Czy płacenie kartą w Internecie jest bezpieczne? Kompendium wiedzy dla Ciebie - część II
Teraz, kiedy już wiemy, iż nie ma praktycznie możliwości podsłuchania naszej transakcji, czy też przejęcia danych przyjrzyjmy się dokładnie, za co odpowiada każda ze stron transakcji, oraz jak ocenia bezpieczeństwo naszych pieniędzy.
17.11.2009 | aktual.: 17.11.2009 10:43
Do rozmowy zaprosiliśmy przedstawicieli firmy First Data Polska (operator Polcard), mBanku oraz Visa Europe.
Wirtualna Polska: W jakim zakresie każda z firm odpowiada za bezpieczeństwo transakcji? Wiemy, że w procesie autoryzacji płatności kartowych dokonywanych w Internecie pośredniczy kilka podmiotów - od samej organizacji VISA, przez merchanta, acquirera i sklep, aż po bank. Interesuje nas, za jaki element bezpieczeństwa odpowiada Bank, Visa i Polcard?
Janusz Diemko, Prezes Zarządu First Data Polska, właściciela marki POLCARD: Należy zdawać sobie sprawę z faktu, iż bezpieczeństwo to złożony proces, w którym zawierają się m.in.: weryfikacja przyszłych kontrahentów, monitorowanie transakcji, współpraca z bankami, szkolenie akceptantów, dostosowanie się do wymogów bezpieczeństwa określonych przez VISA i MC (np. system 3DS, VbV), itp. Zgodnie z regulacjami organizacji kartowych VISA i MasterCard, tak jak inne podmioty ponosimy odpowiedzialność za bezpieczeństwo transakcji w Internecie, przy czym w ramach określonych kompetencji dzielimy ją z akceptantem.
mBank: Bank (Issuer - wydawca karty) udostępnia Klientowi bezpieczne narzędzie do dokonywania płatności, czyli kartę płatniczą. Zgodnie z polskim prawem Klient jest chroniony z urzędu za transakcje przy użyciu utraconej karty powyżej 150 EUR. Całkowite zabezpieczenie (do 150 EUR) gwarantuje korzystanie z dodatkowych ubezpieczeń.
Visa International: Zadaniem organizacji Visa jest łączenie poszczególnych ogniw łańcucha przetwarzania danych dotyczących transakcji płatniczej. Zazwyczaj oznacza to pełnienie roli łącznika pomiędzy agentem rozliczeniowym a bankiem - wydawcą karty, w celu 1) autoryzacji transakcji oraz 2) zapewnienia codziennych rozliczeń transakcji pomiędzy zaangażowanymi bankami.
Wachlarz naszych obowiązków w zakresie bezpieczeństwa transakcji jest bardzo szeroki:
1) Kiedy dane znajdują się w naszym systemie (jw.), spoczywa na nas bezpośredni obowiązek zapewnienia ich bezpieczeństwa.
2) Jeśli chodzi o dane przechowywane w systemach innych podmiotów, to nasz udział polega na pomocy w opracowaniu branżowych standardów bezpiecznego przetwarzania i przechowywania danych (ang. Payment Card Industry Data Security Standard - PCI DSS). Wspomagamy również podmioty rynku płatności tworząc programy, dzięki którym detaliści, agenci rozliczeniowi oraz banki – wydawcy kart mogą osiągnąć i utrzymać zgodność z tymi standardami.
3) Oferujemy szereg usług na rzecz instytucji członkowskich, np. system oceny ryzyka VISOR (Visa Intelligent Scoring of Risk), pomagający śledzić transakcje i wskazywać przypadki zagrożone oszustwem.
4) Finansujemy innowacyjne rozwiązania mające na celu bezpieczeństwo transakcji, takie jak technologia kart z mikroprocesorem wymagających potwierdzenia transakcji kodem PIN (ang. chip & PIN) oraz Verified by Visa - system dodatkowego potwierdzania tożsamości przy autoryzacji płatności w handlu internetowym.
WP: W jaki sposób wychwytujecie podejrzane transakcje?
Janusz Diemko: First Data Polska posiada programy do monitoringu akceptantów internetowych oraz transakcji u nich wykonywanych w czasie rzeczywistym i offline. Do analizy zachowań klientów (firm), jak i okazicieli kart wykorzystujemy różne narzędzia eliminujące w znaczący sposób próby oszustwa, np. weryfikację danych klienta (adresu mailowego z adresem IP) czy bezpośredni kontakt z wydawcą karty celem potwierdzenia autentyczności transakcji. Obecnie duża część transakcji realizowana jest w systemie 3DS i VbV (weryfikacja poprzez bezpośredni kontakt klienta z bankiem). Wielu akceptantów posiada także własne systemy monitorowania, które są parametryzowane wspólnie z First Data Polska. W oparciu o tak pozyskane dane tworzona jest baza "złych" klientów. First Data Polska ściśle współpracuje ze swoimi klientami, aby nie dopuścić do realizacji nieautoryzowanych transakcji. W tym celu pomagamy analizować akceptantom szczególne przypadki. Współpracujemy również z organami ścigania i podejmujemy wspólne działania
zmierzające do zmniejszenia przestępczości internetowej z wykorzystaniem kart płatniczych.
