כל מי ששוקל להתחיל לקבל תרומות ברשת כדאי שיידע - הקמת עמוד תרומה הינה צעד חסר כל משמעות.
מאז ומעולם אנו אומרים ללקוחותינו - מי שפותח עמוד תרומה ויושב לחכות - עדיף שיבזבז את זמנו על חוף הים עם בירה טובה, או בכל פעילות פנאי אחרת החביבה עליו. זאת מכיוון שללא תמיכה שיווקית, ותכנון חכם ומוקדם, עמוד תרומה נשאר בודד יותר מאביגדור ליברמן בכנס של שלום עכשיו.

רבים מלקוחות לתרום קום ואנשי אירגוני העל (שתי"ל לדוגמה) כבר יודעים בעל פה את מספרי הטלפון או כתובות המייל שלנו, מכיוון שאנו מספקים ייעוץ והכוונה על בסיס קבוע לכל מי שמבקש. אם זה עזרה בתכנון מכירת חולצות, תכנון דפי נחיתה לקמפיינים של משרדי פרסום, סיוע והדרכה בבניית עמודי תשלום חיצוניים ועוד.

בשנים האחרונות סיפקנו מידע והדרכה לאירגונים רבים, חלקם אפילו לא לקוחות שלנו. כל זאת במטרה להרחיב את השימוש בכלים שאנו מספקים, ולהגדיל את שוק התרומות האינטרנטיות בארץ. שוק זה עדיין נמצא מרחק רב מהמקום בו אנו רוצים לראותו, אולם חלה התקדמות משמעותית בשנה האחרונה ואנו בהחלט יכולים לזקוף חלק גדול ממנה לזכותנו.

חלק ממטרת הבלוג באתר הינה לחשוף מידע ונתונים, ולסייע למי שמגשש את דרכו בתחום. אולם איננו מספיקים לכתוב הכל ולשתף את המידע כפי שהיינו רוצים. לכן, אל תהססו ותמיד תיצרו עימנו קשר לפני העלאת קמפיין חדש.
למרות שאיננו גובים תשלום על ייעוץ, הידע והנסיון שלנו הינם הנרחבים ביותר בתחום התרומות האינטרנטיות בארץ, עם מאות קמפיינים ומליוני שקלים של הצלחות, עם חשיפה והיכרות גם לקמפיינים שנכשלו וניתוח הסיבות לכך, ועם ניתוחים סטאטיסטיים של עשרות אלפי התרומות והמתרימים שעברו דרכנו, אל תתפשרו על פחות מהטובים ביותר ואל תקפצו למים הקרים של הרשת מבלי להתייעץ עם שחיינים מקצועיים.

כרגיל - לכל שאלה או עניין - עמוד יצירת הקשר

הסתיים השלב הראשון בפיתוח הAPI המלא למערכת לתרום קום. מעכשיו מפתחים יכולים לבנות עמודי תשלום והתרמה בכל אתר או אפליקציית אינטרנט, ולהשתמש במערכת לתרום רק לביצוע הסליקה עצמה.

עד היום היה למערכת API חלקי, אשר איפשר להעביר לעמודי התשלום שלנו פרטים מטופס באתר אחר. מהיום ישנו גם API מלא המאפשר לבצע את כל פעולת הסליקה באמצעות המערכת שלנו, אבל עם הממשקים שלכם!

מה זה בכלל API?

API הן ראשי תיבות של Application programming interface - ממשק לפיתוח אפליקציות.

זהו למעשה ממשק קוד המאפשר לתוכנות אחרות להתחבר לתוכנה מסויימת.
בדיוק כמו בתוכנות לאייפון, או באפליקציות בפייסבוק, המשתמשות במערכת בסיסית ונותנות לה יכולות חדשות, הוא מאפשר להרחיב את היכולות הבסיסיות של כל תוכנה או להשתמש בכלים שלה לפיתוח תוכנות חדשות. במקרה שלנו הוא מאפשר לבנות עמודים או תוכנות חיצוניות משלכם, אשר ישתמשו מאחורה במערכת החיוב של לתרום קום לביצוע סליקות האשראי שלכם.

היתרון הגדול הוא ביכולת לייצר מערכות מורכבות יותר, העונות לדרישות ספציפיות מאוד, ועדיין להיעזר בנו לדברים החשובים והמורכבים ביותר - תהליך הסליקה עצמו, העבודה מול חברות האשראי, ניהול התורמים וכו'.

את ממשק המשתמש התורם עצמו - אתם כבר יכולים לבנות בהתאם לכל הצרכים שלכם!

++++++++++++++++++++++++++++++++

השימוש בו כמו גם התמיכה שנספק למפתחים - איננו כרוך בתשלום נוסף או כל עלות אחרת מצדנו. זהו חלק חשוב מאין כמוהו בשירות כשלנו ואנו מחכים לראות מה אתם תעשו איתו.

תיעוד ודוגמה בסיסית נמצאים במערכת הניהול תחת 'עזרה'.
מסיבות מובנות איננו מציגים אותה כרגע בחלק הפתוח של האתר, אלא רק לבעלי חשבונות סליקה.

חברי האגודה הישראלית למדע בדיוני ופנטסיה הקימו מיני-סייט למכירת אסופת סיפורי מד"ב. באתר עצמו ישנו מידע על הספר ובקרוב יופיעו גם ראיונות שונים הקשורים אליו.

שימו לב כי הם מאפשרים רכישה מקוונת של הספר באמצעות עמוד קמפיין, ומספקים גם כתובת להתקשרות לשאלות, צורות תשלום שונות ועוד. כמו שאנחנו תמיד ממליצים - ספקו כמה שיותר דרכי תשלום - לא רק כרטיס אשראי דרך האינטרנט.

המלצת שיפור משלנו - להוסיף אופציה לרכישת X פריטים, ע"י הוספת רמות תמחור נוספות לרשימת הסכומים:
W ש"ח - לשני ספרים במחיר רגיל
X ש"ח - לרכישת שני ספרים בהנחת חבר
Y ש"ח - לרכישת שלושה ספרים במחיר רגיל
Z ש"ח - לרכישת שלושה ספרים בהנחת חבר

וכו'.

