Czy płacenie kartą w internecie jest bezpieczne
Opis technologi Visa 3-D Secure oraz MasterCard SPA

Wszyscy obawiamy się przesyłać dane naszych kart kredytowych poprzez Internet. Często wahamy się nie mając pewności czy sprzedawca oferujący produkt w Internecie jest wystarczająco wiarygodny, by móc mu przekazać tak istotne informacje jak numer naszej karty płatniczej. Często jest to powodem naszej rezygnacji z zakupów lub dokonania ich u innego, bardziej pewnego kontrahenta.

Jednak warto spojrzeć na ten problem z drugiej strony, od strony sprzedawcy i organizacji płatniczej. Wbrew pozorom maja oni ten sam problem co my, kupujący. Muszą oni bowiem mieć pewność, że osoba która korzysta z numeru i danych karty płatniczej jest rzeczywiście jej posiadaczem. Obecne uregulowania prawne przenoszą dużą cześć odpowiedzialności za transakcje dokonywane bez fizycznej obecności karty na banki i organizacje płatnicze. Dlatego właśnie dążą one do zapewnienia skutecznych metod identyfikacji klientów, a tym samym uwolnienia się od ciążącej na nich odpowiedzialności.

Identyfikacja posiadacza karty w transakcjach wirtualnych, czyli opis technologii Visa 3-D Secure i MasterCard SPA.

W dążeniu do ulepszenia metod identyfikacji klientów, a co za tym idzie do zmniejszenia swoich ogromnych strat spowodowanych oszustwami, prym wiodą dwie największe organizacji płatnicze Visa i MasterCard. Organizacje te we współpracy z American Express stworzyły w I połowie lat 90-tych architekturę zwaną SET (Secure Electronic Transaction) opartą o technologię podpisu elektronicznego i asymetrycznej kryptografii. Jednak technologia ta nie upowszechniła się na tyle, by ograniczyć ogromne nadużycia dokonywane przy użyciu kart płatniczych w Internecie.

Obie firmy postanowiły działać oddzielnie i stworzyć niezależnie technologie umożliwiające identyfikację posiadaczy kart płatniczych. W ten sposób narodziły się Visa 3-D Secure (od Three Domain – trzech sektorów – o tym będzie jeszcze dalej mowa) oraz MasterCard Secure Payment Application (SPA).

Obie te metody nie są tak naprawdę nowymi technologiami, są to jedynie specjalne algorytmy postępowania włączające w proces identyfikacji sieciowej tego, który wie o posiadaczu karty najwięcej, – czyli banku wystawcy karty. Każda transakcja jest autoryzowana poprzez bezpośredni kontakt właściciela karty z własnym bankiem. Pozwala to na wyeliminowanie odpowiedzialności wszystkich innych podmiotów uczestniczących w procesie autoryzacji. W takim modelu odpowiedzialność za transakcję ponosi klient lub ewentualnie bank wystawca karty. W większości przypadków następuje wyłączenie odpowiedzialności organizacji płatniczej.

Do zastosowania obu tych metod nie jest konieczna jakakolwiek zmiana obecnych systemów kart płatniczych , czy samego procesu akceptacji. Stworzony został jedynie zupełnie nowy model potwierdzania płatności dokonywanych bez fizycznej obecności karty. Zakłada on szeroką interakcje między klientem a wystawcą karty. Ten ostatni potwierdzając tożsamość posiadacza karty będzie zezwalał na prowadzenie dalszego procesu akceptacji płatności według normalnych, tradycyjnych metod.

Szerokie zmiany muszą nastąpić jedynie w systemach wystawców kart, którzy musza zebrać potrzebne do identyfikacji klientów dane by później w szybki i wydajny sposób przeprowadzać proces autoryzacji. Na szczęście obie technologie, choć różniące się mogą spokojnie współpracować z tymi samami narzędziami i aplikacjami po stronie wystawców kart. Nie ma więc konieczności dublowania procesów i infrastruktury dla kart obu organizacji płatniczych.

