Aby však byly bezpečně použitelné v situaci, kdy zákazník ani jeho platební karta nejsou fyzicky přítomni v obchodě, který také sám fyzicky nemusí existovat, musí být splněno několik podmínek:
1. utajení přenášených informací (ochrana před nepovolanými osobami),
2. zajištění integrity dat (ochrana před změnou informací),
3. ověření identity zúčastněných stran (ochrana před podvodníky),
4. zaručení interoperability (zajištění celosvětové funkčnosti).
Tyto podmínky musí platit pro všechny distribuční kanály současně a musí být zajištěny stejným způsobem, aby se zjednodušilo budování a provoz potřebné infrastruktury. Klíčovou roli zde budou mít čipové karty, které jako jediné mají dostatečnou kapacitu paměti a „aktivní“ inteligenci. Jejich úlohou bude generovat digitální podpisy u aplikací B2B (business to business) a B2C (business to consumer).
Základem zajištění bezpečnosti elektronických plateb (e-commerce, m-commerce) je u obou bankovních platebních systémů tzv. model 3D. Jeho principem je ponechání odpovědnosti za ověření identity klienta i obchodníka na bankách, které jim přístup do systému zajistily (vydavatel karty, zúčtovací banka). Tento model vytváří prostor pro použití řady verifikačních metod, jejichž rozšíření se lokálně nebo regionálně může lišit. Platební systémy (MasterCard, VISA) zodpovídají za dodržení standardů a za provedení autorizací, clearingu a zúčtování transakcí. Dlouhodobým cílem je použití stejné verifi kace a autentifi; kace platby pro všechny distribuční kanály (3D SET).
 |
Jak se bránit trikům zlodějů v cizině a na co si dát pozor v jednotlivých zemích? Čtěte v našem aktuálním tématu. |
SET
Secure Electronic Transaction (SET) byl vyvinut v polovině 90. let pro bezpečné placení na internetu. Na jeho vzniku se podílely asociace VISA, MasterCard a fi; rmy IBM, Microsoft, Netscape, RSA a další. Díky své komplikovanosti a nákladnosti na implementaci a provoz se však příliš nerozšířil a již několik let po jeho zavedení v roce 1997 se začalo hovořit o jeho konci. Banky proto koncem 90. let vyvinuly jednodušší řešení UCAF a 3D Secure (viz dále). SET umožnil, aby objednavatel služby nebo zboží vložil číslo své platební karty do „uzavřené digitální obálky“ a tu společně s objednávkou poslal dodavateli (např. zásilkový obchod). Ten tuto „obálku“ odešle k ověření do autorizačního centra, které ověří platnost digitálního podpisu zákazníka i obchodníka a finanční krytí transakce. Poté potvrdí transakci obchodníkovi, který odešle klientovi zboží. Obchodník odešle informaci o platební transakci své zúčtovací bance, která zajistí její úhradu prostřednictvím clearingového a zúčtovacího centra.
3D SET
Rozdíl oproti SET spočívá v tom, že software a digitální certifikáty nejsou umístěny v počítači klienta a obchodníka, ale na serveru banky (vydavatel karty, zúčtovací banka). Klient obdrží nebo si z internetu stáhne malý program (plug-in), který se při každé transakci e-commerce nebo m-commerce spojí se serverem vydavatele a vyžádá si transakční certifikát. Aby tento certifikát získal, musí být klient registrovaným a verifi kovaným uživatelem. Systém 3D SET podporuje také čipové transakce ve virtuálním světě, kde pak digitální podpis nahrazuje certifikát SET.
3D SECURE
Pokud 3D SET ověřuje identitu kupujícího i prodávajícího, 3D Secure je založen jen na ověření totožnosti zákazníka (držitele karty). Vydavatel karty určuje metodu ověření svého klienta, zúčtovací banka garantuje ověření totožnosti svého obchodníka. Bezpečnou komunikaci mezi klientem a obchodníkem zajišťuje technologie SSL.
 |
Nevyznáte se v nabídce nových produktů bank či spořitelen? Chcete vědět, které produkty stojí za to? Na pochybách vás nenechá naše rubrika- Vyplatí se? |
PSEUDOČÍSLA
Trvalé nebo jednorázově vygenerované číslo platební karty prostřednictvím banky (server wallet). Banka klientovi aktivuje aplikaci placení na internetu ve svém systému. Při placení se klient idenfitikuje stanoveným způsobem bez nutnosti sdělovat číslo karty. Bankovní systém vygeneruje jednorázové nebo trvalé číslo karty a autorizační kód.