Visa International: W większości banków wykrywanie oszustw opiera się na systemie reguł, na punktowym systemie oceny ryzyka (scoring) lub na połączeniu obu systemów. Dzięki temu, że organizacja Visa ma do czynienia z tak ogromną liczbą transakcji (nieporównywalnie większą niż w przypadku pojedynczego banku), nasze systemy oceny ryzyka, takie jak VISOR charakteryzują się wielką skutecznością. Mamy po prostu więcej danych do budowy odpowiednich modeli – co oznacza, że możemy z większą dokładnością wskazywać na przypadki potencjalnych oszustw jak również unikać zakłóceń przy realizacji transakcji prawidłowych.
mBank: Należy pamiętać, iż transakcje dokonywane kartami są monitorowane w systemie ciągłym, przez 24 godziny na dobę, z wykorzystaniem najnowocześniejszych metod.
WP: Czy zbieracie / otrzymujecie automatyczne raporty np. o błędnie podanym kodzie CVV2 lub niepoprawnych danych, które podnoszą czujność systemów bezpieczeństwa?
Janusz Diemko: Tak. Efektem tego rodzaju działania jest nadawanie klientowi statusu, który uniemożliwia mu ponowne przeprowadzenie transakcji. Również z systemów organizacji płatniczych otrzymujemy regularne raporty o oszukańczych transakcjach w Internecie, które wykorzystujemy w aktualizacji parametrów i reguł programów i jednocześnie informujemy o tym naszych kontrahentów.
- W wypadku wprowadzenia błędnych danych, bank wydawca karty odmawia potwierdzenia transakcji. – dodaje przedstawiciel Visa International.
WP: W jakim zakresie istotne jest, aby sklep/usługodawca poprawnie wysyłał zapytanie autoryzacyjne. Mamy tutaj na myśli sytuację, kiedy transakcja dokonywana jest w Internecie, a zapytanie autoryzacyjne, które trafia do banku opisane jest jako transakcja np. zagraniczna wykonana w terminalu? Taki przypadek spotkał nas przy zakupie biletów lotniczych w liniach SWISS. * *Janusz Diemko: Prawidłowość zapytania autoryzacyjnego jest bardzo istotna. Banki prowadzą określoną politykę bezpieczeństwa, która zależy od rodzaju transakcji (np. limity, sposób weryfikacji, itp.) Opisana sytuacja nie powinna mieć miejsca i jest niezgodna z zapisami regulacji organizacji płatniczych.
Poprawne przesyłanie zapytania autoryzacyjnego do banku - wystawcy karty to istotny element każdej transakcji niezależnie od tego, czy są to zakupy wykonywane w środowisku wirtualnym czy rzeczywistym. Pozwala ono na prawidłową analizę transakcji i przypisanie do niej odpowiednich parametrów z dziedziny analizy ryzyka. Proces konfiguracji płatności dla kontrahenta internetowego składa się z kilku etapów i jest kontrolowany przez kilka niezależnych departamentów, co znacząco podwyższa skuteczność procesu kontroli. Oczywiście błędy mogą wystąpić, ale reagujemy szybko na zaistniałą sytuację i wprowadzamy niezbędne zmiany.
- Jest to istotne z wielu powodów. Jeśli wysyłane jest niepoprawne zapytanie autoryzacyjne, system może transakcję odrzucić lub narazić usługodawcę/sklep na utratę środków z tytułu ewentualnej reklamacji – dodaje przedstawiciel mBanku.
- Agenci rozliczeniowi powinni zapewnić prawidłową realizację transakcji przez detalistów. Również w tym przypadku, gdy dostrzeżemy powtarzalność pewnych problemów, zwracamy się do agenta rozliczeniowego z prośbą o zbadanie sprawy – kategorycznie podkreśla organizacja Visa.
