专栏首页ThoughtWorks开发团队如何选型支付网关

开发团队如何选型支付网关

支付是电子商务的最后一英里,只有顺利完成了支付,才能产生真正的业务价值。那么,对于商家来说,需要以最低的成本和最快的速度为用户提供最安全的支付功能。

由于电子支付往往需要支持多种银行卡类型和第三方支付类型,同时需要满足较高的安全要求和技术标准,因此往往会借助支付网关来实现。但由于支付网关种类繁多,其功能复杂、安全标准参差不齐、集成方式众多,在选择时往往会给商家带来很大困扰。

本文基于在ThoughtWorks帮助各类客户提供不同种类支付网关的经验,以及帮助客户开发和维护月交易量在百万级别的支付网关的经验,分别从功能、安全、集成方式三方面来帮助商家了解并快速选择适合自己的支付网关。

支付网关的功能

介绍

我们将支付网关的功能分为核心功能和增值功能。核心功能包括了面向最终用户的支付功能,以及面向商家的收单服务;增值功能则包含了为支持一个完整的业务而提供的各种支撑功能。

支付功能

支付功能是支付网关的核心。支付功能包括支持的银行、卡机构、第三方支付等的种类和数量,以及支付成功率、支付处理速度、系统稳定性等技术指标。越大的支付网关,其银行和第三方支付种类覆盖范围就越广,技术更可靠,而收费也更高,且对于本地小银行的支持有限。

收单服务

由于法律监管和银行业务的要求,如果商家需要通过电子支付的方式来收款,需要在收单行开设一种特殊的银行账户:商家账户。支付网关面向商家提供收单服务,以大大降低商家与银行的谈判、申请账户、以及出问题后多方之间巨大的沟通成本。

增值功能

支付网关的差异化也体现在其增值功能的种类上:比如预授权,退款,取消支付,批量支付,定时自动支付,动态货币转换,多货币定价,报表,查询等。

我们的建议

对于核心支付功能,我们建议您根据自己的业务和用户的实际情况进行选择:

  • 如果是本地业务,最好选择一个品牌信誉好的、对本地银行业务支持更加友好的中小规模的支付网关,甚至只提供当地最流行的第三方支付就足够了。当然,如果所选的小支付网关对国际业务支持的不够好,当未来业务扩展时,支付网关可能会成为制约因素。我们在项目上经常看到客户因为此原因需要更换支付网关的例子。因此,在前期的代码设计上,应该预先做好设计与隔离,为此最好准备。
  • 如果业务或用户涉及国外,则需要了解不同国家和地区的用户支付习惯,提供用户喜爱的本地化支付方式。此时,我们建议您选择一个将各个地区主流第三方支付打包到一起的支付网关,这样可以一次集成,多次应用。我们在某项目上首先通过Worldpay帮助客户集成了Paypal,并在先期的代码设计上保留了扩展接口。后来当业务扩展需要支持支付宝和微信时,只做了一些配置的改动和非常少量的开发测试工作就上线了,节省了大量商务谈判、技术调研、从零开始的集成测试等工作。

对于收单业务,我们建议您优先选择支付网关的收单服务。这样,作为商家只需要跟支付网关一家打交道即可,从流程、技术、沟通等各方面,都省去了很多麻烦。

对于技术指标的考量,我们必须知道,任何一笔支付,中间都会涉及多个系统的集成,出问题是非常正常的。我们在帮助客户维护支付网关的过程中,7人左右的团队往往会被各种线上问题搞得应接不暇。作为商家,以下几点可以帮助您将损失降到最低:

  • 不仅要看支付网关官网承诺的各项技术指标,还要与其签订明确的SLA以保护自己的权益
  • 在自己的系统中添加有效的监控和日志,出问题时可以提供足够有价值的信息协助支付网关一起排查定位问题;
  • 对支付网关的接口稳定性进行测试,以及时发现支付网关的故障,从而采取相应措施;
  • 实现一套合理的fallback机制,比如及时隐藏出问题的支付网关、切换到另一种支付网关或第三方支付等,以降低其对业务和用户的影响。