שמחתי לראות את הדוגמה הזו, מכיוון שבדיוק שאלו אותי על הנושא לפני כמה ימים וזו דוגמה מצויינת לקשר ולהראות כאן, ובגלל שאמנם אינני חבר בעמותה, אך מד"ב ופנטסיה בהחלט נמנים על הדיאטה שלי מגיל אפס ועד היום.

בהצלחה וחגים שמחים

לאחר פתיחה שקטה של המערכת לקבלת כרטיסי אשראי מחו"ל, עלתה היום גרסת דפי התרומה באנגלית. זוהי רק גרסה ראשונה וחסרים בה עוד כמה שיפורים שיתווספו בקרוב.
ניתן להחליף את שפת כל עמוד תרומה ע"י לחיצה על הקישור המתאים (בראש העמודה השמאלית, או הימנית - בהתאם לשפה).

התשלום במערכת הינו שקלי בלבד - זאת מתוך רצון למקסם את אחוזי התרומה המועברים לעמותות. בעמוד באנגלית מופיעה למשתמש קוביה בצד עם חישוב דולרי של הסכום שהזין בשקלים, לפי השער היציג של בנק ישראל באותו הרגע.
אם היינו מאפשרים תשלום במט"ח, עלויות ההמרה וההעברה היו חותכות חלק ניכר מהתרומות לטובת ידידינו מהבנקים. אמנם אנחנו אוהבים את הבנקאים שלנו, אולם איננו סבורים כי התורמים שלכם רוצים בהכרח לתרום גם להם על חשבונכם. 

אנו יודעים כי זהו אינו פתרון ללא בעיות, וכי יהיו תורמים אשר יעדיפו לתרום במט"ח מסיבות מיסוי וכו'. אם נראה כי הדרישה לזה גבוהה במיוחד, ייתכן ובעתיד נפתח גם תשלומים במטבע זר, אולם אנו מעדיפים לנסות קודם כל את הגישה השקלית.

כמו תמיד, נשמח לקבל תגובות, הצעות ובקשות ממשתמשי המערכת. רק כך נוכל לספק לכם את השירות הטוב ביותר אשר עונה למירב צרכיכם.

+++++++++++++++++++++++++++++++++++++++

לגבי החידוש הקודם - אפשרות התרומה הטלפונית - עד כה ראינו כי אפשרות זו הוסיפה כעשרה עד חמישה עשר אחוז למחזור התרומות החודשי (בחודש אוגוסט).
חישוב זה כולל גם קמפייני רדיו שעלו החודש וכללו את מספר הטלפון של מוקד ההתרמה שלנו. במקרה של קמפיינים כאלו, אחוז התרומות הטלפוניות גדול בהרבה מהממוצע.

כחמישית מהפניות הטלפוניות היו רק לצורך בקשת מידע אודות העמותות.

כ70% מהפניות שהגיעו אחרי שעות עבודת המוקד - הפכו לתרומות (המוקד פעיל בין תשע וחצי בבוקר לשלוש אחר"ץ -לפי שעות מירב הפעילות במערכת).

התחלנו להכניס למערכות הניהול שלכם מידע אודות התרומות הטלפוניות, ובקרוב נוסיף עוד פרטים אודותיהן. כרגע ישנו רק סיכום, מתחת לסכום המצטבר, המראה כמה תרומות טלפוניות קיבלתם ומה היה סכומן המצטבר.

עד כה אנו מרוצים מאוד מפעילות המוקד וקיבלנו הרבה תגובות טובות גם מכם. בחודש עבודה אחד הוכח כי זו היתה התוספת המשמעותית ביותר לשירות מאז הקמתו.

 הידעת שהעמותה שלך יכולה לקבל סוגים שונים של תשלומים באמצעות לתרום. קום?
בזמן מיתון עמותות הרוצות לגייס כספים נדרשות ליצירתיות וחשיבה מחוץ לקופסא. אנו בלתרום קום שמחים לסייע, והיינו רוצים להציג לכם מספר רעיונות ודוגמאות.

גביית דמי חבר
הדרך הנוחה והפשוטה ביותר לגביית דמי חבר. אין צורך להשיג את החברים טלפונית וניתן לחסוך זמן ועלויות.
כל שצריך הוא לשלוח מייל לחברים, עם קישור לעמוד ההתרמה המתאים, ובלחיצת כפתור הם יכולים לבצע את התשלום בנוחות ובזמנם הפנוי.
*רבות מהעמותות המשתמשות בלתרום קום לקבלת דמי חבר מדווחות על עליה בתשלומים אלו.
דוגמאות
https://www.litrom.com/memberbekol
https://www.litrom.com/memebership

מכירת מוצרים
ניתן למכור, בקלות וביעילות ,לחברים ולתורמים פוטנציאלים מוצרים עם ערך מוסף, שהכנסותיהן מוקדשות למטרות העמותה.
יומן העמותה, לוח שנה בנושא העמותה, ספר הדרכה, חולצות מאבק וכו'. כל אלו ועוד, ניתנים למכירה באופן פשוט ונוח באמצעות האתר.
דוגמאות
https://www.litrom.com/?Artst_ID=540&camp=379
https://www.litrom.com/GiladTshirts

מכירת כרטיסים לאירועים
ניתן למכור כרטיסים לאירועי התרמה או אירועים מכל סוג אחר, הקשורים לעמותה שלך. כמו כן, בארועים עצמם ניתן להציב עמדת מחשב בה אנשים יכולים לתרום במקום, עם או בלי עזרת נציג מטעם העמותה.
דוגמאות
https://www.litrom.com/h10
https://www.litrom.com/default.asp?Artst_ID=955&camp=364

נשמח לשמוע ולראות דוגמאות נוספות. עזרה וייעוץ ניתן תמיד לקבל מאיתנו, רק צריך ליצור עימנו קשר.

כצעד משלים חדש לשירות האינטרנטי שלנו פתחנו מוקד טלפוני לקבלת תרומות ותשלומים. צעד זה נועד להקל על מי שרוצה לשלם ומפחד להעביר פרטים באינטרנט, אינו בעל גישה לרשת, או פשוט מעוניין במענה אנושי.

+++++++++++++++++++++++++++++++++

המוקד פועל בימי השבוע - מיום ראשון עד חמישי, מהשעה תשע וחצי ועד לשעה שלוש, בהתאם לשעות השיא של התרומות הנכנסות למערכת.
לאחר שעות העבודה מופיע בעמוד התרומה טופס קטן, בו אפשר להשאיר שם וטלפון - ונציגת השירות תחזור אל התורם בשעות העבודה למחרת.

