Egy korábbi bejegyzésünkben már érintettük ezt a kérdéskört, most a technikai háttérrel foglalkoznánk kicsit többet. Ahogy a cím is mutatja, azt szeretnénk röviden bemutatni, mi is folyik abban a pár másodpercben, amíg arra várunk, hogy a fizetésünk sikeres lesz, vagy nem. Nem titkolt célja továbbá ennek a posztnak, hogy a Kedves Olvasó bizalmát még jobban elnyerje az online bankkártyás fizetés, ha látja, hogy milyen biztonsági lépések történnek ilyen esetekben a kereskedő és a bank vagy szolgáltató, illetve a többi szereplő között.
Kezdetnek érdemes tisztában lenni azzal, hogy hogyan is működik az online fizetés háttérfolyamata, egy egyszerű példát nézve, amikor a vásárló egy bank fizetési oldalán keresztül téríti meg a webshopban vásárolt termék ellenértékét: A vásárló a kereskedő vagy szolgáltató (a továbbiakban az egyszerűség kedvéért csak kereskedő) internetes oldalán a bankkártyás fizetési mód kiválasztását követően kezdeményezi a fizetést, melynek hatására átkerül a bank biztonságos kommunikációs csatornával ellátott fizetőoldalára (SSL/TLS titkosítás). A fizetéshez szükséges megadni a kártyaszámot, a lejárati dátumot, és a kártya hátoldalán található 3 jegyű érvényesítési kódot (CVC/CVV kód). A tranzakciót a vásárló indítja el a fizetés gombra kattintva, ettől kezdve a kártya valós idejű engedélyezésen megy keresztül néhány másodperc alatt, melynek során a kártyaadatok eredetisége, fedezete, és vásárlási limit-je kerül ellenőrzésre. Amennyiben a tranzakció folytatásához minden adat megfelel, a fizetendő összeget a vásárló számlavezető bankja zárolja a kártyáján, hogy ezt az összeget másra már ne lehessen elkölteni. A számlavezető bank ezután visszaküldi egy üzenetben a fizetési szolgáltató banknak, hogy minden rendben van, a bank pedig visszairányítja a vásárlót a webshop oldalára, ahol a webáruház kiírja, hogy a vásárlás sikeres volt.
Mivel ez a poszt a technikai részletekről szól, az előző bekezdésből a titkosítás az, ami minket érdekel. A titkosítást évszázadok óta használják bizalmas adatok egyik helyről a másikra juttatásakor. A titkosításkor az elküldendő üzenetet egy titkosító kulcs felhasználásával, titkosító algoritmus segítségével kódoljuk. A kódolt üzenetet aztán eljuttatjuk a rendeltetési helyre, ahol az előbbi kulcs segítségével visszaállítják az eredeti üzenetet. Kétféle alapvető titkosítási mód létezik, a szimmetrikus és az aszimmetrikus titkosítás. Szimmetrikus titkosításnál az üzenet titkosítására és visszafejtésére ugyanazt a kulcsot használjuk. Az eljárás előnye, hogy nagyon gyors, hátránya, hogy mindig ugyanazzal a kulccsal történik a titkosítás, és nehézkes a kulcs egyeztetése. Az aszimmetrikus titkosítás két kulcsot használ, az egyik kulcsot az üzenet titkosítására, a másikat az üzenet visszafejtésére. A két kulcs között olyan matematikai kapcsolat van, hogy amit az egyik kulccsal titkosítanak az csak a másikkal fejthető vissza. Az egyik kulcsot privát kulcsnak, a másikat publikus kulcsnak hívjuk. A felek a publikus kulcsukat nyilvánosságra hozzák. A titkos kulcsot kizárólagosan alkalmazza az aláíró, míg a nyilvános kulcsot a címzett használja, hogy meggyőződjön az aláírás eredetiségéről. A módszer hátránya, hogy lassú, mivel bonyolult matematikát használ.
Jelenleg a legelterjedtebb titkosítási eljárás az SSL/TLS (Secure Socket Layer/Transport Layer Security) protokoll. Az SSL/TLS biztonságos kommunikációs kapcsolatot teremt nyílt kulcsok felhasználásával, a webszerver és a webböngésző közötti adatátvitelben az adatok titkosítására és hitelesítésére alkalmazott biztonsági technológia. Az SSL/TLS a kommunikáció titkosítása mellett arra is lehetőséget nyújt, hogy digitális tanúsítványok segítségével ellenőrizzük a két internetes szereplő hitelességét, és hogy észleljük, ha valaki kívülről szándékosan befolyásolni akarja a kommunikációt. Jelenleg a világ elektronikus kereskedelmének 90%-ában ezt a titkosítási módot alkalmazzák. A bank rendelkezik egy 128/256 bites titkosító kulccsal, amely a kommunikációs csatornát védi. A vásárló által használt böngésző a bankkártya birtokos adatait az elküldés előtt titkosítja, így azok kódolt formában jutnak el rendeltetési helyükre, emiatt illetéktelen személyek számára nem értelmezhetőek.
A laikusok számára lehet, hogy nehéz olvasmánynak tűnik, de a lényeg mindenképp az, hogy láthatjuk, az adatainkat elég komolyan védik egy online vásárlás során, világszerte elfogadott és használt eljárások és szabványok biztosítják, hogy illetéktelenek ne férhessenek hozzá érzékeny adatainkhoz. Nekünk csak annyi a dolgunk, hogy megbizonyosodjunk arról, hogy az oldal, ahol megadjuk kártyainformációinkat, biztonságos legyen. Ha felül a böngészősávban azt látjuk, hogy az oldal címe https://-sel kezdődik (és lehetőleg ne legyen áthúzva, vagy piros színnel írva), akkor megnyugodhatunk, az oldalon biztonságos, titkosított kommunikáció zajlik, adataink nincsenek veszélyben, vásárolgathatunk kedvünkre.
Nincsenek megjegyzések:
Megjegyzés küldése