Название продукта: Feeasy (feeasy.me safe data operations)

Описание: система безопасного хранения и обработки данных, сервис добровольных платежей на ее базе

Юрлицо: ООО «Дилайт Софт»

Год создания: 2014

Основатели: Александр Власов, Станислав Сергеев

Команда:  5 человек

Оборот компании: не раскрывается

Число клиентов: не раскрывается

Стадия: действующий сервис

Дата выхода на рынок: июль 2015

История инвестиций: существует на средства основателей

Институты развития: участник акселерационной программы Alpha Lab в 2014 и 2015 годах, резидент кластера FutureFintech. Сотрудничает с HSE Incubator (НИУ ВШЭ), ФРИИ, NUMA

 

Контакты:

Сайт: https://feeasy.me/

Facebook: https://www.facebook.com/feeasyme/?fref=ts

Email: pekaoka@gmail.com

Телефон: +79254468348

Какие задачи решает продукт?

— Feeasy обеспечивает безопасное хранение информации, при котором массово раскрыть хранящиеся на сервере данные невозможно. Сейчас наша технология реализована в виде системы денежных переводов между физическими лицами и подключена к API Альфа-Банка. Она позволяет проводить платежи между банковскими картами физических лиц, не показывая номера карты. Вместо этого используется гиперссылка или ее графическая интерпретация в виде QR-кода, который не несет в себе ничего, кроме внутреннего идентификатора системы — разновидности токена, постоянного или временного идентификатора.

Кто является целевой аудиторией?

— Наша целевая аудитория в широком смысле — это компании, которые хранят клиентскую информацию у себя, и при этом сами не разрабатывают системы безопасного хранения и обработки данных. Это касается, государственных организаций, массовых сервисов, банков, интернет-магазинов, мобильных приложений. И в том числе сервисов, которые обеспечивают денежные переводы между физическими лицами и заинтересованы в их безопасности.

Feeasy — это сервис безопасного хранения и обработки клиентских данных, в том числе данных банковских карт и ключей цифровых подписей. Создатели обещают, что массовой утечки информации с серверов не произойдет, а единственный источник риска — поведение самих клиентов. Пока Feeasy реализовало технологию для хранения PAN банковских карт физических лиц и работает в формате сервиса для сбора пожертвования и денежных переводов между физическими лицами.

За время акселерационной программы Alpha Camp мы создали сервис, который дает возможность пользователям переводить деньги и получать платежи, не демонстрируя банковские реквизиты. Вместо этого для каждого номера банковской карты система генерирует гиперссылку или уникальный QR-код. Для каждой карты таких кодов может быть любое количество. Ожидая перевода на карту (гонорараров, например), получатель платежей может создать на странице генерации отдельные коды для каждого из отправителей. Важно, что такие коды не содержат никакой персональной или банковской информации и имеют значение только для системы хранения данных.

QR-коды не содержат никакой персональной или банковской информации.

Чем такой сервис может пригодиться физическим лицам? Feeasy можно использовать для сбора средств, (например, на благотворительность), чаевых в кафе и ресторанах, для перевода гонораров фрилансерам. Принцип работы сервиса можно описать как «пассивную картинку-попрошайку».

Мы сотрудничаем с несколькими стартапами, с которыми познакомились на Alpha Camp в 2014 и 2015 году. Наше API существенно ускоряет и упрощает процесс подключения функционала переводов между картами для них. Реши они делать это напрямую через банк — потребовалось бы значительно больше времени. Большинство вопросов по согласованию нами было решено еще до стадии подписания договора с банком, а нюансы подключения API мы решаем в рабочем порядке, без волокиты. Одним из наших партнеров — это агрегатор объявлений для посуточной аренды недвижимости RealtyCalendar.

 

Опишите технологию, лежащую в основе.

— Отправитель платежа считывает код с помощью приложения для iOS или Android, которое автоматически подтягивает данные в интерфейс банка. Таким образом, плательщик не видит реквизиты получателя и не тратит время на их ввод. Ему остаётся только ввести реквизиты своей банковской карты. Затем он выбирает сумму и если хочет, оставляет сообщение получателю. На последнем этапе он обязательно подтверждает свой платеж одноразовым паролем через SMS-сообщение, которое отправляет ему банк. Эта услуга отличается от предлагаемой многими банками услуги перевода с карты на карту, прежде всего тем, что получателю платежа не нужно делать очень странные и опасные вещи — такие как публичное размещение реквизитов. Второе отличие, что отправителю не нужно вводить вручную данные банковских карт получателя.

В настоящее время Feeasy существует как действующая система безопасного хранения данных PAN банковских карт физических лиц и выполняет функцию платежного шлюза электронных переводов между физическими лицами для компаний, предоставляющих сервис p2p-переводов (peer-to-peer). Мы создали программную платформу, которая позволяет исключить возможность масштабной утечки данных с центральных серверов. Возможны только единичные случаи утечки — и то со стороны пользователя и при условии, что он сам халатно относится к хранению информации.