מספר הטלפון של מוקד התרומות והתשלומים הוא: 1700-50-2344

אתם מוזמנים להשתמש בו, להוסיף אותו לאתריכם או לכל פרסום אחר, ואנו נמשיך להיות כאן בשבילכם.

+++++++++++++++++++++++++++++++++

בכל עמוד התרמה מופיע, בשעות העבודה, באנר חדש עם מספר הטלפון לתרומות ועם קוד מתרים.
את קוד המתרים רצוי למסור למוקדנית על מנת שתאתר במהירות את עמוד התרומה הרצוי, אולם ניתן לתרום גם לפי שם העמותה.

+++++++++++++++++++++++++++++++++

בזמן הבטא של השירות - עד לחודש אוקטובר -  אין עלויות נוספות על תרומות בטלפון.
לאחר מכן תעלה כל תרומה טלפונית כמה שקלים נוספים, לכיסוי עלותה היקרה יותר.

כמו תמיד, נשמח לשמוע מכם את דעתכם, בעיות, רעיונות וכו'. השירות מיועד בשבילכם וחשוב לנו לשמוע כל בקשה או דעה בעניין.

+++++++++++++++++++++++++++++++++

לתרום קום ממשיכה במרץ להוביל את נושא התרומות והתשלומים לעמותות ומלכ"רים בארץ, ומחוייבת כתמיד לשירות היעיל והטוב ביותר.
עם מחזור תשלומים של מליוני שקלים בשנה, ומאות גופים רשומים, אנו מובילים את השוק ומספקים ללקוחותינו את הכלים הטובים ביותר לגיוס תרומות וקבלת תשלומים.

 לתרום. קום שמחה להודיע :העמלה יורדת!!!

לתרום קום ממשיכה לצמוח ולגדול. צמיחה זו, שאיננה ברורה מאליה במצב השוק הנוכחי, הביאה לכך שאנו יכולים להכריז על הורדת עמלת השירות. החל מהעברת הכספים של חודש מאי 2009 (שתהיה ביוני 2009)  העמלה יורדת ל4.5% לפני מע"מ. 
צעד זה מסמן את צמיחתו של השירות ואת עמידתו מול שירותים דומים, מהגדולים בעולם, הגובים עמלה זהה.

יש לזכור כי העמלה של לתרום קום טומנת בחובה עלויות רבות ולא רק את עמלות חברות האשראי (הגם שהן מהוות את המרכיב העיקרי). מערכות הניהול , עמודי ההתרמה ועמודי התשלום הדינאמיים, הינן מהמתקדמות בארץ ואחזקתן כרוכה בעלויות גבוהות.

אנו רוצים להודות לחברות ויזה כאל וישראכרד אשר באו לקראתנו ולקראת המטרה החברתית החשובה של שירות לתרום. קום.

שאלה חוזרת ועולה היא מדוע אנחנו לא מכניסים אפשרות לתרומה בסלולרי למערכות שלנו. אחרי הכל, יש לנו את התשתית ליישם זאת וכבר בנינו מערכות סלולריות דומות. זו שאלה טובה והגיונית ויש עליה שתי אפשרויות תשובה.

התשובה הקצרה:
תרומות בSMS זה בזבוז כסף לתורם והפסד כסף למתרים.

התשובה המורחבת:
למעט מקרים בודדים, חברות הסלולרי גובות עמלה על שירותי SMS בגובה הנע בין 35% - 45%. מפעילי שירותי הגישה גובים עוד כ 10%.
בחישוב פשוט, כשאדם תורם 10 ש"ח בSMS, הוא למעשה תורם בממוצע 4 ש"ח לחברת הסלולר החביבה עליו.
עכשיו, נכון שחברות הסלולר הן גופים מסכנים ורוב הציבור מעוניין לתרום להן על מנת שלא יילכו בדרכה של ציפור הדודו, אבל רובנו היינו מעדיפים לתרום להן מבחירה חופשית ולא כ"תרומה בסתר" דרך עמלה מתרומה אחרת.
במשך זמן רב הייתי תחת הרושם כי מתרימים גדולים מקבלים מחברות הסלולר את השירות הנ"ל כתרומה וללא העמלות המטורפות הנ"ל. אולם בבירור עם מספר גופים גדולים מאוד ובעלי נוכחות ציבורית חזקה שמעתי כי גם מהם דרשו עמלות גבוהות.

"לכל תרומה יש מחיר"
בעולם בו אנו משתמשים בשירותי בנקים וחברות אשראי - לכל העברת כספים יש מחיר. אם זו עלות העברה בנקאית, עלות הפקדת צ'ק, עמלות חברות האשראי והמערכות הנדרשות לעבודה מולן (תחום בו עוסק הכותב), או אפילו מתן כסף מזומן אשר יופקד בסופו של דבר בחשבון בנק תמורת עמלה מסויימת. בעולמנו לא ניתן להעביר תרומה אשר 100% ממנה יילכו למתרים. עם זאת, עמלות ועלויות אלו אינן עולות ע"פ רוב על אחוזים בודדים כך שהתורם יכול לדעת כי רוב רובה של תרומתו - אכן יילך לגוף המתרים. לעומת זאת, עמלות התרומה בSMS מגיעות לעשרות אחוזים ותורם ששלח SMS לא יודע כי במקרה הטוב רק כ60% מתרומתו יגיע למתרים.


ההפסד הכספי למתרים או 35 בעקבות אחד
תרומה בסלולרי מוגבלת לגובה של 10 ש"ח לכל היותר. תרומה ממוצעת בכרטיס אשראי עומדת (לפי הנתונים שלנו) על כ200 ש"ח. בחישוב פשוט ניתן לומר כי 20 תורמי SMS שווים לתורם אחד באשראי. אם נקזז עמלות והוצאות שונות וניגש לנטו - הרי שנדרשים כ35 תורמי SMS על מנת להשתוות לתרומת אשראי אחת.
אם נניח כי הפניה השיווקית הנה זהה לשני סוגי התורמים, וכי מי שתרם בסלולרי מרגיש כי עשה את שלו ולכן לא סביר כי יתרום שוב, הרי שבאותה עלות "גיוס תורמים", קיבל המתרים רק כ3.3% מפוטנציאל הגיוס שלו.
גם אם נוריד אחוזים מסויימים שיירתעו ממתן פרטי אשראי, לא יצליחו להעביר את הכרטיס, ירתעו מטופס מורכב, יתרמו מתחת לממוצע המדובר וכו', הרי שבקמפיין גיוס תרומות בסלולרי יאסוף המתרים לא יותר מ20% ממה שהיה אוסף באמצעות כרטיסי אשראי.


