recommandations pour deux problèmes d'applications Web difficiles

Question

Je suis à la recherche de recommandations pour les fournisseurs - peut-être des start-ups - qui peuvent vous aider avec deux exigences pour une application que je construis en ce moment. Nous sommes vraiment ouverts aux solutions nouvelles et innovantes à ces deux défis. J'ai beaucoup de contrôle sur le choix du navigateur, la sélection du matériel et même le choix du système d'exploitation (je pourrais probablement, par exemple, utiliser des Macs).

Toutes les recommandations, les liens ou les statistiques seraient appréciés. J'ai passé un certain temps à fouiner en ligne, mais il y a une tonne d'entreprises offrant la même vieille merde qui serait probablement l'enfer à intégrer avec une application web moderne.

Alors, voici la situation. Mon client est un consultant de longue date dans l'industrie du fitness. En 2006, nous avons développé une application web pour gérer les départements de formation personnelle des clubs de fitness. Ce système est utilisé dans environ 20 organisations au Canada et aux États-Unis, dont certaines sont assez grandes. Il y a actuellement 1100 utilisateurs du système, qui suivent plus de 50 000 clients et quelque 80 000 transactions totalisant 25 millions de dollars de ventes pour ces clubs. Le modèle d'entreprise est un logiciel en tant que service associé à des services de conseil et de formation continus, principalement pour améliorer les opérations, les ventes et la gestion des ressources humaines.

Nous développons actuellement une nouvelle plate-forme considérablement élargie, en utilisant Ruby on Rails comme plate-forme d'application Web. Nous croyons que cette application a le potentiel d'acquérir de nombreux nouveaux clients qui sont frustrés par les solutions logicielles actuelles pour l'industrie du conditionnement physique, qui ont tendance à être gonflées, compliquées et difficiles à utiliser.

Une chose importante à noter à propos de ce système est qu'il gère plusieurs clubs, qui sont des entreprises distinctes dans leur propre droit, avec leurs propres clients, comptes bancaires, etc.

Nous sommes actuellement confrontés à deux difficiles exigences pour le système.

de contrôle d'accès

Clubs doivent contrôler l'accès à leur club. Certains le font en gardant le personnel à la réception, d'autres le font avec un système complètement automatisé. Lorsque les clients passent devant la porte d'entrée, ils doivent glisser une carte, entrer un code ou utiliser un système biométrique (notre préférence va à ce dernier), la tendance semble être d'utiliser des scanners manuels qui acceptent un code sur un tampon pour l'entrée). Le système doit envoyer ces informations à l'application Web, ce qui renvoie une réponse de succès/échec dans le cas d'un système entièrement automatisé ou affiche le profil client au personnel de la réception.

Exigences pour travailler dans un club:

• scan physique pour gagner l'entrée: à carte ou de préférence, quelque chose biométrique comme un scanner. * Peut traiter plusieurs milliers de clients. * peut empêcher les clients d'entrer s'ils ne sont pas reconnus ou si un code d'échec (par exemple, expiration de l'abonnement) est renvoyé lorsque l'analyse est effectuée.

Exigences pour l'intégration avec l'application web:

• envoie des informations d'identification à l'ordinateur d'une manière qui peut être lu par une application Web. Processus: le périphérique analyse le client, envoie le numéro d'identification du client à l'application Web, l'application Web répond par oui/non pour l'entrée et affiche les informations sur le client au personnel de la réception.Une possibilité serait la disponibilité d'un logiciel, vraisemblablement fourni par le fabricant de l'appareil, qui transmettrait les informations lues par l'appareil dans un formulaire Web, c'est-à-dire qu'il fonctionnerait comme un coin de clavier. Nous sommes ouverts aux recommandations. Lorsqu'un compte client est créé, un identifiant unique est créé par l'application Web. Le dispositif doit fournir une méthode de stockage de cet identifiant unique, soit dans la carte elle-même dans un lecteur de carte, soit par une autre méthode dans d'autres (par exemple des situations biométriques). En d'autres termes, l'appareil doit fournir une interface permettant à l'application Web de configurer de nouveaux clients en conjonction avec l'appareil et le système de contrôle d'accès.

Traitement des paiements

L'application doit être en mesure de traiter les paiements Credit- et par carte de débit. La plupart d'entre elles seront des transactions par carte de crédit, à la fois par carte de crédit et par carte de débit. Les clients des clubs de fitness (qui sont les clients de mon client) qui utilisent l'application seront souvent présents pour faire glisser leurs cartes pour que leurs paiements soient traités, ce qui nécessite une intégration avec des blocs PIN. Certaines d'entre elles seront des transactions ponctuelles, d'autres seront récurrentes.

L'application traite des entreprises distinctes qui ont toutes leurs propres comptes bancaires. L'argent des transactions traitées par l'application doit être déposé dans les comptes bancaires appartenant à des entreprises individuelles. Je crois que cela signifie que les exigences PCI sont sensiblement plus onéreuses pour une application comme celle-ci, car mon client est classé comme un fournisseur de services de paiement, plutôt que comme un simple utilisateur. Mes conversations avec les fournisseurs de services de paiement ont indiqué que le coût de ce type de certification est trop élevé pour mon client (environ 100 000 $, pour l'embauche d'un évaluateur de sécurité indépendant et pour travailler avec eux afin d'assurer la conformité).

En outre, si possible, l'application devrait également soutenir le transfert électronique de fonds. Jusqu'ici je pense que ma préférence va à un partenariat avec un fournisseur qui est déjà certifié PCI et qui a les NIP pour les transactions avec cartes, dont le logiciel a une bonne API avec laquelle je peux interagir via cette application Web. J'ai beaucoup d'expérience avec les modèles d'e-commerce traditionnels dans Rails, et je suis à l'aise avec les aspects techniques de traiter plusieurs comptes bancaires, mais les exigences de certification semblent être l'obstacle majeur à ce jour.

Answer 1

Je pense que vous avez répondu à votre propre question avec le traitement des paiements. Vous devez vous associer à un fournisseur déjà certifié PCI. Le fait que vos clients aient des paiements récurrents signifie que vous devez conserver les numéros de cartes de crédit de leurs clients dans un système qui nécessite une certification PCI. En ce qui concerne le contrôle d'accès, encore une fois un fournisseur devrait pouvoir vous aider. Je ne pense pas que vous devriez chercher à envoyer le défi/demande sur le web. Vous aurez besoin d'un ordinateur local à faible coût pour vous connecter au lecteur biométrique ou au lecteur de carte.

Je pense que vous devriez maintenir une base de données locale de clients authentifiés sur le PC qui gère le contrôle d'accès. Ceci est recommandé car si la connexion Internet de l'emplacement tombe en panne, les clients continuent de participer à leurs entraînements. Utilisez un système de traitement par lots pour maintenir la base de données à jour.

Mise à jour: En outre, les centres de conditionnement physique auront un bureau avec quelques ordinateurs utilisés par les employés. Mettre en place une petite application web sur le PC du contrôleur pour gérer l'accès. Former les employés à se rendre sur le «site de contrôle d'accès» pour gérer l'accès.Vous pourriez même être en mesure d'intégrer un IFrame dans votre application Web et de le pointer vers le gestionnaire d'accès local pour qu'il apparaisse comme une partie intégrante de votre offre SaaS.