Bezpiecznie jak w bankomacie
-
- Rafał Jakubowski,
- 09.06.2003
Schemat działania przedstawia się następująco: finalizując zakupy w sklepie wirtualnym, przekazuje on za pośrednictwem przeglądarki dane osobowe, w tym numer karty płatniczej, które są poddane weryfikacji w katalogu organizacji Visa lub MasterCard. Następnie zostaje przekierowany do serwisu internetowego banku, który wystawił kartę, gdzie jest proszony o podanie hasła skojarzonego z podanymi informacjami. Jeśli zakończy się ona sukcesem, transakcja zostaje przesłana do autoryzacji, klient zyskuje potwierdzenie zakupu, a informacje potrzebne do obciążenia karty są przekazane do centrum autoryzacyjnego i dalej do banku rozliczającego transakcję. Jeżeli jednak hasło nie jest poprawne, do autoryzacji nie dochodzi i transakcja zostaje przerwana.
Aplikacja z listy
Według przedstawicieli eCard wdrożenie systemu nie pociąga żadnych kosztów dla sklepów, będących klientami eCard. "System został tak zaprojektowany, że nie wymaga zmian technicznych i proceduralnych po stronie sklepów. Z punktu widzenia posiadacza karty proces autoryzacji zostanie wzbogacony w dodatkowy ekran przeglądarki, w którym zostanie poproszony o podanie hasła. Czas trwania autoryzacji nie powinien ulec znaczącej zmianie" - zapewnia Piotr Kaczanowski.
Koszty systemu ponoszą wystawcy kart, organizacje kartowe i banki. eCard został zmuszony do wzbogacenia swojego systemu w odpowiednie oprogramowanie komunikacyjne. Visa i MasterCard dostarczają centrom autoryzacyjnym listę z certyfikowanymi dostawcami oprogramowania. "Dopuszczalne jest również samodzielne napisanie takiego programu, problem polega jednak na tym, że aby go używać, trzeba uzyskać certyfikat. Każda, nawet najdrobniejsza zmiana wiąże się z procedurą certyfikacyjną. Wybór zewnętrznego dostawcy pozwala uniknąć związanych z tym kłopotów i kosztów" - tłumaczy Wojciech Barwaśny.
eCard wybrał amerykańską firmę ibiz. Oprogramowanie, podobnie jak systemy eCard, zostało zbudowane z wykorzystaniem technologii Java. Dzięki temu integracja przebiegła stosunkowo szybko. Najwięcej kłopotów sprawiało opracowanie i zaimplementowanie we własnym systemie scenariuszy postępowania w sytuacjach niestandardowych, np. przy transakcjach realizowanych przez strony wap lub błędnym zachowaniu serwera wystawcy karty.
Od maja br. eCard ma prawo używać marki Verified by Visa, co oznacza, że jego system został certyfikowany przez organizację Visa. Obecnie trwają przygotowania do uzyskania certyfikatu uprawniającego do używania znaku MasterCard SecureCode.
Dotychczas pomiędzy uczestnikami transakcji internetowych panowała swego rodzaju nierówność. Obie strony - klient i sklep - chciały uzyskać pewność co do tożsamości partnera. Powszechne stosowanie przez sklepy internetowe certyfikatów gwarantowanych przez tzw. zaufaną trzecią stronę dawało pewność klientom. Sklep, pomimo posiadania pełnego zestawu informacji niezbędnych do autoryzowania transakcji przez bank wystawiający kartę, takiej pewności nie miał. Nie było gwarancji, że poprawnymi danymi nie może posługiwać się złodziej. Koszty transakcji reklamowanych przez prawowitych właścicieli kart spadały na sklepy internetowe.
Bezpieczeństwo miał zapewnić promowany przed kilku laty przez organizacje płatnicze protokół SET (Secure Electronic Transaction). Nie udała się jednak próba jego upowszechnienia. Z protokołu SET i SET MIA (Merchant Initiated Authorization) korzystał również eCard. Pomimo przygotowania i uzgodnienia specyfikacji, projektów pilotażowych, SET nie uzyskał szerszego wsparcia ze strony banków. Zadecydowały o tym przede wszystkim stopień skomplikowania i duplikowanie wielu elementów, które banki już posiadały. "Wysokie były również koszty wdrożenia SET. Banki zdecydowały się czekać na lepsze rozwiązanie" - mówi Wojciech Barwaśny. Wolny od tego typu wad jest system 3D Secure. Czy się upowszechnił, będzie można się przekonać w ciągu kilkunastu miesięcy.
