Активация подарочной карты / дебетовой карты

Я работал над несколькими из этих типов систем, и все они в основном работают одинаково. Карта имеет #, закодированный в магнитную полосу (это также может быть штрих-код). Это обычно все, что есть на самой карте. Карты активируются во время покупки.

Вот основной поток:

Клиент приходит и покупает карту:

• Карточка сильно удаляется и / или сканируется.
• Вызов осуществляется в онлайновую систему (обычно через какой-либо тип вызова веб-службы). Он включает в себя карту #, сумму, с которой они активируются, и, возможно, немного дополнительной информации (например, счет #) и, возможно, что-то вроде предыдущей транзакции #.
• Если вызов успешен, вы получаете номер транзакции.
• В случае сбоя вызова обычно существует протокол, которому вы должны следовать (иногда он обрабатывается в процессе ежедневного расчета). Такие вещи, как повторная попытка активации или выполнение запроса, чтобы определить, прошла ли последняя транзакция.
• Если все прошло успешно, карта активна.

Таким образом, в основном, карта ничего не стоит, пока не активируется. В этот момент он становится "живым" и с ним связаны деньги. То есть на каком-то сервере где-то есть база данных, в которой есть эта карта, когда / где она была активирована, суммы и т. Д.

Обычно существует некоторая функциональность для создания отчета о транзакции на конец дня, чтобы помочь вам выровнять свои номера (что говорит ваша система против того, что они записали).

Так как карты управляются централизованно, им легко помечать карты, если они были украдены (не то, чтобы это имело значение, так как они имеют значение $0, пока их не активировали).

Я имел удовольствие работать над одной из этих систем прямо из колледжа. В зависимости от того, как они обрабатывают свою обработку, может ли пакет на конец дня или еженедельный отчет вызывать довольно много проблем. Одна из вещей, которые я увидел, заключалась в том, что если человек, у которого была карточка, законная или нет, если ему удалось совершить кучу покупок, которые были <начальным балансом дня, но к концу дня> больше начального баланса, то все покупки пройдут. Не очень весело, когда компании приходилось глотать более 100 долларов на пользователя в день.

С точки зрения безопасности, сделайте так, чтобы компания, с которой вы взаимодействуете, была ответственна за покупки. Это лучший способ справиться с этим в том, что я видел, потому что для этого они и существуют. Надеюсь, это поможет каким-то окольным путем.

Я считаю, что самое безопасное решение - это сервер, который генерирует и печатает (или экспортирует) номера карт. Когда клиент заинтересован в покупке подарочной карты, он сканируется в реестре, и регистр уведомляет сервер о том, что карта была утверждена (возможно, с использованием учетных данных кассира).

Затем при вводе данных на вашем веб-сайте веб-сайт проверяет сервер карты, чтобы узнать, является ли номер карты действительным и утвержденным.

Тогда украденные карты не утверждаются. Если кто-то выяснит схему нумерации, то вас могут облажать, поэтому рекомендуется, чтобы числа были случайными с достаточным количеством цифр, чтобы угадывать числа было необоснованным (возможно, с чем-то похожим на код CV2).

Это похоже на то, как работают дебетовые карты: номер карты / сгенерированный CV2 ("сервер") -> отправлен клиенту -> клиент активируется по телефону ("регистрация", где "учетные данные" - это его SSN или аналог) -> клиент затем использует в магазине, а магазин связывается с сервером компании карты

Я знаю, что Intuit Quickbooks Point of Sale предлагает такую ​​услугу (в комплекте с API), вы можете посмотреть их.

Мне нравится решение HalfBrain. Я также предположил бы, что они имеют в виду определенные элементы безопасности, такие как один IP-адрес (или какой-то другой критерий) с более чем несколькими неудачными попытками активации, помеченными как явно пытающиеся проверить систему.

Вы должны быть осторожны, я видел, как это разыгрывалось в розничных магазинах... клиента перед вами спрашивают, есть ли у него кассир карты лояльности. Клиент говорит "нет", но клиент, стоящий за ним, предлагает свою карточку, и она получает украденные баллы за то, что они не купили...

Таким образом, за счет клиента получаются баллы за то, что он этого не делает, искажая / искажая результаты личных покупок клиента (того, у кого есть карта лояльности) и то, что он не купил... в базе данных соответствующей системы.

Короче говоря, нет никакого надежного способа обойти это, кроме как запросить сканирование сетчатки или отпечаток пальца, который идентифицирует клиента. Некоторые клиенты могут быть осторожны при вступлении в клуб в отношении их конфиденциальности... это еще одна вещь, о которой следует помнить... не у всех из них будет карта лояльности...

Надеюсь, это поможет, С наилучшими пожеланиями, Том.