W poszukiwaniu pewności

VISA opracowała nowe rozwiązanie uwierzytelniania osób posługujących się w Internecie kartami płatniczymi.

VISA opracowała nowe rozwiązanie uwierzytelniania osób posługujących się w Internecie kartami płatniczymi.

W poszukiwaniu pewności

Podstawowy schemat uwierzytelniania użytkownika - klienta sklepu internetowego - w protokole 3D-Secure

Podstawą handlu, a w Internecie w szczególności, jest zaufanie. W elektronicznej sieci, gdzie kontakt kupującego ze sprzedającym jest wirtualny, to właśnie poziom tego zaufania bezpośrednio przekłada się na tempo rozwoju elektronicznego handlu. Chodzi zwłaszcza o elektroniczne płatności realizowane za pomocą kart płatniczych. Obie strony chciałyby uzyskać pewność co do swojej tożsamości. Rozpowszechnienie stosowania przez wirtualne sklepy cyfrowych certyfikatów, dzięki którym przeglądarka WWW, którą posługuje się użytkownik, jest w stanie stwierdzić, czy dany e-sklep jest wiarygodny, nie rozwiązało wszystkich problemów. Nadal firmy prowadzące sprzedaż w Internecie nie mają możliwości sprawdzenia, czy osoba, za którą podaje się kupujący w Internecie, rzeczywiście nią jest. Numer karty kredytowej może się zgadzać, ale nadal brak jest pewności, czy nie podaje jej złodziej czy ktoś, kto zna jej numer i dane personalne właściciela.

Pełne zabezpieczenie wszystkich stron transakcji miał przynieść protokół SET (Secure Electronic Transaction), lecz można uznać, że próba jego wdrożenia poniosła spektakularną klęskę. Mimo włożenia ogromnej pracy w przygotowanie i uzgodnienie specyfikacji, jak również wiele szeroko zakrojonych projektów pilotażowych, protokół SET z uwagi na stopień skomplikowania i duplikowanie wielu elementów, które banki już posiadały, nie uzyskał szersze- go wsparcia ze strony wystawców kart płatniczych i sklepów elektronicznych. Dlatego tak duże nadzieje wiąże się obecnie z pojawieniem się alternatywy w postaci protokołu 3D-Secure. VISA, która faktycznie wycofała się ze wsparcia projektu SET, skoncentrowała się obecnie na promowaniu 3D-Secure, który zdobył już znaczącą popularność w Stanach Zjednoczonych. Rozwiązanie to zyskało również wsparcie ze strony systemów MasterCard i JCB. 3D-Secure ma się znaleźć również w MS Passport.

Wiedzieć kto

3D-Secure jest rozwiązaniem, które funkcjonuje przede wszystkim w interesie elektronicznych sklepów oraz banków - wystawców kart płatniczych, czyli tych podmiotów, które ponoszą koszty tzw. karcianych oszustw. Choć odsetek nielegalnych transakcji w sieci stale spada (z 3% w ub.r do 1,5% w br.), to jednak jest on nieporównanie większy od takich transakcji realizowanych tradycyjnie (zaledwie 0,05%). Co prawda średnia wartość transakcji zawartych poprzez Internet za pomocą kart płatniczych jest stosunkowo niska (a do tego rośnie wolniej niż ich liczba), to jednak łącznie oszustwa stanowią pokaźną sumę. Upowszechnienie metod uwierzytelnienia kupujących powinno istotnie je zmniejszyć.

3D-Secure w przeciwieństwie do SET jest systemem prostym w implementacji, działa bowiem w rozproszony sposób. W podstawowym schemacie sklep elektroniczny przy pobieraniu od klienta danych osobowych, w tym numeru karty kredytowej, przekierowuje komunikację do banku, wystawcy karty. W przeglądarce użytkownika otwiera się nowe okno, w którym jest prowadzony dialog z jego bankiem, wystawcą karty. Obowiązkiem tego wystawcy jest określenie metody uwierzytelnienia użytkownika (może to być hasło, token, karta inteligenta, także wykorzystanie podpisu elektronicznego) - to właśnie bowiem bank, wystawca, bierze na siebie ewentualne ryzyko. Po otrzymaniu potwierdzenia z jego strony sklep elektroniczny uzyskuje pewność, że ma do czynienia rzeczywiście z właścicielem danej karty płatniczej.

Wszyscy wystawcy i sklepy korzystające z 3D-Secure mogą posługiwać się logo Verified by VISA. Prawa do jego wykorzystywania nie posiada jeszcze żadna firma i instytucja finansowa działająca w Polsce, niemniej, jak informują przedstawiciele VISA, "trwają na ten temat rozmowy".

Nie tylko zakupy

Obecnie 3D-Secure zaimplementowało ok. 6 tys. banków oraz 80% największych sklepów internetowych. Gros tych wielkości przypada na Stany Zjednoczone.

Z chwilą gdy 3D-Secure stanie się powszechnie stosowaną metodą uwierzytelniania w Internecie, być może rozwiązanie to zostanie wykorzystane także w innych zastosowaniach, w których liczy się potwierdzenie tożsamości użytkownika. Mogą to być np. zastosowania e-government. Stanowi to co prawda zagrożenie rozpowszechnienia się e-podpisu, lecz z drugiej strony wiadomo że wśród kart płatniczych z czasem coraz więcej będzie tzw. kart inteligentnych, wyposażonych w procesor, które można wykorzystywać również do przechowywania klucza prywatnego, kluczowego elementu dla systemu podpisu elektronicznego. Oznacza to jednak, że w zakresie e-podpisu decydująca rola przypadnie sektorowi bankowo-finansowemu bądź też uzależni inne instytucje (wystawców cyfrowych certyfikatów) od porozumień z instytucjami z tego sektora.

Więcej informacji o 3D-Secure można znaleźć pod adresem: http://www.visa.com/verified.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200