המספרים שזרקתי כאן אינם רק תיאורטיים. בעבר קיבלנו מידע מגופים שהתרימו גם דרכינו וגם באמצעות SMS, ונתוני האמת לא היו שונים בהרבה. מתרימים שהתנסו בשתי השיטות אומרים לנו כי אינם מתכונים לגייס תרומות בSMS פעם נוספת.

סיכום
כתורמים -  כדאי לכם לזכור בפעם הבאה שאתם באים ללחוץ על  SEND ולשלוח את הSMS המצפוני כי חלק ניכר מתרומתכם הולך לחברת הסלולר המסכנה.
כמתרימים - אם אתם לא אחת מעשרת העמותות הגדולות בארץ, עדיף לכם כבר לעמוד עם כוס ריקה וקוף רוקד בנחלת בנימין ביום שלישי מאשר לבנות על ההכנסות מתרומות בסלולר.

+++++++++++++++++++++++++++++++++++

גילוי נאות מאוד - הכותב עוסק בגיוס תרומות באמצעות כרטיסי אשראי ונחשף למידע הנ"ל במהלך עבודתו ובחיפושו אחר פתרונות טכנולוגיים נוספים למען לקוחותיו.

ביום שישי עלה לאויר העיצוב החדש של לתרום קום, וחוץ מיופי עוצר נשימה (כמובן) הוא מציג גם קצת מוח.

לאחר ארבע שנות פעילות, לתרום היא הגוף המרכזי בארץ בתחום סליקת כרטיסי אשראי לעמותות ומלכרים.
אנו עובדים עם טווח רחב ביותר של גופים ללא מטרת רווח ומכאן שיש לנו מאגר מידע מעניין, ואנו שמחים לשחרר הצצה ראשונה לתוכו.

כצעד ראשון שחררנו מעיין "מדד תרומות", כלי המנתח את כמות ואיכות התרומות, בהתבסס על עשרות אלפי תרומות למאות מטרות שונות, ומוציא את הערכים הנתרמים ביותר.
הנתונים הללו כוללים תרומות למאות גופים הנעים בטווח שבין חברון ללהט"ב ובין זכויות עובדים לבעלי חיים.

כמות התרומות תלויה בשיטות העבודה של הגופים הרלונטיים, ונכון שלא כל הגופים משתמשים בתגיות, או עושים זאת בצורה "נכונה". אולם, מכיוון שמדובר בכמות של מאות גופים ועשרות אלפי פעולות, ניתן להניח כי סטיית התקן של המגמות המוצגות נמוכה מזו של כל סקר רגיל המתפרסם על סמך 500 נסקרים טלפוניים או 1000 שאלונים.

בנוסף, חשוב גם להבין שעמותות שונות משתמשות באותם ערכים למטרות שונות.
לדוגמה, הערך "מרכז למידה" משמש חמישה גופים שונים, כגון עמותת גוונים משדרות ועמותת וויקימדיה (מפעילי וויקיפדיה). ניתן להניח כי מדובר בקהלי יעד שונים, בעלי אפיון נפרד ודרכי פניה שונות. אולם, בהחלט ניתן להניח גם כי כל התרומות לעמותות אלו ניתנו ע"י אנשים הרוצים לראות שיפור במצב החינוך. לא סתם "חינוך" הגיע למקום רביעי. אחרי שלושת הערכים הכלליים יותר - "שינוי", "שינוי חברתי" ו"מעורבות חברתית".

אז קחו קצת דוגמאות למידע והניתוח שלו, על קצה המזלג. דוחות חדשים יתוספו בקרוב, ובהחלט גם אפשר לבקש ולהציע עוד.

+++++++++++++++++++++++++++++++++++++++++++++++++++++

אז מה הכי חשוב לישראלים. מספיק כדי שהם יפתחו את הארנק?

1  שינוי חברתי
2  צדק חברתי
3  מעורבות חברתית
4  חינוך

קיבלתי הבוקר הזמנה לכנס שצריך לעניין את כל מי שעוסק בתחום סליקה ואבטחה של כרטיסי אשראי. הכנס בנושא תקן PCI DSS (שהזכרתי כאן לא פעם) ויעזור לכם להבין את התקן.

זהו תקן הכולל הנחיות לא רק לגבי הסליקה עצמה, אלא גם לרמת קביעת העובדים המורשים לגשת לכל סוג מידע, צורות איחסון ועוד. ההיכרות עימו היא חובה לכל מי שלא רוצה לסיים כמו מוטי בננה בציריך, או כמו חברת הסליקה ששמעתי לאחרונה כי סלקה מליוני שקלים מכרטיסים גנובים, שדלפו ממאגר מידע של חברה אחרת, ונמצאת בבעיה קלה.

אם אתם עוסקים בתחום או קשורים לסליקה, ואם אתם מנמ"רים בחברות המתעסקות עם סליקה, או אפילו וובמאסטרים שרוצים להיכנס לתחום - מומלץ מאוד ללמוד את הנושא, וכנס זו שיטת הגזר לעשות זאת. אל תחכו למקל.

http://www.hamil.co.il/conventions.asp?cat=279&in=279&eventid=28872

בתחילת דרכה של לתרום קום סבלנו ממכה של שימוש בכרטיסים גנובים. במקרה החמור ביותר העברנו לידי חברת אשראי מסויימת עשרות מספרים של כרטיסים גנובים של אותה חברה, שהיו כולם מאותו אזור גיאוגרפי בצפון הארץ. למרבה המזל גם הגשתי תלונה במשטרה כנגד מבצע ההונאה. זה היה מזל, מכיוון שבגלל שחברת האשראי הנ"ל לא טרחה ליידע את הלקוחות שפרטיהם נגנבו, לא לקח זמן רב עד שאחד מהם הגיש נגדנו תלונה במשטרה - בתור העסק הסולק (זאת למרות שכמובן ביטלנו את כל העסקאות).
המשטרה, מיותר לציין, לא עשתה דבר בנידון. מבטו המבולבל של השוטר המבריק שישב מולי, ברגע בו שמע את המילים - "כתובות IP" ו"לוגים של השרת", הבטיח לי כי חבורת חסרי יכולת טכנולוגית לא תעשה דבר בנידון.
מה זה כבר נסיון לגנוב כמאה אלף ש"ח במדינה כמו שלנו.  זאת למרות שהעברתי להם גם פלט של אימייל שבו מבצע ההונאה מבקש ממני לא למסור את פרטיו למשטרה ומבטיח שלא לעשות זאת שוב. הכל, כמובן, מגובה היה בכתובת IP של אחת מספקיות האינטרנט.

