Блог Денег

Такси + смартфон + карточка = Яндекс.Касса

23 октября 2012, 16:37


У Яндекс.Денег появилось ещё одно направление: Яндекс.Касса

На этой неделе у нас стартовал совершенно новый проект: оплата московских такси карточками с помощью приложения Яндекс.Кассы для смартфона и маленького mPOS-терминала, вставляющегося в разъём для наушников.


Это наш экспериментальный проект: на этой неделе один таксопарк в Москве («Такси Ритм», партнёр Яндекс.Такси) запускает в город четыре машины; чуть позже их станет 200-300. Затем мы подключим другие службы такси и начнём публичное тестирование нового сервиса.

Как это работает прямо сейчас?

У таксиста есть смартфон с приложением и аккуратный переносной mPOS-терминал. Пассажир с его помощью может расплатиться дебетовой или кредитной карточкой (если захочет покататься «в кредит»). В конце поездки водитель вводит сумму со счётчика и показывает её пассажиру; тот набирает на экране смартфона номер своего мобильного.

Пассажир проводит картой через ридер, расписывается на экране смартфона (пальцем), забирает свою карточку и возвращает смартфон водителю. Проверяет, не забыл ли он в машине шарфик, и получает SMS с подтверждением (на тот самый номер мобильного, который только что ввёл).

Тестовый экземпляр есть в нашем офисе: так выглядит mPOS-терминал. Маленькое устройство, воткнутое в стандартный 3.5-миллиметровый разъём смартфона. Не ищите приложение в интернете (пока): это закрытый продукт первого пилота.

 

Чем эти ридеры лучше обычных банковских терминалов? Они легче, они дешевле, их можно носить в кармане. Они будут удобны компаниям, которые, например, занимаются доставкой цветов, документов, продуктов и пиццы, или интернет-магазинам.

Такие mPOS терминалы, разумеется, давно есть в Европе и США. Если вы много путешествуете, то наверняка видели классический пример — крошечное кафе, состоящее из баристы и кофе-машины на углу улицы, скажем, в Амстердаме. В одной руке у парня чашка кофе, в другой — телефон с «прищепкой», в котором он прокатывает карты. Яндекс.Деньги начнут, конечно, с компаний побольше: пользователям нужно дать время привыкнуть к новому способу расчётов.



В чём их интерес? Наш терминал — первый в стране mPOS, передающий данные карты в зашифрованном виде, как этого и требуют международные платежные системы. Партнером Яндекс.Кассы в развитии mPOS-платежей выступают компания SellbyCell и банк ВТБ 24 при поддержке платежной системы MasterCard.


И ещё приложение Яндекс.Кассы очень красивое и будет интуитивно понятно и продавцу, и покупателю. Если вы в восторге от таксиста, чаевые ему можно оставить отдельной кнопкой!

63 комментария
Подписаться на комментарии к посту

Чиповые карты будут работать (совершенно не факт, судя по конструкции ридера)?

так чипованные карты прокатываются как обычные, если ридер чипы не поддерживает

что небезопасно

скажем так, что настолько же безопасно, насколько обычные карты без чипа.

Не совсем. В случае фрода или даже просто chargeback'а торговцу будет худо, см. liability shift.

На протяжении нескольких лет в России действует правило переноса ответственности (Liability Shift), введенное международными платежными системами Visa и MasterCard. Согласно ему, ответственность за мошеннические операции по картам несет та сторона — банк-эмитент или банк-эквайер, которая не перешла на микропроцессорные технологии.

можно ли это сравнить с переносом ответственности при использовании 3DS?

 

Да, по сути, то же и самое: перенос ответственности на эмитента.

Причем в США liability shift по EMV еще не работает, у них чипа мало. Так что Square&Co пока может жить спокойно.

понятно, спасибо.

зависит от карты и суммы платежа. Может и не прокататься (банк явно не позволить)

в масштабах стоимости поездки на такси отказ эмитента маловероятен:)

И что, теперь всё заглохло? Не работает теперь?

Почему не работает? Всё работает, просто проект не вышел из стадии пилота пока.

А можно ли эти устройства купить?

С Яндекс.Кассой пока нет, в публичное тестирование другие компании позднее пригласим.

а что мешает мошенникам собирать данные карт под видом добросовестных граждан?

тут тебе и все данные с магнитной полосы, и даже CVV код... рай для кардера.

в общем, я бы не стал так оплачивать никогда ))

Наверное то, что партнер Яндекс.Кассы не анонимные персонажи, а известные на рынке компании. В первом пилоте участвует официальный партнер Яндекс.Такси - компания "Такси Ритм".

пилотный проект конечно может быть безопасным. но если Яндекс собирается популяризовать такие платежи, это серьёзная опасность для владельцев карт.

