Opinião.21 Mar 2013

Pagamentos Online

Numa primeira análise a integração de um mecanismo de pagamento online num site pode parecer algo complexo e pesado tendo em conta a diversidade de modalidades de pagamento e serviços envolvidos, mas na realidade os requisitos de segurança são transversais a todos os tipos de pagamento.

Qualquer comerciante para receber pagamentos que envolvam cartão de crédito terá de dispor de uma conta bancária, se estes pagamentos forem feitos online será necessário pedir especificamente uma Internet Merchant Account (IMA). Mesmo que os pagamentos não sejam feitos por cartão de crédito, como é o caso dos pedidos efetuados por e-mail, continua a ser necessário comunicar ao banco os pagamentos provenientes do site, mantendo-se a necessidade de um identificador específico (IMA ID).

Em termos gerais o banco do comerciante funciona como um comprador, confirmando que a quantia envolvida está disponível, autorizando a transação e recebendo o valor proveniente do banco associado ao proprietário do cartão. O valor é então transferido para a conta do comerciante com a subtração das taxas cobradas pelo serviço. Estas taxas devem ser acordadas antes da subscrição do serviço.

O banco por outro lado exige que o site do comerciante funcione de acordo com um conjunto de regras, de modo a respeitar as suas normas de segurança e a própria legislação.

Além do IMA o comerciante também terá de recorrer a um payment service provider (PSP). Habitualmente o PSP encarrega-se das páginas do site onde o comprador insere os seus detalhes de pagamento. O PSP fornece um ponto de venda virtual que recolhe os dados do cartão em ambiente seguro, para os passar depois ao banco do comerciante para processamento.

Geralmente os PSP disponibilizam várias modalidades para se ajustarem aos diferentes tipos de comerciante, mas a principal diferença está relacionada com o mecanismo de pagamento seguro ficar alojado no servidor do PSP, ou no servidor do site do comerciante. A desvantagem do primeiro reside no facto dos compradores serem encaminhados para o site do PSP para efetuar o pagamento. Além disso a liquidação dos pagamentos poderá ser mais demorada do que a assegurada integralmente pelo site, podendo chegar a 60 dias. O serviço geralmente também é mais dispendioso por incluir o alojamento.

Nem todos os PSP apresentam esta demora na liquidação dos pagamentos, o PayPal e o Google Checkout na maioria dos casos transferem os valores para a conta do comerciante imediatamente após a compra.

Em termos genéricos o processo de compra deverá envolver os seguintes passos:

Pedido
O Cliente adiciona os produtos que pretende ao Carrinho de Compras. A página do Carrinho deve ser SSL Encrypted para reforçar a confiança do comprador.

Checkout
Ao aceder a esta página poderão ser solicitados vários elementos, dados de login (caso tenha criado uma conta anteriormente), opções de envio, e dados pessoais como o contacto e a morada de envio e de faturação. Depois de submetidos e validados os dados, a informação é encriptada e guardada na base de dados do site. Nesta fase, consoante a modalidade contratada com o PSP, o utilizador é encaminhado para o site deste ou a função encarregue do processamento efetua um pedido à API do PSP a solicitar a transferência através dos dados encriptados. A função deverá incluir alguns parâmetros como o ID do comerciante, a referência atribuída à compra, o total da transação, a moeda e os dados de faturação inseridos anteriormente.

Pagamento
Nesta fase é possível manter o utilizador no site do comerciante desde que o PSP disponibilize essa opção, mas a forma mais simples é encaminhar o comprador para uma página do PSP apresentando os dados preenchidos no site do comerciante. Assim que toda a informação for submetida e o pagamento for efetuado o utilizador será reencaminhado novamente para o site do comerciante.

Para que a operação decorra sem interrupções os dados do cartão do comprador terão de ser autenticados pelo PSP segundo os procedimentos de segurança deste, a quantia a debitar do cartão autorizada e só depois o montante será transferido para a conta do comerciante. Na realidade o comerciante não recebe o pagamento de imediato, este só se torna efetivo após o envio da encomenda. O PSP deve enviar o resultado da transação para o site do comerciante com o código correspondente à compra, para identificar o pedido, junto com as informações de segurança da transação.

Confirmação
Ao regressar ao site do comerciante o utilizador deve encontrar uma página com a indicação de pagamento aceite, ou recusado. A informação enviada pelo PSP para o comerciante deverá ser utilizada para criar um registo na base de dados do site de modo a apresentar ao comprador e ao comerciante a informação relativa a cada compra efetuada.

Cabe ao comerciante adotar a solução mais adequada à dimensão e características do seu negócio. Algumas soluções são mais interessantes pela facilidade de integração outras pelo preço e outras ainda pela flexibilidade, mas o que é importante reter é que qualquer que seja o mecanismo adotado deve ter em conta as diretivas do Payment Card Industry Data Security Standard (PCI DSS) no que respeita a guardar, aceder e processar informação sensível de cartões de crédito.

Estas regras aplicam-se a todos os organismos ou comerciantes, independentemente da sua dimensão ou número de transações e o seu incumprimento, uma vez que são exigências dos emissores de cartões de crédito, implica o pagamento de uma multa.

Jorge Mendes