Visa 3-D Secure

3-D Secure dzieli cały proces akceptacji transakcji dokonywanej bez fizycznego użycia karty na 3 sfery, zależnie od podmiotów odpowiedzialnych za daną część transakcji. Wyróżnia się zatem sferę wystawcy karty, sferę centrum rozliczeniowego oraz sferę interoperacyjną o łączonej odpowiedzialności. Do sfery wystawcy należy posiadacz karty i bank wystawca, do sfery centrum należy punkt handlowy akceptujący kartę oraz centrum rozliczeniowe. W 3 sferze znalazła się organizacja płatnicza zapewniająca poprzez swój system rozliczeniowy połączenie pierwszych dwóch sfer.

W poszczególnych strefach istnieje też szczególnie bliska współpraca. Szczególnie ma to miejsce pomiędzy wystawca karty a jej posiadaczem oraz miedzy punktem handlowym a centrum rozliczeniowym.

Transakcja dokonywana bez fizycznego użycia karty następuje poprzez kontakt klienta ze sprzedawcą. Klient wyraża chęć dokonania płatności kartą, wpisując numer swojej karty płatniczej. System sprzedawcy odwołuje się w tym miejscu do systemu Visy, który identyfikuje wystawcę danej karty płatniczej i przekierowuje dane połączenie na stronę banku wystawcy karty.

Na stronach banku następuje identyfikacja klienta. Może to nastąpić poprzez dodanie wcześniej uzgodnionego hasła, lub też zastosowanie odpowiedniego podpisu elektronicznego. Podczas wpisywania hasła, często stosowana jest personal assurance message. Jest to fraza lub zdanie, które jest ustalane przez klienta razem z hasłem potwierdzającym jego tożsamość. Zdanie to musi pojawić się na stronie ponad miejscem, gdzie ma zostać wpisane hasło. Daje to klientowi pewność, że wpisuje hasło na rzeczywistej stronie własnego banku, a nie na stronie podmienionej przez ewentualnych oszustów.

Jeśli wystawca potwierdzi tożsamość posiadacza karty to przekazuje o tym informację sprzedawcy i przekierowuje klienta ponownie na jego stronę. Tu klient dokonuje kolejnych kroków związanych z autoryzacją transakcji. Cała dalsza autoryzacja następuje w taki sam sposób jakby 3-D Secure nie został zastosowany. Tzn. sprzedawca zwraca się do centrum rozliczeniowego o autoryzację a to zwraca się za pośrednictwem Visanet do banku wystawcy. Później potwierdzenie autoryzacji biegnie w przeciwnym kierunku, dociera w końcu do sprzedawcy i klienta, co kończy uwieńczona sukcesem transakcję.

Zaletą tej technologii jest oczywiście dodatkowe zabezpieczenie wszystkich transakcji dokonywanych bez fizycznego wykorzystania karty. Każdy, kto posłuży się tylko numer karty będzie musiał dokonać kolejnych kroków w postaci podania znanego tylko posiadaczowi karty tajnego hasła. Wyeliminuje to zdecydowaną większość oszustw, tak powszechnych obecnie w przypadku wirtualnych płatności.

Są także głosy przeciwne temu mechanizmowi. Jego krytycy wskazują na pojawianie się dodatkowego elementu procesu autoryzacji zakupu, co może zniechęcić klientów do zakupów. Niektórzy wielcy sprzedawcy jak np. amazon.com oferują swym klientom możliwość wpisania na stałe danych o płatności i każdorazowe dokonywanie zakupu z ich wykorzystaniem,. Zakup taki następuje poprzez tylko jedno kliknięcie. Amazon argumentuje, że po zastosowaniu 3-D Secure jeden klik zamieni się w co najmniej 3 i spora grupa klientów zaniecha w tej sytuacji zakupu. Twierdzi także, że w związku z tym, woli ponosić ryzyko związane z ewentualnymi oszustwami, niż stosować tą technologię.

MasterCard Secure Payment Application

MasterCard wdraża podobne w swym założeniu rozwiązanie. Podobnie jak w przypadku 3-D Secure jest to sposób dodatkowej autoryzacji transakcji dokonywanej bez użycia fizycznego karty, przy czym po dokonaniu dodatkowego sprawdzenia proces autoryzacji przeprowadzany jest w taki sam sposób jak bez wdrożenia tej metody.

Jednakże MasterCard postanowił stworzyć system, który nie obarczałby klienta koniecznością wpisywania dodatkowych informacji i wydłużania procesu autoryzacji. Jego rozwiązanie jest w tym względzie lepsze, lecz za to posiada inne wady, których nie ma rozwiązanie Visa.

