что такое код для оплаты eal
Оплата по QR коду: как отсканировать его и сделать платеж с телефона
Здравствуйте!
Наверное, уже почти все видели на различных платежках (например, за ЖКХ, электричество, штрафы и т.д.) небольшой прямоугольник, внутри которого мозаика из точек и квадратиков. См. картинку слева — это и есть QR код.
Благодаря этому QR коду можно в мгновение ока оплатить квитанцию (например), без долгого и нудного заполнения номера счета, БИК, и прочих банковских реквизитов, которые обычно требуются для перевода средств.
В этой заметке покажу на простом примере, как можно легко и быстро произвести такую оплату с помощью обычного телефона (без беготни к банкомату 👌).
Примечание : для выполнения подобной процедуры ваш телефон должен быть оснащен камерой, и у вас должна быть возможность установки банковских приложений (например, от Сбербанка, ВТБ, Яндекс-Денег и пр.).
В общем-то, любой современный смартфон (даже самый бюджетный) отвечает этим требованиям.
Как сделать оплату по QR коду
Как это работает (пару слов о главном)
Любую текстовую строку (до определенной длины) можно закодировать в QR код (т.е. зашифровать ее в штрих код). Разумеется, закодировать можно и номер счета с суммой, и любые другие реквизиты, нужные для оплаты.
Собственно, это и делают банки и организации, предоставляя вам различные квитанции.
Устройство, оснащенное камерой (тот же мобильный телефон) с помощью специального приложения может считать (отсканировать) этот код и автоматически заполнить все нужные реквизиты.
От пользователя же останется лишь проверить сумму перевода и дать свое согласие на транзакцию.
Согласитесь, это удобно и быстро?!
Установка на телефон спец. приложения
Теперь перейдем к практике.
Первое, что нужно сделать — это установить на смартфон специальное приложение от того банка, которым вы пользуетесь (в моем примере ниже будет представлен Сбербанк, т.к. он наиболее популярен).
Удобное приложение от Сбербанка, позволяющее всегда быть в курсе состояния всех своих счетов и карт, совершать платежи, покупки, задавать вопросы банку и т.д. Приложение очень функциональное и рассчитано на неподготовленного пользователя 👌.
Приложение Сбербанк онлайн
Весьма неплохое приложение для повседневных небольших трат. Очень удобно, что ваш номер счета = вашему номеру телефона (легко запомнить, легко объяснить любому, кто хочет вам сделать перевод).
Кошелек можно пополнять с любых банковских карт (без процентов от 3000 Руб.). Более подробно о Киви кошельке.
Сканирование QR кода и проведение платежа
И так, приложение на смартфоне установлено, работает.
Теперь, чтобы оплатить какую-нибудь квитанцию вам потребуется всего 3 шага и 1-2 мин. свободного времени! Приведу простой пример ниже.
1) Запускаем приложение и открываем вкладку оплаты по QR коду (как это выглядит в Сбербанк онлайн представлено на скриншоте).
Оплата по QR или штрих коду
2) Далее приложение попросит нас навести камеру телефона на QR код: обратите внимание, что прямоугольное окно в приложении должно совпасть со штрих кодом. Как только это произойдет — в течении секунды код считается и у вас на экране появится следующий шаг.
Примечание : иногда QR код может не считываться (например, он может быть слегка смазан из-за попадания на бумагу воды).
Наводим камеру на код
3) Последний момент:
Подтверждение оплаты (проверка суммы) / Сбербанк онлайн
Это существенно быстрее, чем идти куда-то в банк или к банкомату, стоять очередь, просить провести платеж и т.д.
Что это может дать в будущем, чем QR коды лучше NFC
2) Использование QR существенно увеличивает скорость заполнения любых типовых платежек, реквизитов, бланков и т.д. Не обязательно даже, что это будет покупка.
