Od kilku miesięcy możliwa jest autoryzacja płatności internetowych online. Korzysta z niej już kilka sklepów internetowych. Które z oferowanych rozwiązań wybrać? Jakie są ich wady i zalety?

Usługi autoryzacji płatności online, mimo szybkiego rozwoju Internetu w Polsce, przez długi czas nie były rozwijane. Jeszcze do niedawna ich świadczenie, i to tylko w wersji offline, oferował jedynie PolCard. "Autoryzacja offline za pośrednictwem PolCardu jest wykonywana raz dziennie, w przypadku naszego sklepu, o północy. W pesymistycznym wariancie sklep na uzyskanie autoryzacji z PolCardu może czekać nawet 24 godziny" - mówi Maciej Warszawski, szef zespołu programistów Cybersamu. W efekcie zakupy dokonane między północą a 6 rano będą autoryzowane dopiero kolejnej nocy. Tymczasem autoryzacja online powinna trwać od kilku do kilkudziesięciu sekund, dzięki czemu możliwe jest natychmiastowe poinformowanie klienta zamawiającego towary w sklepie internetowym o poprawnym przebiegu autoryzacji. W znaczący sposób pozwala również skrócić czas oczekiwania od zamówienia do dostarczenia przesyłki.

Wiele podobieństw

W ogólnym zarysie schemat autoryzacji online jest podobny we wszystkich centrach autoryzacji (PolCard, eCard, Cavern). Po złożeniu zamówienia klient sklepu internetowego jest kierowany do bezpiecznej witryny utrzymywanej przez centrum autoryzacji, na której znajduje się formularz płatniczy. Na nim należy wpisać informacje dotyczące karty kredytowej (jej numer, datę ważności, imię i nazwisko użytkownika). Dane te w zaszyfrowanej formie są przesyłane do organizacji płatniczej, np. MasterCard. Jeżeli ta nie zgłosi zastrzeżeń, transakcja jest kierowana do banku, który wystawił kartę, aby zarezerwować na koncie klienta sklepu odpowiednią kwotę. Zakładając, że na koncie znajduje się dostateczna ilość środków, bank przekazuje potwierdzenie blokady określonej kwoty do organizacji płatniczej, a ta przesyła je do centrum autoryzacji, które z kolei wysyła odpowiedni komunikat do sklepu.

Otrzymanie autoryzacji ozna-cza, że sklep ma prawo do obciążenia karty klienta sumą nie przekraczającą kwoty autoryzacji. Standardowo sklep ma na to 7 dni. Jeżeli w tym czasie nie wyśle żądania przelania środków na własne konto, autoryzacja jest anulowana, a środki na koncie klienta zostają odblokowane. Pomyślne zakończenie autoryzacji nie musi oznaczać zakończenia transakcji. Z pewnych względów sklep może nie dokonać sprzedaży, nawet jeśli autoryzacja zakończyła się pomyślnie.

Coraz bezpieczniej

Usługi eCardu i PolCardu są tak zorganizowane, by informacja o karcie nigdy nie trafiła do sklepu. Numer karty jest wymieniany tylko między klientem sklepu a centrum autoryzacji. PolCard nie zgadza się jednak, aby strona z formularzem miała szatę graficzną podobną do wyglądu stron sklepu. Sklep jedynie ma prawo do umieszczania w prawym górnym rogu strony autoryzującej własne logo. "Fakt, że autoryzacja odbywa się na charakterystycznej graficznie stronie PolCardu, uważamy za zaletę, a nie wadę. Takie rozwiązanie zwiększa poczucie bezpieczeństwa klientów płacących kartami kredytowymi w Internecie" - mówi Tomasz Długiewicz, zastępca dyrektora ds. technologii w Arena.pl. Podobnego zdania są informatycy Wirtualnej Polski - pierwszego klienta usług autoryzacji online PolCardu. eCard zastrzega jedynie wygląd for-mularza: kolory, tło i pozostałe elementy strony są określane przez sklep.

Aby zapewnić bezpieczeństwo transmisji, jest ona szyfrowana. eCard zaleca sklepom, aby do komunikowania się z klientami używały protokołu SSL o dowolnej długości klucza, z certyfikatami podpisanymi przez wiarygodną trzecią stronę. eCard również przedstawia się klientom certyfikatem SSL 128 - podpisanym przez firmę Thawte. Na potrzeby komunikacji bezpośrednio ze sklepami eCard tworzy własne 128-bitowe certyfikaty SSL. "Certyfikaty wystawiane przez eCard nie są podpisywane przez zaufaną trzecią stronę. Nie są one przekazywane sklepom przez Internet. Są fizycznie instalowane przez pracowników eCard na serwerze sklepu" - tłumaczy Wojciech Barwaśny, dyrektor techniczny w eCard SA. Komunikacja na linii: eCard - organizacje płatnicze odbywa się z wykorzystaniem protokołu SET MIA (Secure Electronic Transaction, Merchant Ini-tiated Authorization). PolCard i Cavern natomiast pozostawiają sklepom możliwość wyboru. Mogą one stosować klucze 40-bitowe lub dłuższe.

