенников.