Za drogo? Ustaw alerty cenowe na e-booki i kupuj taniej!

Bezpieczeństwo płatności kartą w sieci (a w szczególności 1-click)

Kindle i karta VISA

Z płatnościami 1-click miał do czynienia niemal każdy posiadacz Kindle – oferuje je bowiem sam Amazon. Co więcej, firma nawet ten sposób opatentowała!

Niedawno Świat Czytników informował, że księgarnia Nexto jako pierwsza w Polsce wprowadziła zakupy jednym kliknięciem.

Ponieważ tak się składa, że pracuję w firmie PayLane obsługującej płatności Nexto, Robert zaproponował mi, bym skreślił kilka słów na temat bezpieczeństwa zarówno takiego rozwiązania, jak i samych płatności kartami. Do czego też niniejszym z przyjemnością przystępuję.

Specyfika 1-click

Płatności jednym kliknięciem oznaczają przyjęcie danych karty bezpośrednio na stronie sprzedawcy. Dane te muszą być też zapisywane, ponieważ po pierwszej pomyślnej transakcji mamy możliwość dokonania kolejnych zakupów właśnie pojedynczym kliknięciem. Dla klienta to bardzo wygodne, dla sklepu zapewne przełoży się na więcej sprzedaży, ale pytanie: co z bezpieczeństwem?

Zaufanie do samego sklepu zdaje się nie budzić aż takich emocji jak kwestia zapisywania i przechowywania danych kart (w mniejszym stopniu także danych teleadresowych).

Kto ma dane mojej karty?

Wszystko zależy od konkretnej sytuacji.

Jednak najczęstszy scenariusz jest następujący:

  • Dane wprowadzone przez klienta na stronie sklepu przesyłane są do pośrednika płatności. Jeśli spełnia on stosowne wymagania i oferuje taką usługę, może te dane zapisać.
  • Sklep nie zapisuje więc danych naszej karty, a jedynie posługuje się stosownym identyfikatorem w chwili, gdy klient zgłosi żądanie kolejnej transakcji mającej obciążyć daną kartę.
  • We wspominanym przypadku dane kart wpisywanych na stronach Nexto przechowuje PayLane. Sprzedawca ma prawo zapisać sobie jedynie 4 cyfry z numeru karty, by pomóc klientowi w jej identyfikacji.

Teoretycznie dane kart może przechowywać również sam sklep, ale musiałby wcześniej przejść stosowne audyty i de facto zyskać takie uprawnienia, jak firma obsługująca jego płatności. W praktyce jest to sytuacja bardzo rzadka i firmy raczej powierzają takie sprawy podmiotom specjalizującym się w temacie. Sklepy przyjmujące płatności na swojej stronie muszą tak czy inaczej przejść stosowny audyt, ale jest on nieporównywalnie prostszy w porównaniu z tymi, jakie winien przejść np. pośrednik chcący przechowywać wrażliwe dane.

A co z kradzieżą danych?

No dobrze, wiemy już kto trzyma informacje o naszych kartach, niech to nawet będzie zabezpieczone jak tylko się da, ale przecież wypadki się zdarzają. W wiadomościach raz na jakiś czas mówią o „ataku hackerskim”, „wycieku” czy „kradzieży” danych kart, więc siłą rzeczy jesteśmy na to w pewnym stopniu uczuleni.

Otóż wymogi bezpieczeństwa nakładane na podmioty chcące parać się opieką nad danymi kart zabraniają przechowywania kodów CVV2. Kod ten (nadrukowany najczęściej na polu podpisu karty) jest jednym z zabezpieczeń mających potwierdzać, że osoba płacąca jest faktycznie fizycznym posiadaczem karty.

Bywają tu oczywiście wyjątki, niektórzy wystawcy kart pozwalają w określonych okolicznościach na transakcje bez podania CVV2 – najlepszym przykładem jest sam Amazon. To oczywiście ma też swoje minusy – część osób nie może w Amazonie dokonać transakcji, bo wystawca ich karty nie zezwala na transakcje bez podania CVV2. I w praktyce nie tak łatwo znaleźć inne przykłady, gdzie sklepy nie prosiłyby o podanie tego kodu.

