Proč je používání platebních karet bezpečnější na internetu než v hypermarketu?

Úhrady platebními kartami po internetu se stávají stále rozšířenějším způsobem plateb. Největší devizou těchto plateb je jednoduchost a rychlost (v řádech sekund), umožňující zákazníkovi ihned dostat žádané zboží či službu, např. software, rezervaci letenky, pojištění či hudební soubory. Nicméně ze všech stran slyšíme námitky držitelů platebních karet: "...ale je tento způsob bezpečný?"



Následující text chce ukázat, že používání platební karty po internetu je bezpečnější než např. v restauraci či kamenném obchodě.
Jedním z největších mýtů je, že zneužít platební kartu je na internetu obzvláště jednoduché. Na jednu stranu se to zdá být jednoduché, na druhou stranu banky, zvláště ty české, dnes mají proces proplácení peněz obchodníkům tak zabezpečený, že ve skutečnosti je to prakticky nemožné. Proč?
n Prověření obchodníka. Banky již ve fázi zpracování smlouvy s "elektronickým" obchodníkem prověřují důvěryhodnost tohoto obchodníka, a především to, s čím obchoduje. Ne u každého zboží je to možné - například je velmi obtížné realizovat elektronický obchod na přijímání sázek. Dále se ověřuje jeho schopnost dodržovat bezpečnostní standardy, mít zabezpečené servery a aplikace, archivovat sledování podpůrných informací z transakcí (ověření IP adresy pro případ dohledání případného zneužití).
n Odpovědnost leží na obchodníkovi. V případě zneužití a následného protestu zákazníka leží důkazní materiál o oprávněnosti transakce (a s tím spojené poskytnutí služby nebo zboží) na obchodníkovi, banka v tomto případě dokáže vynutit vrácení peněz zákazníkovi. Ten tak nenese v podstatě žádné riziko.
n Údaje o kartě jdou mimo obchodníka. Mnoho lidí si myslí, že je bezpečnější platit v hypermarketech, přičemž ve skutečnosti je tomu naopak. Spíše zde někdo může získat informace o kartě (např. z výpisu transakce) než v případě platby po internetu, kde se obchodník díky systému 3D-Secure k údajům vůbec nedostane. Riziko je obecně větší u běžných obchodníků, zejména v případě, kde terminály nejsou připojeny on-line.
n Dohledatelnost detailů o transakci. Internet již dávno není anonymní. Anonymita internetu je pouze zdánlivá. Ano, je možné využít anonymizační nástroje a možnosti, ale i zde existuje velké "riziko" konečného odhalení. Navíc každé doručení podvodně objednaného zboží je cestou, jak snadno dohledat odběratele zboží nebo služeb. O trochu komplikovanější může být případ služeb, kde nedochází k obvyklému "doručení" či downloadování. Ale i tak je možné zjistit, z kterého PC se podvodník připojil a provedl zmíněnou platbu.

