אמצעי תשלום שעבר הצפנה באמצעות אסימון (טוקניזציה)

סקירה כללית

אמצעי תשלום (אמצעי תשלום) שעבר תהליך של הפיכה לאסימונים הוא סוג אחד של שילוב תשלומים בפלטפורמת התשלומים. כדי שמשתמש יוכל לשלם באמצעות אמצעי התשלום הזה, Google ומטמיע התשלומים חייבים לבצע החלפה חד-פעמית של פרטי כניסה לזהות החשבון. בסיום התהליך, המערכת יוצרת אסימון שמייצגת את אמצעי התשלום של אותו משתמש. לאחר מכן ניתן להשתמש באסימון הזה לביצוע תשלומים שוב ושוב. כרגע יש 2 גרסאות של ממשקי ה-API האלה. גרסה 2 תומכת בספקי סלולר ובספקים של מספרי אסמכתה. כל שאר ספקי אמצעי התשלום שעברו תהליך ליצירת אסימונים צריכים להטמיע את גרסה 1. שאר המידע במסמך הזה מתמקד בגרסה 1.

Google משתמשת בשני תהליכים כדי להזדהות וליצור את האסימון הבא:

1. תהליך אימות: משמש לזיהוי המשתמש ולאימות שלו.
2. תהליך השיוך: יוצר אסימון למשתמש (חדש או זוהה ואומת בעבר). האסימון הזה מייצג אמצעי תשלום מסוים של משתמש מסוים. לאחר מכן ניתן יהיה להשתמש באסימון ברכישות עתידיות.

לאחר יצירת האסימון, Google תשתמש בו בתהליך הרכישה כדי לספק למשתמשים חוויית תשלום מהירה וחלקה. Google משתמשת באסימון הזה כדי לייצג מופע של אמצעי תשלום אצל לקוח. הוא נקרא גם כלי נגינה. ייתכן שללקוח Google יהיו כמה אמצעים לתשלום על מוצרים ושירותים.

לבסוף, כל העברת הכסף בין הבנק של מבצע השילוב לבין הבנק של Google מתבצעת בתהליך העברת הכספים.

בתרשים הזה מוצגת סקירה כללית רחבה של התהליכים:

סקירה כללית של אמצעי תשלום שעבר הצפנה באמצעות אסימון (טוקניזציה)

ככלל, הוספת השירות שלכם כאמצעי תשלום למוצרי Google כוללת את התהליכים הבאים:

1. תהליך האימות
2. תהליך השיוך
3. תהליך רכישה
4. תהליך ההחזר הכספי
5. תהליך העברת הכספים

התהליכים האלה מתוארים בפירוט בקטעים שבהמשך, ובפירוט רב יותר בקטע המדריכים.

מושגים וטרמינולוגיה

סמלים כנסים

מילות המפתח "חייבים", "אסור", "REQUIRED", "הכול", "לא יהיה", "צריך", "אסור", "מומלץ", "MAY," ו'אופציונלי' במסמכים האלה, המערכת תפרש אותם כפי שמתואר ב-RFC 2119.

חותמות זמן

כל חותמות הזמן מיוצגות באלפיות שנייה החל מתחילת יוניקס (Unix epoch) (ב-1 בינואר 1970) לפי שעון UTC.

לדוגמה:

• 23 באפריל 2019 20:23:25 לפי שעון גריניץ' (GMT) = 1556051005000 אלפיות השנייה
• 16 באוגוסט 2018, 12:28:35 לפי שעון גריניץ' (GMT) = 1534422515000 אלפיות השנייה

סכומים

ערכים כספיים ב-API הזה הם בפורמט שנקרא 'מיקרו', תקן ב-Google. רכיבי מיקרו הם פורמט מבוסס-מספר שלם עם דיוק קבוע. כדי לייצג ערך כספי במיליוניות השנייה, מכפילים את ערך המטבע הסטנדרטי ב-1,000,000.

לדוגמה:

• 1.23 דולר ארה"ב = 1230,000 מיקרו דולר ארה"ב
• 0.01 דולר ארה"ב = 10,000 מיקרו דולר ארה"ב

האידמפוטנטיות

כל הקריאות ל-method ב-API הזה חייבות להיות בעלות התנהגות אידמפוטנטית. Google תנסה שוב ושוב לבדוק בקשות כדי לוודא שהעסקאות באותו מצב בשני הצדדים. למטמיעים אסור לנסות לעבד מחדש בקשה שכבר עובדה בהצלחה. במקום זאת, יש לדווח על התשובה לעיבוד המוצלח. לכל השיטות יש RequestHeader משותף שמכיל requestId. requestId זה הוא המפתח האידמפוטנטי לכל הקריאות.