Poprosiliśmy o komentarz także linie lotnicze SWISS International. Zarówno polski oddział, jak i centrala w Zurychu odpowiedziała nam, że firma używa protokołu SSL, nikt więcej poza nami nie zgłaszał tego problemu i wszystko jest jak należy. WP postanowiła jednak wyjaśnić temat i otrzymaliśmy stanowisko Roberta A. Hauenstein’a, głównego menadżera odpowiedzialnego za transakcje kartowe. Potwierdził on nam, że obecnie wszystkie transakcje Swiss International – niezależnie czy wykonane w kasie na lotnisku, czy też przez Internet traktowane są tak samo. Firma zamierza zmienić swój system w roku 2010. Póki co, płacąc za bilety linii SWISS w Internecie zalecamy ostrożność. Może się bowiem okazać, iż byliście na lotnisku w Zurychu i zapłaciliście za swoje bilety podając kod PIN w terminalu kasowym. Ktoś tu zapomniał, że wyciąg z karty płatniczej jest często dowodem w sądzie. Odzyskanie pieniędzy skradzionych w ten sposób może być praktycznie niemożliwe. Każdy bank odmówi przyjęcia reklamacji w sytuacji, kiedy
została ona potwierdzona kodem PIN.
WP: Jak szybko każdy z podmiotów jest w stanie zareagować na podejrzane transakcje i zablokować ich autoryzację w sieci Internet?
Janusz Diemko: Część transakcji blokowana jest od razu ze względu na status przyporządkowany do danego klienta. Jeżeli sprawa wymaga kontaktu z bankiem trwa to dzień, najwyżej dwa. W większości przypadków jest to wystarczający okres do zablokowania transakcji, nawet jeżeli wcześniej uzyskała ona autoryzację. First Data Polska jako agent rozliczeniowy nie może blokować autoryzacji karty płatniczej, instytucją uprawnioną do takich działań jest bank – wystawca karty. First Data Polska może jedynie zasugerować klientowi odrzucenie i nie realizowanie zamówień o wysokim stopniu ryzyka. W takich przypadkach przekazujemy również prośbę do banku o zablokowanie numeru karty płatniczej oraz obserwację innych kart z ich bazy bankowej.
- Natychmiast po wykryciu jakichkolwiek nieprawidłowości – potwierdza mBank.
Visa International: Organizacja Visa przekazuje instytucjom członkowskim dane, które umożliwiają podejmowanie takich decyzji. Obecnie, przekazanie wydawcy karty danych o ryzykownej transakcji następuje w przeciągu kilku minut od jej dokonania. Wkrótce już organizacja Visa zacznie świadczyć tę usługę w czasie rzeczywistym, dzięki czemu wydawca karty otrzyma ocenę ryzyka (risk score) w tym samym czasie, w którym dokonuje się autoryzacji transakcji. Wszystko to będzie się odbywać w przeciągu kilku milisekund.
WP: Czy weryfikuje się sprzedawców, którym udostępnia się elementy do autoryzacji transakcji online?
Janusz Diemko: Tak. Chodzi tu nie tylko o bezpieczeństwo transakcji. Zgodnie z regulacjami pewne usługi/towary (np. dostęp do stron pornograficznych, papierosy, alkohol) nie mogą być sprzedawane przez Internet, zatem zanim podpiszemy umowę, każdy kontrahent jest weryfikowany pod kątem prowadzonej działalności. Wszystkie adresy url są dodatkowo weryfikowane w cyklach miesięcznych pod kątem opisanych reguł i zgodności z systemami oraz polskimi przepisami prawa.
mBank: W przypadku kiedy uzyskamy informację o podejrzanym merchancie - zgłaszamy taką sytuację do akceptanta danego sklepu, który sprawdza punkt i działa według wypracowanych procedur.
Visa International: *Regulamin organizacji Visa wymaga od agentów rozliczeniowych, żeby współpracowali z godnymi zaufania detalistami, działającymi zgodnie z prawem. W przypadku, gdy naszą uwagę zwróci powtarzalność skarg na działalność danego detalisty, zwracamy się do agenta rozliczeniowego z prośbą o zbadanie sprawy. *WP: W jaki sposób zabezpieczacie dane swoich klientów - w szczególności numery kart kredytowych - przed wyciekiem w niepowołane ręce.
Janusz Diemko: Z chwilą, gdy klient ma podać swoje dane, następuje przekierowanie na naszą bezpieczną stronę, zatem akceptant internetowy nie ma dostępu do danych kartowych i klienta. Sieci i systemy POLCARD chronione są kompleksowym systemem zabezpieczeń, spełniającym wymogi standardu PCI DSS. Standard ten określa zasady ochrony przed nieautoryzowanym dostępem do danych kartowych, zarówno zewnętrznym, jak i wewnątrz firmy, adresuje wszystkie istotne ryzyka i formy „ataków”.
