Online vásárlás – a fizetési oldal rejtelmei

Előző bejegyzésünk az online vásárlás hátterében zajló folyamatokról szólt, ez adta az ötletet, hogy írhatnánk egy szösszenetet arról is, ami a vásárló szeme előtt történik. A kevésbé rutinos online vásárlók számára remélhetőleg hasznos lesz arról olvasni, mivel is találkozhatunk egy internetes vásárlás során.

 Egy virtuális vásárlás általában magában foglalja az előzetes regisztrációt, a honlap, webáruház árukatalógusban való böngészést, a termékek kiválasztását és kosárba helyezését, a kosár tartalmának frissítését, módosítását és törlését, a teljesítési és szállítási feltételek kiválasztását, a pénztárban való fizetést, a megrendelés leadását, valamint a szolgáltatótól a megrendelésre küldött visszaigazolást is. Nem minden webshop működik így, mostanában egyre több az olyan oldal, ahol például előzetes regisztrációhoz nincs kötve a vásárlás. Természetesen, ahogy haladunk a folyamattal, előbb vagy utóbb meg kell adjuk adatainkat. Itt kényelmi szempontok játszhatnak közre, avagy a kereskedő úgy gondolkodik, hogy sokkal jobban „konvertál” az oldala, ha nem kötelezi a vásárlóit regisztrációra, még mielőtt bármit is vásárolna.

A vásárlási folyamat további alakulását valójában a fogyasztó tudja befolyásolni, azzal, hogy milyen fizetési módot választ ki. Egyik korábbi bejegyzésünkben foglalkoztunk az Escalion kutatással, ahol azt is megkérdeztük a webshop tulajdonosoktól, hogy milyen fizetési mód érhető el náluk. Remélhetőleg azóta a helyzet javult kicsit, és az online bankkártya elfogadás már jobban elterjedt, nem titkoltan a ’Mi online fizetünk!’ blog főként ezzel a kérdéskörrel foglalkozik. Ha az előbb említett blogbejegyzésünkben megnézzük, hogy milyen fizetési opciók vannak általában, azt láthatjuk, hogy többnyire a megrendelés utáni fizetés az elterjedt, a megrendeléskor történő kifizetéssel szemben. E mögött számos ok is rejtőzhet, mind a kereskedő, mind a vásárló részéről, ennek fejtegetésébe inkább most nem bocsátkoznánk, valószínűleg egy külön blogposzt terjedelmű írás születne belőle.

Azt azonban kijelenthetjük, hogy az átlag fogyasztó ma Magyarországon inkább azért nem vásárol bankkártyával, mert bizalmatlan, félti az adatait, stb. Egy ideje ezen dolgozunk mi is, hogy ez megváltozzon, és egyre népszerűbb legyen ez a vásárlási forma.

Emiatt a továbbiakban egy olyan esetet veszünk, ahol a kiválasztott terméket rögtön megrendeléskor, bankkártyával szeretné kifizetni a vásárló. Tehát az előzetes regisztráció (ha szükséges volt) már lezajlott, böngésztünk a termékek között, sikerült is megtalálnunk a számunkra legvonzóbb terméket, hát akkor vegyük is meg! A termék és a szállítási opciók kiválasztása szintén megtörtént, legutolsó lépésként a fizetés maradt, így jutunk el a fizetési oldalra. Nem biztos, hogy mindannyiunk számára világos, hogy a fizetési oldalnak mekkora jelentősége van, ezért vizsgáljuk meg jobban ezt a kérdést, a kereskedő, és a vásárló szemszögéből is.

Attól függően, hogy a kereskedő milyen szolgáltatóval van leszerződve, ki  biztosítja az online bankkártya elfogadást, több verzió is lehetséges. Magyarországon az az elterjedtebb, hogy a fizetési oldalakat a hazai bankok szolgáltatják, ugyanúgy, ahogy a bankkártya elfogadást is. Jellemzően nevet, bankkártya számot, lejárati dátumot és CVC/CVV kódot kérnek (néhol a Bank nevét, és a bankkártya típusát is bekérik), majd a fizetés gomb megnyomásával megtörténik a tranzakció. A fizetési oldal dizájnja ilyenkor szinte biztos, hogy a banké, néhány szöveges résztől eltekintve nem nagyon látjuk, hogy honnan is jutottunk ide, se logó, se kép, se bármiféle grafika nincs, ami a kereskedő oldalára utalna. Ez lehet pozitív és negatív is, a kereskedő valószínűleg örülne neki, ha a logója, vagy a cégének neve folyamatosan szem előtt lenne, ezzel is némi hatást gyakorolhatna a fogyasztóra (de ez már inkább marketing). Pozitívumként viszont előjön az, hogy ha a vásárló egy ismert bank oldalával találkozik, amit mondjuk akár már több ízben is látott korábban, más webshopban történő vásárlásakor, nem nagyon fog habozni, hogy meg merje e adni személyes, illetve kártyaadatait. Fontos megjegyezni, hogy ahol mérik a vásárlás közben az oldalt elhagyók arányát, ott elég érdekes statisztikák kerülhetnek napvilágra, pont emiatt sem mindegy, hogy a fizetési oldal hogy néz ki, mennyire bonyolult illetve átlátható, és nem árt eltalálni az arany középutat a bekérendő adatok vonatkozásában, a túl kevés, és a túl sok is problémás lehet. Ha a példánkat nézzük, jelen esetben a kereskedőnek eléggé meg van kötve a keze, ugyanis a fizetési oldalt a bank szolgáltatja, aki ragaszkodik a saját arculatához, a bekérendő adatokhoz, a kereskedő pedig „kénytelen” ezt elfogadni.