Należy też pamiętać, że jeśli nawet właściciel nie zablokuje karty po dowiedzeniu się, że jej dane mogły być skradzione, wciąż jest chroniony na wiele sposobów. Poza wspomnianą wyżej kwestią kodów CVV2, karty, których dane wyciekły, są zwykle monitorowane (przykład na blogu Niebezpieczenik), działa też szereg dodatkowych mechanizmów. Przykładowo transakcja w Boliwii kartą Bydgoszczanina z pewnością nie pozostanie niezauważona. No i oczywiście ostateczna broń posiadacza karty, czyli chargeback.

Jako uważni Czytelnicy z pewnością zapytacie teraz w jaki sposób klient może dokonać ponownej transakcji bez podawania danych, jeśli potrzeba kodu CVV2? Otóż kod ten potrzebny jest tylko przy pierwszej transakcji, kiedy dokonuje się autoryzacja karty. To swoiste potwierdzenie, że sprzedawca może ściągnąć środki z danej karty (później wystarczy odwołanie się do pierwszej transakcji, miast kodu CVV2).

Czy to w ogóle legalne?

Ano właśnie, w tej kwestii chyba najwyraźniej widać, że ile osób, tyle zdań.

A to, że w ogóle nie można, a to, że tylko w Polsce nie wolno. Otóż nie tyle rozchodzi się tu o regulacje prawne, ile o same wytyczne samej branży. Jeśli dany podmiot nie spełnia określonych wymagań, inne instytucje zwyczajnie nie nawiążą z nim współpracy. Dotyczy to w zasadzie każdego poziomu całej drogi przetwarzania płatności.

Pośrednik nie przyjmie sklepu, który nie spełni określonych wymagań (dotyczących choćby samej strony internetowej sprzedawcy, na której muszą znajdować się odpowiednie informacje), a tzw. acquiring bank (najczęściej zwany centrum rozliczeniowym/autoryzacyjnym) nie nawiąże współpracy z bramką płatniczą, która nie wylegitymuje się przebytymi audytami i nie spełni określonych warunków.

Zawsze „wyższy poziom” dba o to, by ten „niższy” był wiarygodny i nie generował transakcji fraudowych i/lub chargebacków. Ponieważ mniejsze podmioty łatwo mogą stawać się niewypłacalne, odpowiedzialność przechodzi „wyżej”, a każda instytucja chce się przed tym zabezpieczyć. Tak więc można powiedzieć, że niejako branża sama dba o czystość swojego ekosystemu.

Amazon i patent na 1-click?

Prawdą jest, że patent na takie płatności posiada Amazon i np. Apple, który stosuje pewną formę one-click w swoich aplikacjach musi już to od Amazonu wykupywać.

Jednak Amazon jest z USA, a tam, jak wiadomo, można opatentować chyba praktycznie wszystko. Niedawno nawet na wykopie pokazywano patenty na maszynę kopiącą w tyłek (?!) i na zabawę z kotem za pomocą laserowego wskaźnika. Tak więc opatentowanie sposobu dokonywania zakupów nie było chyba większym problemem.

Były próby uzyskania takiego patentu również w Europie, ale na szczęście Stary Świat konsekwentnie odrzuca takie wnioski. I chyba należy mieć nadzieję, by tak pozostało…

Czytaj dalej:

Informacje o Jan Makulec

Coraz częściej pisarz gościnny w różnych serwisach i blogach, zarówno polskich jak i anglojęzycznych. Wykształcenie ścisłe i światopogląd humanistyczny skutkują szczerą niechęcią do pracy w zawodzie i miłością do słowa pisanego. Służbowo: płatności online, a co za tym idzie, również stały udział na blogach Platniczo.pl oraz Across the Board. Ponadto na prywatnym blogu (PanJanek.pl) zdarza się napisać coś z pogranicza branży, życia i poglądów osobistych. Sporo możliwości kontaktu znajdziesz na profilu Google+.

Artykuł był przydatny? Jeśli tak, zobacz 6 sposobów, na jakie możesz wspomóc Świat Czytników. Dziękuję!

