Online w PolCardzie

W styczniu PolCard wprowadzi natychmiastową autoryzację kart kredytowych przez Internet.

W styczniu PolCard wprowadzi natychmiastową autoryzację kart kredytowych przez Internet.

Gwałtowny rozwój sklepów internetowych w Polsce przy jednoczesnym braku profesjonalnej oferty instytucji finansowych w zakresie obsługi transakcji dokonywanych za pomocą kart płatniczych skłonił niektóre firmy prowadzące działalność w sieci nawet do poszukiwania centrów autoryzacyjnych za granicą. PolCard zdecydował się wyjść naprzeciw temu zapotrzebowaniu i wkrótce zaoferuje metodę autoryzacji, w której czas oczekiwania na odpowiedź nie powinien być dłuższy niż w przypadku tradycyjnych terminali wykorzystywanych w placówkach handlowych (POS). Będzie to rozwiązanie, którego zarys po raz pierwszy został przedstawiony w maju br. (pisaliśmy o tym w CW 24/99 z 14 czerwca br.).

Dotychczas autoryzacja odbywa się w trybie online, lecz nie w czasie rzeczywistym. Zgromadzone dane są przesyłane drogą elektroniczną do PolCardu (w postaci prostego nie szyfrowanego pliku tekstowego, zawierającego podstawowe informacje o autoryzowanych transakcjach) poprzez połączenie komutowane do . Z serwera (z opóźnieniem liczonym w godzinach) ponownie pobierany jest plik z danymi o tym, jakie transakcje zostały autoryzowane. Dla internetowych domów wysyłkowych taka zwłoka teoretycznie nie stanowi zbyt dużego problemu. W praktyce jednak uniemożliwia natychmiastowe poinformowanie klienta, czy jego zamówienie zostało przyjęte. Co więcej, brak autoryzacji w trybie online może w praktyce uniemożliwiać prowadzenie sprzedaży oprogramowania czy dokumentów, które użytkownik chciałby natychmiast pobrać na dysk komputera. Wady tego rozwiązania sprawiły, że korzysta z niego zaledwie ok. 10 klientów PolCardu - pozostałe internetowe sklepy przyjmujące płatności kartami kredytowymi decydują się na ręczną autoryzację.

Podjąć ryzyko

Dotychczas PolCard utrzymywał, że liczba zastosowań, w których potrzebna byłaby autoryzacja w trybie online, jest minimalna. Zdaniem przedstawicieli centrum autoryzacyjnego, opóźnienie ogranicza zastosowanie automatycznych generatorów numerów kart kredytowych, które mogłyby przesyłać kolejne numery aż do otrzymania pozytywnej odpowiedzi. Według niezależnych szacunków, ok. 5-10% transakcji zawiera nieprawidłowości, a w Europie około połowy oszustw z użyciem kart kredytowych odbywa się online. Presja rynku sprawiła jednak, że PolCard zdecydował się podjąć to ryzyko.

Uwierzytelnienie klientów można by osiągnąć poprzez dołączanie do każdej wydawanej przez bank karty płatniczej elektronicznego certyfikatu, co podczas transmisji SSL dawałoby podobny poziom zabezpieczenia jak przy protokole SET (Secure Electronic Transaction), uważanym za przyszłościowy dla elektronicznego handlu. Banki są do tego jednak jeszcze nie przygotowane.

W dotychczas stosowanej przez PolCard metodzie autoryzacji płatności kartami w Internecie żadna ze stron transakcji nie mogła być uwierzytelniona, sklep zaś otrzymywał numer karty kredytowej użytkownika. W nowym rozwiązaniu numery kart kredytowych w ogóle nie trafiają do internetowego sklepu, który otrzymuje jedynie informację o autoryzacji transakcji. Korzyść dla użytkownika i sprzedawcy jest więc podwójna - nie tylko od razu wiadomo, czy płatność może dojść do skutku, ale także nie ma obaw o to, czy są bezpieczne numery kart kredytowych gromadzone na serwerze sklepu.

Niestety, nadal nie będzie można sprawdzić jedynie ważności karty - autoryzacja transakcji przez Internet będzie się wiązać z automatycznym obciążeniem karty.

Wszyscy, ale drożej

Za te ułatwienia trzeba jednak zapłacić. Wprawdzie - jak zapowiadają przedstawiciele PolCardu - nie zmieni się wysokość prowizji w przypadku firm, które przyjmują opłaty regulowane za pomocą kart kredytowych co najmniej od 12 miesięcy. Pozostałe muszą się jednak liczyć z tym, że nowy tryb autoryzacji będzie bardziej kosztowny (prowizja, zależąca od branży i wysokości obrotów, może osiągać nawet 10%). Pocieszeniem może być to, iż nowy tryb autoryzacji transakcji typu Internet Order będzie dostępny dla prawie wszystkich firm, nawet tych, które wcześniej nie korzystały z usług PolCardu (PolCard zapowiada, że nie będzie zawierał umów na usługę Internet Order z firmami, które oferują przez sieć usługi erotyczne).

