W poszukiwaniu pewności
- Przemysław Gamdzyk,
- 14.10.2002
VISA opracowała nowe rozwiązanie uwierzytelniania osób posługujących się w Internecie kartami płatniczymi.
VISA opracowała nowe rozwiązanie uwierzytelniania osób posługujących się w Internecie kartami płatniczymi.
Pełne zabezpieczenie wszystkich stron transakcji miał przynieść protokół SET (Secure Electronic Transaction), lecz można uznać, że próba jego wdrożenia poniosła spektakularną klęskę. Mimo włożenia ogromnej pracy w przygotowanie i uzgodnienie specyfikacji, jak również wiele szeroko zakrojonych projektów pilotażowych, protokół SET z uwagi na stopień skomplikowania i duplikowanie wielu elementów, które banki już posiadały, nie uzyskał szersze- go wsparcia ze strony wystawców kart płatniczych i sklepów elektronicznych. Dlatego tak duże nadzieje wiąże się obecnie z pojawieniem się alternatywy w postaci protokołu 3D-Secure. VISA, która faktycznie wycofała się ze wsparcia projektu SET, skoncentrowała się obecnie na promowaniu 3D-Secure, który zdobył już znaczącą popularność w Stanach Zjednoczonych. Rozwiązanie to zyskało również wsparcie ze strony systemów MasterCard i JCB. 3D-Secure ma się znaleźć również w MS Passport.
Wiedzieć kto
3D-Secure jest rozwiązaniem, które funkcjonuje przede wszystkim w interesie elektronicznych sklepów oraz banków - wystawców kart płatniczych, czyli tych podmiotów, które ponoszą koszty tzw. karcianych oszustw. Choć odsetek nielegalnych transakcji w sieci stale spada (z 3% w ub.r do 1,5% w br.), to jednak jest on nieporównanie większy od takich transakcji realizowanych tradycyjnie (zaledwie 0,05%). Co prawda średnia wartość transakcji zawartych poprzez Internet za pomocą kart płatniczych jest stosunkowo niska (a do tego rośnie wolniej niż ich liczba), to jednak łącznie oszustwa stanowią pokaźną sumę. Upowszechnienie metod uwierzytelnienia kupujących powinno istotnie je zmniejszyć.
3D-Secure w przeciwieństwie do SET jest systemem prostym w implementacji, działa bowiem w rozproszony sposób. W podstawowym schemacie sklep elektroniczny przy pobieraniu od klienta danych osobowych, w tym numeru karty kredytowej, przekierowuje komunikację do banku, wystawcy karty. W przeglądarce użytkownika otwiera się nowe okno, w którym jest prowadzony dialog z jego bankiem, wystawcą karty. Obowiązkiem tego wystawcy jest określenie metody uwierzytelnienia użytkownika (może to być hasło, token, karta inteligenta, także wykorzystanie podpisu elektronicznego) - to właśnie bowiem bank, wystawca, bierze na siebie ewentualne ryzyko. Po otrzymaniu potwierdzenia z jego strony sklep elektroniczny uzyskuje pewność, że ma do czynienia rzeczywiście z właścicielem danej karty płatniczej.
Wszyscy wystawcy i sklepy korzystające z 3D-Secure mogą posługiwać się logo Verified by VISA. Prawa do jego wykorzystywania nie posiada jeszcze żadna firma i instytucja finansowa działająca w Polsce, niemniej, jak informują przedstawiciele VISA, "trwają na ten temat rozmowy".
Nie tylko zakupy
Obecnie 3D-Secure zaimplementowało ok. 6 tys. banków oraz 80% największych sklepów internetowych. Gros tych wielkości przypada na Stany Zjednoczone.
Z chwilą gdy 3D-Secure stanie się powszechnie stosowaną metodą uwierzytelniania w Internecie, być może rozwiązanie to zostanie wykorzystane także w innych zastosowaniach, w których liczy się potwierdzenie tożsamości użytkownika. Mogą to być np. zastosowania e-government. Stanowi to co prawda zagrożenie rozpowszechnienia się e-podpisu, lecz z drugiej strony wiadomo że wśród kart płatniczych z czasem coraz więcej będzie tzw. kart inteligentnych, wyposażonych w procesor, które można wykorzystywać również do przechowywania klucza prywatnego, kluczowego elementu dla systemu podpisu elektronicznego. Oznacza to jednak, że w zakresie e-podpisu decydująca rola przypadnie sektorowi bankowo-finansowemu bądź też uzależni inne instytucje (wystawców cyfrowych certyfikatów) od porozumień z instytucjami z tego sektora.
Więcej informacji o 3D-Secure można znaleźć pod adresem: http://www.visa.com/verified.