Ten wpis został opublikowany w kategorii Kupno Kindle i oznaczony tagami , . Dodaj zakładkę do bezpośredniego odnośnika.
Hosting: Zenbox

32 odpowiedzi na „Bezpieczeństwo płatności kartą w sieci (a w szczególności 1-click)

  1. Joanna pisze:

    Ciekawy artykuł, ale autor powinien popracować nad skłonnością do emoticonek. Zawsze kiedy ktoś ich używa w tekście innym niż chat, czy inne prywatne maile i rozmowy, mam wrażenie, że uważa czytającego za idiotę nie potrafiącego wyczuć w tekście podtekstów czy emocji. ;-)

    0
    • Jan Makulec pisze:

      Ironia polega na tym, że właśnie pracuję nad tym, by z nich korzystać, bo zwykle zarzucana mi jest czerstwość wypowiedzi, aniżeli niestabilność emocjonalna. Poniekąd rozumiem zarzut i przyjmuję (jednocześnie doceniam prztyczek – emotikona w kontekście odniesienia do adresata komentarza), bo rzeczywiście dość dziwne jest, gdy ludzie uważają za gburowatość wypowiedzi bez uśmieszków. No ale co zrobić, jakoś się trzeba próbować dostosować. Mam nadzieję, że choć trochę się rehabilituję nie używając teraz ani jednej emotikony, a komentarz nie wyda się przez to mniej sympatyczny. No i naturalnie cieszę się, że choć treść okazała się interesująca.

      0
      • faure pisze:

        Mnie emotikony nie przeszkadzja tak bardzo jak bledy typu „wykupywac”. Te potrafia doprowadzic mnie do szewskiej pasji. Dlatego prosze mnie nie denerwowac (bo wrazliwy jestem) i poprawic, a moj post skasowac. :)

        0
        • Jan Makulec pisze:

          Samo słowo jest poprawne, więc domyślam się, że chodzi o użycie w kontekście (pokierowane bardziej środowiskowym uzusem, niźli słownikową definicją). Niemniej Czytelnik nasz pan, ergo… chciałem skorygować, ale tutejszy WordPress uzna w tej sprawie tylko wniosek Roberta.
          Nawiasem mówiąc to wprawdzie szkoda, że treść zdaje się zupełnie ginąć pod formą, jednak bardzo jest to budujące, że są strony z audiencją o takich wymaganiach. Miło być (choć to wyjątek, niestety) naciskanym w zupełnie drugą stronę.

          0
          • DarkMan72 pisze:

            LOL, „audiencją”? :-)))

            Poza tym mam wrażenie, że treść nie ginie pod formą. Treść jest na tyle interesująco i wyczerpująco przedstawiona, że z braku laku czytelnicy czepiają się innych spraw. ;-)

            0
            • Jan Makulec pisze:

              O matko… Nie wiem skąd to słowo tam, nawet nie przypominam sobie, by mogło się ze schowka wkleić. Chyba tylko na taką godzinę w poniedziałek mogę zrzucić…

              0
    • Robert Drózd pisze:

      Ponieważ takich uwag było więcej (na FB), w trosce o stabilność emocjonalną czytelników uśmieszki pousuwałem. :-)

      1
    • boop pisze:

      Nie zgadzam się z tym.
      Akurat Pani wrażenie mnie nie obchodzi.

      0
  2. Marcin pisze:

    1-click jak dla mnie może być wszędzie – darmowe pozycje na amazon kupuję 1-clickiem i system nawet nie prosi o uwierzytelnienie, nawet jeśli tego dnia się nie logowałem. Dziś kupiłem na virtualo, niby szybko – login, zapłata, sms – ale jednak długo. No i nadal czekam na autoryzację transakcji:(

    0
  3. cold pisze:

    Jeśli mowa o tych patentach. „Firma Microsoft posiada patent na kliknięcie dwukrotne jako jedną z funkcji swoich systemów” – http://pl.wikipedia.org/wiki/Kliknięcie_myszą :D

    0
  4. sdfvsdfv pisze:

    za dlugie ;)

    ok
    1. najczesciej ma sie dwie karty w banku wiec jedna ladujemy kasa gdy potrzeba
    2. sa limity na trs. netowe

    tyle jesli chodzi o bezpieczesntwo

    ja osobiscie mam inne problemy a dokladnie kidndle i amazon wydaja mi sie jednym wielkim szpiegiem ktory wie co i jak czytam i kupuje, potem okaze sie ze z wiza problem albo inne bzdety bo ktos np ma zainteresowania paintballem … coraz bardziej sklaniam sie ku czytnikom na epub+kartasd