אסור לעבד כל תגובה שאינה מסוף (תגובה שאינה HTTP 200-הצלחה). לכן, אם הבקשה קיבלה קודם לכן ערך 400 (בקשה שגויה/תנאי מוקדם שנכשל), כשהיא מופעלת בפעם השנייה, אסור שתחזיר את הערך 400 באופן אידמפוטנטי, ויש לבדוק אותה מחדש. בבדיקה מחדש היא עשויה להחזיר שגיאה מסוג 400 או שהעיבוד שלה הושלם בהצלחה.

מידע נוסף על אידמפוטנטיות זמין במדריך המפורט הזה.

מבצע השילוב

חברה שמשתמשת בפלטפורמת התשלומים של Google בעסק שלה. הוא יכול להיות גם פנימי (צד ראשון), כמו YouTube או AdWords, והוא יכול להיות גם עסק חיצוני (צד שלישי) שרוצה לשלב את השירות שלו כדי לעבוד עם הסביבה העסקית של Google.

אמצעי תשלום

אמצעי תשלום. זה כלי כללי יותר מכלי נגינה. Visa, Mastercard ו-PayPal הם אמצעי תשלום מסוג FOP.

מכשור

מופע ספציפי של אמצעי תשלום שצויין על ידי לקוח ספציפי. לדוגמה, כרטיס האשראי של המשתמש או חשבון PayPal שלו. אמצעי תשלום שעבר תהליך של יצירת אסימונים ללקוח מסוים הוא גם אמצעי תשלום, מפני שהוא דוגמה של אמצעי תשלום לאותו לקוח, שמאוחסן באופן מאובטח במערכת שלנו.

אסימון

ייצוג במערכת של Google של אמצעי התשלום של משתמש ספציפי. אסימון הוא גם אמצעי תשלום, כי הוא מכיל את כל המידע שדרוש לביצוע רכישה. פרטים כאלה עשויים לכלול מידע כמו מספר החשבון של המשתמש אצל מבצע השילוב.

תהליכי מפתח

תהליך האימות

אימות הוא התהליך הראשון שצריך לבצע. המטרה של תהליך האימות היא לזהות את המשתמש שמבצע את השילוב ולאמת אותו. אימות יכול להתרחש בכמה דרכים. באמצעי תשלום שעברו הצפנה באמצעות אסימון (טוקניזציה) יש שתי דרכים לזהות את המשתמש ולאמת אותו:

1. אימות OTP באמצעות SMS-MT (הגדרת SMS בנייד, סיסמה חד-פעמית)
2. הפניה אוטומטית לאימות

בתהליך ההצטרפות, מבצעי השילוב עובדים עם Google כדי לבחור את מנגנוני האימות שהכי מתאימים למוצר שלהם.

אפשר להשתמש בתהליכי אימות בשני הקשרים: הראשון כדי לזהות לקוח חדש כדי לבצע שיוך, והשנייה היא לאמת את פרטי הכניסה של מכשיר קיים. התוצאה של תהליך האימות יכולה לשמש כקלט לכמה תהליכים, כמו תהליך השיוך, תהליך הרענון של אסימון, תהליך הרכישה שאומת ועוד. בנוסף, אפשר להשתמש בתהליך האימות במצב עצמאי, ולא להיות משויך לאף תהליך נוסף.

אימות OTP באמצעות SMS-MT

במנגנון האימות הזה, המשתמש מזין מספר טלפון בממשק המשתמש של Google. Google שולחת את מספר הטלפון הזה לכלי השילוב (באמצעות שיטת sendOtp). מבצע השילוב שולח למשתמש סיסמה חד-פעמית. המשתמש מזין את הסיסמה בממשק המשתמש של Google, ששולח אותה יחד עם מבצע השילוב. פעולה זו תפעיל תגובה מוצלחת על ידי הכלי לשילוב תשלומים.

כשמשתמשים באימות SMS-MT OTP במצב עצמאי, הערך של ה-OTP נשלח לכלי השילוב באמצעות השיטה verifyOtp. השיטה הזו מאמתת שה-OTP שסופק היה זה שנשלח.

הפניה אוטומטית לאימות

אימות של הפניה אוטומטית מתבצע כאשר Google מפנה את המשתמש לאפליקציה בבעלות מבצע השילוב. האפליקציה הזו יכולה להיות אתר או אפליקציה ל-Android.

