SIGURNOST ONLINE PLAĆANJA
3DS protokol
3DS je sigurnosni protokol online plaćanja.
Digitalizacijom kupoprodaje kroz ecommerce, razvile su se zloupotrebe prilikom plaćanja na daljinu. Kartične organizacije radile su na svom odgovoru koji bi suzbio negativne pojave i zadržao povjerenje sudionika u lancu online plaćanja. Taj odgovor je poznat pod kraticom 3DS, a način njegove realizacije materijalno utiče na kupčev doživljaj plaćanja, konverziju i na prava strana u procesu reklamacije plaćanja.
Povećanje stepena sigurnosti nije jednosmjerna cesta koja isključivo donosi prednosti. Naprotiv, veća sigurnost često dolazi sa teretom. To je stoga što viši stepen sigurnosti uglavnom povlači složeniji proces obrade koji može spriječiti zloće ali i odvratiti legitimne kupce od zaključenja kupovine. Takođe, dodatna zaštita povećava cijenu. Oba navoda vrijede i za 3DS protokol.
Balansiranje sigurnosti
Računarska sigurnost rezultat je balansiranja različitih i nerijetko suprotstavljenih faktora, balans među njima je suštinski čin upravljanja rizicima.
Dodatni sigurnosni mehanizmi povećavaju ukupnu sigurnost uz poželjno nikakav ili minimalan doprinos u odvraćanju legitimnih korisnika od upotrebe osnovnog servisa kojeg se štiti. Prosto rečeno, dizajneri sigurnosti moraju paziti da 'pita ne postane skuplja od tepsije'. To je univerzalni princip prema kojem prednosti povećane sigurnosti trebaju nadmašiti njene troškove – npr oportunitetne gubitke nastale odustajanjem legitimnih kupaca, troškove dodatne obrade koju vrše sigurnosni mehanizmi.
Ilustracije radi, zamisli dilemu organizatora koncerta ili utakmice: koliko sigurnosnih provjera posjetioca postaviti na ulazu u koncertnu dvoranu ili stadion? Manje provjera posjetioca znači njihov lagodniji i brži ulazak, ali i povećan rizik organizatora da uz jednostavnije provjere propusti uočiti i odstraniti neželjene posjetioce. Koji pristup da primijeni? Strožiji pristup, koji će efikasnije odstraniti nevaljace uz povećan trošak u vidu skuplje organizacije zbog angažmana čuvara i dodatne opreme, sporijeg ulaska i neminovnog negodovanja posjetioca. Ili, primijeniti jednostavniji pristup, gdje će se postaviti samo bazične kontrole – jeftine i jednostavne koje ne ometaju prolaz posjetiocima, uz rizik ulaska neželjnih posjetioca koji mogu napraviti darmar.
Slična dilema muči i prihvatioce online plaćanja, kako implementirati kontrole. Dilemu primjene strožijih ili lakših kontrola riješava se kroz 3DS sigurnosni protokol. On pruža alat kojim se može upravljati rizicima u svakoj transakciji, ali i zadovoljiti zahtjeve regulatora i industrijske prakse spram sigurnosnih normi online plaćanja.
Pogledati ćemo kako radi 3DS protokol, šta pruža i uz koju cijenu. Kako je prihvaćen i realiziran na našim tržištu?
Photo by Firmbee.com on Unsplash
Online izazovi
Od kad je vijeka i novca, zloupotrebe i mehanizmi njihovog spriječavanja prate jedan drugog slično igri mačke i miša, gdje jedna strana nastoji nadmudriti drugu, i tako u nedogled.
U digitalno doba, sigurnost i povjerenje ugrađeni su u temelje online plaćanja. Bez zadovoljavajućeg stepena sigurnosti nema pouzdanja u čin plaćanja na internetu, pa ni povjerenja u sredstvo plaćanja. Stoga su sigurnost i povjerenje ključni za razvoj digitalne ekonomije uopće, a posebno za online plaćanja.