Kolejne kroki

eCard dostarcza sklepom oprogramowanie, które służy do informowania centrum autory- zacyjnego o tym, że wkrótce pojawi się żądanie autoryzacji. W momencie złożenia zamówienia dostarczony przez eCard servlet, napisany w Javie, uruchamiany na serwerze sklepu, wysyła do eCardu zaszyfrowany SSL-em komunikat, zawierający: identyfikator sklepu (tzw. MID - Merchant ID), numer zamówienia, numer sesji klienta i kwotę autoryzacji. W odpowiedzi system eCard zwraca do sklepu jako "żeton" (token) ciąg znaków zaszyfrowany nieodwracalnym algorytmem (tzw. hash). Token jest umieszczany w komunikacie Redirect, przekierowującym przeglądarkę klienta do witryny eCard, skąd jest pobierany bezpieczny formularz autoryzacyjny. Po wpisaniu danych formularz jest wysyłany do eCard za pomocą polecenia HTTPS Post.

Po kilku, kilkudziesięciu sekundach serwer eCard przekazuje do przeglądarki klienta stronę stwierdzającą, czy autoryzacja zakończyła się sukcesem. Jeżeli autoryzacja się nie powiodła, nie jest podawana jej konkretna przyczyna. Jest jedynie wskazywanych kilka możliwych powodów. "Nie chcemy, aby nasz system służył do testowania numerów losowo utworzonych bądź kart skradzionych. Właściciel karty zazwyczaj wie, co może być przyczyną odmowy. Oszust, niekoniecznie" - wyjaśnia Wojciech Barwaśny. Klient może przeprowadzić 3 próby autoryzacji. O tym, co będzie się działo dalej, decyduje sklep. Jeżeli autoryzacja się powiedzie, klient jest o tym informowany. Na dole strony znajduje się przycisk, którego naciśnięcie powoduje, że klient ponownie jest kierowany do witryny sklepu. To, na jaką stronę trafi, zależy od wyniku autoryzacji.

W przypadku PolCardu sytuacja przedstawia się nieco inaczej. Po autoryzacji, w zależności od jej wyniku, serwer PolCardu od razu przenosi sesję klienta pod odpowiedni adres URL na serwerze sklepu. Dopiero tam klient dowiaduje się, czy transakcja zakończyła się pozytywnie czy negatywnie.

Z pudełka lub na miarę

eCard przekazuje sklepom gotowe oprogramowanie. W skład pakietu wchodzi moduł współpracujący z serwerem WWW, obsługującym sklep internetowy. Firma preferuje Javę, może jednak dostarczyć oprogramowanie w technologii Microsoftu lub innej.

Po dokonaniu autoryzacji następuje faza rozliczenia trans- akcji. Oprócz wspomnianego mechanizmu eCard dostarcza osobne rozwiązanie, pozwalające na prowadzenie rozliczeń. Polega ono na pobraniu środków z konta klienta, zwrocie środków klientowi - zarówno przed, jak i po wysłaniu towaru. Istnieje również możliwość anulowania transakcji. Rozpoczęcie komunikacji następuje ze strony sklepu. Dostarczony system "odpytuje" system eCardu o status zamówienia: modemowo lub za pomocą łącza dzierżawionego. Dopóki oprogramowanie zainstalowane w sklepie nie wyśle zapytania do eCardu, dopóty system back office nie zna statusu autoryzacyjnego zamówienia. Dlatego w najbliższym czasie eCard zaoferuje sklepom opcję automatycznego otrzymywania informacji o tym, czy autoryzacja się powiodła. Będzie to wymagało zainstalowania dodatkowego komponentu na serwerze WWW, którego zadaniem będzie nasłuchiwanie komunikatów z eCardu na wybranym porcie.

Mniejsze sklepy mogą za pomocą przeglądarki skorzystać bezpośrednio z systemu działającego w eCard. Większym sklepom eCard proponuje gotowe lub tworzone na życzenie komponenty lub skrypty, które po połączeniu z systemem handlowym pozwalają na automatyzację procesu rozliczeniowego. Wtedy wymiana komunikatów z systemem eCard i obciążanie kont klientów odbywają się automatycznie - po spełnieniu określonego warunku, np. po wystawieniu w systemie handlowym dokumentu wydania towaru do przesyłki. W praktyce wygodne może być rozliczanie automatyczne z możliwością kontroli przy użyciu przeglądarki. Oprogramowanie, certyfikat SET i SSL oraz usługi integracyjne (z wyjątkiem dokonywania zmian w systemie sklepu) są dostarczane przez eCard w ramach opłaty początkowej.

