Bezpečnost platebních systémů:
mýty a skutečnost

Platby po Internetu se rychle stávají běžným standardem a v současné době jsou již přirozenou součástí nákupů na Internetu. Podíl elektronického placení za zboží zakoupeného on-line se neustále zvyšuje na úkor bankovních převodů a hotovostních plateb na dobírku.
Avšak mezi různými způsoby elektronického placení je platba kreditní kartou vnímána jako málo bezpečná. Nakupující totiž musí zadat údaje ze své platební karty - nejčastěji číslo karty, dobu platnosti a tzv. CVC (trojčíslí uvedené na zadní straně karty). Mnoho lidí má zábrany zasílat údaje o své platební kartě do webového prostředí kvůli strachu z potenciálního zneužití. Obavy jsou ale většinou zcela zbytečné. Dnes je maximální míra bezpečnosti transakce zajištěna takovým způsobem, že na Webu hrozí teoreticky nižší riziko zneužití než při použití platebních karet u tzv. "kamenných" obchodníků. Způsob platby za zboží či služby nakupované zákazníky na Internetu lze v zásadě rozdělit do tří skupin: platba prostřednictvím platební karty, dále bankovním převodem z libovolného účtu (buď tradičním příkazem, nebo on-line převodem s využitím aplikace internetového bankovnictví) nebo na dobírku. Díky své jednoduchosti a rychlosti se na českém Internetu stává stále rozšířenější zejména způsob úhrad platebními kartami.
JAK VYBUDOVAT PLATEBNÍ SYSTÉMVybudování a provoz efektivního a dobře zabezpečeného technického řešení dnes již nepředstavuje pro společnost zásadnější technický problém. Hlavním důvodem je standardizace technologii a na nich založených platebních řešení. Tím pádem mizí problémy při jejich implementaci a provozu, což ve finále znamená nižší celkové náklady. Přitom se stále jedná - především v oblasti zabezpečení - o nejnovější technologie.

Pokud se společnost či organizace rozhodne implementovat systém on-line plateb, měla by si nejdříve vypracovat finanční analýzu a zaměřit se na návratnost investice, aby zjistila, zda se jí takovéto řešení vůbec vyplatí či nikoliv. A nemusí se jednat pouze o přímé náklady s implementací, ale také poplatky za provoz systému atd. Zároveň však musí počítat s tím, že ji čekají jednání s bankami ohledně splnění všech právních i technických formalit. Banky většinou velmi důkladně zvažují, zda daný obor podnikání (prodeje) není příliš rizikový. A ne vždy je toto jednání úspěšné. Nakonec ji čeká výběr a implementace samotného technického řešení a jeho uvedení do provozu.
POŽADAVKY NA KVALITNÍ SYSTÉM
Co dnes musí kvalitní systém pro zajištění on-line plateb obsahovat:

> Základem je zajištění maximální bezpečnosti. Tj. zabezpečení jak přijímaných dat tak veškerých datových toků pomocí HTTPS tedy SSL certifikátem. Samozřejmě také maximální zabezpečení serveru proti zneužití. Klíčovým prvkem je verifikace platební karty formou 3D Secure, tedy ověřování na třech různých místech. Tato verifikace je prováděna již na serverech banky. Jde tedy mimo webový server prodávajícího.

> Detailní informovanost zákazníka. Systém musí umět zákazníkům v průběhu transakce poskytnout informace vysvětlující všechny kroky (např. proč byl z důvodu 3D Secure přesměrován na jiné stránky), aby měli neustále pocit maximální důvěry - lépe více vysvětlování než méně.

> Uživatelská přívětivost a intuitivnost stránek zajišťující platební transakce. To je důležité zejména dnes, kdy na Internetu začínají nakupovat také starší ročníky a kdy se nezkušený uživatel snadno při realizaci transakce na Webu ztratí, a tím se odradí od další návštěvy.

> Funkční integrace mezi platebním systémem a dalšími systémy ve společnosti (např. ERP, CRM, Business Intelligence atd.) umožňující rychlé a efektivní zpracování transakcí na straně prodejce. Bez této části téměř postrádá systém on-line placení význam.
ATRIBUTY BEZPEČNOSTI
Zůstaňme nyní u bezpečnosti, která je pro podnik budující důvěryhodný platební systém jeho nejdůležitější vlastností. Jedním z největších mýtů je, že zneužít platební kartu je na Internetu obzvláště jednoduché. Na jednu stranu se to zdá být jednoduché, na druhou stranu banky, a zvláště ty české, dnes mají proces převodů peněz obchodníkům tak zabezpečený, že ve skutečnosti je to prakticky nemožné. Proč?

> Prověření obchodníka. Banky již ve fázi zpracování smlouvy s "elektronickým" obchodníkem prověřují důvěryhodnost obchodníka, především fakt, s čím obchoduje. Ne na každé zboží je to možné - např. je velmi obtížné realizovat elektronický obchod například na přijímání sázek. Dále se ověřuje jeho schopnost dodržovat bezpečnostní standardy, mít zabezpečené servery a aplikace, archivovat podpůrné informace z transakcí (ověření IP adresy pro případ dohledání případného zneužití, atd.).

> Odpovědnost leží na obchodníkovi. V případě zneužití a následného protestu zákazníka leží důkazní materiál o oprávněnosti transakce, a s tím spojené poskytnutí služby nebo zboží, na obchodníkovi a banka v tomto případě dokáže vynutit vrácení peněz zákazníkovi. Ten tak nenese v podstatě žádné riziko.

> Údaje o kartě jdou mimo obchodníka. Mnoho lidí si myslí, že je bezpečnější platit v hypermarketech, přičemž ve skutečnosti je tomu naopak. Spíše zde někdo může získat informace o kartě (např. okopírováním karty) než v případě platby po Internetu, kde se obchodník díky systému 3D-Secure k údajům vůbec nedostane. Riziko je obecně větší u běžných obchodníků a zejména v případě, kde terminály nejsou připojeny on-line.

> Dohledatelnost detailů o transakci. Internet již dávno není anonymní. Anonymita Internetu je pouze zdánlivá. Ano, je možno využít anonymizačních nástrojů a možností ale i zde je velké riziko konečného odhalení. Navíc každé doručení podvodně objednaného zboží je cestou jak snadno dohledat odběratele zboží nebo služeb. O trochu komplikovanější může být případ služeb, kde nedochází k obvyklému "doručení" či downloadování. Ale i tak je možno zjistit, z kterého PC se podvodník připojil a provedl zmíněnou platbu.
PŘÍNOSY PLATEBNÍCH SYSTÉMŮ
Na základě našich zkušeností dochází po zavedení internetových platebních systémů k vysokému nárůstu on-line transakcí, např. u produktů pojištění jsme zaznamenali roční nárůst o cca 40 %. Pokud mají zákazníci s transakcí pozitivní zkušenost, potom je víceméně jisté, že všechny další požadavky budou řešit on-line (oceňují především jednoduchost a rychlost) a tuto pozitivní zkušenost budou sdělovat dále. Obecně lze tedy říci, že návratnost klientů k danému dodavateli a způsobu platby je velmi vysoká a že přidanou hodnotou je přilákání vysokého procenta nových zákazníků.

 
Autor pracuje jako Business Consultant ve společnosti KAKTUS Software