לאחר מקרה זה הבנתי כי אין ברירה ואנו חייבים ליישם בדיקות CVV במערכות (ולעבור לעבוד עם חברת אשראי מתחרה ורצינית יותר, אבל זה לא קשור).

CVV, CVC, CID אלו ספרות ביקורת המופיעות על גב כרטיס האשראי (או בחזית, בכרטיסים מסויימים). השימוש בספרות הביקורת הינו אמצעי האבטחה היעיל ביותר כיום כנגד הונאות ושימוש לרעה בעסקאות מסמך חסר. עסקאות בהן מקבל פרטי הכרטיס אינו רואה את הכרטיס עצמו - עסקאות טלפוניות או אינטרנטיות.
שימוש בספרות אלו נועד להגן על בעל הכרטיס ועל הספק מקבל התשלום. לפי התקנים העולמיים לסליקת אשראי (PCI ותקנים שונים של חברות האשראי עצמן) אסור לשמור, או להדפיס, ספרות אלו בשום מערכת סליקה ובשום מצב ואופן.
מכיוון שאסור לשמור אותן והן אינן מודפסות על חשבוניות, קבלות, דוחות אשראי או כל מסמך אחר, מי שלא מחזיק בידו את כרטיס האשראי עצמו - לא אמור לדעת אותן.

ברוב אתרי האינטרנט העולמיים תיאלצו להזין את ספרות הביקורת על מנת לבצע רכישה. זאת מכיוון שהן מגינות על הספק מביטולי עסקאות ומהונאות מקונות. בעסקת מסמך חסר רגילה חובת הוכחת העסקה חלה על הסולק וכל לקוח יכול לטעון כי לא הוא ביצע את העסקה ולבטלה. במידה והיה שימוש בCVV, הביטול אינו כל כך פשוט וחובת ההוכחה עוברת לבעל הכרטיס עצמו.

אם כך, CVV מגן על בעלי כרטיסי אשראי מעסקאות שנעשו ע"י מי שטרח ואסף את פרטיהם. למעשה אחוז גבוה של הונאות אשראי מתבצע ע"י מי שנחשף לפרטי האשראי שלכם ביום יום. מהבחור הנחמד מהפיצריה שרשם את ההזמנה שלכם ובדרך גם את פרטי האשראי, דרך מאגרים של אתרי אינטרנט בלתי תקניים ועד לאיסוף חשבוניות שזרקתם - מגוון השיטות רחב ופשוט ביותר.
במקרה של שימוש בCVV, באם קצרו את פרטיכם ממאגר מידע חוקי, או מפלט מחשב  (חשבונית וכו'), ספרות הביקורת אינן צריכות להימצא ולכן אתר הדורש אותן לא יאפשר שימוש לרעה בכרטיס.

מאז שהכנסנו את ספרות הביקורת לשימוש ירד מפלס ביטול העסקאות בטענת - לא ביצעתי - ל1 מתוך אלפי העסקאות העוברות במערכת. וגם אותה הכחשת עסקה היתה אמינה כמעט כמו אורגזמה של אולמרט, אבל ויתרנו על ההתעסקות איתה משיקולי עלות\תועלת. ללמדכם - כשיש ספרות ביקורת - יש שקט.

הבעיה היא שבארץ ספרות הביקורת נמצאות בשימוש באתרים בודדים בלבד ואפילו בקרב חברות האשראי ישנה בעיה בתמיכה בהן. כרטיסי אשראי מסויימים של ישראכרט, לדוגמה, בכלל אינם כוללים ספרות אלו. רמת השימוש הנמוכה יוצרת רמת מודעות נמוכה מאוד של הציבור הרחב ולנו היא יוצרת את אחוז הבעיות הגבוה ביותר. האחוז הגבוה ביותר של בעיות אשראי במערכות שלנו כיום שמור לנושא זה. משתמשים שלא מוצאים את הספרות, כרטיסי אשראי בהן הן אינן, כרטיסים בהן הם מחוקות, ותמיכה בעייתית בצד של חברות האשראי. כל אלו יוצרים לנו אחוז מסויים של עסקאות שנכשלו. זהו אובדן כספי לנו ולעמותות, המפלגות וכל שאר הלקוחות שלנו.

קיוויתי שמצב זה ישתפר, מתוך הנחה כי חברות האשראי בארץ, כחברות האם העולמיות שלהן, יחלו לחייב את כל סליקות האינטרנט בשימוש בספרות הביקורת. אחרי הכל, הגנה על הלקוחות אמורה להגן גם עליהן. אולם, נכון להיום, המצב עדיין רע ורוב רובו של האינטרנט הישראלי עובד ללא ספרות הביקורת.
לבעלי אתרים אני יכול רק להמליץ על שימוש באמצעי הגנה זה. אין בידי נתונים על אחוזי ביטול עסקאות כלליים במסחר אלקטרוני, אולם אני בטוח שישנם מספר אחוזים, כשם שאני בטוח (מנסיון רב) כי שימוש בCVV מוריד את אחוז הביטולים כמות דראסטית.

השיקול הכלכלי שלנו הוא להשאיר אותן, למרות אובדן אחוז עסקאות מסויים, מכיוון שבחישוב כולל - עלות העסקאות האבודות קטן מהפסדים הנגרמים עקב ביטולים ועקב האפשרות לבלות זמן איכות עם הצוות המבריק של מפלג הונאות ת"א.


