Mailinglisten-Archive |
Am 28.03.2007 um 19:21 schrieb Simon Bienlein: > Ich dachte, das ein Formular auf der Website des Kunden die > Zahlungsinformationen abfragen und diese zur Validierung an den Server > des Zahlungssystems übermitteln könnte. Abhängig vom zurückgelieferten > Status, kann die Anwendung des Kunden entscheiden, ob die Zahlung > erfolgreich oder z. B. die eingegebenen Daten vom Besucher überprüft > werden müssen. Das wirst du kaum wollen, wenn das bedeutet, dass du die Zahlungsinformationen selber verarbeitest. In dem Moment, in dem du das Formular selber bereitstellst, die Daten auf deinem Server entgegen nimmst und dann einen Request an den Payment Provider sendest, brauchst du für Kreditkarten eine PCI-DSS-Zertifizierung. Zumal du dann Sicherheitsverfahren wie 3D Secure nicht ohne weiteres verwenden kannst. Darum kommen in der Regel Pop-ups zum Einsatz oder man verlässt die Webseite des Anbieters. Es gibt auch so Zwischenlösungen wie bei ipayment von 1&1, die das Silent-Modus nennen. Dabei werden keine Daten auf deinem Server verarbeitet, es sieht aber dennoch so aus, als würden die Anwender den Server nicht verlassen. Telekurs, die u.a. Saferpay betreiben, "nötigen" mittlerweile so ziemlich jeden Kunden zu den Zahlungs-Pop-ups. Es gibt dann noch andere Sonderlösungen, aber für die wendest du dich am besten an die Sales-Abteilungen der verschiedenen Anbieter. Sie können sie dir erklären und das richtige für dich finden. Ich persönlich halte dies für eine sehr gute Sache, was auch ein Grund dafür ist, dass ich jedem Kunden dazu rate. Für den Kunden des Shop-Betreibers schafft so ein Zahlungsfenster Vertrauen, u.a. da man sich daran gewöhnt und sicher gehen kann, dass der Shop-Betreiber die eigenen Kreditkartendaten (und andere Kontodaten) nicht speichert. Für den Shop-Betreiber ist es zudem praktisch, da man sich um die technischen Belange und die Sicherheit des Zahlungsvorgangs weniger kümmern braucht. > Wer hat hier Erfahrungen mit Bezahlsystemen und kann eines Empfehlen? Welches Anbieter du schlussendlich wählst, hängt von den Bedürfnissen des Kunden, dem Transaktionsvolumen, dem vorhandenen Geld und den Zahlungsmitteln ab. Zumal jeder seine Vor- und Nachteile hat. So gibt es einige, die verlangen wenig Geld pro Monat, haben dafür aber hohe Transaktionsgebühren. Andere verlangen hohe Einmalsummen, sind aber auf Dauer sehr günstig. Wenn ich Bezahlung per Kreditkarte brauche, wende ich mich in der Regel an Telekurs (Saferpay), da sie mir neben Saferpay auch einige Akzeptanzverträge aus einer Hand bieten. Wenn ich zu einem anderen Anbieter gehe, lande ich in den meisten Fällen für die Akzeptanzverträge ohnehin wieder bei Telekurs. Das macht übrigens auch das Vergleichen der verschiedenen Payment-Provider nicht ganz einfach, da einige an den Akzeptanzverträgen mitverdienen oder sie bei gewissen Umsätzen subventionieren. Allerdings ist das Payment- Interface von Saferpay nicht gerade das hübscheste auf dem Markt. Ich weiss nicht, warum sie sich den Designer gespart haben. Paypal ist ok, auch wenn man sich einigen Sachen bewusst sein muss, wenn man Paypal wählt. So versuchen sie teilweise in ihren AGB das Betrugsrisiko abzuwälzen. Auch können sie konnten sperren und sie dann erst mal für lange Zeit nicht rausrücken. Das ist aber kein Problem, solange alles gut geht ;) Übrigens: Ein sicheres Zeichen, dass man mit einem Anbieter nicht zusammenarbeiten will, findet sich in der Schnittstellen- Spezifikation. Wenn die Daten per GET an den Anbieter übertragen werden, lässt sich das nämlich wunderbar trotz SSL mitlesen, weil die URLs nicht verschlüsselt werden -- erst die Header und der Request Body (also auch POST-Daten). Gruss, Andreas
php::bar PHP Wiki - Listenarchive