Nadal też będzie funkcjonowało stare rozwiązanie odroczonej autoryzacji - dla tych, którzy nie potrzebują autoryzacji w czasie rzeczywistym. Nowa usługa PolCardu zostanie uruchomiona prawdopodobnie w styczniu przyszłego roku. Rozwiązanie od strony technicznej jest już gotowe, lecz z uwagi na potencjalne perturbacje, które mogą wyniknąć w związku ze zmianą daty na 1 stycznia 2000 r., PolCard wstrzymał się z jego wprowadzeniem w życie.

Dodatkowe wymogi

Uruchomienie autoryzacji w czasie rzeczywistym będzie wymagało od sklepów wdrożenia rozwiązań organizacyjnych pozwalających na dodatkowe weryfikowanie transakcji (na świecie w sprzedaży katalogowej typu mail order, a za taką uznawane są transakcje internetowe, ryzyko ponosi sprzedawca). Zachodnie stosują rozbudowane narzędzia bazujące na sieciach neuronowych, które na podstawie danych archiwalnych wychwytują podejrzane transakcje. Narzędzia dostarczają takie firmy, jak HNC Software, CyberSource czy ClearCommerce. Od niedawna działa organizacja Internet Fraud Prevention Advisory Council, zajmująca się sprawami oszustw dokonywanych przy płatnościach przez Internet.

W niektórych przypadkach sklepy będą musiały także zmienić wygląd stron WWW i zawartych na nich formularzy, tak aby dostosować się do nowych przepisów wydanych przez organizacje VISA i Europay w zakresie handlu elektronicznego. PolCard w nowym rozwiązaniu udostępnia wywołania API do swojego serwera, za pomocą których formularz potrzebny do wprowadzenia danych o karcie będzie wysyłany i pobierany przez tę firmę. Wywołania należy dołączyć do aplikacji sklepu internetowego.

Dla COMPUTERWORLD komentują

Zbigniew Sykulski, prezes internetowego sklepu Merlin.com.pl

Na naszym rynku brakuje w tej chwili jakichkolwiek sensowych rozwiązań autoryzacji transakcji internetowych. Dlatego z niecierpliwością oczekujemy wszelkich nowych propozycji w tym zakresie. Dzisiaj około 25-30% zamówień, realizowanych przez sklep internetowy Merlin, opłacanych jest za pomocą kart. Autoryzujemy je faksem lub dzwoniąc do PolCardu! Przyznaję, że jest to bardzo prymitywne rozwiązanie, ale właściwie jedyne, jakie nam pozostaje.

Oferowany dzisiaj przez PolCard sposób, najbardziej zbliżony do autoryzacji online i polegający na przesyłaniu modemem zaszyfrowanych danych, jest dla nas nie do przyjęcia. System ten ma istotne ograniczenie - od razu ściągane są w nim pieniądze z karty klienta. My nie chcemy obciążać kupujących w chwili składania przez nich zamówienia. Kupiecka przyzwoitość i standardy światowe nakazują, żeby obciążać klientów dopiero w chwili wysyłki towaru. Dlatego potrzebna jest nam możliwość autoryzacji karty klienta od razu w czasie składania zamówienia i obciążenia jej później - dopiero w momencie realizacji tego zamówienia.

Piotr Kaszycki, AGS New Media IT Manager *

Wśród kupujących w wirtualnym sklepie EMPiK-u odsetek tych, którzy płacą kartą, jest porównywalny do tradycyjnego sklepu. Korzystamy obecnie z autoryzacji kart w trybie wsadowym poprzez transfer plików. Oczywiście, jesteśmy zainteresowani autoryzacją w pełnym trybie online, chociaż dla internetowego sklepu, takiego jak EMPiK, który większość towarów sprzedaje prosto z magazynu, nie ma to aż takiego kluczowego znaczenia.

W Polsce 5-6 instytucji może świadczyć usługi autoryzacji w pełni w trybie online. Oczywiście, nie wszystkie są w do końca otwarte na taką współpracę, ale zależy to przecież od tego, jak duża firma chce korzystać z ich usług. Będziemy testować poszczególne rozwiązania, w tym propozycję PolCardu. Najważniejsze jest dla nas bowiem znalezienie rozwiązania niezawodnego. Niemniej pozytywnie oceniamy przedstawioną przez PolCard architekturę nowego rozwiązania autoryzacji kart w czasie rzeczywistym.

* firma AGS New Media zbudowała i prowadzi od strony technicznej internetowy sklep EMPiK-u


TOP 200