Задача пилота как раз в том, чтобы прощупать риски. Обратите внимание: на стороне клиента-продавца не частные лица, а компании, которую несут ответственность за тот способ расчета, который они клиенту предлагают.

полостью согласен, таксисты (это тоже люди) разные бывают, я свою карту бы не дал, яндекс уже не знает куда залесть

Да без разницы. Вот протягивает тебе таксист такой терминал и чего? Может, терминал, может сканер. Кто его знает, что это за человек, где его эта самая Ритм нашла…

В известных компаниях работают обычние наемные Васи. Риск ничуть не уменьшается.

Да ничего. Что мешает злодеям ходить по улицам и клянчить наличные? Некоторые, возможно, даже дадут.

Таксист не имеет доступа к карточным данным: все данные, попадающие на мобильный телефон, зашифрованы криптостойкими алгоритмами шифрования. Пассажир сам прокатывает карту и сам её потом прячет в кошелёк (посмотрите на схему — водитель после первых двух этапов передаёт смартфон пассажиру). 

водитель после первых двух этапов передаёт смартфон пассажиру

А пассажир быстренько "улепётывает" со смартфоном :-D

Пассажиры-то они разные бывают. ;-(

В принципе, пассажир может угрожать водителю холодным оружием и отнять у него кошелёк, смартфон и даже угнать машину. Или просто выскочить из машины и не расплатиться. Не думаю, что такие случаи как-то релевантны с использованием mPOS-терминалов ;)

угрожать водителю холодным оружием

Это уже уголовщина, не преувеличивайте риски водителя. :-@

А вот выскочить и не заплатить для некоторых "малолеток" запросто. :-(

Только в случае наличных - водитель просто остается без оплаты. А в случае смартфона - теряет смартфон, что может быть раз в 10 или 20 дороже стоимости поездки.

В магазинах, кстати, карту отдаешь кассиру почему-то.
Если водители и фирмы провереные и репутацией своей не рискуют, карту можно как и в магазинах отдавать водителю.

Ах, да, там же возникает вопрос в личной росписи. Вот уж засада. o_O

Кража — это в любом случае уголовное преступление. Я понимаю, о каких рисках Вы говорите, но не понимаю, какое отношение они имеют к работе Яндекс.Кассы в этом случае.

На мой взгляд, схема работы Яндекс.Кассы в данном случае достаточно сложна как для водителя, так и для пассажира.

 

А вообще, я просто улыбнулся над вашей фразой, что водитель отдает смартфон пассажиру, а вы сразу холодным оружием пугать. :-O

эти терминалы чем-то принципиальным отличаются от https://squareup.com/card-reader или https://liqpay.com/?do=reader_order ?

Первых в России нет. Вторые, как я слышала, не шифруются.

Я могу ошибаться (и коллеги в этом случае меня поправят), но здесь «используется шифрование данных по протоколу SSL», а в Яндекс.Кассе цепочка длиннее и сложнее: «Прежде всего, карточные данные шифруются внутри устройства и передаются в шифрованном виде до защищенного серверного окружения. Каждое устройство обладает собственным индивидуальным ключом. Более того, на каждую новую транзакцию генерируется уникальный ключ шифрования, в соответствии с технологией DUKPT, рекомендованной международными стандартами безопасности в индустрии платежных карт (Payment Card Industry)». Процесс приема платежей реализован согласно стандарту PCI DSS (Payment Card Industry Data Security Standards). Это гарантирует, что  хранение и обработка карточных данных будет безопасной и исключает их попадание в руки злоумышленников, включая инсайдеров. 

Насколько я понимаю, это ключевые преимущества перед аналогичными системами (с точки зрения безопасности).

"карточные данные шифруются внутри устройства"- здесь имеется в виду смартфон под устройством. Но данные передаются нешифрованными на участке ридер-смартфон. Так? Кто мешает подслушать данные (это ведь аудио сигнал фактически)?

Таксист имеет право вести деятельность без использования ККМ? Даже если так, то должен все равно пользоваться бланками строгой отчетности.

Данная операция не относится к операциям типа card-not-present? Если относится, то без CVV никак.

Чипованные карты вряд ли позволят провести операцию без пина, даже если пользоваться магнитной полосой.

Пока что я не вижу достаточной безопасности операций и вижу весьма возможные неудобства.

Забавно. Хороший шаг.

Только непонятно, для чего требуют подпись на экране?

Она же получается до невозможного отличной от обычной подписи на бумаге. Разьве она сможет доказать факт оплаты лично владельцем карты?

Сможет. Невозможно отличную надо стереть кнопочкой и постараться нарисовать похожую. То же происходит на бумажном чеке - если вы нарисуете радикально непохожую подпись, кассир встревожится и попросит расписаться "как на карте".

