Mennyire biztonságos az online kártyás fizetés, tévhitek eloszlatása, mire figyeljünk?
Szeretnénk néhány információval segíteni azoknak, akiknek kétségeik vannak online fizetés biztonságával kapcsolatban.
A kártyával történő fizetés, mint iparág, biztonsági alapelveit a nagy kártyatársaságok (Mastercard, Visa) által bevezetett, majd szabványosított szabályok határozzák meg. Ezek folyamatosan szigorodnak és terjednek ki az új és új kártya elfogadási módokra. (legújabb pl. a paypass)
Ha a biztonság szempontjából nézzük a folyamatot, akkor 3 fő mozzanatot kell vizsgálni:
- hogyan győződünk meg arról, hogy valóban a jogosult kártyatulajdonos használja-e a kártyát
- a kártya és tranzakciós adatokat ki és hogyan kezeli (kezelheti) a kereskedő oldalán
- a kártyatulajdonos számláján végzett műveletek megfelelnek-e a bankok illetve kártyatársaságok előírásainak.
Ez az utolsó mozzanat tipikusan a kártyatársaságok és az ún. acquirer bankok (ahova a pénz megérkezik, a fogadó bank) kezelésében történik és évtizedek alatt biztonságuk az egyéb banki operációk szintjére emelkedett.
Az első szempontot vizsgálva viszont érdemes megtanulni egy kifejezést, a CNP-t (Card Not Present - a kártya nincs jelen). Ilyenkor a beazonosítás úgy zajlik le, hogy a kártya, a kártyatulajdonos és a kereskedő nincs egy helyszínen. Az internetes kártyaelfogadás is ebbe a kategóriába tartozik, ami egyébként már évtizedek óta létezik és eredetileg a telefonos vásárlás hívta életre.
A CNP tranzakcióknál a kártyatársaságok nyomására ma már rendkívül szigorú és bonyolult eljárásokat használnak az internetes fizetési szolgáltatók a csalók kiszűrésére.
Nem csak a kártya biztonsági adatainak kell egyeznie, de figyelik, hogy mi a kártya kibocsátási országa, milyen címet ad meg a vásárló, éppen melyik országból használják a kártyát (és hol használták tipikusan korábban), de akár a felhasználó által a webshop-ban választott nyelv is szempont lehet.
Maguk a kártyatársaságok is bevezettek új eljárásokat a tökéletesebb vásárló azonosítás érdekében. Ha valahol azt látjuk, hogy Verified by Visa vagy MasterCard SecureCode, akkor ott már ilyen rendszerek működnek. A statisztikák azt mutatják, hogy az online vásárlók értékelik ezt és emelkedik azon kereskedők forgalma, akik bevezetik ezeket az extra ellenőrzéseket.
Nem beszéltünk még az adatkezelés biztonságáról. Itt is van egy bűvös rövidítés a PCI DSS (Payment Card Industry Data Security Standard).
Ma már csak az bonyolíthat kártyás fizetéseket a web-en, aki teljesíti ezeket az előírásokat. Jelentős informatikai beruházási költségű, évente független auditorok által ellenőrzött rendszer az, ami ennek megfelel.
Ezen a ponton jutottunk el az Internetes fizetési szolgáltatók megjelenéséhez.
Amíg egy bolt, ha kártyás fizetés elfogadása mellett dönt, csak aláír egy megfelelő szerződést az egyik ún. acquirer bankkal (elfogadó bank), kifizeti a POS kártyaelfogadó terminál 100-300 ezer Forintos üzembe helyezési költségét, addig egy webáruház ha saját maga akarna megfelelni a PCI DSS előírásainak, akkor több 10 millió forintos beruházásra kényszerülne.
Itt lép be a IPSP (internet payment service perovider, online fizetési szolgáltató), aki rendelkezik ilyen rendszerrel és tanúsítványokkal a biztonsági szabványok betartásáról. Átveszi a kereskedőtől a fizetési folyamatot és gondoskodik a tranzakció lebonyolításáról, (csak az IPSP kezeli a kártya adatokat, a kereskedő nem), majd a bevételek kereskedő számlájára utalásáról. Persze ilyen szolgáltatást bankok is kínálnak, de az IPSP-k általában felülmúlják Őket a csalásvédelmi szolgáltatások, az IT rendszerek összekötésében mutatott rugalmasság, a több országban nyújtott szolgáltatás vagy az új fizetési módok használhatóságának területén, mivel ennek a tevékenységnek a specialistái.