Bezpiecznie jak w bankomacie

Technologia 3D Secure ma przynieść wzrost zaufania do transakcji dokonywanych w Internecie przy użyciu kart płatniczych.

Technologia 3D Secure ma przynieść wzrost zaufania do transakcji dokonywanych w Internecie przy użyciu kart płatniczych.

Wojciech Barwaśny, dyrektor informatyki w eCardeCard, jako pierwszy w Polsce, uruchomił pod koniec maja br. promowany przez Visę i MasterCard system 3D Secure. Spółka ta, której udziałowcami są ComputerLand, Bank Zachodni WBK i BRE Bank, zajmuje się autoryzacją i obsługą finansową transakcji internetowych. Opracowana oryginalnie przez Visę, a później przyjęta przez inne organizacje technologia umożliwia weryfikację tożsamości osoby dokonującej transakcji kartą płatniczą przez Internet na wzór identyfikacji osoby wypłacającej pieniądze w bankomacie, kiedy wprowadzenie poprawnego numeru PIN jednoznacznie identyfikuje właściciela karty.

Od chwili uruchomienia systemu prawie 10% autoryzacji obsługiwanych przez eCard zostało zrealizowanych w technologii 3D Secure. Przeprowadzili je właściciele kart wydanych przez zagraniczne instytucje finansowe, dotychczas bowiem żaden polski bank nie wdrożył rozwiązań obsługujących 3D Secure.

Komu zależy?

Największe korzyści z popularyzacji technologii mogą odnieść przede wszystkim sklepy wirtualne i banki wystawiające karty płatnicze. Korzyścią dla klienta będzie podniesienie bezpieczeństwa płatności dokonywanych w Internecie. Choć Visa i MasterCard zobligowały centra autoryzacyjne, takie jak eCard, do szybkiego wdrożenia technologii 3D Secure, nie zdecydowały się jednak nałożyć takiego obowiązku na wystawców kart. Dopóki banki nie zdecydują się na wdrożenie stosownych rozwiązań, dopóty 3D Secure pozostanie jedynie pustym hasłem.

Zgodnie z zasadami wprowadzonymi przez organizacje płatnicze koszty transakcji obsługiwanej przez centrum autoryzacyjne, które wdrożyło nową technologię, a reklamowanej przez właściciela, zostaną przeniesione na bank wystawiający kartę. Dotychczas odpowiedzialność spoczywała na sklepach. Oczywiście, o ile bank nie jest uczestnikiem systemu. W takim bowiem przypadku odpowiedzialność spoczywa na właścicielu karty. Przypisane karcie hasło, niezbędne przy dokonywaniu dowolnej transakcji w Internecie, pozwoli jednoznacznie identyfikować prawowitego posiadacza karty.

W interesie wystawcy karty powinno więc leżeć jak najszybsze wdrożenie 3D Secure. Tak naprawdę jednak wcale im do tego nie spieszno. "Bank musi przeprowadzić analizę zysków i strat, podjąć decyzję biznesową - czy bardziej opłaca się ponosić koszty reklamowanych transakcji czy wyłożyć środki na instalację systemów współpracujących z 3D Secure" - tłumaczy Piotr Kaczanowski, dyrektor handlowy w eCard.

Dla banku oznacza to zbudowanie serwisu internetowego określanego jako Access Control Server, na którym będą przechowywane numery kart i informacje o ich posiadaczach, a także skojarzone z nimi hasła. "System jest jednak otwarty na technologie uwierzytelniania użytkowników. Mogą to być zarówno certyfikaty cyfrowe, karty mikroprocesorowe, tokeny, a także zwykłe kody i hasła" - twierdzi Wojciech Barwaśny, dyrektor informatyki w eCard.

Niewykluczone że duża część banków zdecyduje się ponosić koszty reklamowanych transakcji. W przypadku eCard udział transakcji dokonywanych przy użyciu skradzionych numerów kart kształtuje się na poziomie kilkunastu promili, a odsetek nielegalnych transakcji w sieci stale spada. W 2002 r. w skali całego świata wyniósł on 1,5%. Choć mogłoby się wydawać, że to niewiele, to odsetek takich transakcji realizowanych tradycyjnie wynosi zaledwie 0,05%.

Jeden ekran

Skrót 3D Secure odnosi się do trzech domen, które składają się na bezpieczny system dokonywania płatności: banku wystawiającego kartę, centrum autoryzacyjnego i organizacji płatniczej. Z punktu widzenia dokonywania transakcji przez klientów niewiele się zmienia. Podczas transakcji wyświetla się tylko jeden dodatkowy ekran przeglądarki, gdzie w odpowiednim formularzu trzeba wprowadzić hasło.