Nie taka karta straszna

- "Nie jest to jednak dla nas na razie wielki problem. W ciągu 14 miesięcy, tzn. od chwili wprowadzenia płatności za pomocą kart w CyberSamie, próby oszustw stanowiły zaledwie 1,5% wszystkich transakcji". Klienci tej witryny najczęściej jednak wybierają płatność za zaliczeniem i tylko w około 20-25% transakcji korzystają z "plastikowego" pieniądza. Podobnie wygląda sytuacja w innych witrynach handlowych, np. Merlinie. Ten sposób płatności jest najwygodniejszy dla klienta i najbardziej korzystny dla sklepu - należność spływa znacznie szybciej niż rozliczając przy odbiorze. Usługi centrów autoryzacyjnych kosztują, ale zabezpieczają dogodny system płatności kartami. Dla klienta dodatkową korzyścią jest fakt, że podpisywanie umów z centrami czyni sklepy mniej anonimowe.

"Umowa z witryną handlową zawiera dostatecznie dużo danych, żeby stwierdzić chociażby, czy prowadzący ją podmiot istnieję. We własnym interesie weryfikujemy te dane, korzystając ze wszelkich dostępnych źródeł informacji" - mówi Tomasz Czechowicz. Na centrum autoryzacji nie jest łatwo dochodzić ewentualnych roszczeń. "Przed użytkownikiem karty odpowiadają trzy strony: centrum, banki i organizacje kart płatniczych. Każde z nich ma swój zakres odpowiedzialności, nie zawsze łatwy do określenia" - wyjaśnia Renata Gawkowska z PolCardu. Nie słychać jednak o problemach klientów z powodu technicznych wad systemów w tych instytucjach.

Transmisja odbywa się w nich za pośrednictwem protokołu SSL, szyfrującego dane pomiędzy przeglądarką internetową a serwerem sklepu, instytucji autoryzującej i rozliczającej transakcję. Nawet najmniej pewny odcinek łączy - pomiędzy przeglądarką klienta a sklepem - nie jest istotnie narażony na przechwycenie danych. "Nie ma oczywiście szyfru nie do złamania i transmisji nie do przechwycenia"- uważa Tomasz Czechowicz. "Jednak złamanie zabezpieczeń opartych na protokołach SSL i SET jest na tyle skomplikowane, że po prostu nie opłaca się w przypadku detalicznego handlu w Internecie. Potencjalne korzyści nie uzasadniają kosztu specjalistów i sprzętu". Trzeba zaznaczyć, że nie wszyscy uważają wykorzystanie technologii SET za konieczne. Nie stosuje jej ani PolCard, ani centrum autoryzacyjne Citibanku. Zdaniem Rafała Pietraka, SSL wystarcza, a wdrożenie technologii SET niewspółmiernie do korzyści podnosi koszty.

Bardziej "ekonomiczne" od prób łamania SSL-u byłoby dla hakerów atakowanie baz danych, w których gromadzone są numery kart płatniczych. "Systemy bankowe, w których znajdują się numery kart klientów, mają bardzo wysoki poziom zabezpieczenia. Ryzyko przebicia się przez ich firewalle jest minimalne i w zasadzie teoretyczne" - uważa Rafał Pietrak. "Nasze zabezpieczenia są nie gorsze, natomiast mniej odporne mogą być te w sklepach internetowych. Zresztą czy w przestrzeni wirtualnej, czy w realnym życiu panuje zasada, że bezpieczeństwo kart płatniczych maleje wraz ze zwiększeniem odległości od ich wystawców. Sklepy znajdują się na końcu tego łańcuszka".

Drugą zasadą bezpieczeństwa "plastiku" jest minimalizacja liczby podmiotów, które mogą wejść w posiadanie jego numeru. Z tych właśnie powodów instytucje autoryzujące podkreślają fakt, że ich usługi pozwalają ukryć numery kart przed pracownikami e-sklepów: poufne informacje trafiają do banków za pośrednictwem centrów autoryzacji. Różna jest ich polityka co do archiwizacji transferowanych danych. Dla przykładu, eCard nie przechowuje numerów kart w swoim systemie. PolCard natomiast tak robi; Citibank z kolei usuwa na wyraźne życzenie użytkownika. Rafał Pietrak twierdzi, że zapis przeprowadzonej transakcji jest potrzebny w przypadku reklamacji. Tomasz Czechowicz natomiast uważa, że nie jest to konieczne: "Rzeczywiście, w przypadku zakwestionowania płatności przez użytkownika banki zwracają się najpierw do nas, ale wszelkie niezbędne parametry dokonanej operacji możemy odtworzyć dzięki jej numerowi identyfikacyjnemu".