++++++++++++++++++++++++++++++++++++++++

מצד שני, שימוש רחב יותר של CVV בארץ מבטיח גם פגיעה ביעילות שלה. גופים עסקיים בארץ אינם נוטים לשמור על תקני אבטחה מסיבות שונות הנעות על הטווח שבין עצלות - טיפשות - וקמצנות. החיבה הישראלית להדלפת מאגרי מידע, כאותו מאגר שהודלף מאחת מחברות הקול סנטר הגדולות עם אלפי מספרי אשראי ופרטים אישיים, מבטיחה כי שימוש רחב בCVV יביא להקטנת אחוזי היעילות שלה.
יעילות המבוססת כולה על שמירת תקנים והגנת המידע.

+++++++++++++++++++++++

הערה: מכיוון שהמערכות שלנו לא שומרות בכלל את פרטי האשראי, מן הסתם גם ספרות הביקורת לא נשמרות (זאת בהתאם לתקנים).

דבר ראשון - אין לשמור את פרטי האשראי!
האופן המאובטח ביותר לסליקת אשראי הוא ביצוע ישיר מול מסלקת האשראי (שב"א). בשיטה זו, לאחר שליחת ההזמנה, פרטי האשראי נשלחים לשב"א ומקבלים בחזרה אישור עסקה או קוד שגיאה. בהתאם לתשובה ממשיכים בתהליך ההזמנה או מחזירים לעמוד שגיאה\עמוד ביצוע ההזמנה.
טכניקה זו דורשת עבודה מול מסלקה אינטרנטית, דבר העולה כמה מאות שקלים לחודש ולכן נתפס כלא משתלם לאתרים קטנים (אם מוסיפים את עלויות חברות האשראי עצמן וכו'). אף על פי כן, אבטחת מידע מקצועית תעלה הרבה יותר ולכן זה עדיין הפתרון הזול והטוב למי שמעוניין לעבוד באופן מקצועי.

בעלי אתרים רבים נוטים לחשוב כי הלקוח יעדיף לקנות אצלם שוב, אם לא ייצטרך למלא את פרטי האשראי בכל קניה. אני יכול להעיד מהפעלת שירותי הסחר שלנו כי יש לנו אחוז גבוה של לקוחות שביצעו יותר מרכישה אחת למרות שהם נדרשים למלא את פרטי האשראי בכל פעם מחדש. אני מניח כי משתמשים רבים רואים זאת כהליך טבעי ומשתמשים מביני עניין או מקצוענים - אף יעדיפו זאת כך בהבינם את הסיבות ואת ההבטחה לאבטחה אמיתית.

הדברים הכתובים כאן מבוססים על נסיון ועל תקן אבטחת כרטיסי האשראי העולמי הנקרא PCI (ואינו נאכף בארץ, אולם חשוב להכירו)

אם אין ברירה וחייבים לשמור פרטי אשראי יש להקפיד על הכללים הבאים:

* אין להציג למשתמש את פרטי האשראי שלו לעולם. בעמוד שינוי פרטים, לדוגמה, נהוג להציג את ארבע הספרות האחרונות של הכרטיס בלבד. בעל הכרטיס, סביר להניח כי יידע את פרטיו והצגתם רק תשרת את מי שאיננו בעליו החוקיים. כך יש לנהוג בכל מקום במערכת המציג פרטי אשראי (טופס הזמנה וכו').
כלקוחות, כדאי לכם לשים לב לדבר זה ולמחוק את פרטיכם בכל אתר המציג לכם את פרטי האשראי שלכם במלואם.

* במערכת הניהול אין להציג את פרטי האשראי של הלקוחות ללא הצפנת SSL וגם זאת רק במקרים בהם הדבר דרוש וחיוני. אם ישנן רמות הרשאה שונות, יש להציג פרטי אשראי רק לבעל רמת ההרשאה הגבוהה ביותר.
בתקנים העולמיים לאבטחת אשראי נהוג להגדיר כי רק מספר מצומצם של עובדים יכול לקבל גישה לפרטי אשראי של לקוחות מאחר שבמקרים רבים מאוד, זליגת מידע רגיש הנה תוצאה של עובד ממורמר.
מסיבה זו, דרך אגב, בטוח בהרבה להעביר פרטי אשראי באינטרנט מאשר לתת אותם לטלפן עם משכורת מינימום בפיצריה החביבה עליכם.

* את המידע בבסיס הנתונים יש לשמור בהצפנה. ניתן להשתמש בהצפנה של בסיס הנתונים וניתן להשתמש בהצפנה עוד לפני הכנסתו. עקרון ההפרדה אומר כי עדיף להפריד בין המידע בבסיס הנתונים, לבין המערכת המצפינה ולכן עדיף להצפינו בשכבה נפרדת לפני הכנסת המידע. באופן זה, אם מישהו יפרוץ לבסיס הנתונים, תקשה עליו ההפרדה למצוא את המפתח ולתרגם את המידע המוצפן.

* אין לאחסן נתוני אשראי בשרת ללא פיירוול פרטי ואסור לאחסן נתוני אשראי בשרת שיתופי.
סעיף זה מייקר מאוד את עלויות הסליקה, אולם אסור לדלג עליו. שרת פרטי שאינו מאחורי פיירוול שקול לנודיסטית שוודית בחוף גורדון באוגוסט. לא יעבור זמן רב עד שיתלבשו עליו. שרת שיתופי, כשמו כן הוא. זוכרים את הפרסומת על זו ששוכבת עם החברה של החבר של החברה של החבר?

* בעמוד העסקאות עצמו יש להקפיד על SSL בתוקף. זוהי קוסמטיקה, אבל היא חשובה ללקוח. רק לפני שבוע קיבלתי ספאם שביקש תרומה לעמותה גדולה וידועה והפנה לאתר ישראלי, באנגלית, עם תעודת SSL פגת תוקף. עכשיו תמצאו בתיאור לפחות שלוש עבירות שמישות ואבטחה, ציבעו בצבעים עליזים ותשלחו למטומטם שבנה להם את הקמפיין.

*  מספר בטחון - CVV\CID\CVC - אין לשמור לעולם!
במידה ויש ברצונך להשתמש ברמת האבטחה המקסימלית של מספר הבטחון - אין לשמור את המספר הנ"ל בשום מצב שהוא.
דרך אגב, שימוש במספר זה מגן על העסק הסולק מעסקאות ביטול והכחשות עסקה רבות ולכן מומלץ בחום. עם זאת, במערכות שלנו כמעט 90% מהבעיות בכרטיסי האשראי נובעות ממספר הבטחון, מכרטיסים ישנים של ישראכארד שאין להם אותו בכלל ועד למשתמשים אשר לא מסוגלים למצוא אותו גם אם ידפקו להם אותו בראש עם פטיש. קחו בחשבון ששימוש בו יוריד את מספר העסקאות המתבצעות (לפחות עד שכל האתרים בארץ ישתמשו בו), אולם יעלה את אחוז העסקאות המושלמות (ויוריד את כמות הביטולים, שימוש בפרטים גנובים וכו').

