Hlavní navigace

Vlákno názorů k článku Platební karty: Ztráta soukromí? od Fred - "Ostatně ke zvýšení bezpečnosti internetových transakcí má přispět...

  • Článek je starý, nové názory již nelze přidávat.
  • 15. 1. 2007 13:31

    Fred (neregistrovaný)
    "Ostatně ke zvýšení bezpečnosti internetových transakcí má přispět systém 3D Secure, jehož základní pilíř spočívá v oddělení platby od internetových obchodů."
    To bych rekl, ze neni uplne pravda.. zakladem 3D Secure je overeni hesla u vydavatele karty - takzvana predautorizace. Obchodnik (nebo jiny subjekt, ktery platbu dela) posleze musi stejne udelat klasickou autorizaci.
  • 15. 1. 2007 13:53

    Petr Zámečník
    Jak 3D-Secure funguje
    (z článku http://www.mesec.cz/clanky/placeni-kartou-na-internetu-bude-bezpecnejsi/)

    Vybere-li si zákazník v internetovém obchodě zboží a rozhodne-li se ho uhradit platební kartou, je přesměrován na stránku banky obchodníka, kde vyplní a odešle platební údaje. Banka si nechá objednávku odsouhlasit obchodníkem a "přeptá" se karetní asociace, zda je karta zařazena do systému 3D-Secure. V případě, že dostane zápornou odpověď, pokračuje autorizací platby a oznámením výsledku transakce (proběhla úspěšně nebo platba nebyla autorizována).

    Je-li karta v 3D-Secure zapojena, zašle obchodníkova banka žádost o autentizaci (ověření) karty přes prohlížeč zákazníka do banky zákazníka. Zákazníkova banka požádá svého klienta o zadání hesla (či jinou formou kartu autentizuje - ověří) a výsledek vrátí přes prohlížeč klienta do obchodníkovy banky. Proběhne-li vše úspěšně, dokončí se běžné ověření transakce a blokace prostředků na účtě zákazníka.

    Zjednodušeně řečeno - zákazník, který nakupuje zboží nebo službu na internetu, je ze stránek obchodníka přesměrován na stránky obchodníkovy banky, a pokud je jeho karta zařazena do 3D-Secure, je přesměrován se na stránky své banky. Po vyplnění všech formulářů s hesly, čísly karet a kódy je vrácen na stránky obchodníka.
  • 15. 1. 2007 14:39

    Fred (neregistrovaný)
    Ano, ale to neni "oddělení platby od internetových obchodů". Je to jen bezpecnostni prvek navic. Autorizaci stejne dela obchodnik (nebo ten kdo platby pro nej realizuje). Vetsi bezpecnost 3Dsecure reseni pro zakaznika znamena moznost autorizovat platbu pomoci hesla. Neznamena to, ze se ten kdo platbu provadi nedostane k cislu karty. Neznamena to, ze obchodnik nevi vubec nic o karte. Neznamena to, ze je platba kompletne oddelena od obchodnika (jak je to napr. u jinych zpusobu, jako je platba pomoci E-banky atd.)
  • 15. 1. 2007 15:27

    misch (neregistrovaný)
    Neni to tak (3D-secure jsem do jednoho zakaznikova obchodu implementoval, vim tedy pomerne presne jak to funguje, nehlede na to ze jsem to samozrejme i zkousel).

    Zakaznik je nejprve presmerovan na server 3Dsecure (tzn. server banky nebo karetni organizace), s tim ze se serveru predaji i udaje o objednavce (popis, a pozadovana castka).

    Zakaznik tedy zada cislo sve karty duveryhodnemu serveru, nacez je presmerovan zpet na serveru obchodnika, a ten uz ma pak k dispozici jen identifikacni cislo transakce (nijak nesouvisejici s cislem karty) a vsechno resi pres nej.

    Je pravda, ze na zacatku se provede jen "predautorizace", a definitivni strhnuti castky z klientovy karty by melo probehnout az po odeslani zbozi. To ale s cislem karty NESOUVISI, a obchodnikuv server NEMUZE pozadat o strhnuti jine castky, nez te kterou klient predem autorizoval. Obchodnik se k cislu karty opravdu nedostane.
  • 15. 1. 2007 19:44

    Fred (neregistrovaný)
    Ne, opet to neni presne...
    Platba pomoci 3D Secure vypada takto:
    Zakaznik po nakupu prijde na platebni aplikaci (bud primo obchodnika, nebo nekoho, kdo to pro nej dela).
    Zde zada cislo sve karty. Platebni aplikace posle cislo karty (PAN) do Visa Directory pomoci server-server komunikace. V pripade ze je karta 3D - Visa Directory preda platebni aplikaci URL na ACS a platebni aplikace presmeruje zakaznikuv prohlizec na ACS (Access Control Server) a zaroven v POSTu posila PAReq.
    ACS overi heslo ke karte, vygeneruje PARes a preposle ho pomoci zakaznikova prohlizece zpet k platebni aplikaci.
    Platebni aplikace overi podpis PARes a pokud je vse v poradku (odpoved je v poradku a vysledek autentikace je take dobry) pokracuje aplikace v normalni autorizaci se svym acquirerem (a v teto komunikaci se posilaji i parametry z 3D autorizace - XID, CAVV, pripadne UCAF pro MC).
    A pokud je i vysledek teto autorizace v poradku je mozne teprve rict, ze platba byla akceptovana. Penize jsou samozrejme strzeny ze zakaznikova uctu az po odeslani settlementu (pokud neni platba typu Direct Debit).
    Pokud jste nekdy 3D Secure implementoval do zakaznikova obchodu, tak se domnivam, ze jste pouze implementoval platebni aplikaci nekoho jineho, ktery tento proces dela za vas - pak ovsem nemate pristup k zakaznikove karte.. (a diky restrikcim a certifikacim Visy a Masteru by jste ani nemel mit...)
Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).