Najkorzystniejszym i najszybszym sposobem płatności za zakupione w Internecie dobra jest karta płatnicza. Niestety wielu klientów wciąż obawia się podawania numeru swojej karty w Internecie, ze względu na możliwość przejęcia go przez przestępców. Na szczęcie szybko zbliża się już czas, w którym zakupy dokonywane kartami w Internecie będą w pełni bezpieczne. Rozwiązaniem służącym temu celowi jest technologia 3D Secure, która zabezpiecza wszystkie transakcje wykonywane przez posiadacza karty „na odległość”. Właśnie pierwszy bank w naszym kraju zapowiedział rychłe wprowadzanie tej technologii. Wkrótce zapewne pójdą za nim kolejne.
Zakupy na numer
Obecny poziom bezpieczeństwa zakupów kartami przez Internet nie jest wystarczający. Aby dokonać zakupu konieczne jest podanie tylko numeru karty oraz, nie zawsze, specjalnego kodu zapisanego na karcie. Powoduje to, że znając sam tylko numer karty, przestępcy mogą wykonać zakupy na konto swojej ofiary. Oczywiście nie jest to aż tak łatwe, bo zakupiony towar trzeba odebrać. W przypadku sprzedaży usług o charakterze niematerialnym sprzedawcy najczęściej zabezpieczają się przed częstymi próbami oszustw dokonując dodatkowej weryfikacji kupującego. To jednak wywołuje powszechny brak zaufania klientów do tej formy płatności. Ocenia się, ze większość posiadaczy kart nie wykonuje transakcji w Internecie właśnie ze względu na fakt, że obawiają się ujawnienia danych o swojej karcie.
W pewnym stopniu bezpieczeństwo transakcji kartowych poprawiło wprowadzenie bezpiecznego systemu autoryzacji kart płatniczych w Internecie, który jest oferowany przez centra rozliczeniowe eCard i PolCard. Z tego systemu korzysta obecnie większość polskich sklepów internetowych. System ten zapewnia pełne bezpieczeństwo numeru karty oraz innych danych o niej w procesie płatności kartą w Internecie. Sklep w którym dokonujemy zakupu nie otrzymuje bowiem tych danych a ich przetworzenie następuje na serwerze centrum rozliczeniowego. System ten jest jednak bezradny w sytuacji gdy numer karty zostanie podejrzany przez przestępców poza Internetem, czyli podczas jej normalnego użytkowania.
Co to jest 3D Secure
W celu zwiększenia bezpieczeństwa transakcji dokonywanych bez fizycznego przedstawiania karty, w tym właśnie płatności internetowych, organizacje płatnicze stworzyły nowe metody akceptacji kart oparte o technologię nazwaną 3D Secure. Nazwa ta pochodzi od Three Domain, czyli trzech sektorów o zróżnicowanej odpowiedzialności za transakcję kartową.
W oparciu o 3D Secure Visa zaoferowała swoim klientom usługę o nazwie Verified by Visa, natomiast MasterCard usługę SPA (Secure Payment Application). Usługi te wprowadzają konieczność dodatkowej identyfikacji posiadacza karty dokonującego płatności bez fizycznego użycia karty. W przypadku zakupów w Internecie potwierdzenie transakcji następować będzie poprzez podanie dodatkowego hasła. W takiej sytuacji numer karty będzie pełnił jedynie funkcję loginu i bez podania hasła wykonanie transakcji nie będzie możliwe.
Do zastosowania obu tych metod nie jest konieczna jakakolwiek zmiana obecnych systemów kart płatniczych, czy samego procesu akceptacji. Stworzony został jedynie zupełnie nowy model potwierdzania płatności. Zakłada on szeroką interakcję między klientem a wystawcą karty. Ten ostatni potwierdzając tożsamość posiadacza karty będzie zezwalał na prowadzenie dalszego procesu akceptacji płatności według normalnych, tradycyjnych metod.
Szerokie zmiany muszą nastąpić jedynie w systemach wystawców kart, którzy musza zebrać potrzebne do identyfikacji klientów dane by później w szybki i wydajny sposób przeprowadzać proces autoryzacji. Na szczęście obie technologie, choć różniące się mogą spokojnie współpracować z tymi samymi narzędziami i aplikacjami po stronie wystawców kart. Nie ma więc konieczności dublowania procesów i infrastruktury dla kart obu organizacji płatniczych.
Hasło dla każdego
Wdrożenie technologii 3D Secure wymaga wprowadzenia jej przez wszystkich uczestników procesu kartowej płatności. W pierwszej kolejności do obsługi systemu zostały przystosowane centralne systemy Visa i MasterCard. Drugą grupą podmiotów, które przystosowały się do wprowadzenia 3D Secure, były centra rozliczeniowe, zajmujące się akceptacją kart w Internecie. Polskie centra obsługę tej technologii oferują od 2003 roku i jeśli klient zechce zapłacić za ich pośrednictwem zagraniczna kartą, która obsługuje 3D Secure to z wykonaniem transakcji w polskim centrum rozliczeniowym nie będzie żadnych problemów.
