DEV Community

Νίκος Σταυρόπουλος
Νίκος Σταυρόπουλος

Posted on

Πώς κινείται το χρήμα σε μια ηλεκτρονική συναλλαγή μέσω PayGate

#architecture #backend #security
  1. Η αγορά ξεκινά

Όταν ο χρήστης πραγματοποιεί μια αγορά από ένα e-shop, επιλέγει προϊόντα και οδηγείται στο checkout.
Εκεί εισάγει τα στοιχεία πληρωμής του — συνήθως στοιχεία κάρτας (Visa, Mastercard, κ.λπ.) ή άλλο μέσο πληρωμής (wallet, τραπεζική μεταφορά, κ.λπ.).

Τα στοιχεία αυτά δεν αποθηκεύονται στο e-shop, αλλά προωθούνται με ασφάλεια στο περιβάλλον της PayGate, του πιστοποιημένου παρόχου υπηρεσιών πληρωμών.

  1. Ο ρόλος του παρόχου πληρωμών (PayGate)

Η PayGate λειτουργεί ως ενδιάμεσος μεταξύ του e-shop (merchant) και της τράπεζας του πελάτη (issuing bank).
Είναι πλήρως πιστοποιημένη με PCI DSS (Payment Card Industry Data Security Standard), το πρότυπο που διασφαλίζει ότι όλα τα δεδομένα πληρωμών μεταφέρονται και αποθηκεύονται με απόλυτη ασφάλεια.

Τι κάνει η PayGate:

  1. Δέχεται τα στοιχεία της κάρτας του πελάτη μέσα από ασφαλές περιβάλλον (encrypted payment form).
  2. Ελέγχει τη νομιμότητα και εγκυρότητα της κάρτας μέσω της τράπεζας του πελάτη.
  3. Στέλνει αίτημα έγκρισης συναλλαγής (authorization request) προς την τράπεζα.
  4. Μεταφέρει την απάντηση πίσω στο e-shop (έγκριση ή απόρριψη).
  1. Ο ρόλος της τράπεζας του πελάτη (Issuing Bank)

Η τράπεζα του πελάτη είναι αυτή που έχει εκδώσει την κάρτα.
Όταν λάβει το αίτημα έγκρισης από την PayGate:

  1. Ελέγχει αν ο λογαριασμός του πελάτη έχει επαρκές υπόλοιπο.
  2. Επιβεβαιώνει ότι η κάρτα δεν έχει μπλοκαριστεί και ότι η συναλλαγή δεν είναι ύποπτη.
  3. Εγκρίνει ή απορρίπτει τη συναλλαγή.
  4. Αν εγκριθεί, δεσμεύει το ποσό από τον λογαριασμό του πελάτη.
  1. Η επιβεβαίωση ασφάλειας (3D Secure – Strong Customer Authentication)

Για να ολοκληρωθεί η πληρωμή, ο πελάτης μεταφέρεται αυτόματα στο ασφαλές περιβάλλον της τράπεζάς του.

Εκεί γίνεται η διαδικασία *ταυτοποίησης *του πελάτη (authentication), π.χ. μέσω:

  • Εφαρμογής mobile banking (push notification),
  • Κωδικού OTP (One-Time Password) μέσω SMS,
  • Ή βιομετρικής ταυτοποίησης.

Αυτό είναι το γνωστό 3D Secure 2.0 – η τεχνολογία που εξασφαλίζει ότι ο πελάτης είναι πράγματι ο κάτοχος της κάρτας.

  1. Η ροή της πληρωμής

Αφού η συναλλαγή εγκριθεί, η ροή έχει ως εξής:

  1. Η τράπεζα του πελάτη δεσμεύει και στέλνει τα χρήματα προς την τράπεζα του εμπόρου (acquiring bank).
  2. Η PayGate διαχειρίζεται τη μεταφορά, κρατώντας τυχόν προμήθεια συναλλαγής για τις υπηρεσίες της.
  3. Το υπόλοιπο ποσό μεταφέρεται στον λογαριασμό του εμπόρου.