Nekoliko je izazova izgradnji sigurnosti i povjerenja kod online plaćanja. Za početak, kartica nije stvorena kao digitalno sredstvo plaćanja. Ona to još uvijek nastoji postati. Drugim riječima, kod online plaćanja karticom upotrebljava se nedigitalno sredstvo plaćanja u digitalnom ambijentu. Uz to, kartica je prastaro bezgotovinsko sredstvo plaćanja koje zbog svog dugog vijeka i široko rasprostranjene upotrebe dolazi sa velikom prtljagom. Ta prtljaga je nužna zbog održanja interoperabilnosti odnosno vertikalne kompatibilnosti kartice, koja mora omogućiti prihvat kartica na prodajnim mjestima koje koriste antičku tehnologiju. Primjerice, embosirani (reljefni) ispis koji je na licu kartice, služi mehaničkom, ručnom prijenosu podataka sa kartice na slip trgovca, gdje je slip papir kojim se prvo evidentira a potome autorizira plaćanje potpisom imaoca kartice. Prijenos podataka sa kartice na slip obavlja se upotrebom tzv. pegle (zip-zap) i slip listića koji sadrže indigo. Kada Hana kao kupac dođe u trgovinu i ponudi karticu kao platno sredstvo, blagajnik je uzme, postavi na „peglu“, preko nje stavi slip na kojem su predštampani podaci o prodajnom mjestu i unese iznos plaćanja, a potome prevuče „peglu“ i embosirani podaci se prenesu sa kartice na papir slipa. Kupac Hana zatim potpiše slip, blagajnik usporedi njen potpis na slipu sa potpisom na poleđini kartice i utvrdi njihovu podudarnost. Blagajnik potome izda robu Hani, dajući joj njen primjerak slipa i račun.
Kompletan opisani proces je offline. Valjanost platne kartice i identitet kupca potvrđuje ili odriče blagajnik na licu mjesta, a odobrenje plaćanja ide na povjerenje ili uz telefonsku provjeru sa bankom odnosno njenim autorizacijskim centrom. Jasno, blagajnik nije grafolog niti obučen da može stručno i vjerodostojno odlučiti o podudarnosti potpisa na slipu i na kartici. Proces potvrđivanja identiteta je subjektivan i može rezultirati prevarama gdje šteta pada na teret prodavca, i druge. Evidentno kako ovakvo plaćanje – koje je uzgred osmišljeno u prethodnom mileniju 😉 - stvara značajan rizik naplate za prodavca.
Poenta gornje priče jeste da (i) kartica (još uvijek) nije digitalan instrument plaćanja, (ii) da je prevashodno namijenjena plaćanju na licu mjesta, što u žargonu nazivamo card present i-li proximity plaćanjem. Odavno i ptice na grani znaju kako u e-commerce kupoprodaji, gdje se prodaja obavlja na daljinu, u različita doba dana ili noći, praznicima i slično, prodavac nema pristup kartici kupca. Otuda nema niti mogućnost provjere identiteta kupca, odnosno utvrđivanja da je kupac (vjerovatno) osoba za koju se izdaje, na način kako to može učiniti blagajnik u gornjem primjeru.
Problem vjerodostojnosti
Pozabavimo se još jednim anahronizmom. Osnovni element svakog plaćanja je broj kartice. Ovaj broj zove se i PAN, što je kratica za Primary Account Number. PAN je lako prepoznati jer je obično ispisan najkrupnijim fontom na kartici. U osnovi, PAN identificira kartični brend, banku izdavaoca i račun imaoca kartice koji će biti terećen. U gornjem primjeru sa peglom PAN je (morao biti) vidljiv i poznat kupcu, prodavcu i drugim sudionicima u lancu plaćanja. Stoga ne čudi što je vidljivo (bio) ispisan na slipu, čije papirne kopije imaju imalac kartice, prodavac, banka prihvatilac itd.
Ubrzajmo do današnjih dana i online plaćanja. Kupac Hana sada unosi PAN na platnoj stranici prodavca prekucavajući broj sa kartice zajedno sa drugim podacima. Kako vidimo a znamo to i kao kupci, svi elementi za kreiranje online platnog naloga nalaze se na samoj kartici, i koristi ih se slično plaćanju putem slipa. Prekucavaju se u platnu formu trgovine.
Za razliku od plaćanja u fizičkom prodajnom mjestu, ovdje je plaćanja obavlja na daljinu i možebitno u gluho doba noći, izvan radnog vremena itd. Postavlja se pitanje kako u online ambijentu znati da je Hanino plaćanje vjerodostojno? Kako znati da je Hana inicirala plaćanje a ne osoba koja je pronašla njen novčanik ili na drugi način stekla uvid u broj kartice?
3DS rješenje
Ovdje na scenu stupa 3DS protokol. Three domains secure i skraćeno 3DS, mehanizam je potvrđivanja identiteta kupca kod ecommerce plaćanja, u ambijentu gdje kartica nije fizički prisutna ili CNP. 3DS protokol su usvojile kartične organizacije sa ciljem sprečavanja – preciznije bi bilo reći, smanjenja – prevara prilikom internet plaćanja. 3DS je brendiran kao 'Identity Check' kod Mastercard a kao 'Visa Secure' kod Visa. Amex, Diners i druge kartične organizacije imaju vlastite nazive za izvedbe 3DS protokola, a protokol administrira krovno tijelo EMV Co.