Tőlünk nyugatabbra sokkal inkább elterjedt, hogy nem banki szereplők, hanem úgynevezett online fizetési szolgáltatók (payment service provider, PSP) nyújtják ezt a szolgáltatást. Így a vásárló nem feltétlenül egy bank oldalát látja maga előtt, hanem egy adatkezelő szolgáltatóét, aki a tranzakció adatkezelésben professzionális. A felhasználó itt is átjut a fizetési oldalra, ha bankkártyával vásárol, eddig megegyezik a működése a banki szolgáltatással, viszont maga a fizetési oldal már teljesen eltérhet az ott megszokottól. A PSP ilyen szempontból annyival rugalmasabb, hogy a kereskedő igényeit is meg tudja valósítani, ami a fizetési oldalt illeti. Például ide tartozik a bekérendő adatok mennyisége, tehát ha a webshop tulajdonos igényli, plusz infókat is bekérhet a fizetési oldalon (pl.: e-mailcím, lakcím, telefonszám). De ha egyszerűsíteni akarja a vásárlók dolgát, minimálisra is csökkentheti a beviteli mezőket, magyarán csak azt kéri, ami mindenképp szükséges a tranzakció lebonyolításához.  Ilyen kereskedői igény felmerülése esetén, előfordulhat, hogy az online webshop brand-je, arculata olyan erős, hogy a vásárló nem szívesen hagyja el azt fizetéskor, ezért a fizetőoldalt a shop arculatára szabják. Ezzel több hatást is el lehet érni, egyrészt a vásárló biztos lehet benne, hogy tényleg ott és azt vásárolja meg, amit szeretne, mert teljes mértékben az a látványvilág fogadja, amit a weboldalon megszokott, másrészt a biztonságérzetre sincs káros hatással, mert a különböző biztonsági elemek természetesen ezen a fajta fizetési oldalon is jól láthatóak, beazonosíthatóak.

Ha megadtuk az adatainkat, és rákattintottunk a kifizetés gombra, némi homokórázás után a folytatás nagyjából megegyezik, akár banki, akár PSP fizetési oldalról jutunk vissza a webshopba. Az eltérés annyi, hogy a banki oldalról általában automatikusan visszairányítódunk arra az oldalra, ahonnan a fizetést kezdeményeztük, és ott írja ki nekünk a rendszer, hogy sikeres vagy sikertelen lett-e a tranzakciónk. Fizetési szolgáltató esetében már rögtön a fizetési oldalon megtudhatjuk, hogy sikerült-e a vásárlásunk, a visszairányítás egy gombnyomással, manuálisan történik.

A kereskedő ezután köteles a fogyasztó megrendelését haladéktalanul, de legkésőbb 48 órán belül elektronikusan visszaigazolni. Ez a gyakorlatban egy automatikus válasz e-maillel történik, amely a megrendelés feltételeit (termék neve, ár, szállítási feltételek, stb.) erősíti meg. Ha a visszaigazolás 48 órán belül nem történik meg, a fogyasztót nem köti a megrendelése, és nem köteles a leszállított termék átvételére. Manapság már megszokott az a gyakorlat is, hogy bankkártyás vásárlás után digitális számlát is kézhez kapunk, vagy az oldalon letölthető formában, vagy szintén e-mailben megküldve részünkre.

Reméljük, hogy lesz gyakorlati haszna is az itt leírtaknak, ha legalább egy olvasót sikerült meggyőznünk arról, hogy online fizetni jó dolog, már megérte. :)

Az online bankkártyás fizetés biztonsága – avagy mi folyik a háttérben?

Egy korábbi bejegyzésünkben már érintettük ezt a kérdéskört, most a technikai háttérrel foglalkoznánk kicsit többet. Ahogy a cím is mutatja, azt szeretnénk röviden bemutatni, mi is folyik abban a pár másodpercben, amíg arra várunk, hogy a fizetésünk sikeres lesz, vagy nem. Nem titkolt célja továbbá ennek a posztnak, hogy a Kedves Olvasó bizalmát még jobban elnyerje az online bankkártyás fizetés, ha látja, hogy milyen biztonsági lépések történnek ilyen esetekben a kereskedő és a bank vagy szolgáltató, illetve a többi szereplő között.

