Як захистити свою карту в інтернет - 15 Березня 2011 - Новини зі світу ІТ українською мовою

Мій сайт

Головна
Реєстрація
Вхід

Головна » 2011 » Березень » 15 » Як захистити свою карту в інтернет

23:16

Як захистити свою карту в інтернет

Що ж таке інтернет-платіж

Як не дивно, але в термінології платіжних систем немає такого поняття, як інтернет-транзакція. З точки зору Visa і MasterCard, транзакція в інтернет нічим не відрізняється від транзакції в терміналі, по телефону, IVR і т.д. Платіжні системи розглядають інтернет лише як середовище проведення транзакції. І це вводить деяку плутанину при спілкуванні кардхолдера з банком, що випустив карту (емітентом). Затвердження співробітника колл-центру про те, що ваша картка відкрита для оплати в інтернет, так само, як і твердження, що вона закрита, може не відповідати дійсності.

Думаю багато з вас, хто регулярно користується картами, стикалися з ситуацією, коли карта начебто відкрита для оплати в інтернет, але платежі на деяких сайтах не проходять. Можлива і зворотна ситуація, коли емітент не зазначає у договорі на відкриття карти про можливості оплати в інтернет, а оплата на деяких сайтах все-таки може пройти. Це все пов'язано з типами транзакцій, які дозволені на стороні емітента. Тип транзакції залежить від параметрів, що беруть участь в авторизації (CVV2, магнітна смуга, PIN, 3DSecure пароль, чіп, адреса кардхолдера і т.д.) і від типу терміналу (традиційний POS-термінал, e-commerce мерчант, Mail / Phone order, банкомат). Бачите, немає такої властивості, яке б вказувало на середу проведення транзакції, зокрема - інтернет. Так, наприклад, емітент з метою безпеки може дозволити до авторизації тільки транзакції типу e-commerce з введенням CVV2, в той час, як деякі сайти CVV2 не запитують і формують транзакцію як Mail / Phone order. В останньому випадку оплата не пройде. Або емітент може заборонити e-commerce, але забути заборонити Mail / Phone order, тоді оплата в деяких інтернет-мерчанта буде дозволена. Тому, до кінця впевненим у тому, пройде платіж чи ні при тих чи інших умовах, може бути хіба що співробітник процесингового центру, що бачить перед собою налаштування авторизаційного ПЗ, і то не завжди.

Культура користування особистими картками

Зважаючи на вищесказане, потрібно бути завжди акуратним зі своєї зарплатної, кредитної, бізнес / корпоративної або будь-який інший картою, на якій є доступні засоби. В першу чергу я б порекомендував не користуватися цими картами в мережі інтернет, не дивлячись на зручність (завжди є доступна сума, як правило дозволені багато видів транзакцій). Також не світити номер карти і зворотну сторону з CVV2 в чергах у терміналів (можна навіть стерти CVV2 лезом або іншим підручним засобом) та не випускати картку з поля зору, передаючи її касиру / офіціантові / іншому персоналу. У деяких випадках сума з картки може бути списана навіть без введення CVV2. Тобто зловмисникові буде досить підглянути номер вашої картки і термін дії, щоб здійснити платіж в інтернет. Для оплати в інтернет найкраще завести окрему інтернет-карту, або використовувати наявну дебетову, постійно контролюючи на ній доступний залишок (наприклад підключивши послугу sms-інформування). Також, якщо банк емітент надає таку послугу, бажано встановити на карту індивідуальний ліміт платежів в інтернет.

Засоби захисту

Окрім дотримання рад, даних вище, одним із засобів захисту карти, тепер вже технічним, є протокол 3DSecure (програма Verified by Visa у платіжної системи Visa і MasterCard SecureCode у MasterCard) .
Незважаючи на спроби просування платіжними системами протоколу 3DSecure, банки на території СНД не поспішають його освоювати і як і раніше винаходять свої методи захисту від шахрайства. Чому це відбувається, і що таке протокол 3DSecure?
Коротенько, 3DSecure - це протокол платіжних систем Visa і MasterCard, дозволяє додатково автентифікувати кардхолдера, перенаправивши його під час онлайн-покупки на сайт банку емітента. Банк емітент при цьому перевіряє пароль, введений кардхолдером і дає відповідь про згоду або відмову в проведенні транзакції.
Здавалося б, очевидно, що головна мета протоколу 3DSecure - захистити кардхолдера від несанкціонованого використання його карти. Але насправді, в повну міру, це працює тільки в тому випадку, якщо і банк еквайєр і банк емітент підтримують протокол. Тобто якщо шахрай спробує розплатитися вашою карткою, підключеною до 3DSecure в торговій точці, не підтримує його, захист не спрацює. Так як більшість Мерчант в СНД все ще не підтримують протокол 3DSecure, або підтримую, але тільки на словах, користі власнику картки від такого захисту мало. У випадку несанкціонованого використання захищеної карти в Мерчант, що не підтримує 3DSecure, відповідальність за шахрайство лягає на банк, що обслуговує торгову точку. Хоча в цьому випадку кардхолдер може повністю розраховувати на повернення коштів, це слабо втішає, знаючи, чим загрожує тяганина з претензією в наших банках.
Таким чином, головна перевага 3DSecure на даному етапі розвитку електронної комерції в країнах СНД-це перенесення відповідальності на банк, що обслуговує торгову точку.

Підсумок

Підіб'ємо підсумок, як застерегти себе від дій шахраїв (адже все ж таки користуються простими правилами, як не заразити комп'ютер вірусами, як не пустити злодія в квартиру, ось і в дотриманні правил користування картами немає нічого обтяжливого) :
не світити карту в публічних місцях
не втрачати з уваги карту при оплаті товарів і послуг
користуватися в інтернет тільки картами, які ви спеціально відкрили для цієї мети
стежити за залишками на картах (бажано через sms-інформування)
встановити на інтернет-карту індивідуальний ліміт платежів в інтернет
підключити карту до протоколу 3DSecure
вводити дані карти тільки на перевірених сайтах, бажано з логотипами Verified by Visa і MasterCard SecureCode
не передавати дані карти третій особі (навіть родичам і друзям)

Незважаючи на, здавалося б, плачевну ситуацію з захистом платіжних карт в інтернет, все не так уже й погано. Платіжні системи Visa і MasterCard встановлюють єдині правила ведення претензійної роботи, які зазвичай захищають кардхолдера, і гарантують повернення коштів при шахрайстві, якщо не було факту компрометації і передачі даних третій стороні. Хай це не завжди працює в нашому «правовій» державі, але це суттєва перевага, порівняно з безповоротними локальними віртуальними платіжними системами. До того ж платіжні карти в інтернет широко використовуються у всьому світі і для нас це тільки питання часу і швидкості розвитку культури безготівкових розрахунків. Ще пару років тому людина, яка розраховується карткою в терміналі магазину, викликав обурення у стоїть черзі, а сьогодні хіба що невеликі магазини в глибинці не мають терміналів. Тому, кому, як не нам з вами, найактивнішої частини інтернет-спільноти, спрямовувати розвиток електронної комерції в потрібне русло. Не бійтеся експериментувати, платити в інтернеті і підключати оплату картами до своїх мерчанта / стартапам. Раптом це виявиться зручно і дешево:)