4) Производить оплату по QR кодам может практически любой смартфон с камерой (для NFC* же требуется спец. модуль, который не встречается в бюджетных аппаратах).
* Пример использования NFC: как добавить карту Сбербанка в Google Pay, чтобы оплачивать покупки телефоном Андроид — https://ocomp.info/oplata-kartoy-sberbanka-cherez-google-pay.html
NFC же лучше? Или нет.
5) Для работы NFC требуется банковская карта (причем, даже на сегодняшний день не каждая карта подойдет и будет работать. ). Для работы с QR нужно иметь простой банковский счет (даже не обязательно карту), и установить приложение на телефон.
6) Есть у QR кодов и один «минус»: без спец. приложения непонятно, что в нем зашифровано. Может так стать, что вам «подсунут» не тот QR код (например, поменяют квитанцию) и вы по невнимательности отправите средства не «туда».
Как принимать оплату по QR-коду
Можно ли заменить эквайринг на платежи через QR-коды
Оплата по QR-коду — это вид безналичного платежа, аналог оплаты банковской картой через эквайринг.
Все ИП и организации могут принимать оплату через QR-коды на свои расчетные счета. Покупать для этого специальное оборудование не нужно. Продавец размещает QR-код для оплаты, например печатает его на ценнике или показывает с экрана планшета рядом с товаром. Покупатель считывает QR-код через приложение банка, чтобы оплатить товар или услугу.
В QR-коде может быть зашифрована любая текстовая информация — рекламный слоган, телефон, ссылка на сайт. Его могут предъявить пассажиры вместо электронного билета или предприниматели вместо визитки. Если QR-код применяют для платежей, то в него зашифровывают реквизиты получателя, сумму и назначение платежа. По ним и происходит оплата товара или услуг.
Расскажу, как бизнесу наладить прием оплат по QR-кодам.
30% на все курсы весь октябрь
Плюсы и минусы оплаты по QR-коду
Для бизнеса прием платежей по QR-кодам имеет свои плюсы и минусы.
Плюсы. Прием оплаты по QR-кодам дешевле эквайринга, бизнес может сэкономить на комиссии банку. Комиссия зависит от вида деятельности компании: либо 0,4%, либо 0,7%.
Не нужно покупать оборудование: QR-коды генерирует банк, а считывает их смартфон покупателя — все бесплатно.
Принимать оплату по QR-коду может любой бизнес — и онлайн, и офлайн, на любом режиме налогообложения. После подключения такой возможности в своем банке достаточно разместить коды в удобных местах. Банковский терминал не потребуется.
Минусы. Заплатить по QR-коду смогут не все покупатели, а только те, чей банк подключен к СБП, кто знает о возможности такой оплаты и умеет ею пользоваться.
Некоторые продавцы должны принимать карты независимо от того, какие еще способы оплаты они применяют. Например, это касается карт «Мир», если выручка продавца за предыдущий год превысила 20 млн рублей в целом и 5 млн рублей в торговой точке.
В этом случае оплата по QR-коду не поможет сэкономить на аренде терминала — ставить его все равно придется.
Для тех, кто не обязан принимать карты «Мир», полный переход на QR-коды чреват потерей части покупателей — кто-то не захочет или не сможет платить по QR-коду. Например, из-за того, что в смартфоне нет приложения банка.
Прием платежей по QR-кодам подойдет как дополнительный способ приема оплаты, а не вместо эквайринга.
С точки зрения покупателя тоже есть некоторые недостатки, которые ограничивают использование QR-кодов.
Для оплаты через QR-код покупателю нужен смартфон с работающей камерой, счет в банке, подключенном к СБП, приложение банка и мобильный интернет.
Что такое Система быстрых платежей
QR-коды используются в СБП — Системе быстрых платежей.
Система быстрых платежей — это сервис, через который совершают мгновенные межбанковские переводы по идентификатору — номеру телефона или QR-коду.