PolCard zakłada, że na podstawie otrzymanej dokumen- tacji klienci powinni sami wykonać odpowiednie skrypty i wdrożyć je w sklepie. Dokumentacja zawiera dokładny opis obsługiwanych przez PolCard typów komunikatów, struktur formularzy oraz procedur wymiany danych. Na tej podstawie programiści sklepu internetowego muszą samodzielnie stworzyć odpowiednie skrypty. Technologia nie jest istotna. Na życzenie PolCard oferuje wstępnie przygotowane skrypty w PHP i Perlu. "Dokumentacja dostarczana przez PolCard jest bardzo szczegółowa i dobrze opracowana. Początkowo nie przewidywała ona sprzętowego kodowania SSL, którego używamy, ale PolCard chętnie wypracował z nami odpowiednie rozwiązanie. To efekt rodzącej się konkurencji w dziedzinie autoryzacji kart kredytowych" - mówi Tomasz Długiewicz.

Cavern przyjął strategię podobną jak PolCard. Wyposaża klientów jedynie w dokumentację. Jeżeli klient ma problemy z implementacją, programiści Cavern za dodatkową opłatą mogą wykonać wszelkie prace. Firma przygotowuje prosty język programowania o nazwie Smart. Za jego pomocą twórcy serwisów mają możliwość łatwego wzbogacania ich o funkcje związane z autoryzacją płatności przez Planet Payment. Prawdopodobnie do połowy 2001 r. język Smart będzie dostępny jako wtyczka do edytorów HTML: HomeSite i EasyHTML.

Jak to w handlu

Przedstawiciele tych trzech firm deklarują chęć współpracy z nowymi sklepami, które nie mają ani stażu na rynku, ani dużego kapitału. Każda z firm autoryzacyjnych, działających na polskim rynku, żąda przedstawienia wszystkich ważnych dokumentów firmowych: wyciągów z rejestrów handlowych, numerów NIP i REGON, oświadczeń o niezaleganiu z płatnościami z urzędu skarbowego i ZUS. Najbardziej wymagający jest Cavern, który ponadto żąda opinii banku o każdym członku zarządu i udziałowcach, którzy mają co najmniej 5% udziałów w firmie. Cavern (Planet Payment) nie obsługuje pewnych branż i typów działalności (m.in. pornografia, telemarketing, agencje turystyczne).

PolCard nie pobiera opłaty wstępnej, jednak jego klienci muszą we własnym zakresie nabyć podpisany przez wiarygodną instytucję certyfikat SSL (co najmniej 40-bitowy). eCard żąda 1000 zł opłaty wstępnej. Według firmy, kwota ta pokrywa koszt zakupienia certyfikatu SET, wystawienia certyfikatu SSL dla sklepu, oprogramowania oraz jego wdrożenia u klienta. Posiadanie własnego certyfikatu SSL nie wpływa na cenę. Cavern pobiera opłatę trzykrotnie większą, czyli równowartość 700 USD. Im dłuższy klucz, tym większa cena certyfikatu. Za certyfikat 40-bitowy klienci Cavern płacą zryczałtowaną opłatę miesięczną (równowartość 10 USD). Atutem PolCardu jest niepobieranie opłat okresowych. Dla porównania, eCard nalicza co miesiąc zryczałtowaną opłatę w wysokości 190 zł. Cavern żąda jedynie połowę tej kwoty, czyli równowartość 25 USD miesięcznie. Ponadto firma współpracująca z Cavern ma obowiązek wpłacić w formie wadium równowartość najdroższego towaru sprzedawanego w jej sklepie internetowym.

Pobierane są również prowizje. W przypadku PolCardu wynoszą one 2,5-4,9% wartości transakcji. Dla serwisów pornograficznych (oprócz sex-shopów), hazardowych, lombardów itp. stosowana jest stawka ok. 9%. eCard zdeklaruje tylko stawkę maksymalną, która nie powinna przekraczać 5,9%. Cavern przyjął jedną wielkość: 0,5 USD + 4,5% wartości każdej transakcji. Zgodnie z praktyką handlową, faktyczna wysokość prowizji zależy od wysokości obrotów opłacanych za pomocą kart, ale nie tylko. Wielkość prowizji odzwierciedla także stopień zaufania centrum autoryzacyjnego do sklepu. Założenie jest proste: im firma bardziej znacząca na rynku, tym mniejsze ryzyko jej bankructwa czy niewypłacalności - i tym mniejsza prowizja. Sklepy, które prowadziły rozmowy z obiema firmami, twierdzą, że w praktyce możliwe jest wynegocjowanie zbliżonych prowizji (standardowo w trakcie negocjacji możliwe jest osiągnięcie prowizji 3%). Cavern deklaruje enigmatycznie, że w zależności od obrotów sklepu, wysokość prowizji może być znacząco obniżona.