* אם משתמשים במסד נתונים כדוגמת אקסס, הניתן להורדה בשלמותו, הוא חייב להיות מאוחסן מתחת לתיקיית השורש של האתר באזור הניתן לגישה רק מתוך מערכת הקבצים ולא מהדפדפן או כלי אינטרנט אחרים.
שורש האתר לדוגמה:
c:\inetpub\wwroot\yoursite
תיקיית המידע הרגיש:
c:\inetpub\securinfo
פרקטיקה זו מומלצת בכל עבודה עם בסיס נתונים, אך היא חובה כשעוסקים במידע מאובטח.
בכל מקרה, שימוש בבסיסי נתונים כאלו אינו מאובטח באמת, ואף יוצר בעיות הרשאה במערכת הקבצים. מומלץ בחום להשתמש בבסיס נתונים כדוגמת MySQL או SQL Server אשר יכולים לספק הגנה חזקה בהרבה.

למידע נוסף על תקן האשראי הנקרא PCI -
http://en.wikipedia.org/wiki/PCI_DSS
https://www.pcisecuritystandards.org


תקן זה נקבע ע"י חברות האשראי העולמיות אולם, למרבה הצער, אינו נאכף בארץ ע"י החברות המקומיות. מנסיוני, רק חברת אשראי אחת בכלל התקרבה לתקן, בדרישותיה ממערכות הסולקות מולה.
חשוב לציין כי אבטחת אשראי מקצועית תגן על העסק מצרות (תביעות, תלונות במשטרה וכו'), תפחית את כמות ביטולי העסקאות ותעודד את אמון הצרכן. בכך, עלות הקמת פתרון סליקה מאובטח תחזיר את עצמה במהלך הזמן.

כותב דברים אלו הקים מערכות תשלומים מאובטחות הסולקות אלפי עסקאות בחודש ללא סיכון (ובעל נסיון של יותר מדי שנים בתחום).

לפני כמה שבועות הספאם בוטים התחילו לפלוש אפילו לבלוג הנידח שלי. בלית ברירה נאלצתי להתאמץ ולחשוב ולמצוא פתרון. הרי מחיקה של תגובות זבל על בסיס יומי היא מאמץ גדול בהרבה מרבע שעה של חשיבה מרוכזת.

האופציות הקיימות למלחמה בספאם תגובות

1.  בלי תגובות בכלל. כמו שאומר חנן - "לא רלוונטי".
2. תגובות סגורות למשתמשים רשומים. לבנות מערכת משתמשים נפרדת רק בשביל הבלוג זה בזבוז הזמן הגדול ביותר שהייתי יכול לעשות, בנוסף - אני אוהב תגובות פתוחות.
3. קאפצ'ה - אותה מילת סום סום היפתח המאפשרת לנו להבדיל בין אדם למכונה. לא אוהב. לא אישי ולא נחמד בכלל. חוץ מזה - 20 דקות להטמיע - מעל לתקציב הזמן. כתבתי פעם קוד לזה ואתם משתמשים בו במקומות אחרים ברשת, אבל לבלוג שלי זה לא מתאים.

מכיוון ששללתי את שלושת האופציות הנפוצות, נאלצתי ממש לאמץ את שלושת התאים שנשארו בגולגולת אחרי שנות התשעים העליזות. המאמץ המרוכז נשא תוצאות.

תוצאות מאמץ החשיבה המרוכז להפליא

1. אג'אקס הוא לא רק באזזזזזז, הוא דבר ממש שימושי במקרים מתאימים.
2. בוטים וספאם-בוטים בתוכם לא אוהבים ג'אווה סקריפט ובטח שלא מסתדרים טוב עם בקשות XMLHTTP (מי שלא יודע - זהו לב הקונספקט של אג'אקס).
3. הפרדה של קוד טופס התגובות בקופי + פייסט שלו בעמוד חדש ובניית פונקציה שטוענת אותו לפי בקשה באג'אס + DOM יוצאת כחמש דקות עבודה. (מכיוון שאת כל פונקציות המשנה הנדרשות כבר יש)

חסרונות
חוסר תמיכה בדפדפנים ישנים מאוד - נו שוין.

למה לא פשוט להסתיר את הטופס ולהציג אותו רק לפי בקשה?
מכיוון שבוטים לא מתעניינים בCSS, הם לא יודעים שהטופס מוסתר ולכן הם מרנדרים אותו בשמחה. שכבה מוסתרת כשמה כן היא - היא שם, רק המשתמש לא רואה אותה.

----------------------------------------------------------------------------------------------

על פניו זה נראה כמו הפתרון המושלם. לא טוען את טופס התגובה לעמוד עד שהמשתמש לא ביקש אותו במפורש - ואז עושה את זה עם אג'אקס + DOM בטעינה חלקה ונקיה. ספאם בוטים לא יוכלו להטעין את הטופס, זמן הפיתוח, על הנייר, סביר מאוד (5 דקות), ועוד קיבלתי ממשק נקי יותר כצ'ופר.

תוצאות הרצת הנסיון

שבועיים אחרי שהטמעתי את הפתרון אני יכול לומר בשקט - אין לי יותר בעיית ספאם בוטים. הפתרון באמת עובד טוב. ועד שלא יטמיעו כזה במערכות בלוגים גדולות בעולם - אף אחד לא יטרח להתאים את הספאם בוטים שלו לאג'אקס.

לפני החג תיבת הדואר שלי מתמלאת בספאם מסוג הרגשי זבל, חברות קקיוניות שונות המנצלות את דואר הזבל כדי לנסות להידחף לתיבת הדואר במסווה של פעילות התרמה.