Kezdetnek érdemes tisztában lenni azzal, hogy hogyan is működik az online fizetés háttérfolyamata, egy egyszerű példát nézve, amikor a vásárló egy bank fizetési oldalán keresztül téríti meg a webshopban vásárolt termék ellenértékét: A vásárló a kereskedő vagy szolgáltató (a továbbiakban az egyszerűség kedvéért csak kereskedő) internetes oldalán a bankkártyás fizetési mód kiválasztását követően kezdeményezi a fizetést, melynek hatására átkerül a bank biztonságos kommunikációs csatornával ellátott fizetőoldalára (SSL/TLS titkosítás). A fizetéshez szükséges megadni a kártyaszámot, a lejárati dátumot, és a kártya hátoldalán található 3 jegyű érvényesítési kódot (CVC/CVV kód). A tranzakciót a vásárló indítja el a fizetés gombra kattintva, ettől kezdve a kártya valós idejű engedélyezésen megy keresztül néhány másodperc alatt, melynek során a kártyaadatok eredetisége, fedezete, és vásárlási limit-je kerül ellenőrzésre. Amennyiben a tranzakció folytatásához minden adat megfelel, a fizetendő összeget a vásárló számlavezető bankja zárolja a kártyáján, hogy ezt az összeget másra már ne lehessen elkölteni. A számlavezető bank ezután visszaküldi egy üzenetben a fizetési szolgáltató banknak, hogy minden rendben van, a bank pedig visszairányítja a vásárlót a webshop oldalára, ahol a webáruház kiírja, hogy a vásárlás sikeres volt.

Mivel ez a poszt a technikai részletekről szól, az előző bekezdésből a titkosítás az, ami minket érdekel. A titkosítást évszázadok óta használják bizalmas adatok egyik helyről a másikra juttatásakor. A titkosításkor az elküldendő üzenetet egy titkosító kulcs felhasználásával, titkosító algoritmus segítségével kódoljuk. A kódolt üzenetet aztán eljuttatjuk a rendeltetési helyre, ahol az előbbi kulcs segítségével visszaállítják az eredeti üzenetet. Kétféle alapvető titkosítási mód létezik, a szimmetrikus és az aszimmetrikus titkosítás. Szimmetrikus titkosításnál az üzenet titkosítására és visszafejtésére ugyanazt a kulcsot használjuk. Az eljárás előnye, hogy nagyon gyors, hátránya, hogy mindig ugyanazzal a kulccsal történik a titkosítás, és nehézkes a kulcs egyeztetése. Az aszimmetrikus titkosítás két kulcsot használ, az egyik kulcsot az üzenet titkosítására, a másikat az üzenet visszafejtésére. A két kulcs között olyan matematikai kapcsolat van, hogy amit az egyik kulccsal titkosítanak az csak a másikkal fejthető vissza. Az egyik kulcsot privát kulcsnak, a másikat publikus kulcsnak hívjuk. A felek a publikus kulcsukat nyilvánosságra hozzák. A titkos kulcsot kizárólagosan alkalmazza az aláíró, míg a nyilvános kulcsot a címzett használja, hogy meggyőződjön az aláírás eredetiségéről. A módszer hátránya, hogy lassú, mivel bonyolult matematikát használ.

Jelenleg a legelterjedtebb titkosítási eljárás az SSL/TLS (Secure Socket Layer/Transport Layer Security) protokoll. Az SSL/TLS biztonságos kommunikációs kapcsolatot teremt nyílt kulcsok felhasználásával, a webszerver és a webböngésző közötti adatátvitelben az adatok titkosítására és hitelesítésére alkalmazott biztonsági technológia. Az SSL/TLS a kommunikáció titkosítása mellett arra is lehetőséget nyújt, hogy digitális tanúsítványok segítségével ellenőrizzük a két internetes szereplő hitelességét, és hogy észleljük, ha valaki kívülről szándékosan befolyásolni akarja a kommunikációt. Jelenleg a világ elektronikus kereskedelmének 90%-ában ezt a titkosítási módot alkalmazzák. A bank rendelkezik egy 128/256 bites titkosító kulccsal, amely a kommunikációs csatornát védi. A vásárló által használt böngésző a bankkártya birtokos adatait az elküldés előtt titkosítja, így azok kódolt formában jutnak el rendeltetési helyükre, emiatt illetéktelen személyek számára nem értelmezhetőek.

A laikusok számára lehet, hogy nehéz olvasmánynak tűnik, de a lényeg mindenképp az, hogy láthatjuk, az adatainkat elég komolyan védik egy online vásárlás során, világszerte elfogadott és használt eljárások és szabványok biztosítják, hogy illetéktelenek ne férhessenek hozzá érzékeny adatainkhoz. Nekünk csak annyi a dolgunk, hogy megbizonyosodjunk arról, hogy az oldal, ahol megadjuk kártyainformációinkat, biztonságos legyen. Ha felül a böngészősávban azt látjuk, hogy az oldal címe https://-sel kezdődik (és lehetőleg ne legyen áthúzva, vagy piros színnel írva), akkor megnyugodhatunk, az oldalon biztonságos, titkosított kommunikáció zajlik, adataink nincsenek veszélyben, vásárolgathatunk kedvünkre.