Поначалу через СБП переводили деньги только физические лица между собой, но с декабря 2019 года бизнес тоже может принимать платежи через систему на расчетный счет.
Компания с компанией или с ИП через QR-код рассчитаться не сможет, но ей это и не нужно. Юридические лица и предприниматели рассчитываются между собой по банковским реквизитам, зашифровывать их в QR-код просто незачем.
Если банк покупателя к Системе быстрых платежей не подключен, оплатить товар через QR-код он не сможет. Поэтому в торговой точке должны принимать оплату разными способами, перейти полностью на QR-коды не получится.
Еще учтите, что СБП не заменяет онлайн-кассу. Покупать кассу для приема платежей от физлиц все равно нужно.
Какие бывают QR-коды
QR-коды генерирует банк, в котором открыт счет продавца, и куда будут приходить платежи от клиентов. Еще QR-коды могут генерировать некоторые кассы, без постоянных запросов в банк — о них расскажу ниже.
Банк может дать один статический код, через который будут расплачиваться все клиенты торговой точки, или генерировать разные динамические QR-коды для каждой покупки. Динамические коды будут появляться на экране кассы при расчете с клиентами, в режиме онлайн. Выглядят эти коды одинаково, разница в зашифрованной в них информации.
Статический QR-код — это код, где зашифрованы только реквизиты продавца, его создают один раз на неограниченное время. Во время оплаты покупки нужную сумму клиент будет вводить сам. Статический QR-код продавец может, например, распечатать на бумаге и наклеить рядом с кассой.
Динамический QR-код. В этом коде есть не только реквизиты продавца, но и все сведения о данной покупке — товары, сумма и назначение платежа. Динамические QR-коды генерируют для каждого клиента индивидуально — под конкретный товар, работу или услугу.
После считывания динамического QR-кода клиенту нужно будет подтвердить списание денег в банковском приложении, вводить сумму покупки ему не надо. Динамические коды, как правило, действуют ограниченное время, например один час или одни сутки.
Владелец бизнеса сам решает, какие коды — статические или динамические — ему нужны. Статические коды можно распечатать всего один раз, но есть вероятность, что покупатели будут вводить суммы с ошибками. Динамический код исключает такие ошибки, но его нужно формировать каждый раз на компьютере, планшете или смартфоне и показывать покупателю для сканирования.
Сколько придется платить банку
Размер комиссии при оплате через СБП устанавливают банки, которые отправляют и принимают платежи, то есть существует две комиссии — за исходящий и входящий платеж. Максимальный размер комиссии устанавливает Банк России.
Для бизнеса прием входящих платежей через СБП платный:
Максимальная ставка 0,4% установлена для оплаты лекарств, БАДов и других товаров медицинского назначения, исключая медтехнику, благотворительных платежей, а еще — для оплаты услуг самозанятых. Например, клиент заказал у самозанятого услуги по уборке квартиры и оплатил их через СБП. Самозанятый с любого такого поступления заплатит максимум 0,4%.
Для всего остального остается такая же максимально допустимая ставка комиссии в 0,7% от суммы перевода.
максимальная комиссия оплаты через СБП
Малый и средний бизнес может возместить комиссии, уплаченные по операциям через СБП с 1 июля по 31 декабря 2021 года. Банки сами передадут сведения об уплаченных комиссиях, получат субсидию и компенсируют затраты предпринимателям.
Комиссия за прием платежей по QR-кодам значительно ниже, чем комиссия при оплате через эквайринг. За платежи через эквайринг приходится платить 1—3% с каждой оплаты, плюс к этому нужно платить за аренду терминала.