Bezpečnostní prvky
Jak je způsob placení platebními kartami po internetu ošetřen? Především banky vytvářejí dostatečné povědomí o tom, jak takovéto transakce fungují, klienti jsou dostatečně poučeni. V České republice se využívá specifický bezpečnostní prvek, kterým je již zmíněný 3D-Secure, díky němuž se údaje o platební kartě k obchodníkovi vůbec nedostanou. Všechno se ověřuje on-line přes protokol https, nebo by alespoň mělo. Při platbě jsou požadovány CVC kódy, stále častěji hesla a některé karty mají dokonce možnost zamykání pomocí SMS zpráv či zákaz e-commerce transakcí. Některé banky dokonce vydávají "internetové" či virtuální karty, které nejsou ničím jiným než číslem karty a CVC kódem a je s nimi možné realizovat pouze internetové platby.
Další kapitolou je proces technického ověřování transakce, které se u nás provádí přes platební systémy Global Payments nebo přes systémy České spořitelny. Vše probíhá v on-line režimu velmi rychle, takže je obtížné sledovat jednotlivé kroky a případně se do procesu "nabourat" (viz obrázek).
Každý platební terminál využívá standard 3D-Secure a tím zabezpečuje nemožnost získání údajů o kartě samotným obchodníkem.
3D-Secure je mechanizmus autentizace držitele karty. Každá karta zadaná do platební brány je kontrolována příslušnou asociací MasterCard nebo VISA. Kontroluje se, zda je pro kartu požadována autentizace držitele karty či nikoliv. V případě požadavku autentizace je držitel přesměrován na systém vydavatelské banky, kde potvrdí svoji identitu (heslo, e-PIN nebo jinou tajnou informaci, sdílenou s vydavatelem karty). Výsledek autentizace je předán zpět do platební brány.
Zajímavostí je, že 3D-Secure funguje vlastně pouze v naší lokalitě, v zahraničí tento způsob zabezpečení běžný není. Je to částečně z důvodu náročnějších požadavků na bezpečnost u nás, ale také díky tomu, že se u nás jako na novém trhu snáze implementovaly moderní technologie. Lze však předpokládat, že brzy bude 3D-Secure standardem i v západní Evropě, protože díky internetu se otevřela možnost platit kartami za zboží a služby z celého světa, čímž se také zvyšují rizika jejich zneužitelnosti.

Nové trendy a přínosy
Nové trendy zabezpečení plateb platebními kartami po internetu souvisejí s novými technologiemi implementovanými do osobních počítačů. Hledají se další kanály, jak danou osobu ověřit z jiného zdroje, jiným kanálem - např. prostřednictvím PC, neboť přístup k osobnímu počítači má dnes (nebo bude mít) většina lidí. V podstatě jde jen o to, bezpečně předat určitou informaci na server, který musí být schopen ověřit, že jde o správnou osobu - buď hardwarově, případně softwarově, nebo kombinací obou metod. Je například možné implementovat čtečky karet, které budou certifikované, ověřené a budou využívat certifikovaný software. Dalším kanálem je mobilní telefon, který již dnes umí zamykat karty a potvrzovat transakce speciálně generovaným kódem, se speciálně nahranou platební aplikací přímo od banky.
Kvalitní zabezpečení transakcí platebními kartami po internetu je zásadním předpokladem důvěry zákazníků. Jestliže zákazníci získají k danému obchodníkovi důvěru, dochází po zavedení internetových platebních systémů (na základě našich dosavadních zkušeností) k vysokému nárůstu on-line transakcí. Pokud zákazníci mají s transakcí pozitivní zkušenost, potom je víceméně jisté, že všechny další požadavky budou řešit on-line (oceňují především jednoduchost a rychlost) a tuto pozitivní zkušenost budou sdělovat dále. Obecně lze tedy říci, že návratnost klientů k danému dodavateli a způsobu platby je velmi vysoká a že přidanou hodnotou je přilákání vysokého procenta nových zákazníků.

Příklad bezpečného platebního řešení u zákazníka
Jako klasický případ implementace platebního kanálu prostřednictvím platebních karet lze uvést možnost platby za cestovní pojištění společnosti UNIQA pojišťovna. Záruka v podobě dobrého jména pojišťovny UNIQA, možnost on-line sjednání a zaplacení je ukázkou vhodné implementace této platební technologie. Veškeré informace o realizovaných i nerealizovaných transakcích jsou automaticky předávány dalším systémům zpracovávajícím pojistné smlouvy. "Dokonalá orientace v problematice plateb prostřednictvím internetu a zkušenosti společnosti KAKTUS Software nám umožnily vytvořit jednoduchý, ale zároveň velmi efektivní kanál prodeje našeho pojištění," řekl Michal Vyskočil, marketingový specialista společnosti UNIQA.

Dalibor Němec pracuje jako technický ředitel ve společnosti KAKTUS Software










Komentáře