Η διαδικασία ολοκληρώνεται συνήθως μέσα σε 1-2 εργάσιμες ημέρες.

  1. Ο ρόλος της τράπεζας του εμπόρου (Acquiring Bank)

Η τράπεζα του εμπόρου συνεργάζεται με την PayGate για να:

  • Παραλάβει τα εγκεκριμένα ποσά από τις συναλλαγές,
  • Καταθέσει τα χρήματα στον λογαριασμό του εμπόρου,
  • Εκδώσει αναφορές και κινήσεις (settlement reports).

Αυτή η τράπεζα έχει επίσης πιστοποιήσει τον έμπορο ότι λειτουργεί νόμιμα και πληροί τα απαραίτητα τραπεζικά και κανονιστικά κριτήρια.

  1. Η ασφάλεια των δεδομένων (PCI DSS)

Η πιστοποίηση PCI DSS αποτελεί τη ραχοκοκαλιά της ασφάλειας σε όλη τη διαδικασία.
Η PayGate:

  • Κρυπτογραφεί τα στοιχεία της κάρτας (SSL/TLS encryption),
  • Δεν αποθηκεύει ευαίσθητα δεδομένα (PAN, CVV),
  • Χρησιμοποιεί ασφαλείς servers με τακτικούς ελέγχους ασφαλείας.

Με αυτόν τον τρόπο, το e-shop δεν χρειάζεται να χειριστεί τα στοιχεία πληρωμής, μειώνοντας τον κίνδυνο διαρροής δεδομένων.

  1. Η ολοκλήρωση της συναλλαγής

Μόλις ολοκληρωθεί η διαδικασία:

  1. Ο πελάτης λαμβάνει επιβεβαίωση πληρωμής στο e-shop ή μέσω email.
  2. Ο έμπορος βλέπει την πώληση στο σύστημά του.
  3. Οι τράπεζες και η PayGate πραγματοποιούν το τελικό settlement (εκκαθάριση ποσών).

Έτσι, η αγορά έχει ολοκληρωθεί με ασφάλεια, διαφάνεια και συμμόρφωση προς όλους τους κανονισμούς πληρωμών (PSD2, PCI DSS, GDPR).

Συνοψίζοντας

Στάδιο Ρόλος Περιγραφή
Πελάτης Κάνει την αγορά Εισάγει στοιχεία και ταυτοποιείται
PayGate Διαμεσολάβηση Ελέγχει, στέλνει και λαμβάνει έγκριση
Τράπεζα πελάτη Έγκριση συναλλαγής Ελέγχει υπόλοιπο και εγκυρότητα
Τράπεζα εμπόρου Εκκαθάριση Παραλαμβάνει το ποσό
Ασφάλεια PCI DSS & 3D Secure Προστασία δεδομένων και ταυτοποίηση

Προμήθειες τραπεζών σε μεταφορές από client σε merchant

Όταν ένας πελάτης (client) πληρώνει έναν έμπορο (merchant), ενδέχεται να υπάρχουν διάφορες χρεώσεις:

*1. Προμήθεια από την τράπεζα του πελάτη (issuer bank):
*

  • Σε κάρτες (credit/debit), η τράπεζα του πελάτη μπορεί να χρεώνει ένα μικρό fee για την εκτέλεση της συναλλαγής.
  • Συνήθως αυτό δεν είναι ξεχωριστό για τον πελάτη αν πληρώνει με κάρτα, γιατί είναι ενσωματωμένο στο merchant fee.

2. Προμήθεια από την τράπεζα του εμπόρου (acquirer bank):

  • Η τράπεζα του merchant παίρνει προμήθεια για να δεχθεί την πληρωμή.
  • Αυτή η προμήθεια είναι συνήθως ένα ποσοστό της συναλλαγής (π.χ. 1%-3%) + σταθερό fee ανά συναλλαγή.
  • Αυτό χρεώνεται συνήθως στον merchant, όχι στον πελάτη.