    0
    • Robert Drózd pisze:

      oj już skłoń się, kup i przestań marudzić (ewentualnie jak kupisz onyxa to będziesz marudził tutaj: http://forum.eksiazki.org/onyx-boox-f162/ :))

      0
      • sdfvsdfv pisze:

        czekam na druga czesc testu KT
        ;) moze kupi a potem sprzedam
        ale bardzo korci mnie tez nook touch bo ma przyciski epud i sd, tylko problem z gwarancja :) … co dziwne uwazam ze czytnikow jest za duzo na rynku i kazdy ma jakies wady male nie ma takiego combosa ktory masakruje inne

        0
  5. A mnie ciekawi coś takiego: Amazon opatentował one click w USA – co to oznacza dla takiej firmy jak Nexto? Że nie może sprzedawać z zastosowaniem jednego kliknięcia obywatelowi USA? Że nie może być tam zarejestrowana? Czy to w ogóle europejskiej firmie jakoś przeszkadza, czy tylko firmy amerykańskie muszą płacić za używanie tej, ekhm, „technologii” (nie mogę się nie śmiać używając takiego słowa w tym kontekście).

    0
    • Jan Makulec pisze:

      Z tego, co wiem, to Nexto sprzedaje własnie m.in. Polakom mieszkającym w USA czy UK – z zagranicy, gdzie one-click jest bardziej znane, mają pozytywne reakcje (tu rzucę lekką prywatą i zapowiem, że niebawem na naszym blogu firmowym będzie wywiad z Nexto).

      0
  6. stalin.tv pisze:

    Ciekawy artykuł, w następnym proszę bardzo dokładnie opisać instytucję chargeback.

    0
  7. kicia pisze:

    wy tu gadu gadu o jakiś płatnościach, a mnie od dłuższego czasu męczy arcyważna kwestia: KIEDY W KOŃCU AMAZON WEJDZIE DO POLSKI???
    ktoś ma jakieś przecieki? zna dokładną datę? miał być marzec…

    0
  8. BrunoJ pisze:

    Moze warto dodac ze bez problemu mozna sobie wyrobic karte wirtualna, umyslna do zakupow internetowych. Za darmo (w sensie prowadzenia karty) i to niekoniecznie w swoim banku, w sensie ze mozemy konto miec w innym niz karte. Na konto karty wplacamy tylko tyle ile chcemy. A potencjalna kradziez w zasadzie nie grozi niczym, po prostu zalozymy sobie kolejna.
    A co do przechowywania danych typu CVV2, to smiem twierdzic ze niektorzy przechowuja. Przykladem moze byc placenie prze konto google (android market np). Z punktu widzenia usera dziala to praktycznie jak 1-click.

    0
  9. Mirek pisze:

    Jak ktoś z was jest zainteresowany to na virualo jest książka „Zmorojewo ” Jakub Żulczyk
    za 0.00 zł przeceniona z 39.90
    http://virtualo.pl/zmorojewo/nowosci/m2i112168/

    0
  10. Mirek pisze:

    Oraz w jako Hot Deal ” W kanałach Lwowa ” Robert Marshall audiobook przeceniony z 26.90 zł na 5.90 zł

    http://virtualo.pl/kanalach_lwowa/i90174/

    0
  11. Leszek pisze:

    Amazon nie wymaga CVV2? Dziwne… Bo ja ostatnio rejestrując kartę (notabene wirtualną mBanku do płatności internetowych rozliczaną w USD) MUSIAŁEM podać Amazonowi CVV2 !
    Czyli – jeśli kiedyś nie wymagał, to teraz żeby zarejestrować kartę do 1-click to CVV2 podać trzeba.

    0
    • Jan Makulec pisze:

      Hmm… Ja rejestrowałem kartę jakieś 2-3 tygodnie temu i o CVV2 mnie nie prosili. Może mają jeszcze inne zależności w tej kwestii. W każdym razie jeśli proszą o CVV2, to nie wiem jak inni, ale ja się z tego cieszę.

      0
      • Anna pisze:

        Mnie też Amazon nie prosił o CVV2 (rejestracja chyba na koniec stycznia, na pewno w tym roku) – Visa kredytowa z Citibanku. Może to kwestia banku – niektóre wymuszają, inne nie?

        0
  12. Jakie systemy płatności (do zastosowania w Polsce) umożliwiające na płatności 1-click byś polecał?
    Czy działa już coś w Polsce?
    Chodzi o integrację ze sklepem opartym na PrestaShop.