לאחר שקיבלתי את הזבל של "מרכז השיווק הישראלי" בפעם העשירית, החלטתי שכדאי להזהיר וכדאי לכם לדעת:

1. אסור לתרום למי שמשתמש בדואר זבל. מי שלא מכבד את הפרטיות המינימלית שלכם - אסור לתת לו פרטי אשראי ופרטים אישיים מלאים. (נכון לגבי כל רכישה ופעולה שמגיעה מהזבל)

2. עמותות רציניות לא פונות בדואר זבל. עברנו את הימים של חוסר המודעות. כיום מי שפונה כך הוא מי שחושב שאתם זבל ומנסה לעשות רווחים לעצמו על חשבון המצוקות.

3. במקרה הנ"ל של "המרכז הישראלי לשיווק", כשנכנסים לאתר קל מאוד להבין כי מדובר בקיקיון מצוי - אין שום פרטי התקשרות, האתר מורכב מעמוד אחד הכולל פרסומות וקצת טקסט כללי, אפילו הכתובת מפנה בעצם לכתובת אחרת שאומרת הכל - "לא טוב לי".

לגבי היעילות של תרומות בזבל, ראיתי קמפיין שבוצע באמצעות דואר זבל והפנה לעמותה שעבדה איתנו. מתוך כחצי מליון מיילים שהם שלחו, התקבלה תרומה אחת של 15 ש"ח. כך שכנראה הציבור לא מטומטם כמו שאנשי הזבל הללו חושבים, אך בכל מקרה כדאי להזהיר.

(מיותר לציין שחשבונה של אותה עמותה נסגר לאחר שקיבלנו את התלונה הראשונה בנושא)

הסברצ'יק + גילוי נאות,
בגלל שהפוסט הזה קיבל הרבה כניסות מאנשים שלא מכירים את הבלוג ואותי, רק אומר כי, בין היתר, אני עומד גם מאחורי שירות "לתרום.קום" שהוא שירות ההתרמה המקצועי היחידי ברשת בעברית. מכאן ההבנה וההיכרות שלי עם עולם ההתרמה באמצעות האינטרנט. זבלנות תרומות פוגעת במאות עמותות לגיטימיות ורציניות ומרחיקה את המשתמשים ברשת מתרומות.

גיא מזרחי (Zull, יומנו של האקר) בילג היום על שיחת טלפון שהיתה לו, בה רצה להודיע לבעל אתר אחר שפרצו לו לאתר.
הוא כעס על התגובה של בעל האתר שהתחילה באיומים במקום בתודות.
(http://tinyurl.com/yxhsce)

הסיפור הזה הזכיר לי טלפון שקיבלתי לפני שנתיים. על הקו היה סקריפט קידי מתקדם מהסוג שמאתר פרצות ורץ איתן ליאנט. מסתבר שהוא מצא אצלנו פרצה שאפשרה XSS בטופס משני בפרינטמול. טופס שנשאר עוד מתהליך הפיתוח הראשוני של פרינטמול ובטעות לא הוכנסו אליו הבדיקות המתאימות.

הדחף הראשון שלי גם היה להיכנס באמ-אמה שלו, או בעברית "למה מה קרה השמוק הזה פורץ לי לאתר?". אני לא חושב שיש דבר שלגבר אמיתי קשה יותר לקבל מאשר נסיון פריצה לאתר שלו. אחרי הכל, מדובר בגרסה מרוככת של אונס (או, במקרה הנ"ל - הטרדה מינית:).
למזלי, כנראה שהאגו שלי עוד היה חצי רדום באותו היום והצלחתי להתגבר עליו ולתקן את הפרצה תוך כדי השיחה בטלפון ללא תגובות אלימות\מטומטמות\טוסטסטרוניות מדי. מדובר בהיה בהעתקה של כמה מילים ממקום למקום בעמוד אחד, לא סיפור קשה מדי.
הודתי יפה לבחור ולא התפוצצתי עליו אפילו כשהטיף לי קצת. אחרי הכל, לפעמים עדיף לשתוק, ובמיוחד כשאני, כמפתח המערכת, הייתי האשם.

המערכות שלנו כבר עברו אי אלו אלפי נסיונות פריצה, שרק הלוגים של הפיירוול יודעים לספר עליהן. אבל שיחת הטלפון הזו נשארה לי בראש כלקח חשוב.
בעל אתר שמודיעים לו על פרצה, צריך לומר יפה תודה, לדאוג לתקן אותה במהירות ולומר תודה שוב. אחרי הכל, אם קיבלת סריקת אבטחה בחינם, ולא עשו נזק, תאמר תודה. אלו דברים ששווים כסף.

-----------------------------------------

ואנקדוטה משנות התשעים העליזות.
אני זוכר גם שיחה מהצד השני של הטלפון. במקרה לגמרי מצאתי גישה פתוחה לגמרי למחשב באמצעות הנורטון PC אניוור. כניסה ל"MY DOCUMENTS" ופתיחה של מסמכי וורד אקראיים והופ - מצאתי את שם החברה ומספר הטלפון שלה.
כמו ילד טוב, הרמתי טלפון וביקשתי את מנהל המערכות. העבירו לי את מנהלת התפעול של החברה, מכיוון שהם היו קצת פרנואידיים, לא רצו לתת לי את מנהל המערכות. מדובר היה בחברה בתחום התעשיות הצבאיות האוויריות.
מנהלת התפעול התחילה בגסות הרוח האופיינית, עד שהסברתי לה שהגעתי אליהם פשוט מתוך אחד המחשבים שלהם. היה ממש חבל שלא מצאתי שם מצלמת רשת שהראתה לי את הפרצוף של אותה `מנהלת תפעול` כשהבינה במה מדובר.
בסופו של דבר, היא הודתה יפה והם תיקנו את הפרצה (הגדרות שגויות בשרת של הPC ANI) תוך חמש דקות.
אני רק מקוה שאין לי סיס אדמין מובטל על המצפון (:

-----------------------------------------

ודבר אחרון לגבי העניין. במקרה שלי האגו הוא הראשון שמגיב מכיוון שמדובר במערכות שאני כתבתי. ברוב המקרים מדובר בבעלי אתרים שהזמינו את האתרים מחברות פיתוח חיצוניות.
במקרה הנ"ל, ממש אין מקום לאגו, אבל יש בהחלט מקום לתביעות רשלנות כנגד חברות פיתוח שלא עושות את העבודה שלהן כראוי.


----------------------------------------

עדכון - עומר טרן עוסק באותו הנושא:
israblog.nana.co.il/blogread.asp