3. Μεσάζοντες (π.χ. payment gateways):

  • Αν χρησιμοποιείται πλατφόρμα τύπου Stripe, Viva Wallet, PayPal κτλ., και αυτοί παίρνουν προμήθεια πάνω στη συναλλαγή.

Συμπέρασμα: Συνήθως, η τράπεζα του merchant κρατάει την κύρια προμήθεια. Η τράπεζα του πελάτη μπορεί να χρεώνει, αλλά πιο σπάνια ξεχωριστά.

Settlement στον τραπεζικό / payment κόσμο

Γενικός ορισμός:
Το settlement είναι η διαδικασία μεταφοράς των χρημάτων από τον πελάτη στον merchant μέσω των τραπεζών ή του payment processor.

  • Π.χ., ο πελάτης πληρώνει με κάρτα → η τράπεζα του merchant λαμβάνει τα χρήματα μετά το settlement.

Στο πλαίσιο εταιρειών όπως Euronet:
Εδώ, το settlement μπορεί να αναφέρεται και στη συμφωνία μεταξύ merchant και Euronet για το πότε και πώς θα πληρωθεί ο merchant.

  • Π.χ., η Euronet συλλέγει τις πληρωμές από πελάτες, κρατάει την προμήθεια, και καθορίζει το settlement schedule (π.χ. κάθε Τετάρτη πιστώνονται τα χρήματα στον λογαριασμό του merchant).

Άρα: Το settlement είναι και διαδικασία μεταφοράς χρημάτων, αλλά και συμφωνία/σχέδιο πληρωμής μεταξύ merchant και payment provider. Είναι δύο όψεις του ίδιου πράγματος.

Τι είναι το PCI DSS

Το PCI DSS (Payment Card Industry Data Security Standard) είναι ένα σύνολο προτύπων ασφάλειας που έχουν δημιουργηθεί για να προστατεύονται τα δεδομένα των καρτών πληρωμών (credit/debit) κατά την αποθήκευση, μετάδοση και επεξεργασία τους.

  • Ιδρύθηκε από τα μεγάλα brands καρτών (Visa, Mastercard, Amex, Discover, JCB).
  • Όποιος χειρίζεται δεδομένα καρτών — τράπεζες, merchants, payment gateways — πρέπει να συμμορφώνεται.

Τι περιλαμβάνει

Το PCI DSS έχει 6 βασικές κατηγορίες, με 12 συγκεκριμένες απαιτήσεις:

  • Δημιουργία και συντήρηση ασφαλούς δικτύου
    Firewall, ασφαλείς συνδέσεις.

  • Προστασία των δεδομένων της κάρτας
    Κρυπτογράφηση δεδομένων, μη αποθήκευση CVV κ.λπ.

  • Διαχείριση ευπαθειών
    Ενημέρωση λογισμικού, antivirus, patching.

  • Έλεγχος πρόσβαση
    Περιορισμός ποιος βλέπει/χειρίζεται τα δεδομένα καρτών.

  • Παρακολούθηση και έλεγχος των συστημάτων
    Logging, auditing, ανίχνευση ύποπτων ενεργειών.

  • Διατήρηση πολιτικών ασφάλειας
    Εκπαίδευση προσωπικού, διαδικασίες ασφάλειας.

Γιατί είναι σημαντικό

  • Προστατεύει τα δεδομένα των πελατών.
  • Μειώνει τον κίνδυνο απάτης και κλοπής δεδομένων.
  • Είναι υποχρεωτικό για όλα τα συστήματα που δέχονται πληρωμές με κάρτα.
  • Μη συμμόρφωση = πρόστιμα, απαγόρευση αποδοχής καρτών.

Top comments (0)