Bezpieczeństwo 3D

BRE Bank jest pierwszym polskim bankiem, którego kartami Visa i MasterCard będzie można realizować płatności internetowe w technologii 3D Secure.

BRE Bank jest pierwszym polskim bankiem, którego kartami Visa i MasterCard będzie można realizować płatności internetowe w technologii 3D Secure.

Visa wprowadziła usługę Verified by Visa - opierającą się na technologii 3D Secure - w kwietniu 2002 r. Wtedy PolCard i eCard zaczęły przygotowywać się do wprowadzenia jej w Polsce. "Wszystkie polskie sklepy internetowe obsługujące karty kredytowe lub debetowe wprowadziły możliwość realizacji transakcji płatniczych weryfikowanych w systemie 3D Secure w W kwartale 2003 r. Wymóg taki postawiły międzynarodowe organizacje płatnicze, w tym Master-Card" - mówi Bogdan Bochenek, wiceprezes MasterCard Europe.

Dopiero niedawno jednak powstała infrastruktura techniczna, z której mogą skorzystać wydawcy kart płatniczych zabezpieczający transakcje technologią 3D Secure. Pierwszym bankiem, który zdecydował się na ten krok, jest BRE Bank. Na razie z lepszego zabezpieczenia transakcji internetowych będą mogli korzystać klienci korporacyjni i najzamożniejsi klienci usług Private Banking. Klienci detalicznych części BRE Banku, czyli MultiBanku i mBanku, mogą już od dawna zwiększyć bezpieczeństwo transakcji internetowych, korzystając z karty wirtualnej, działającej jak elektroniczna portmonetka, napełniana pieniędzmi przed internetowymi zakupami. Po ich zakończeniu resztę pieniędzy można z powrotem przelać na konto osobiste.

Karta z hasłem

Nazwa 3D Secure pochodzi od podziału transakcji pomiędzy trzy domeny: domenę wydawcy karty (bank i posiadacz karty), domenę agenta rozliczeniowego (agent oraz obsługiwane przez niego sklepy) i domenę systemową (pośredniczącą w wymianie informacji, a obsługiwaną przez systemy zarządzane przez Visa lub MasterCard). W uproszczeniu koncepcja 3D Secure polega na przydzieleniu karcie płatniczej hasła, które jej posiadacz wykorzystuje podobnie jak kod PIN, oraz ustaleniu przez dacza karty wiadomości uwierzytelniającej, dzięki której ma pewność, że zaprezentowany ekran autoryzacyjny został przesłany przez bank, a nie przez oszusta próbującego wykraść dane z jego karty.

Tradycyjnie posiadacze kart dokonujących zakupów w Internecie wpisują dane ze swojej karty w pola formularza wystawionego przez sklep internetowy. Sklep przesyła te dane do agenta rozliczeniowego (np. PolCardu), który z kolei - poprzez system organizacji płatniczej (np. VisaNet) - weryfikuje je w systemie banku, który wydał kartę. Tą samą drogą potwierdzone dane powracają do sklepu internetowego, który zamyka transakcję.

Sklepy korzystające z technologii 3D Secure - po wpisaniu danych z karty przez jej posiadacza - będą wysyłać zapytanie do serwera katalogowego, aby stwierdzić (na podstawie pierwszych sześciu cyfr numeru karty), czy karta została wydana przez bank biorący udział w systemie 3D Secure. Jeśli nie, autoryzacja karty przebiega tradycyjnie. Jeśli tak, pełne dane karty popłyną do serwera kontroli dostępu, utrzymywanego zazwyczaj przez bank będący wydawcą karty. Jeśli posiadacz karty zarejestrował ją na stronach banku będącego wydawcą karty, ustalił hasło i komunikat uwierzytelniający, bank wystawi robiącemu zakupy internaucie ekran umożliwiający wpisanie hasła do karty, uwierzytelniając jednocześnie swoje działania za pomocą określonej przez posiadacza karty wiadomości uwierzytelniającej. Wiadomość taka może brzmieć na przykład "Mój pies ma na imię Reksio" i pojawia się na ekranie weryfikacyjnym w sąsiedztwie pola formularza służącego wpisaniu hasła.

