Création d'une passerelle de paiement en ligne complète comme Paypal [fermé]

Cette question ne concerne donc pas l'intégration d'une passerelle de paiement existante dans mon site. C'est plus une question architecturale.

Je souhaite construire un système similaire à Paypal. Maintenant, je comprends que Paypal offre beaucoup de fonctionnalités sous le toit et je ne peux pas toutes les implémenter en même temps. Je souhaite implémenter la fonctionnalité de base de Paypal et d'autres services similaires.

Ma question est donc (plutôt la discussion est) de savoir comment procéder pour construire un tel système. Quelques points à discuter:

1. Traitez les paiements via les banques existantes. Je suppose que j'aurais besoin d'accéder aux protocoles bancaires locaux pour obtenir cela.
2. Permettre aux utilisateurs de stocker et de traiter leurs paiements en toute sécurité
3. Comment Paypal gère-t-il les transactions?

Pensées?

Ce dont vous parlez, c'est de devenir un fournisseur de services de paiement. J'y suis allé et j'ai fait ça. C'était beaucoup plus facile il y a environ 10 ans qu'aujourd'hui, mais si vous disposez d'une quantité phénoménale de temps, d'argent et de patience, c'est toujours possible .

Vous devrez contacter une banque acquéreuse. Vous n'avez pas dit dans quelle région du monde vous vous trouvez, mais je ne parle pas d'une succursale bancaire locale. Chaque grande banque aura généralement un bras d'acquisition de cartes distinct. Donc, ici au Royaume-Uni, nous avons (par exemple) la banque Natwest , qui utilise Streamline (ou Worldpay) comme bras d'acquisition. Au total, même si nous avons des dizaines de grandes banques, elles finissent toutes par utiliser l'un des cinq acquéreurs de cartes.

Heureusement, tous les acquéreurs de cartes britanniques utilisent un protocole standard pour la communication des demandes d'autorisation et le règlement de fin de journée. Vous trouverez des bizarreries mineures où certaines banques acquéreuses prennent en charge certaines fonctionnalités et ont une syntaxe légèrement différente, mais les différences sont assez mineures. Les normes britanniques sont publiées par l' Association for Payment Clearing Services (APACS) (maintenant connue sous le nom de UKPA). Les normes sont encore communément appelées APACS 30 (autorisation) et APACS 29 (règlement), mais sont maintenant officiellement connues sous le nom d'APACS 70 (livres 1 à 7).

Bien que la norme APACS soit largement prise en charge à travers le Royaume-Uni (Amex et Discover acceptent également les messages dans ce format), elle n'est pas utilisée dans d'autres pays - chaque pays a le sien - par exemple: Carte Bancaire en France, CartaSi en Italie, Sistema 4B en Espagne, Dankort au Danemark, etc. Un effort est en cours pour unifier les protocoles à travers l'Europe - voir EPAS.org

La communication avec la banque acquéreuse peut se faire de plusieurs manières. Encore une fois, cela dépendra de votre région. Au Royaume-Uni (et dans la majeure partie de l'Europe), nous avons une passerelle de communication qui fournit la connectivité à tous les principaux acquéreurs, ils s'appellent TNS et il existe des dizaines de façons de communiquer à travers eux à la banque acquéreuse, des modems commutés à 9600 bauds, RNIS, HTTPS, VPN ou ligne dédiée. Finalement, la demande d'autorisation sera convertie en protocole X25, qui est le protocole utilisé par ces banques acquéreuses lors de la communication entre elles.

En résumé donc: tout dépend de votre région.

• Contactez une grande banque et essayez d'accéder à son service d'acquisition de cartes.
• Expliquez que vous vous configurez en tant que fournisseur de services de paiement et demandez des détails sur le format des communications pour les demandes d'autorisation et les fichiers de règlement de fin de journée
• Créez un compte marchand de test et développez un logiciel d'authentification / de règlement et passez par le processus d'accréditation. La plupart des acquéreurs vous aident à travers ce processus gratuitement, mais lorsque vous souhaitez vous inscrire en tant que PSP accrédité, certains vous demanderont des frais.
• vous devrez également vous conformer à certaines réglementations, par exemple vous devrez peut-être vous enregistrer en tant qu'établissement de paiement

Une fois que vous êtes inscrit et accrédité, vous serez alors en mesure d'accepter des clients et de créer des comptes marchands au nom de la ou des banques auprès desquelles vous êtes accrédité (sachant que chaque acquéreur prendra généralement en charge plusieurs banques). Rincez et répétez avec d'autres acquéreurs si vous le jugez nécessaire.

Au-delà de cela, vous avez beaucoup d'autres problèmes, principalement liés à PCI-DSS. C'est un tout autre sujet et il y a déjà quelques questions et réponses sur ce site à ce sujet. Comme je l'ai dit, c'est une entreprise phénoménale - probablement un projet pluriannuel, même pour une équipe de taille raisonnable, mais c'est certainement possible.

Grande tâche, il y a de fortes chances que vous ne réinventiez pas la roue plutôt qu'en utilisant une roue existante (comme paypal).

Cependant, si vous insistez pour continuer. Commencez petit, vous pouvez utiliser une installation de traitement des cartes de crédit (Moneris, Authorize.NET) pour traiter les cartes de crédit. La plupart des fournisseurs ont une API que vous pouvez utiliser. Méfiez-vous du fait que vous devrez peut-être utiliser différents fournisseurs en fonction du type de carte (Discover, Visa, Amex, Mastercard) et du pays (USA, Canada, UK). Alors, construisez-le de manière à pouvoir communiquer avec plusieurs API de traitement de carte de crédit.

La sécurité est essentielle si vous stockez des cartes de crédit et des détails de paiement. Assurez-vous que vous cryptez correctement les choses.

Encore une fois, ne réinventez pas la roue. Vous feriez mieux d'utiliser un fournisseur existant et de concentrer votre attention de développement sur la résolution d'un problème qui ne peut pas être facilement acheté.