Online trgovci ističu 3DS brendove na svojim prodajnim mjestima kako bi skrenuli pozornost kupcima da koriste sigurnije tehnike prilikom obrade plaćanja (sjetimo se povjerenja u ecommerce abmijentu). Sa vremenom, 3DS je evoluirao. U aktelnom standardu uključuje zahvat većeg skupa podataka kako bi potpunije informirao sistem koji odlučuje o vjerodostojnosti platnog naloga. Kako je skup zahvaćenih podataka bogat informacijama, 3DS sistem je u kvalitetnijoj poziciji nego blagajnik u trgovini iz prethodnog primjera koji je raspolagao sa svega nekoliko podataka. Na osnovu proširenog skupa podataka i postavki 3DS sistema, isti može „odlučiti“ ako aktuelni platni nalog odgovara profilu kupca pa „mu se može vjerovati“ ili postoje odstupanja radi kojih su potrebne dodatne provjere kroz autentikaciju.
Autentikacija kupca se vrši uvođenjem još jednog koraka u kojem kupac, i ovo je bitno – upotrebom drugog sredstva, potvrđuje da je platni nalog vjerodostojan (autentičan). Kada Hana popuni podatke na platnoj stranici web trgovine Best Shop sa podacima kartice Plave Banke, inicira se provjera da li je njena kartica prijavljena za 3DS program Plave Banke (većina današnjih kartica jesu). Ovim korakom započinje 3DS provjera vjerodostojnosti ili autentikacija platnog naloga. Autentikacijom se želi potvrditi da je Hana zaista izdala zahtjev za plaćanjem u Best Shopu. Tačan način potvrde autentičnosti platnog naloga zavisi od 3DS implementacije Plave Banke kao izdavaoca kartice. Kupac to najčešće čini potvrdom kroz mobilnu aplikaciju svoje Banke izdavaoca ili unosom jednokratnog koda (OTP) kojeg mu dostavi Banka izdavalac. Važno je naglasiti da kada se izda zahtjev za autentikacijom, plaćanje neće ići na naredni korak – odobrenje plaćanja – sve dok autentikacija naloga ne bude uspješna. Ako autentikacija nije završena sa pozitivnim ishodom – npr. kupac unose krivi kod ili istekne vrijeme predviđeno za potvrdu autentikacije – nalog za plaćanje će biti odbijen.
U našem slučaju Hana plaća karticom Plave Banke. Ispunila je platnu stranicu sa podacima o svojoj kartici i kliknula „Plati“. Hanin platni nalog dođe do 3DS servisa koji dobije potvrdu Banke da je Hanina kartica predbilježena u 3DS program, te zatraži autentikaciju plaćanja. Ubrzo Hanin mobitel zatreperi, te Hana potvrdi vjerodostojnost plaćanja kroz mobilno bankarstvo Plave Banke. Nakon što je plaćanje autenticirano platni nalog se proslijeđuje Plavoj Banci na odobrenje. U ovom koraku Plava Banka provjeri ima li Hana dovoljno sredstava na svom računu za obavljanje plaćanja. Provjera je pozitivna, potome Plava Banka odobri plaćanje što obraduje i Hanu i Best Shop.
Koristi i izazovi primjene
Primjena 3DS protokola razvija povjerenje između kupca i prodavca u online ambijentu, podstičući obavljanje kupoprodaje na internetu. U naćelu, ove dvije strane se ne poznaju i obavljaju plaćanje na daljinu, pa je povjerenje među njima ključno, kako za konverziju kupca tako i za realizaciju narudžbe od strane prodavca.
3DS protokol predviđa postojanje dva puta obrade platnog naloga. U jednom slučaju platni nalog odstupa od zadanih pravila i-li profila što ga kvalificira za provjeru, a u drugom se uklapa u njih i ocijenjen je kao prihvatljiv. U prvom slučaju, uvodi se dodatni korak što mijenja kupčev doživljaj (UX) plaćanja, bez obzira na način 3DS implementacije dotične banke. U drugom slučaju, nema dodatnog koraka autentikacije i plaćanje se odmah proslijeđuje na odobrenje, pa je ovdje kupčev doživljaj plaćanja istovjetan kao kada nema 3DS sistema.
U osnovi, ovdje se radi o upravljanju rizicima i odnosu spram poslovnog rizika naplate. Organizacije koje su konzervativne, koje imaju minimalan apetit za rizikom i ne žele prihvatati neautenticirane transakcije, forsiraju autentikacijski korak kod svakog plaćanja. Ovo im donosi veću sigurnost, ali smanjuje komfor kupaca a može iritirati kupce i prodavce, smanjujući konverziju. Na našim prostorima, u vrijeme pisanja bloga, dominira ovakav pristup.
Tagovi članka: Sigurnost x Online plaćanje x 3DS
MULTIPAY RESURSI
Zanimljivi materijali
Istraži teme Digitron bloga za bolje rezultate, zabavi se i doznaj u Akademiji ili upoznaj platni servis Multipay.