Visa International: Kiedy dane znajdują się w naszym systemie to na nas spoczywa bezpośredni obowiązek zapewnienia ich bezpieczeństwa i zgodności ze standardami PCI DSS. Jeśli chodzi o dane przechowywane w systemach innych podmiotów, to nasz udział polega na pomocy w opracowaniu branżowych standardów bezpiecznego przetwarzania i przechowywania danych (ang. Payment Card Industry Data Security Standard - PCI DSS). Wspomagamy również podmioty rynku płatności tworząc programy, dzięki którym detaliści, agenci rozliczeniowi oraz banki – wydawcy kart mogą osiągnąć i utrzymać zgodność z tymi standardami.
WP: Według informacji pozyskanych od analityków bezpieczeństwa w sieci Internet wynika, iż coraz częściej przestępcy próbują przechwycić transfer zapytań autoryzacyjnych zamiast "produkować" fałszywe strony internetowe. Co robicie, aby nie dopuścić do takich sytuacji?
Janusz Diemko: Różnorodne mechanizmy kryptografii asymetrycznej i symetrycznej służą zarówno szyfrowaniu danych, jak i wzajemnemu uwierzytelnieniu stron transmisji, skutecznie chroniąc wymianę danych z terminali czy bankomatów przed atakami typu man-in-the-middle. W przypadku płatności internetowych użytkownicy powinni polegać na mechanizmach protokołu SSL upewniając się zawsze, że wpisują swoje dane na uwierzytelnionej stronie zaufanego agenta. Głośne przypadki kradzieży danych kartowych z wykorzystaniem sniffingu (podsłuchu) nieszyfrowanych danych dotyczyły wprowadzenia takich narzędzi do sieci lokalnych systemów autoryzacyjnych, oddzielonych od Internetu wieloma zaporami sieciowymi. U większości agentów taki atak wymaga przełamania bardzo wielu mechanizmów ochrony, stąd zarówno trudność, jak i prawdopodobieństwo powodzenia przyjmują tutaj skrajne wartości.
mBank: Ściśle współpracujemy z podmiotami powołanymi do reagowania na zdarzenia naruszające bezpieczeństwo w sieci. Dzięki temu zapobiegamy wyrządzeniu szkód, nim jakiś proceder zdoła się rozpowszechnić. Wykorzystujemy również specjalistyczne narzędzia do monitorowania transakcji kartowych.
Vista International: W tym m.in. celu - zachowania bezpieczeństwa danych przekazywanych w procesie transakcji - ustanowiono standardy PCI DSS. Mieliśmy udział w opracowaniu tych branżowych standardów bezpiecznego przetwarzania i przechowywania danych (PCI DSS). Wspomagamy również podmioty rynku płatności tworząc programy, dzięki którym detaliści, agenci rozliczeniowi oraz banki – wydawcy kart mogą utrzymać zgodność z tymi standardami.
WP: W jaki sposób limity ustanawiane do płatności w Internecie mogą pomóc w ochronie pieniędzy klienta banku?
mBank: To bardzo ważna funkcja, ponieważ gwarantuje udostępnianie określonego limitu tylko wtedy, gdy jest on potrzebny do wykonania transakcji. Poza momentami dokonywania zakupów nasza wirtualna portmonetka (czyli limit na karcie) jest pusta i nikt nie może z naszych środków korzystać.
mBank umożliwia samodzielną i darmową zmianę limitów w serwisie transakcyjnym. Dobrą praktyką jest zerowanie limitów dla transakcji internetowych po dokonaniu zakupów. Udostępnia też dedykowaną do płatności w Internecie eKARTĘ. Jest to karta wirtualna – umożliwia ona jedynie transakcje zdalne (internetowe, telefoniczne i korespondencyjne). Działa jak portmonetka elektroniczna – napełnia się ją przed zakupami i opróżnia z pozostałych po transakcji pieniędzy.
WP: Analitycy bezpieczeństwa zwracają uwagę, że może dojść do prób ataków na API takich firm jak First Data (Polcard), a udostępnianych sklepom. W jaki sposób First Data Polska dba o bezpieczeństwo swojego API? Janusz Diemko: API agentów budowane są w celu wprowadzania danych kartowych przez klientów, stąd nawet przełamanie zabezpieczeń nie powinno umożliwić odczytu jakichkolwiek danych historycznych – na serwerach front-end dane powinny być przetwarzane wyłącznie na czas autoryzowania transakcji. Także merchanci nie mają dostępu do danych kart płatniczych swoich klientów. Serwery WWW są zabezpieczone zgodnie z obowiązującymi standardami oraz najlepszymi praktykami (standard PCI DSS odwołuje się tutaj do projektu OWASP), co skutecznie zabezpiecza przez znanymi formami ataków hakerskich. Dla systemów front-end szczególną uwagę należy zwracać na ochronę integralności środowiska operacyjnego.
Jarosław Babraj