Критерии безопасности
Содержание статьи
Зарождение стандарта
Обеспечение безопасности – важнейший фактор выбора программного обеспечения в
государственном секторе. Необходимость в существовании критериев безопасности
возникла на заре коммерческой эпохи использования операционных систем. В начале
80-х в США был разработан стандарт Trusted Computer System Evaluation
Criteria (TCSEC, более известный по названиям «Оранжевая книга», «Радужная
серия»). В конце 80-х европейские страны приняли свой стандарт Information
Technology Security Evaluation Criteria (ITSEC), в основу которого легли
положения TCSEC. В 1990 году Международная организация по стандартизации (ISO)
начала работу над общими критериями безопасности. Международные структуры,
принявшие участие в разработке, были не просто гражданскими институтами.
Взгляните на список: Агентство Национальной Безопасности (США), Учреждение
безопасности коммуникаций (Канада), Агентство информационной безопасности
(Германия), Органы исполнения программы безопасности и сертификации (Англия),
Центр обеспечения безопасности систем (Франция), Агентство национальной
безопасности коммуникаций (Нидерланды) – все они в той или иной степени имели
отношение к военным. Не случайное совпадение. Идея создания общих критериев
зародилась в недрах закрытого АНБ.
Десятилетиями АНБ применяла практику создания жёстко контролируемого,
безопасного кода, разрабатываемого годами, уровень уязвимости которого стремился
к нулю. Подобный подход не мог дать пользователям ни разнообразия в выборе
программ, ни красивых эффектов, которые так любят секретарши во всех
государственных учреждениях. Необходимость, а вернее – желание использовать
коммерческие продукты на службе у государства, подвигло АНБ к неизбежному:
продукты открытого рынка должны были пройти специальную программу тестирования.
Такой программой стал стандарт «Common
Criteria for Information Technology Security Evaluation» – общие
критерии безопасности информационных технологий.
Разработка стандарта завершилась в 1993 году. Спустя шесть лет Common
Criteria официально был признан международным стандартом широкого профиля
использования: помимо государственных учреждений руководствоваться им при выборе
информационных систем смогли и обычные потребители. Common Criteria включил
тесты для множества видов продуктов: межсетевых экранов, антивирусных систем,
систем обнаружения вторжения, операционных систем и т. д.
Процесс сертификации
Стандартизация и сертификация систем защиты основывается на комплексах
проведённых тестов. Тесты производятся в специальных лабораториях независимых
фирм-экспертов, одобренных по стандарту Common Criteria. Продукты оцениваются на
соответствие ряду функциональных критериев и критериев надежности – так
называемых Protection Profiles («профилей защиты»). Существуют различные
определения профилей защиты в отношении операционных систем, брандмауэров,
смарт-карт и прочих продуктов, которые должны удовлетворять определенным
требованиям в области безопасности. Стандарт Common Criteria также устанавливает
ряд гарантированных параметров соответствия Evaluation Assurance Levels (EAL),
используемых при оценке продуктов.
Тестируемый софт должен обладать полным описанием с перечислением
характеристик систем защиты продукта, которое должно ответить на вопрос, что
собственно делает системный код. Кроме того, устанавливается оценочный рейтинг
EAL, в соответствии с которым будет производиться тестирование продукта.
Тестовая лаборатория определит, соответствует ли заданный уровень защиты
заявленному профилю защиты. После этого специальная комиссия подтверждает
достоверность испытаний и выписывает сертификат Common Criteria.
Что это означает для таких пользователей как я и вы? Тоже, что и для
пользователей в самых секретных застенках государства. Производитель сам
определяет уровень угроз, которым подвергается продукт. Требования выставляется
в соответствии с уровнем. И на этот самый уровень производится сертификация (sic!).
Если уже после сертификации в продукте обнаружатся новые, неизвестные ранее
уязвимости, производитель должен выпустить обновление и провести повторную
сертификацию.
Уровни безопасности
В настоящий момент выделяют семь уровней безопасности. EAL1-EAL4 уровни
являются общими, для всех стран поддерживающих стандарт. Высшие уровни
EAL5-EAL7 индивидуально принимаются каждой страной для учёта национальных
особенностей защиты государственных секретов. Каждый уровень может получить
приставку «+» (например, EAL4+), что означает постоянный выпуск обновлений для
сертифицированного продукта.
