Investor
Professional
- Messages
- 268
- Reaction score
- 163
- Points
- 43
Пошаговое руководство по созданию интернет-магазина с поддержкой 2D Secure платежей, настройке платёжного шлюза и организации безопасной работы с высоким уровнем OPSEC
Что такое 2D Secure и почему это работает
2D Secure — это тип обработки карточных платежей, при котором транзакция проходит без дополнительной аутентификации (OTP, биометрия, SMS-код). Клиент вводит только стандартные данные карты — номер, срок действия и CVV — и платеж завершается мгновенно. Никаких лишних экранов, никаких OTP-кодов.В 2026 году 2D Secure платежи выглядят так:
| Аспект | Описание |
|---|---|
| Скорость чекаута | Мгновенная — клиент не покидает сайт |
| Аутентификация | Только базовые данные карты (PAN, expiry, CVV) |
| Ответственность | Весь риск фрода и чарджбэков лежит на мерчанте |
| Где актуально | США, Австралия и другие страны без SCA-мандата |
| Суммы | Обычно до $100–200, в зависимости от банка |
Ключевой момент: 2D Secure возможен даже в странах с SCA-мандатом, если мерчант запрашивает исключение (exemption) и банк его одобряет.
Схема работы: как это устроено технически
Когда клиент вводит данные карты на твоём сайте, происходит следующее:
Code:
Клиент вводит карту → Твой сайт отправляет запрос в платежный шлюз
→ Шлюз отправляет авторизацию в банк-эквайер
→ Банк-эквайер проверяет карту и возвращает решение:
• APPROVED — платеж прошел, товар отправлен
• DECLINED — платеж отклонен
• 3DS REQUIRED — требуется дополнительная аутентификацияВ случае 3DS REQUIRED, если ты не можешь предоставить OTP, транзакция блокируется. Чтобы этого избежать, ты используешь исключения (exemptions) и frictionless flow.
Что почитать перед началом
1. Техническая документация платёжных шлюзов
| Шлюз | Что даёт | Где читать |
|---|---|---|
| CODARAB Pay | Готовый WooCommerce плагин, 2D Secure до $100, скрытие данных от PayPal | LinkedIn CODARAB |
| Mastercard Gateway | Полная документация по PSD2-исключениям, параметры LOW_VALUE, LOW_RISK | Mastercard Developer |
| Global Payments API | Exemption Status параметры: LOW_VALUE, TRANSACTION_RISK_ANALYSIS | Global Payments |
| Paysafe 3DS API | requestorChallengePreference — как запросить NO_CHALLENGE_REQUESTED | Paysafe Developer |
| CyberSource | Настройка аккаунта для Payer Authentication, получение MID | CyberSource |
2. Практические гайды
| Ресурс | Что даёт |
|---|---|
| CODARAB DEV YouTube | Пошаговые видео по настройке PayPal Business без документов |
| PayPal Community Forum | Решение проблем с интеграцией |
| Reddit r/PayPal | Обсуждение проблем с блокировками |
3. Важные концепции
- Frictionless Flow: Платеж проходит без челленджа, потому что банк оценил риск как низкий.
- SCA Exemptions: LOW_VALUE (до €30), TRANSACTION_RISK_ANALYSIS (зависит от уровня фрода мерчанта), SECURE_CORPORATE_PAYMENT.
- challengePreference: NO_CHALLENGE: Прямой запрос к банку пропустить 3DS.
