Kartično online plaćanje neizostavan je dio modernog načina kupnje. Sigurnost je u tom procesu od najveće važnosti i ovisi o svim sudionicima. U ovom blogu donosim što se sve tu događa, vidljivo i nevidljivo, i kako svaki od sudionika doprinosi sigurnosti.
Odgovorno ponašanje kupaca
Odgovorno ponašanje vlasnika kartica važan je segment na koji ne smijemo zaboraviti kada pričamo o sigurnosti transakcija. Svaki vlasnik kartice odgovara za nju, mora je držati na sigurnom mjestu i nikome je ne smije davati. Nikako se ne preporučuje zapisivanje PIN-a na papirić pokraj kartice. Želiš li kao kupac biti siguran u svoje transakcije, kupuj samo na provjerenim web shopovima, čije domene započinju s https:// te koje imaju 3D Secure sigurnosnu provjeru. Obavijesti li te web browser da web shopu ne možeš vjerovati, shvati to ozbiljno i nemoj plaćati karticom.
Unos CVV/CVC (Card Verification Value odnosno Card Verification Code) koda i potvrđivanje identiteta putem 3D Secure provjere su mehanizmi zaštite kupca u online kupnji. Iako se kupci i trgovci nekad ljute, jer unos tih podataka iziskuje više tipkanja i možda rezultira nešto lošijim korisničkim iskustvom tijekom plaćanja, ti mehanizmi su tu da zaštite i jednu i drugu stranu od zlouporaba u slučajevima kada kartice dođu u tuđe ruke.
CVV/CVC je sigurnosni kod platne kartice. To je troznamenkasti ili četveroznamenkasti broj koji se najčešće nalazi na pozadinskoj strani kartice na kraju potpisne trake i rjeđe na prednjoj strani iznad broja kartice. Svrha mu je pružiti dodatnu sigurnost prilikom online kupnje, jer bi trebao biti poznat isključivo vlasniku kartice. U procesu plaćanja nigdje se ne smije pohranjivati. Dođe li taj broj do osobe koja nije vlasnik kartice i ima želju zlorabiti ga, u kombinaciji s brojem kartice i datumom isteka, ona na tvoje ime na internetu može kupiti bilo koji proizvod ili uslugu.
3D Secure autentifikacija je provjera identiteta kupca kojom dokazuješ da si vlasnik kartice kojom plaćaš. U procesu online plaćanja odvija se na strani banke koja ti je izdala karticu. Razmjena podataka obavlja se sigurnim putem, isključivo između tebe kao platitelja i banke koja ti je izdala karticu.
Odgovornost trgovca
Kao trgovac ne dolaziš u dodir s kartičnim podacima kupaca, pa nemaš odgovornost u smislu da na web shopu moraš nešto implementirati vezano uz sigurnost kartičnih plaćanja. No, obveza ti je izabrati pouzdanog partnera koji za tebe odrađuje taj posao. Tu je najvažnije da je Internet Payment Gateway (IPG) kojeg izabereš PCI DSS Level 1 certificiran i da certifikat redovito obnavlja na godišnjoj razini.
Dodatno, moraš brinuti o platformi na kojoj je napravljen tvoj web shop, tako da budu zadovoljena sva sigurnosna pravila vezana uz komunikaciju i razmjenu podataka. Ne smije se dogoditi da se netko zlonamjerno i lažno postavi između tvoje trgovine i kupca, te tako neovlašteno prikuplja podatke o kupcima, uključujući osobne i kartične podatke.
Usklađenost IPG-a i banaka sa strogim zahtjevima kartične industrije
Kao IPG pružatelj platnih usluga na internetu, CorvusPay radi po strogim pravilima propisanima za kartičnu industriju. Od 2012. godine do danas u kontinuitetu posjeduje PCI DSS Level 1 certifikat, što je najviše razina zaštite i usklađenosti. Zajedno s bankama partnerima, njih više od dvadeset, redovito prati i usklađuje se s mandatima kartičnih kuća koje stoje iza kartičnih brendova Mastercard, Maestro, Visa, Dina, Diners, Discover, American Express i drugih.
I CorvusPay i banke prihvatitelji imaju implementirane sustave za detekciju i sprječavanje kartičnih prijevara koji prate transakcije i procjenjuju njihovu rizičnost. Temelje se na matematičkim i statističkim modelima koji identificiraju i trenutačno zaustavljaju kartične zlouporabe ili šalju alerte za sumnjiva ponašanja. Takvi sustavi prate različite parametre transakcija, kao što su aktivnost kupaca po kartici u određenom razdoblju, prosječni iznosi transakcija, tuzemna ili inozemna transakcija, promjena adrese dostave, BIN kartice, PIN kartice i druge. Odstupaju li ti podaci iz zadanih okvira koji se gledaju kao uobičajene navike, sustav počinje odbijati transakcije ili slati upozorenja.
Da bi eCommerce rastao, sustavi moraju biti sigurni. I kupci i trgovci moraju im vjerovati. Da bi im mogli vjerovati, moraju razumjeti što sve utječe na sigurnost i što je čija odgovornost, a pogotovo moraju razumjeti da je određena odgovornost i na njima. Svaki sudionik igra određenu ulogu u igri u kojoj se moraju poštivati pravila. Nadam se da se i ti ponašaš prema pravilima, neovisno o tome u kojoj si od navedenih uloga.
Nadam se da ti je ovaj blog bio razumljiv i koristan. Letim dalje, čujemo se uskoro.
Edgar