EAL1 – требования к безопасности существуют, но уровень подразумевает
почти полное отсутствие угроз со стороны внешней среды. Проверка осуществляется
«формально», никакие «тестовые лаборанты» в код не заглядывают.
EAL2 – уровень безопасности предоставляет пользователям полную
информацию об архитектуре ПО. Однако и в этом случае проверка касается лишь
огромного количества документации, описывающей процесс работы программного
обеспечения.
Пример достижения:
JBoss Enterprise Application Platform – интегрированная платформа для
разработки Java-приложений,
Symantec Endpoint Protection 11.0 – базовая система защиты
EAL3 – софт проходит проверку на наличие типичных уязвимостей в
тестовой лаборатории, соответствующей стандарту Common Criteria.
EAL5-EAL7 – система проверена всеми возможными математическими
методами; узкоспециализированные стандарты, основанные на критериях безопасности
конкретных стран-участников.
На страже государства
На сайте
Microsoft, в прессе и по телевидению всё чаще можно слышать заверения о
возросшем уровне безопасности операционных систем семейства Windows. Подобные
высказывания не голословны, а основываются на результатах тестирования
сторонними компаниями, чья деятельность сертифицирована по всем правилам Общих
Стандартов. Что ж, после такого становится понятно, почему такой важный с точки
зрения безопасности проект как «Электронная
Россия» базируется на
решениях компании Microsoft. Или почему военные США и России массово
устанавливают «Висту» на базах по всему миру.
Об уязвимостях операционных систем семейства Windows говорить излишне. Однако
Windows соответствуют высокому стандарту безопасности, позволяющему свободно
использовать ось в государственных целях. В этом, на первый взгляд, чувствуется
какая-то патология. Но лишь до тех пор, пока мы не начнём вчитываться в
многотомную документацию сертификатов безопасности. Там чётко указано
позиционирование Windows на тех профилях безопасности, которые не предназначены
для использования в условиях, когда действует систематическая продуманная атака
со стороны хакеров. Становится понятно, почему из года в год военные сети
остаются уязвимыми. Недавний
переполох в министерстве
обороны США привёл к временному запрету на использование всех типов сменных
носителей – от флешек до винчестеров. Такова оказалась цена за сертифицированную
безопасность.
Маркетинг и реальность
Действительно ли безопасна операционная система получившая сертификат
безопасности? Документация ничего не может сказать о качестве программного
обеспечения. Но она позволяет операционной системе чётко соответствовать
неадекватному набору требований.
На самом сайте Microsoft относительно получения сертификат Common Criteria
сказано следующее: «Независимое тестирование подтвердило высокий уровень
защищенности в широчайшем диапазоне реальных условий применения».
В настоящий момент 25 стран поддерживают стандарт. Common Criteria ISO 15408
уже является государственным стандартом России. Во многих правительственных
учреждениях наличие сертификата Common Criteria является обязательным условием
при поставке систем. Однако вокруг сертификатов безопасности общего применения
(возьмите для примера уровни EAL1-EAL4) сложилась опасная ситуация введения
пользователей в заблуждение. Стандарт Common Criteria является общепризнанной
независимой мерой оценки IT-продуктов с точки зрения безопасности, и
пользователи могут (и должны) руководствоваться им при выборе программного
продукта. Но не стоит забывать, что за словами «жёсткое и всестороннее
тестирование исходного кода для сертификации» подразумевается тестирование кода
в условиях, оговорённых заказчиком (создателем кода). Хакеры-гики не будут
заниматься экспериментальным взломом Windows 7, когда эта операционная система
будет передана на сертификацию. Уже через год-два новая система от Microsoft
получит уровень безопасности EAL4 (возможно, EAL5) и поступит в открытую
продажу. И здесь мы в первую очередь должны подумать о потребителях в
государственном секторе. Они (как и мы) должны быть уверенны в защищенности
программного продукта, основываясь не только на документации, но и на реальных
результатах практической эксплуатации.