Wprowadzanie 3D Secure to jednak największe przedsięwzięcie logistyczne dla banków wydających karty płatnicze. Bank musi bowiem wdrożyć obsługę tej technologii w swoim systemie informatycznym. W następnym etapie konieczne jest także skontaktowanie się banku z każdym z posiadaczy wydanych przez niego kart i umożliwienie mu bezpiecznego zdefiniowania hasła, służącego do potwierdzania transakcji w Internecie. Nie jest konieczne, by potwierdzenie transakcji następowało przy użyciu hasła, mogą to być także inne metody bezpiecznego uwierzytelniania, takie jak np. token lub hasła jednorazowe (stosowane obecne często w bankowości elektronicznej).
Pierwsze karty za płoty
W naszym kraju kilka banków przygotowuje się do wprowadzenia 3D Secure dla swoich kart. Pierwszym bankiem, który to zrobi będzie BRE Bank. Jednak będzie to dotyczyło tylko niewielkiej grupy klientów korporacyjnych oraz private banking. Bank przewiduje, że usługa Verified by Visa zostanie uruchomiona jeszcze w maju tego roku, natomiast Mastercard SPA w czerwcu.
Każdy posiadacz karty wydanej przez BRE bezie mógł na stronie internetowej banku, po dokonaniu identyfikacji zdefiniować swoje własne hasło służące do potwierdzania każdej transakcji wykonywanej kartą w Internecie. Prawdopodobnie już wkrótce kolejne banki zaoferują klientom 3D Secure, wśród nich będzie prawdopodobnie m.in. Citibank.
Jak wygląda płatność?
Klient dokonujący płatności kartą podobnie jak wcześniej najpierw wprowadza na stronie Internetowej numer swojej karty. Oczywiście tak jak dotychczas trzeba sprawdzić, czy strona na której chcemy wpisać numer jest stroną zaufaną. Za zaufane można uznać strony należące do dużych i uznanych firm oraz strony prowadzone przez centra rozliczeniowe.
Nawet kiedy technologia 3D Secure stanie się powszechna i każda płatność będzie wykonywana z jej wykorzystaniem, klienci nadal będą musieli dokładnie weryfikować strony na których wprowadzają numer karty. Przestępcy mogą bowiem za pośrednictwem podrobionych stron próbować wyłudzić od klienta numer karty wraz z hasłem. A warto pamiętać, że klient będzie w pełni odpowiedzialny za wszystkie transakcje wykonane w Internecie z wykorzystaniem numeru karty oraz hasła. W obecnej sytuacji (bez 3D Secure), jeśli przestępcy dokonają płatności tylko z użyciem numeru karty, klient zawsze otrzymuje od banku zwrot poniesionych strat.
Po wprowadzaniu numeru karty oraz danych posiadacza centrum rozliczeniowe łączy się z bankiem, który wydał kartę żeby sprawdzić, czy obsługuje on technologię VbV lub SPA. Jeśli tak, to na ekranie komputera pojawia się bezpieczne okienko z prośbą o podanie hasła potwierdzającego transakcję. Co ważne dla bezpieczeństwa transakcji, w oknie gdzie klient ma wpisać hasło pojawi się osobista wiadomość zabezpieczająca. Wiadomość ta albo jest definiowana przez klienta, lub też bank informuje go o jej treści. Jest ona znana tylko klientowi i jej wyświetlenie oznacza, że hasło wpisywane jest w oryginalną aplikację banku wydającego kartę. Brak widomości oznacza, że ktoś najprawdopodobniej próbuje podszyć się pod bank i wyłudzić nasze hasło.
Po wpisaniu hasło jest weryfikowane przez bank-wydawcę karty, którą klient dokonuje płatności. Gdy hasło zostało podane prawidłowo, wtedy bank wydaje centrum rozliczeniowemu zgodę na wykonanie transakcji. W takiej sytuacji transakcja jest przeprowadzana i autoryzowana w taki sam sposób jak, przed wprowadzeniem technologii 3D Secure. Jeśli podane hasło jest błędne wtedy transakcja od razu nie dochodzi do skutku.
Wprowadzenie technologii 3D Secure znacząco wzmocni bezpieczeństwo transakcji kartowych w Internecie. Technologia ta pozwoli uczynić z karty płatniczej najszybsze i najbezpieczniejsze narzędzie płatności w sieci. Jest to o tyle ważne, że dotychczas jedynie około 30% transakcji wykonywanych w polskim Internecie było dokonywanych kartami płatniczymi. Wzrost bezpieczeństwa, wraz ze wzrostem ilości kart, umożliwiających płacenie w Internecie, to szansa na dalszy szybki rozwój e-handlu w Polsce.