VIRTUÁLNÍ KARTY
Fyzicky neexistující karta. Pro platby na internetu je klientovi přiděleno speciální číslo platební karty. Číslo může být vytištěno na papíru nebo se vyrobí plastová karta s číslem. Virtuální karta může existovat vedle skutečné platební karty a mít i vlastní výpis, nebo mohou být transakce převáděny na účet hlavní karty. V řadě bezpečnostních metod je na předposledním místě před běžnou platební kartou, ale stále zajišťuje vysokou bezpečnost. Od zavedení tohoto druhu karet v roce 2000 nebyly zaznamenány případy jejich zneužití.
MASTERCARD SECURECODE A VERIFIED BY VISA
Trh e-commerce nákupů se ve Spojených státech odhaduje na 3 triliony USD. Tento způsob prodeje je zde také nejvíce rozšířen, a proto nepřekvapí, že právě zde MasterCard i VISA zavedly jako první v zemi nové metody bezpečného placení. MasterCard zavedl v roce 2001 metodu tzv. SecureCode a VISA zase systém Verifi; ed by VISA. Oba systémy jsou založeny na tom, že jakmile při nákupu na internetu klient zvolí jako způsob placení platební kartu a zadá její číslo, objeví se na jeho počítači obrazovka (pop-up) zprostředkovaná zúčtovací bankou. Do ní doplní osobní tajné heslo (ne PIN karty). Toto heslo jde mimo obchodníka, který pouze obdrží od banky informaci, zda bylo kartou zaplaceno či ne. Osobní tajné heslo klient získá od své banky nebo si ho zvolí při podání žádosti o platební kartu nebo při registraci služby MasterCard SecureCode nebo Verified by VISA na jejich internetových stránkách. Schéma transakcí naleznete ZDE.
MasterCard nabídl tři řešení pro SecureCode, které splňují nejrůznější potřeby a možnosti obchodníků, klientů a bank:
• PC Authentication Program – Secure Payment Application (SPA) je nahrána na internetovém serveru obchodníka. Licenci SPA získalo přes 90 dodavatelů technologií.
• Chip Authentication Program – je určen pro EMV čipové karty a pro jejich ověření na PC uživatele pomocí samostatného nebo připojeného snímače čipových karet.
• MasterCard´s Implementation of 3D Secure – je řešením bez implementace apletu na PC klienta.
Všechna tři řešení využívají přenosu osobního tajného hesla prostřednictvím tzv. Universal Cardholder Authentication Field (UCAF), který se povinně přenáší ve všech autorizačních zprávách od roku 2000.
Na závěr uveďme doporučení pro bezpečné nakupování na internetu:
1. Vždy používejte bezpečný internetový prohlížeč (Microsoft Internet Explorer 3.02 a vyšší nebo Netscape Navigátor 2.0 a vyšší).
Ujistěte se, že obchodník používá zabezpečení přenášených informací pomocí protokolu SSL nebo SET.
2. Nakupujte u obchodníků, které znáte nebo kteří mají dobré reference.
3. Ověřte si dodací a reklamační podmínky, měnu transakce a zda existuje telefonické a e-mailové spojení na internetový obchod.
4. Uschovejte si vaši objednávku, její potvrzení obchodníkem a dodací list (jedná-li se o zboží dodané poštou nebo kurýrem).
5. Zkontrolujte váš výpis z běžného účtu nebo kreditní karty, zda částka i měna odpovídají objednávce.
Máte zkušenosti s placením na internetu? Jaké? Používáte při úhradě zboží či služeb některou z uvedených metod? Napište nám, těšíme se na vaše názory a zkušenosti.
reklama
Úryvek je z knihy "Encyklopedie platebních karet" vydané nakladatelstvím Grada Publishing, které vydává další publikace v edici FINANCE jako např:
Naučte se investovat, 2. rozšířené vydání
Finanční a komoditní deriváty v praxi
Finanční matematika pro každého, 5.vydání
