W styczniu PolCard wprowadzi natychmiastową autoryzację kart kredytowych przez Internet.

Gwałtowny rozwój sklepów internetowych w Polsce przy jednoczesnym braku profesjonalnej oferty instytucji finansowych w zakresie obsługi transakcji dokonywanych za pomocą kart płatniczych skłonił niektóre firmy prowadzące działalność w sieci nawet do poszukiwania centrów autoryzacyjnych za granicą. PolCard zdecydował się wyjść naprzeciw temu zapotrzebowaniu i wkrótce zaoferuje metodę autoryzacji, w której czas oczekiwania na odpowiedź nie powinien być dłuższy niż w przypadku tradycyjnych terminali wykorzystywanych w placówkach handlowych (POS). Będzie to rozwiązanie, którego zarys po raz pierwszy został przedstawiony w maju br. (pisaliśmy o tym w CW 24/99 z 14 czerwca br.).

Dotychczas autoryzacja odbywa się w trybie online, lecz nie w czasie rzeczywistym. Zgromadzone dane są przesyłane drogą elektroniczną do PolCardu (w postaci prostego nie szyfrowanego pliku tekstowego, zawierającego podstawowe informacje o autoryzowanych transakcjach) poprzez połączenie komutowane do serwera FTP. Z serwera (z opóźnieniem liczonym w godzinach) ponownie pobierany jest plik z danymi o tym, jakie transakcje zostały autoryzowane. Dla internetowych domów wysyłkowych taka zwłoka teoretycznie nie stanowi zbyt dużego problemu. W praktyce jednak uniemożliwia natychmiastowe poinformowanie klienta, czy jego zamówienie zostało przyjęte. Co więcej, brak autoryzacji w trybie online może w praktyce uniemożliwiać prowadzenie sprzedaży oprogramowania czy dokumentów, które użytkownik chciałby natychmiast pobrać na dysk komputera. Wady tego rozwiązania sprawiły, że korzysta z niego zaledwie ok. 10 klientów PolCardu - pozostałe internetowe sklepy przyjmujące płatności kartami kredytowymi decydują się na ręczną autoryzację.

Podjąć ryzyko

Dotychczas PolCard utrzymywał, że liczba zastosowań, w których potrzebna byłaby autoryzacja w trybie online, jest minimalna. Zdaniem przedstawicieli centrum autoryzacyjnego, opóźnienie ogranicza zastosowanie automatycznych generatorów numerów kart kredytowych, które mogłyby przesyłać kolejne numery aż do otrzymania pozytywnej odpowiedzi. Według niezależnych szacunków, ok. 5-10% transakcji zawiera nieprawidłowości, a w Europie około połowy oszustw z użyciem kart kredytowych odbywa się online. Presja rynku sprawiła jednak, że PolCard zdecydował się podjąć to ryzyko.

Uwierzytelnienie klientów można by osiągnąć poprzez dołączanie do każdej wydawanej przez bank karty płatniczej elektronicznego certyfikatu, co podczas transmisji SSL dawałoby podobny poziom zabezpieczenia jak przy protokole SET (Secure Electronic Transaction), uważanym za przyszłościowy dla elektronicznego handlu. Banki są do tego jednak jeszcze nie przygotowane.

W dotychczas stosowanej przez PolCard metodzie autoryzacji płatności kartami w Internecie żadna ze stron transakcji nie mogła być uwierzytelniona, sklep zaś otrzymywał numer karty kredytowej użytkownika. W nowym rozwiązaniu numery kart kredytowych w ogóle nie trafiają do internetowego sklepu, który otrzymuje jedynie informację o autoryzacji transakcji. Korzyść dla użytkownika i sprzedawcy jest więc podwójna - nie tylko od razu wiadomo, czy płatność może dojść do skutku, ale także nie ma obaw o to, czy są bezpieczne numery kart kredytowych gromadzone na serwerze sklepu.

Niestety, nadal nie będzie można sprawdzić jedynie ważności karty - autoryzacja transakcji przez Internet będzie się wiązać z automatycznym obciążeniem karty.

Wszyscy, ale drożej

Za te ułatwienia trzeba jednak zapłacić. Wprawdzie - jak zapowiadają przedstawiciele PolCardu - nie zmieni się wysokość prowizji w przypadku firm, które przyjmują opłaty regulowane za pomocą kart kredytowych co najmniej od 12 miesięcy. Pozostałe muszą się jednak liczyć z tym, że nowy tryb autoryzacji będzie bardziej kosztowny (prowizja, zależąca od branży i wysokości obrotów, może osiągać nawet 10%). Pocieszeniem może być to, iż nowy tryb autoryzacji transakcji typu Internet Order będzie dostępny dla prawie wszystkich firm, nawet tych, które wcześniej nie korzystały z usług PolCardu (PolCard zapowiada, że nie będzie zawierał umów na usługę Internet Order z firmami, które oferują przez sieć usługi erotyczne).

Nadal też będzie funkcjonowało stare rozwiązanie odroczonej autoryzacji - dla tych, którzy nie potrzebują autoryzacji w czasie rzeczywistym. Nowa usługa PolCardu zostanie uruchomiona prawdopodobnie w styczniu przyszłego roku. Rozwiązanie od strony technicznej jest już gotowe, lecz z uwagi na potencjalne perturbacje, które mogą wyniknąć w związku ze zmianą daty na 1 stycznia 2000 r., PolCard wstrzymał się z jego wprowadzeniem w życie.

Dodatkowe wymogi

Uruchomienie autoryzacji w czasie rzeczywistym będzie wymagało od sklepów wdrożenia rozwiązań organizacyjnych pozwalających na dodatkowe weryfikowanie transakcji (na świecie w sprzedaży katalogowej typu mail order, a za taką uznawane są transakcje internetowe, ryzyko ponosi sprzedawca). Zachodnie sklepy internetowe stosują rozbudowane narzędzia bazujące na sieciach neuronowych, które na podstawie danych archiwalnych wychwytują podejrzane transakcje. Narzędzia dostarczają takie firmy, jak HNC Software, CyberSource czy ClearCommerce. Od niedawna działa organizacja Internet Fraud Prevention Advisory Council, zajmująca się sprawami oszustw dokonywanych przy płatnościach przez Internet.

W niektórych przypadkach sklepy będą musiały także zmienić wygląd stron WWW i zawartych na nich formularzy, tak aby dostosować się do nowych przepisów wydanych przez organizacje VISA i Europay w zakresie handlu elektronicznego. PolCard w nowym rozwiązaniu udostępnia wywołania API do swojego serwera, za pomocą których formularz potrzebny do wprowadzenia danych o karcie będzie wysyłany i pobierany przez tę firmę. Wywołania należy dołączyć do aplikacji sklepu internetowego.