В вечной борьбе «защита-взлом» или «щит и меч» побеждает тот, кто делает атаку не выгодной

Реализовано это в общих чертах так: на серверах хранится примерно половина данных в анонимных идентификаторах.  Чтобы узнать номер карточки сначала надо «вытащить» код у получателя платежа, расшифровать его и только тогда свести данные, узнав наш формат. Если злоумышленник решит по коду провести хоть какую-то атаку на конкретную банковскую карту, то единственный вариант — это слить всю базу и только потом вылавливать коды у конкретных людей. Естественно, что трудоемкость, стоимость и покрытие рисков  такой атаки будут выше, чем возможная выгода от хищения средств. В вечной борьбе «защита-взлом» или «щит и меч» побеждает тот, кто делает атаку не выгодной.

Если нарушены требования стандарта PCI DSS, то все данные карты «утекают». Если злоумышленники проникают  нашу систему, то всех данных конечного обладателя злоумышленник все равно не получит, просто потому что мы сами ими не обладаем. На серверах в разделенном виде хранятся идентификаторы, которые еще нужно сводить.  А сделать это без активного участия каждого пользователя невозможно.

Как эта технология может быть использована финансовыми организациями?

Разработка Feeasy может использована банками для:

  1. повышения безопасности хранения данных и удорожания стоимости атаки, делая ее экономически невыгодной.
  2. смещения зон ответственности за раскрытие данных: данные на серверах не могут быть вскрыты без халатного участия индивидуального пользователя.
  3. быстрого развертывания процессов взаимодействия со стартапами и сервисами, которые работают в области p2p-переводов: чем больше людей будет пользоваться электронными платежами, тем больше будут остатки на депозитах для совершения таких операций. А это одна из самых желанных целей любой кредитной организации.
  4. создания платежного шлюза электронных переводов между физическими лицами.
  5. повышения транзакционной активности через дополнительные интерфейсы, соединяющие офлайн и онлайн-сценарии коммуникации с клиентом

Со временем мы хотели бы представлять такой сервис, чтобы банкам для его использования не пришлось модифицировать свой процессинг, системы фрод-мониторинга. Да и для надзорных органов электронные платежи — это всегда более прозрачно, чем наличные расчеты. Но пока, в России слишком маленький рынок электронных  платежей, и, как следствие, выгодоприобретатели пока еще не появились.

В первой акселерационной программе Alpha Lab мы принимали участие с другим проектом, который назывался Molotoken. Мы проверили несколько гипотез по монетизации сервиса облачной токенизации, для операций в которых банковские карты физически не представлены. Такая технология занимает свое естественное место в системе Host Card Emulation  и поддерживает технологию бесконтактных платежей на основе NFC.

С какими проблемами вы столкнулись?

  1. отсутствие достаточного объема операций электронных переводов между физлицами;
  2. исторически сложившаяся ситуация: банки скорее выполняют функции, которые им  делегирует регулятор, чем ориентируются на рынок;
  3. структура финансового рынка: он слишком дефрагментирован и состоит из 2-3 сильных игроков, все остальные сильно отстают, как по размеру, так и в технологическом отношении;
  4. массовый cash out, увод физическими лицами своих вкладов в наличные, снижение остатков на депозитах и электронного денежного оборота.

Мне кажется, в России не хватает промежуточной части экосистемы между банками и международными платежными системами, которая бы обслуживала их взаимодействие. Кроме того, законодательная база требует обработки всех данных на территории страны. Например, в Америке, Европе, Австралии Visa предлагает банкам свой собственный сервис, чтобы банки могли модифицировать свой процессинг, что для них в любом случае — источник существенных затрат. Вместо этого им предлагают использовать некоторые существующие мощности компании Visa. В России своя специфика: очень много примеров «самопального» процессинга, и это затрудняет принятие таких решений.

Какие проекты, решающие похожие или смежные задачи, вы знаете?

— В некоторой степени похожие на наши задачи решает программа-клиент системы авторизации E-num, предназначенная для генерации уникальных кодов доступа к программам и сервисам WebMoney. Переводы с карты на карту через системы типа «кошелек» осуществляют PayPAL, YandexMoney, QIWI. Еще один пример — сервис Qlipe от Cloudpayments, который специализируется на процессинге, а QR-коды использует только, когда получатель платежа — юрлицо. Те же задачи, что и мы, решают платежные сервисы, созданные самими банками. Только мы позволяем дополнить их систему новыми возможностями повысить транзакционную активность и остаток средств на депозитах.

Наша цель сейчас — продемонстрировать безопасный способ хранения данных и одновременно — способности команды, чтобы войти на рынок хранения и обработки данных в областях, где хранение данных не является специализацией организаций, но играет существенную роль.

Какова предусмотренная модель монетизации вашего проекта?

  1. платное подключение сервисов, которые обеспечивают в рамках своих услуг переводы между физическими лицами.
  2. по договору с банком мы также получаем комиссионное вознаграждение с суммы перевода
  3. платная разработка отдельных систем на основе технологии хранения данных для организаций и компаний связанных с их хранением, но не специализирующихся на безопасности.

 Как вы строите отношения с инвесторами?

— До того, как мы выйдем на уровень устойчивого спроса и стабильной экономики проекта, мы отказалась от идеи привлечения инвестиций. Когда мы достигнем намеченных показателей, то будем привлекать инвестора для масштабирования на условиях вложения в прибыль, а не в команду. При необходимости мы можем сократить или дополнить команду, и как сооснователи сервиса готовы на замену своих функций специалистами на этапе роста компании, если возникнут новые требования к компетенциям.