Как это сделать: пошаговая инструкция
Вариант 1: Готовый WooCommerce + CODARAB Pay (для новичков)
Это самый простой способ, если у тебя нет технических навыков.Шаг 1. Настройка PayPal Business аккаунта
Создай PayPal Business аккаунт — это можно сделать за 2 минуты без юридического лица и документов.Инструкция:
- Перейди на страницу регистрации PayPal Business
- Выбери "Business Account" и нажми "Next"
- Введи данные бизнеса (можно указать себя как ИП)
- Подтверди email
- Для безопасной настройки и избежания автоматических банов используй YouTube-гайд от CODARAB
Шаг 2. Установка плагина CODARAB Pay
- Установи и активируй плагин на WooCommerce
- В настройках выбери режим "Card Payment Only" — это отключает PayPal-кнопку и защищает от easy one-click disputes
- Настрой скрытие названия товара и URL в платежных квитанциях PayPal
Шаг 3. Настройка 2D Secure
Ключевые параметры в плагине:- Платежи до $100 проходят без OTP (зависит от банка-эмитента и политики карты)
- Доступные страны: США, Канада, Австралия, Великобритания, Германия, Франция, Испания, Италия, Япония, Мексика
- Поддерживаемые карты: Visa, Mastercard, American Express, Discover, JCB, UnionPay
Шаг 4. Защита high-risk сайтов (CODARAB Redirect)
Если ты работаешь в high-risk индустрии:- Установи плагин CODARAB Redirect
- Настрой перенаправление клиентов с рискованного домена на безопасный WooCommerce-чекаут
- Видимый URL не меняется — это скрывает твою активность от мониторинга
Вариант 2: Интеграция через платёжный шлюз (для опытных)
Если ты хочешь больше контроля, используй прямой API шлюза.Шаг 1. Получение Merchant ID и настройка аккаунта
Что нужно для Cybersource:- Merchant ID (MID)
- URL сайта
- Двухбуквенный код страны
- Merchant Category Code (MCC)
- Имя, адрес, email контакта в банке
- BIN-номера (первые 8 цифр карт, которые ты принимаешь)
Процесс настройки:
- Свяжись с поддержкой шлюза для включения Payer Authentication
- Создай профиль Secure Acceptance в Business Center
- Настрой поддерживаемые типы карт и валюты
- Включи Payer Authentication (3DS) для каждого типа карты
Шаг 2. Запрос Frictionless Flow (без челленджа)
При отправке платежного запроса добавь параметр challengePreference: NO_CHALLENGE.Пример для Mastercard Gateway:
JSON:
{
"authentication": {
"psd2": {
"exemption": "LOW_VALUE"
},
"challengePreference": "NO_CHALLENGE"
}
}Шаг 3. Использование исключений (Exemptions)
Для транзакций, которые должны проходить без 3DS, запроси исключение:| Исключение | Условия |
|---|---|
| LOW_VALUE | Транзакция < €30, суммарно < €100 с последней SCA, не более 5 транзакций подряд |
| TRANSACTION_RISK_ANALYSIS | Фрод мерчанта < 0.13% для сумм до €100, < 0.06% до €250, < 0.01% до €500 |
| SECURE_CORPORATE_PAYMENT | Корпоративные карты |
Пример для Global Payments:
JSON:
{
"exemptionStatus": "TRANSACTION_RISK_ANALYSIS"
}Шаг 4. Отправка дополнительных данных
Чтобы повысить шансы на frictionless flow, отправляй:- IP-адрес покупателя
- Данные браузера (язык, разрешение экрана)
- Адрес доставки и биллинг
- Данные устройства (device fingerprint)
Безопасность и OPSEC
Защита аккаунта от блокировки
| Правило | Почему |
|---|---|
| Не смешивай личные и бизнес-данные | PayPal блокирует аккаунты без объяснений |
| Скрывай информацию о товаре | Используй настройку CODARAB Pay, которая прячет название и URL |
| Отключай PayPal-кнопку | PayPal кнопка — это easy one-click disputes |
| Используй CODARAB Redirect | Перенаправляй клиентов с risk-домена на безопасный чекаут |
Защита карточных данных (PCI DSS)
| Требование | Что делать |
|---|---|
| Не храни CVV/CVC | Запрещено правилами PCI DSS |
| Не отправляй данные по email | Прямой путь к компрометации |
| Используй шифрование | Blowfish ECB для параметров запроса |
| Проверяй HMAC | Чтобы убедиться, что сообщение не подделано |
Защита от обнаружения
| Угроза | Решение |
|---|---|
| Fraud-аналитика банка | Отправляй дополнительные данные — это повышает шанс на frictionless flow |
| Автоматический бан шлюзом | Начинай с малых сумм (< $100) |
| Чарджбэки | Собирай все данные о транзакции на случай спора |
Чек-лист готовности
markdown:
Code:
[ ] PayPal Business аккаунт создан (без документов, если используешь CODARAB)
[ ] Плагин CODARAB Pay установлен и активирован
[ ] Режим "Card Payment Only" включён
[ ] Скрытие названия товара и URL включено
[ ] Тестовый платёж выполнен и прошёл
[ ] Для API-интеграции: challengePreference=NO_CHALLENGE добавлен
[ ] HMAC-подпись настроена правильно
[ ] Логи ведутся (но без CVV!)
[ ] CODARAB Redirect настроен для high-risk доменов
Итог
Бро, создание 2D Secure шопа для привязки карт — это реально, но требует аккуратности.Ключевые выводы:
- Начни с CODARAB Pay на WooCommerce — самый простой путь для новичка.
- Запрос frictionless flow через challengePreference: NO_CHALLENGE — основа 2D Secure.
- Используй исключения (LOW_VALUE, TRA) — они снижают вероятность 3DS-челленджа.
- Скрывай информацию о товаре от платёжных систем — защита от автоматических банов.
- Отправляй дополнительные данные — повышает шанс на frictionless flow.
Главный риск: Ты работаешь в high-risk зоне. Любая ошибка в настройках — и аккаунт блокируется. Начинай с малого, тестируй каждый шаг и не смешивай разные активности на одном аккаунте.
Удачи, брат. Если что — пиши.