对于各种增值功能,建议您按需进行考察,如果不是核心业务,可作为MVP之外的范畴,逐步纳入交付计划。

对支付网关安全能力的考量

每年因为支付诈骗所造成的损失,对于大部分商家都是在线支付中最头疼的问题。用户支付数据泄露等安全事件还会给企业带来名誉损失和法律风险。因此,安全性应该成为我们选择支付网关时必不可少的考虑因素。

介绍

我们分别从PCI DSS、3D Secure、信用卡反欺诈和支付标记化四方面来做进一步介绍,并给出我们的建议。

PCI DSS(Payment Card Industry Data Security Standard)

PCI DSS是由支付卡产业安全标准委员会制定的第三方支付行业数据安全标准,从信息安全管理体系、网络安全、物理安全、数据加密等方方面面提出了一套保护持卡人数据的技术和操作的基线要求。PCI DSS会对支付网关等提供支付服务的机构进行年审,审计结束后,会对被认证企业提供相应的安全级别资质证明。

3D Secure

3D Secure(Three-Domain Secure,以下简称3DS)是国际卡组织为提高信用卡网上支付的安全性,向卡持卡人推出的一项安全验证服务。它规定,在使用信用卡进行支付时,必须输入支付密码、手机验证码等只有持卡人自己才知道的信息,以验证用户身份。

对商家来说,3DS是一把双刃剑。如果使用了3DS,则意味着对持卡人身份更可靠的验证,如果未来发生投诉退单,其成本会由发卡行而不是商家来承担;但是由于在支付流程中需要跳转到发卡行的网站进行身份验证,从用户体验和技术上都会造成一定支付转换率的损失;同时,商家也需要为额外这一层安全保障付出成本。在某些国家或地区(比如欧洲),各大银行、支付网关和商家必须支持3DS已经是支付领域的法律要求。

信用卡反欺诈(Fraud Detection)

信用卡反欺诈是通过技术手段在支付发生前对可疑情况进行过滤,以降低支付诈骗率。最常见的一个场景,如果反欺诈系统检测到同一个IP地址在短时间内尝试使用不同卡号付款且大部分都会验证失败,则快速做出判断,认为该IP涉嫌诈骗,从而禁止所有该IP的后续请求。

支付标记化(Tokenization)

支付标记化技术是由国际芯片卡标准化组织于2014年正式发布的一项技术,其原理是:支付网关在第一次验证完用户身份后,针对每个银行卡号生成一个唯一的token并返回给商家,作为后续支付过程中代表该卡信息的凭证,这样就避免了频繁输入卡信息带来的风险。

我们的建议

对于PCI DSS,支付网关的PCI安全认证资质证明可以作为证明其在技术、基础设施和流程等方面安全程度的最有力证明。我们在选择时,仔细审查其PCI安全级别资质证明即可

对于3DS,我们建议您选择支持3DS功能的支付网关,并将其作为必选项提供给您的用户。不仅在现在和将来排除了法律风险,也是最有效的防支付诈骗的手段,同时可以为支付诈骗发生后做风险管理和转移提供有力证据。

我们在维护支付网关的项目上,处理最多的问题就是那些因为没有使用反欺诈服务而被攻击的客户,一般遇到这种情况,来自该商家所有用户的支付请求都会被临时禁止直到攻击停止,这对正常业务会产生很大影响。因此,我们建议您不要吝啬投入,务必选择一个能提供有效反欺诈能力的支付网关或专业的反欺诈服务提供商

对于支付标记化,如果您的用户主要使用信用卡进行支付,那么我们建议您选择提供支付标记化功能的支付网关,这样可以允许用户使用保存的卡信息进行支付,可以大大提高忠实用户的用户体验。对于支付标记化的考察,重点需要考察背后的卡信息是否存储在支付网关自己的数据库,如果是,则需要确定其是否满足PCI Level 1的标准。