Критерий выбора
Для понимания смысла использования Common Criteria важно знать как уровень
оценки EAL, так и проверявшиеся профили безопасности. К сожалению, пока выбор
систем государственного уровня основывается либо на утопических идеях (Поднимем
Россию с колен, построим «Русскую ось»!), либо на маркетинговых заявлениях.
В госаппарте есть эксперты соответствующего уровня. В Америке давно решили,
что стоимость переобучения персонала на новую систему обойдётся дороже, чем
многомиллиардный контракт с Microsoft. В конечном счете, неужели сумма ущерба от
всех хакерских атак не перекрывает стоимость внедрения новых, более безопасных
информационных систем? Верится с трудом.
Не знаю как в Америке, но в России существует служба «Специальной Связи и
Информации» (бывшая ФАПСИ), ответственная за безопасность информационных систем
на службе государства. Есть те замечательные люди, которые занимаются отловом
киберпреступников, а так же те, кто внимательно мониторит IT & Hack ресурсы. Им
обязательно попадётся на глаза эта статья. Возможно, она заставит задуматься.
GZE006RD Kyiv UKR списали деньги с карты: как отключить?
В сети начали появляться отзывы о неизвестном автоматическом списании «GZE006RD Kyiv UKR». С банковских карт могут снимать различные суммы, причем непонятно где именно произведена покупка или оформлена подписка. В статье мы поясним, кто может активировать платеж и каким образом можно быстро заблокировать списания.
Списание денег GZE006RD Kyiv UKR
Что это за списание?
GZE006RD Kyiv UKR – это автоматическое списание, которое указывает на активную премиум-подписку на сайте букмекерских контор. Помимо продления или оформления подписки, это может быть автоматическое зачисление на депозит, прямая оплата ставки со счета карты и т.д.
По данному списанию в сети достаточно мало информации, однако есть несколько источников, которые указывают на конкретную букмекерскую контору – «Париматч». Возможно списание активируется нелегальными клонами данной конторы, либо многочисленными «зеркалами».
Само по себе списание становится возможным после того, как пользователь в личном кабинете привязал реквизиты карты (и подтвердил кодом безопасности) к платежному сервису. Если система работает по принципу рекуррентных платежей – последующие списания будут проводится без подтверждения со стороны владельца карты.
Как отключить GZE006RD Kyiv UKR?
Что бы отключить списание GZE006RD Kyiv UKR необходимо проверить свой профиль в БК на предмет активных платных услуг. Если у вас на телефоне установлено мобильное приложение от БК – проверьте там настройку оплаты и привязку карты. После отключения автопродлеваемых платных услуг – удалите из настроек профиля карту. Обязательно проверьте наличие подписок через приложения Google Play и iTunes.
Если вы никогда не сталкивались с подобными конторами и в магазине приложений нет активных подписок – есть вероятность взлома вашей карты. Возможно мошенники получили доступ к реквизитам карты через фишинговые сайты (часто их стилизуют под онлайн-магазины или популярные сервисы). После взлома мошенники подвязывают карты к второсортным платным сервисам и таким образом вполне законно обналичивают денежные средства.
Если вероятность взлома карты подтвердится – срочно обращайтесь в банк и блокируйте карту. Возможно специалисты порекомендуют вам перевыпустить карту, что бы сбросить её реквизиты и отвязать от всех сомнительных платных сервисов.
Однако перед процедурой перевыпуска карточки рекомендую направить запрос на активацию процедуры чарджбэк (возвратный платеж). Подается он в письменном виде в отделении банка или письмом на официальный email. В сети достаточно много информации по правильному составлению заявления на чарджбэк. Вот наглядная видеоинструкция: