(Ne)bezpečné platby na internetu

Zaplatit za zboží zakoupené v internetovém obchodě lze různými způsoby. Hlavně v Americe je velmi rozšířené využití embosované bankovní karty, kdy stačí do formuláře daného virtuální obchodu zadat její číslo. Platba je pak vyúčtována jako standardní použití karty v klasickém "kamenném" obchodě přes mechanický snímač. Celá poměrně jednoduchá a rychlá operace má jeden háček – neumožňuje autorizovat danou platbu. Obchodník tedy nezjistí, že s kartou platí její majitel. A výsledek? Stačí, když někdo zjistí číslo vaší karty (například s pomocí programů na sledování zadaných znaků na klávesnici) a může si vesele nakupovat na váš účet. Že to skutečně funguje, dokládá například dobře rozvinutý trh s databázemi čísel karet, který funguje například v Rusku.

Vysokého rizika se české banky zalekly a je spíše výjimkou, když je u nově vydané karty automaticky povoleno její použití na internetu. Jenže e-commerce, neboli elektronické obchodování přímo vybízí k placení kartou. Proto se objevilo několik řešení s vyšší bezpečností. O virtuálních (resp. internetových) kartách jsme již psali v článku Karty frčí, dnes se podíváme na připravované systémy zabezpečení těch "klasických" platebních karet. První dvě řešení jsou dílem asociací VISA Int. (systém Verified by VISA) a MasterCard Int. (systém SecureCode), třetí je z dílny zahraničního mobilního operátora Vodafone (m-pay).

Řešení karetních asociací

Co je to 3-D Secure

Platforma, jejíž původním autorem je VISA, ale téměř od začátku ji rozvíjejí a využívají obě asociace. Systém postavený na 3-D Secure dokáže podle čísla karty zjistit, zda je zaregistrována pro bezpečné platby a podle toho spustit proces autorizace přes banku anebo provést transakci bez ověření. Veškerý přenos dat je šifrován.

Kdo jiný by měl přijít s podporou placení kartou na internetu než dvě největší karetní asociace – VISA a MasterCard. Stejně jako při implementaci čipové technologie se shodly na společném standardu, tentokrát nazvaném 3-D Secure. Aby mohla být platba provedena tímto způsobem, musí být v systému zařazeny čtyři subjekty. Jednak banka obchodníka a banka vydávající platební kartu zákazníka, dále pak internetový obchod a samotný zákazník, který si musí kartu do systému zaregistrovat.

Jak probíhá bezpečné nakupování

Nejdříve si v internetovém obchodě vyberete zboží a zvolíte placení kartou. Zadáte číslo vaší platební karty a kliknete na "zaplatit". Poté se do nového okna (jako pop-up) otevře formulář vaší banky, do kterého zadáte své soukromé heslo. Tím banka ověří, že s kartou platí její majitel, obdobně jako při zadání PINu u bankomatu. Vyšší bezpečnost je pak zaručena tím, že heslo zadáváte do zabezpečeného formuláře vaší banky a ne nějakého internetového obchodníka. "V systému SecureCode si nastavíte vlastní pozdrav. Ten je pak zobrazen v pop-up okně banky. Máte jistotu, že skutečně komunikujete se svojí bankou," popsal naší redakci zabezpečení systému zástupce asociace MasterCard.

Systém MasterCard SecureCode

Levý obrázek je příklad internetového obchodu, pravý pak okno vaší banky, do kterého zadáváte svůj osobní kód.

V třetím kroku server banky obratem zašle obchodníkovi potvrzení, že bude daná platba uhrazena ověřenou platební kartou. To znamená, že obchodník během několika sekund získá záruku zaplacení a může odeslat zboží. Zákazník má zase jistotu, že nakupuje u bankou či karetní asociací prověřeného obchodníka.

Systém Verified by VISA

Na stránkách internetového obchodníka vyplníte číslo karty.	Do pop-up okna systému VISA zadáte své heslo.	Po úspěšném ověření získáte zprávu o dokončení transakce.

Totálně bezpečné?

Popsané systémy zabezpečení selhávají v okamžiku, kdy někdo zjistí vaše heslo, kterým potvrzujete danou platbu. Přestože jej můžete často měnit v rámci internetbankigové aplikace vaší banky, existuje stále jisté riziko zneužití. To řeší nástup čipových karet, u kterých elektronický podpis uložen přímo v paměti čipu. Až v tento okamžik je skutečně naplněn obecně uznávaný bezpečnostní trojúhelník: fyzická přítomnost nějakého zařízení (např. karta) - heslo - zabezpečený přenos dat.

Druhou otázkou vedle bezpečnosti, která vás jistě napadla, je rozšířenost zmíněných systémů. V zahraničí narazíte na desítky firem, které jsou do projektu zapojeny. Český klient si však bude muset ještě počkat. Podle informací naší redakce však již několik bank u nás projevilo o implementaci zájem, stejně tomu je u českých internetových obchodů. Než ale proběhnou všechna jednání a pilotní provoz, uběhne určitě minimálně jeden rok.

Vodafone – Logica

Vedle karetních asociací přicházejí s bezpečenými platbami i další firmy. Jednou z nich je britský mobilní operátor Vodafone ve spolupráci s IT společností Logica. Fungování jejich systému m-pay je následující. V okamžiku placení na internetu klikne uživatel na logo m-pay a objeví se mu v pop-up okně formulář Vodafone. Do něj zadá své uživatelské jméno a heslo. Poté v menu zvolí, kterou ze zaregistrovaných karet bude platit. Systém m-pay vygeneruje pro danou platbu jednorázový kód, který je zaslán na mobilní telefon zákazníka. Ten jej přepíše do formuláře internetového obchodníka a tím vlastně podepíše transakci. Poté je systémem vygenerována zpráva, že byla transakce provedena. Celý systém tak trochu připomíná naše placení přes e-banku.

Základní výhodou m-pay oproti systémům Verified by VISA a MasterCard SecureCode je fakt, že vůbec nezadáváte číslo své karty. Tím odpadá možnost, že někdo zjistí a poté zneužije vaši kartu. K placení nestačí znát identifikační číslo a heslo, musíte mít fyzicky u sebe svůj mobilní telefon. Jediným subjektem, který zná vaše číslo platební karty, je Vodafone. Ten, resp. jeho systém, ihned po zadání správných údajů o platbě informuje obě strany, že došlo k zaplacení. Obchodník tedy okamžitě může vyexpedovat zboží a zákazník má jistotu, že budou jeho peníze odeslány správnému příjemci.

Až přijdou čipy, bude nám hej

Skutečný rozvoj jednoduchých bezpečných plateb na internetu přinese plné zavedení čipových karet. Jak jsme psali v článku Od magnetu k čipu, karty na globální platformě budou mít v paměti uložen elektronický podpis majitele a zaplacení na internetu bude otázkou několika sekund. Nutnou podmínkou bude ale čtečka čipových karet. Ale i bez ní lze elektronicky podepisovat – například použitím mobilní čtečky velikosti malé kalkulačky či přívěšku na klíče, která po přečtení čipu a zadání PINu vygeneruje jednorázový ověřovací kód jako podpis. Ale o tom až příště.

Nakupujete někdy v internetových obchodech? Jaký způsob placení volíte? A co si myslíte o počinech asociací VISA, MasterCard a operátora Vodafone? Přispějte do diskuse svým názorem.