Główne założenie, że autoryzacji powinien dokonywać wystawca karty pozostaje bez zmian. Istotą rozwiązania MasterCard’a jest zastosowanie specjalnej, instalowanej w komputerze klienta aplikacji, która będzie odpowiedzialna za dodatkową autoryzacje transakcji. Warto wskazać, że w przypadku Visy klient mógł korzystać z dowolnego komputera wyposażonego w przeglądarkę internetowa bez konieczności instalacji dodatkowego oprogramowania. W czasach, gdy często korzystamy z Internetu poza domem, rozwiązanie wymagające instalacji dodatkowego programu może być pewnym utrudnieniem. Nawet w sytuacji gdy program można w bardzo łatwy sposób pobrać ze strony wystawcy karty.

W momencie pierwszej instalacji aplikacji konieczne będzie wpisanie wszystkich danych dotyczących posiadanej karty kredytowej i odpowiednich haseł. Później wszystkie te dane będą już wykorzystywane automatycznie.

Zainstalowana aplikacja wykryje, że klient pojawił się na stronie sprzedawcy korzystającego z technologii SPA i chce dokonać płatności kartą MasterCard. W tym momencie program połączy się z bankiem wystawcą karty w celu otrzymania potwierdzenia tożsamości klienta, w ten sposób następuje autoryzacja tożsamości klienta. Wystawca przesyła specjalny numer, który aplikacja wykorzystuje dla potwierdzenia autoryzacji na stronie sprzedawcy.

W tym momencie sprzedawca rozpoczyna normalna procedurę autoryzacji transakcji kontaktując się ze swoim centrum rozliczeniowym, a to nawiązuje kontakt z bankiem wystawca karty. W procesie tym musi nastąpić potwierdzenie numeru (tokenu) wprowadzonego przez aplikacje do systemu sprzedawcy przez bank wystawcę karty. Jeśli to nastąpi to transakcja dochodzi do skutku.

Przedstawiony model wymaga pewnych zmian w systemach autoryzacji transakcji, bowiem przekazując zwyczajne informacje autoryzacyjne system musi przekazać także wygenerowany numer (token) od sprzedawcy do wystawcy karty w celu jego potwierdzenia. Jak widać SPA wymaga pewnych zmian w infrastrukturze oraz zastosowania dla swojego działania dodatkowej aplikacji, co jest wadą w stosunku do rozwiązań Visa. Wielką zaleta technologii MasterCard’a jest natomiast to, ze nie następuje wydłużeni samego procesu autoryzacji transakcji. Cały proces jest kontrolowany przez aplikację, która zwalnia klienta z konieczności wpisywania tych samych danych dotyczących płatności.

Jak to wygląda w Polsce

Jak widać obie organizacje płatnicze dążą do wdrożenia technik umożliwiających wyeliminowanie znacznego odsetka oszustw, który charakteryzuje transakcje dokonywane bez fizycznego udziału kart płatniczych. Obie organizacje oparły swoje rozwiązania na wykorzystaniu szczególnej więzi łączącej posiadacza karty z bankiem ją wydającym. W ten sposób udało się stworzyć dwa różne w działaniu, lecz podobne w swych skutkach, systemy. Każdy z nich ma swoje indywidualne wady i zalety. Zapewne jednak wkrótce będziemy mieli sami okazje się o nich przekonać. Coraz więcej, bowiem instytucji także w Polsce przygotowuje się do wprowadzenia tych rozwiązań.

Niedawno wprowadzenie 3-D Secure w przypadku swoich kart płatniczych zapowiedział polski oddział Citibanku. Zamierza on wykorzystać tą technologię do autoryzacji transakcji internetowych w ramach swojego systemu CitiConnect. Zapewne w jego ślady pójdą wkrótce kolejne polskie instytucje finansowe, bowiem opisane metody są bardzo mocno obecnie promowane zarówno przez Visę jak i Mastercard.

Nie możemy także zapominać, że wdrożenie tych systemów zapewni użytkownikom kart większe bezpieczeństwo. Już wkrótce doczekamy chwili, kiedy posiadanie samego numeru karty nie pozwoli na dokonanie jakiejkolwiek transakcji. Będzie to moment, gdy nasze karty staną się dużo bardziej bezpieczne.

(2kB)