    0
    • Jan Makulec pisze:

      Szczerze mówiąc, to poza nami nic tak „z marszu” do głowy mi nie przychodzi (ale popytam kolegów). Myślę tu o polskich firmach. Popularne polskie agregatory płatności często korzystają z pośredników do obsługi płatności kartami (np. Moneybookers, ew. przyjmują je za pośrednictwem np. FirstData/Polcard), co raczej komplikuje, niż upraszcza sprawę. W ogólności karty są traktowane w Polsce dość po macoszemu – operatorzy płatności stawiają na naszym rynku przede wszystkim na przelewy.
      Inna rzecz, jeśli chcesz korzystać z usług zagranicznych bramek. Może to też wyglądać różnie (choćby w kontekście stawek) w zależności od tego jakie masz rynki docelowe itp. To temat dość bogaty w niuanse i „w zależności od przypadku”, więc po szczegóły zapraszam raczej na priv.

      0
  13. anks pisze:

    Odnośnie patentów – 1-click Amazona to tzw. metoda biznesowa, która w świetle amerykańskiego prawa może być patentowana, natomiast, żeby opatentować coś takiego w Europie (zgodnie z Konwencją o patencie europejskim), metoda biznesowa musi rozwiązywać problem techniczny (w ujęciu prawnym), a że nie rozwiązywał to wniosek patentowy został odrzucony :)

    0
  14. inzKulozik pisze:

    Wydaje mi się, że tekst trochę o niczym… ok, dowiedziałem się, że Amazon ma patent na jakąś głupotę, ale najważniejsza kwestia z punku widzenia „bezpieczeństwa płatności” czyli „stosowne audyty” ominięta szerokim łukiem. Będzie następny artykuł na ten temat? :)

    0
    • Jan Makulec pisze:

      Prawdę rzekłszy, bardzo mnie cieszy, że tak znajdujesz powyższe treści. Mnóstwo osób nie wie kto zapisuje dane kart, że nie robi tego sklep, że jest to legalne, że nie można przechowywać kodów CVV, że do wielokrotnego obciążania karty może wystarczyć jednorazowa autoryzacja, że transakcje (w szczególności kradzionych kart) są monitorowane na różne sposoby (GeoIP itp.), że jest chargeback i tak dalej. Co ciekawe, częściej „wiedzą” coś, co prawdą nie jest, jak właśnie pogłoski o nielegalności przechowywania takich danych (podobnie jest chociażby z płatnościami cyklicznymi – często spotykamy się w Polsce z opiniami, że to zwyczajnie niezgodne z prawem).
      Jeśli więc dla Ciebie tekst o niczym, ergo większość już wiesz, to znakomicie – oby podobnych Tobie było więcej!
      Jeśli zaś idzie o audyty – ciężko wdawać się nadmiernie w szczegóły (na razie to Świat Czytników, a nie Świat Płatności), zdecydowanie odbieglibyśmy od tematu. Tu raczej ogólnie chciałem nakreślić, że nie jest źle i nie trzeba się obawiać wpisania danych karty na stronie. A jeśli jesteś ciekaw szczegółów, to możesz wnosić o bardziej szczegółowe wpisy (acz nie ja tu jestem szefem). Na początek polecam zaś PCI DSS – standardy bezpieczeństwa dla różnych podmiotów.

      0
  15. Ninka pisze:

    Dlaczego chcecie kupować szybciej, i tak jest bardzo szybko. Klikam dodaj do koszyka, klikam zaloguj, o ile nie jestem zalogowana, klikam zapłać, kk, numer z pamięci +data + cvv2, kod z smsa, klikam biblioteka, pobierz, otwieram folder pobrane, klikam send to kindle.
    10 klików, 2 minuty i mam – a wy chcecie szybciej? Ja sobie cenię te dwie minuty, dają mi chwilę na refleksję. I tak uważam, że to zbyt szybkie bezrefleksyjne kupowanie.

    0

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Przed dodaniem komentarza zapoznaj się proszę z zasadami komentowania. Jeśli chcesz mieć swój obrazek przy podpisie, zarejestruj swój adres mailowy na stronie gravatar.com.

Zapisz się także do newslettera Świata Czytników


Komentarze do tego artykułu można śledzić także w formacie RSS.