支付网关常见的集成方式

介绍

从功能和安全性上确定您的需求后,下一个问题就是用户的支付体验和技术集成了。支付网关一般都会提供多种集成方式,每种集成方式在用户体验和技术要求上不尽相同。以下是几种最常见的集成方式:

Hosted Payment Page

当用户在商家网站确认订单并点击“继续支付”的按钮后,浏览器会直接从商家网站跳转到由支付网关提供的支付页面,在此页面输入卡信息并进行支付。

In-Context Popup

当用户在商家网站确认订单并点击“继续支付”的按钮后,直接在当前页面弹出一个由支付网关提供的支付模块弹出框,用户可以在不离开商家网站的情况下进行支付。最典型的例子就是 PayPal in-context checkout 。

iFrame

支付网关将包含输入卡信息和支付按钮的部分提取成一个公共组件,允许商家在渲染支付页面的时候通过iFrame的形式将该支付组件加载到页面中。

API

当用户在商家网站输完支付信息、点击支付按钮后,直接从商家网站的后端发送API请求到支付网关。

我们的建议

不同的集成方式在用户体验、开发成本和其对商家网站PCI的要求程度是不同的,我们对此进行了一个对比

如何选择,完全取决于现实情况,并无好坏之分。我们有下面几点建议

  • 对于有能力满足PCI DSS、有一定技术能力来集成API的商家,用户体验最佳的API集成方式是最佳的选择;
  • 对于希望完全在PCI监管之外,或者希望以最快的速度提供支付功能,而对用户体验要求不太高的商家,Popup 或 Hosted Payment Page 是不错的选择;
  • 对于大部分商家来说,iFrame 由于不仅能帮商家规避PCI,同时具备较好的用户体验和较快的集成速度,是大部分场景的最优选择。

其他需要考虑的因素

除了以上核心的考察点之外,下面这些因素不仅可以从侧面证明支付网关的业务和技术能力,也是我们在使用支付网关的服务时很重要的方面:

  • 是否提供清晰、快速的onboard流程
  • 其技术文档是否足够信息、准确且包括必要的细节,是否提供设计优良的客户端SDK
  • 是否提供沙盒环境和测试账号供我们在测试环境进行自动化和手工测试
  • 技术支持是否专业、及时且有效

希望通过本文的介绍,让您对支付网关有了一定的了解,也有足够的知识和技巧来选择一个适合自己的支付网关。

本文版权属ThoughtWorks公司所有,如需转载请在后台留言联系。

本文分享自微信公众号 - ThoughtWorks洞见(TW-Insights),作者:郑佳宁

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2021-05-11

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 如何基于 DDD 构建微服务?

    本文将讨论微服务与 DDD 涉及到的概念、策划和设计方法,并且尝试将一个单体应用拆分成多个基于 DDD 的微服务。

    深度学习与Python
  • TiDB x 中国电信翼支付 | 「效率提升 5 倍」,TiDB 在电信翼支付金融核心场景的应用

    「我们已经用起来了」,是我们最喜欢听到的话,简简单单几个字的背后代表着沉甸甸的信任和托付。从今天开始,我们将通过「相信开放的力量」系列深度案例分享,从业务的角度...

    PingCAP
  • 「数字化方案」 无头内容管理系统(CMS)采用评估指南

    为了在技术驱动的环境中保持相关性,使信息可以即时获得,并且可以跨越所有可能的渠道,B2C和B2B组织必须仔细检查其内容创建和交付基础设施。Web CMS没有提供...

    首席架构师智库
  • 如何才能成为一名 DevOps 工程师?

    就目前的 IT 市场而言,DevOps 领域是 IT 从业者薪资和职业发展的最佳选择之一。也因此,我经常会被问到的一个问题就是:“如何才能成为一名 DevOps...

    CloudBest
  • 刷脸支付创业前需要了解这些信息

    总体而言刷脸支付行业应该是未来几年的趋势,支付宝和微信大肆布局市场,推广的力度不可谓不大,包括刷脸红包、补贴设备、开放接口对接第三方服务商等。在支付的新赛道上,...