Podane hasło weryfikowane jest przez bank, który przesyła informację o poprawnej weryfikacji do sklepu internetowego. Dalej procedura autoryzacji karty przebiega tradycyjnie: poprzez agenta rozliczeniowego, system organizacji Visa czy MasterCard i system banku.

Nowy standard

Bezpieczeństwo 3D

Aleksandra Jagiełła - wicedyrektor Departamentu Operacji Bankowych BRE Bank

Visa i MasterCard, promując 3D Secure, liczą na zwiększenie liczby transakcji przeprowadzanych w Internecie za pomocą ich kart i wzrost zaufania do tego mechanizmu płatności.

"W Polsce kartę płatniczą jako formę płatności w Internecie wybiera zaledwie 30% osób. Wydaje się, że wynika to głównie z obaw o bezpieczeństwo płatności dokonywanych w ten sposób" - mówi Aleksandra Jagiełłą, wicedyrektor Departamentu Operacji Bankowych BRE Banku. Po wprowadzeniu technologii 3D Secure karty BRE Banku będą posiadały nowoczesne zabezpieczenia istotne zarówno w świecie realnym - mikroprocesor, jak i wirtualnym. Inwestycja w bezpieczeństwo w świecie realnym nie ma na razie chyba szans się zwrócić, gdyż terminale obsługujące karty chipowe są w Polsce rzadkością. Jednak polskie sklepy internetowe zostały zobligowane przez organizacje płatnicze do obsługi 3D Secure. Wiele z nich ma już za sobą przeprowadzone w tej formie transakcje, zainicjowane przez posiadaczy kart wydanych za granicą.

"Z punktu widzenia banku inwestycja w 3D Secure jest bardziej opłacalna niż pokrywanie strat z tytułu oszustw kartowych. Jesteśmy instytucją zaufania publicznego i również sama kwestia wizerunku jest tu bardzo istotna. Jeśli istnieje taka technologia, to należy ją wykorzystać i nie zastanawiać się, czy inni już ją wprowadzili, bo najważniejsza jest korzyść naszych klientów" - stwierdza Aleksandra Jagiełłą. Dla banku inwestycja ta jest o tyle opłacalna, że dzięki niej odpowiedzialność za ewentualne oszustwa spada nie na bank, ale na klienta. Zakłada się bowiem, że klient jest odpowiedzialny za właściwe przechowywanie i chronienie poufności nadanego mu hasła, a bank, centrum autoryzacyjne i sklep internetowy zwalniane są z odpowiedzialności.

Z punktu widzenia BRE Banku udostępnienie klientom nowej technologii jest o tyle łatwiejsze, że zarządzanie całością infrastruktury niezbędnej do weryfikacji transakcji 3D Secure wziął na siebie PolCard. BRE Bank wystawia w swoim serwisie jedynie stronę umożliwiającą rejestrację w systemie 3D Secure. Rejestracja i weryfikacja transakcji odbywa się już jednak na serwerach PolCardu. Karty Visa wydane przez BRE Bank będzie można rejestrować w systemie 3D Secure już w maju br., a wydane w systemie MasterCard - w czerwcu. Wcześniej przeprowadzony zostanie projekt pilotażowy.

"Oczekujemy, że do końca tego roku kolejne pięć działających w Polsce banków zaoferuje klientom możliwość skorzystania z usługi MasterCard SecureCode" - przekonuje Bogdan Bochenek, wiceprezes MasterCard Europe. Ponieważ 90% wydanych w Polsce kart to karty debetowe, impulsem do rozwoju handlu elektronicznego w Polsce byłoby akceptowanie przez sklepy internetowe tych właśnie kart po ich zabezpieczeniu w systemie 3D Secure. Na to jednak nie chcą się zgodzić banki, dla których transakcje te obarczone są większym ryzykiem niż transakcje wykonywane kartami kredytowymi.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200