Часть с вводом номера делает операцию несколько избыточной для всех, у кого есть смс-уведомления. Это важно из каких-то легальных соображений, или чтобы уменьшить количество недоразумений?

это временно. к концу пилотирования планируем убрать запрос CVV.

Вопрос, как я понял, про ввод номера телефона.

Насколько я знаю, это требование платежных систем: чек нужно предоставлять хотя бы в каком-нибудь виде.

Отличная штука. А NFC Вы продвигать не собираетесь? 

мы в разных направлениях думаем и пробуем. весной на РИФе пробовали и NFC:)

да даешь Яндекс.Кошелек как российский вариант Google Wallet

А что такое РИФ? 

Ещё есть в рамках пилотного проекта Яндекс.Кассы, например, оплата NFC-картами в кафе Студии Лебедева на 4 этаже Яндекса. 

Интересно. Значит есть надежда что выпустят в большой мир)

Круто. Только слово бариста профессионалы области не склоняют, филологи ( до утверждения норм) не рекомендуют склонять...

Спасибо! Пока слово не попало в корпус словарей, это на совести автора — как употребить слово (и как ему подскажет чутьё). Я сама филолог, так что будем считать это авторским решением, хорошо? ;) Но если что — немедленно подчинюсь норме.

А как это соотносится с законом о ККМ? Получается розничная продажа с использованием пластиковой карты. А значит необходим отдельно фискальный регистратор. Или ЭКЛЗ в каждом таком считывателе? В любом случае ставить на учёт.

Или всё же банковский перевод?

подобных технологий в россии уже с десяток

наверное с законодательством все ок

Угу, у нас и с обналичкой, и с "кассовым обслуживанием" нет проблем с предложением, только вот не с законом.

Мне бы хотелось услышать ответ от юристов Яндекса - их там в компании наверное больше, чем программистов.

мерчант получает банковский перевод денежных средств от Яндекс.Денег

непосредственно по карточной транзакции получатель - Яндекс.Деньги

Это понятно, ведь не инксаторами же им нал завозить. Но у нас по законодательству при покупке в магазине с помощью пластиковой карты необходимо пробить чек. Ну, допустим, чек электронный в виде SMS. Но должна остаться запись в каком-то ЭКЛЗ. Вот с этими ЭКЛЗ основная морока: ставить на учёт в налоговой и т.д.

 

Если же Яндекс работает над этой проблемой в виде инициативы по внесению изменений в законодательство, или есть какая-то лазейка по закону об электронных деньгах - вот об этом я и спрашиваю.

пока это наши риски. работаем над этим. разными способами:)

Ну, Такси-Ритм большая, не обеднеет. Хорошо бы эту несуразность убрать: нал в кассу, а весь безнал - без кассы, так как данные в банке-то уже есть. Одному Воложу, наверное, это только под силу, если он явится в Думу в чёрном плаще с кровавым подбоем.

Ну не все так просто. Закон который был упомянут это видимо 54ФЗ. Там писано несколько иначе. В п3 первой статьи говориться о возможности работы без ККМ. И перечисляются виды деятельности. Только фишка в том, что Такси я сходу там не нашел. Раза три перечитал закон. Як оно сейчас без чека нал принимает мне не ведомо. Может у меня редакция не та :)

Без ККМ - это всякая мелочёвка. Даже поездки на обычном общественном транспорте оформляются с помощью БСО - билетов.

Вот уж где не стал бы ничего никогда оплачивать, так это при использовании подобных терминалов. На мой взгляд, вокруг пластиковых карт столько способов мошенничества, что подобные инициативы просто подарок для вора. Ведь не каждый специалист, не говоря уже о обычном пользователе, так сразу отличит, действительно ли терминал правильный, или подделка. А если фирм будет не одна, как в пилотном проекте, а сотни и даже тысячи, как вы планируете бороться с подделками (терминалов)? Не будут ли от этого страдать обычные пользователи?

идея микро ридера хорошая, но реализация тупейшая. Отдать таксисту прокатать свою карточку через какой-то шит-девайс. Я что больной?

Однозначно можно сделать лучше и очевидно как. Очень странно, но даже BoA не доперли  http://merch.bankofamerica.com/documents/10162/12860/MobilePayAppSlick_HR.pdf  

У Вас всегда остаётся опция оплаты наличными (и ещё не ругаться в комментариях).

Как можно сделать лучше? Опишите способ

и так по часу платежи занимают с этими яндекс деньгами!еще придумали как людям жизнь усложнить)ахаха!бараны работают в ЯНДЕКС ДЕНЬГАХ!!!!!