    用户6996946
  • 敏捷交付中的自动化测试

    在提及自动化测试的时候,很多人会把工具的使用等同于自动化测试。自动化测试应该是一个策略性的系统化工程,不只有自动化工具。自动化测试要发挥其频繁快速的质量反馈作用...

    ThoughtWorks
  • 蚂蚁金服国内首次系统性解密其 DevOps 体系(附视频)

    蚂蚁金服技术团队将在 DevOps 国际峰会·北京站(7月5日-6日)首次系统性解密其 DevOps 体系。

    DevOps时代
  • 手机淘宝:多团队开发一个产品如何保持敏捷

    Scrum等敏捷开发框架,最初都是为5到9人的小团队设计的。通过保持专注和合理利用新技术,在相当长的时间里小团队仍然可以支撑业务发展。

    DevOps时代
  • DevOps 的分与合

    “ DevOps 是使软件开发和 IT 团队之间的流程自动化的一组实践,以便他们可以更快,更可靠地构建,测试和发布软件。DevOps 的概念建立在建立团队之间协...

    CODING
  • 《DevOps实践指南》第二部分 从何处开始

    LinkedIn的“反转行动”(Operation InVersion)是一个有趣的案例,它证明了为什么要把偿还技术债务作为日常工作的一部分。2011年,Lin...

    yeedomliu
  • 版本分支管理标准 - Trunk Based Development 主干开发模型

    之前分享过《版本分支管理标准 - Git Flow》,不过在实际使用过程中, 因为其有一定的复杂度,使用起来较为繁琐,所以一些人员较少的团队并不会使用这个方案。

    用户1172223
  • 「精益企业」支持原则,价值观,思维方式,实施指南和领导角色

    精益企业是一个蓬勃发展的数字时代企业,在最短的可持续交付时间内为其客户提供具有竞争力的系统和解决方案。

    首席架构师智库
  • DevOps团队之殇|洞见

    “你在团队里是做什么的?” “DevOps。” “DevOps是什么呢?” “DevOps是一种文化、一种实践,目标是加快软件迭代速度,让团队更快交付价值...

    ThoughtWorks
  • 微课堂 | 云计算平台项目团队组织架构与缘起(PPT)

    本文为普元软件产品部副总兼SOA产品线总经理刘相在普元云计算架构设计群的微课堂分享,转载需保留此处版权申明。 大家好!本次微课堂为大家介绍普元云计算团队从数字化...

    yuanyi928
  • 为什么大公司一定要使用DevOps?

    究竟什么是DevOps? 要想回答这个问题,首先要明确DevOps这个过程参与的人员是谁?即开发团队和IT运维团队!那么,DevOps的意图是什么呢?即在两个团...

    互扯程序
  • CODING X C-Life:云端 DevOps 加速企业数智化

    2020 给全民普及了什么是线上化、数字化、智能化,也加速了企业的数字化转型。“全数字化”时代,已经不仅仅是简单粗放的数据采集、映射、抽象。数字化开始迈入高级阶...

    CODING
  • DevOps VS ITIL

    在文章之前,我想花点文字来说一下D/O分离,在工作过的几家公司运维,都曾经强调过D/O分离。个人承认在早期,比如说运维团队成立初期,D和O此时没有职责界...

    用户1593318
  • 敏捷与 DevOps 混合动力,助力明略开拓企业智能新世界

    明略科技是中国领先的数据中台和企业智能决策平台提供商,致力于通过大数据分析挖掘和认知智能技术,推动知识和管理复杂度高的大中型企业进行数字化转型。

    CODING
  • 专访新腾数致研发总监金涛:新思想、新工具与新效率

    您去政务服务窗口办理过业务吗?在过去,经常是怀抱一个满满的档案袋,排队几小时,结果被告知“资料不足”。而今足不出户,很多政务服务拿着手机或者电脑就可以网上办理,...

    CODING

扫码关注云+社区

领取腾讯云代金券