הפניות אוטומטיות ל-Android ולהפניות לאתרים מתנהגות באופן דומה. Google מפנה את המשתמשים לאפליקציה של מבצע השילוב. מבצע השילוב מזהה ומאמת את המשתמש בכל צורה שהיא הטבעית ביותר עבורו. לאחר האימות, מבצע השילוב מפנה את המשתמש חזרה לממשק המשתמש של Google כדי לסיים את השיוך. אחרי הפניה אוטומטית, Google מספקת requestId כדי לזהות את סשן האימות. המזהה הזה ישמש לאחר מכן להוכחת זהות במהלך השיוך.

משלבים שבוחרים בתהליך הזה חייבים לספק כתובת URL לאימות באינטרנט, כי זהו המכנה המשותף ביותר בכל הפלטפורמות (מחשב או נייד). עם זאת, מומלץ מאוד לבצע אימות ב-Android כדי לספק את חוויית המשתמש הטובה ביותר בנייד.

בהתאם להקשר של המכשיר ולאפליקציות שהותקנו, ממשקי המשתמש של Google יבחרו את האתר או את ההפניה האוטומטית של האפליקציה ל-Android.

מנגנון האימות הזה נותן למבצעי השילוב את החופש המקסימלי. יש הרבה דרכים לאמת משתמש ולזהות אותו. שם משתמש וסיסמה, או שאלות אבטחה ומידע ביומטרי הם שני פתרונות שימושיים. Google לא מתכוונת להכתיב איך מבצע השילוב יאמת את המשתמש. מבצע השילוב מטפל באימות המשתמש. כך Google מתכוונת לנצל את ממשקי המשתמש השונים של מבצע השילוב כדי לאמת את המשתמש, ופשוט לספק ל-Google הוכחת אימות.

למידע נוסף על אימות, אפשר לעיין במדריך המפורט הזה.

תהליך ההתאגדות

אחרי תהליך האימות באמצעות אחד מהמנגנונים שצוינו למעלה, המשתמש עובר בתהליך השיוך. מטרת תהליך השיוך היא ליצור אסימון Google Payment (GPT) כדי ליצור אמצעי תשלום. התהליך הזה מבצע את הפעולות הבאות:

1. מנהל משא ומתן לגבי זהות שנקראת אסימון לייצוג המשתמש הזה.
2. מספקת את פרטי החשבון כדי לסייע למנוע הסיכון של Google.
3. איסוף פרטי ההגדרה הראשונים הנדרשים כדי ליצור וליצור GPT.

התוצאה היא שGPT מוסכם גם על ידי Google וגם על מבצע השילוב.

ייתכן ששני משתמשי Google יחלקו את אותו חשבון משתמש עם מבצע השילוב. במקרה הזה, לכל משתמש יהיה אמצעי תשלום שונה. לכל כלי יש תהליך שיוך עצמאי, ולכן GPT ייחודי.

האיור הזה ידריך אותך באמצעי תשלום מזויף שעבר תהליך ליצירת אסימונים בשם InvisiCash. כאן מוצגים השלבים שהמשתמש יבצע בתהליך האימות ובתהליך השיוך.

סקירה כללית של תהליך השיוך

1. משתמשת ב-Google עם כתובת האימייל sf@gmail.com רוצה להוסיף את חשבון InvisiCash שלה לחנות Google Play כדי שהיא תוכל להשתמש בו לביצוע רכישות.
2. אפליקציית InvisiCash תיפתח בחנות Google Play כדי לבצע אימות.

3. המשתמשת מתחברת לחשבון InvisiCash שלה באמצעות כתובת האימייל sally@otheremail.com. ייתכן שהיא משתמשת בכתובת האימייל שלה ב-Gmail עבור שניהם, אם זו פרטי ההתחברות שלה לחשבון InvisiCash.

4. אפליקציית InvisiCash שולחת את מזהה האימות בחזרה לחנות Google Play.

5. חנות Google Play שולחת את מזהה האימות לשרתי Google.

6. שרת Google שולח הודעה לשרת InvisiCash כדי לשייך את החשבון. השיוך הזה כולל מזהה אימות, GPT (אסימון Google Payment) ומזהה שיוך.

7. בשרתי InvisiCash מאוחסנים אסימון התשלום של Google (GPT) ומזהה השיוך. שתיהן משויכות עכשיו לחשבון InvisiCash של סאלי.

8. InvisiCash מאשרת את השיוך הזה. לאחר מכן, השרתים של Google יוצרים כלי שיכול לשמש לרכישות עתידיות.