eduskrypt.pl - platforma nominowana do WORLD SUMMIT AWARD 2007

Bezpieczne transakcje w Internecie – teoria czy fakt. Analiza przypadku na przykładzie systemu CashBill.

Spis treści:
1. Wstęp,
2. Charaktrystyka systemu CashBill,
3. Dostępne formy płatności w systemie CashBill – ich wady i zalety. Czyli jaką formę wybrać?
4. Podsumowanie.


1. Wstęp.

Postępujący globalny proces rozwoju sieci informatycznych daje nam coraz nowsze, tańsze i szybsze sposoby dotarcia do informacji i produktów, chociaż podobnie jak w czasach Kopernika i dzisiaj stawiamy czoła nowym teoriom i wyzwaniom, zmuszającym nas czasami do drastycznych zmian i przewartościowań w sposobie myślenia. Coraz częściej docieramy do informacji w postaci elektronicznej, identycznej pod względem zawartości merytorycznej jak dokument drukowany, ale znacznie tańszej, a przede wszystkim możliwej do uzyskania w trybie natychmiastowym. Proces pozyskiwanie informacji w tej postaci wiąże się jednak bezpośrednio z procesem płatności on-line, który w naszym społeczeństwie budzi pewne kontrowersje związane z bezpieczeństwem naszych pieniędzy. Z uwagi na ten fakt tworzone są coraz bardziej wyrafinowane a zarazem bezpieczniejsze systemy gwarantujące bezpieczeństwo transakcji, chociaż nie bez wpływu na wyżej wymieniony proces pozostaje ciągle czynnik ludzki, a ściślej mówiąc osobista odpowiedzialność i ochrona danych przed ewentualnymi oszustami. Wiele systemów zostało „złamanych” właśnie przez zaangażowanie czynnika ludzkiego, czyli pewną nonszalancję w udostępnianiu swoich danych, ważnych dokumentów czy wręcz haseł dostępu. Ciągle jesteśmy atakowani e-mailami z „banków”, w których nigdy nie zakładaliśmy konta lub listami z „Afryki” na temat wielkich pieniędzy, które są w zasięgu ręki w zamian za niewielką przysługę np. pomoc w transferze do naszego banku. Oszuści sięgają nawet do naszych sumień, poszukując dawców krwi dla umierającego dziecka itp. W większości tych przypadków chodzi o wyłudzenie danych lub bezpośrednie obciążenie nas opłatami za kontakt z podanym numerem.
W pewnym sensie powinniśmy więc oddzielić techniczne bezpieczeństwo systemów płatności od kwestii zachowań i reakcji społecznych.
Celem tego artykułu jest przybliżenie czytelnikowi zasad i możliwości dokonania bezpiecznej transakcji za pomocą systemu CashBill.


2. Charakterystyka systemu CashBill.


Polityka prywatności

Poprawne działanie systemu bilingowego CashBill i systemu mikropłatności Elektroniczny Portfel wymaga gromadzenia i przetwarzania określonych danych. System płatności CashBill w pełni respektuje prawo uczestników systemu do ochrony ich prywatności i danych osobowych. W związku z tym twórcy systemu płatności CashBill oraz jego operator Media Systems s.c. zapewniają, że dane osobowe i inne dane o charakterze poufnym są przetwarzane i przechowywane z należytą starannością o ich bezpieczeństwo.


Rodzaj gromadzonych danych

Rodzaj gromadzonych i przetwarzanych danych w systemie CashBill jest zależny od statusu, jaki posiada użytkownik w systemie. Inne dane przetwarzane są w przypadku właścicieli serwisów, a inne w przypadku partnerów (webmasterów) oraz użytkowników serwisów.

W przypadku właścicieli serwisów internetowych i webmasterów konieczne jest podanie danych osobowych i kontaktowych na etapie rejestracji w systemie CashBill. Są one wykorzystywane do czynności administracyjno-prawnych oraz rozliczeniowych i dostępne jedynie dla operatora systemu CashBill - Media Systems s.c.

Użytkownicy serwisów internetowych zrzeszonych w CashBill są identyfikowani po numerze telefonu komórkowego. Z tego względu jest on przechowywany i przetwarzany w systemie. W przypadku niektórych usług (listy subskrybcyjne, konkursy, czaty itp) numery telefonów komórkowych mogą zostać przekazane do serwisu internetowego celem identyfikacji użytkownika. Z przekazanym numerem telefonu nie są przesyłane żadne dane powiązane pozwalające na personalną identyfikację użytkownika lub abonenta telefonu komórkowego

Systemy CashBill i Elektroniczny Portfel do poprawnego działania używają plików cookies, za pomocą których składowane są informacje po stronie przeglądarki klienta. Dane te są używane w celu indentyfikacji użytkownika w systemie oraz do celów serwisowych.

W systemie przechowywane są również dane związane z połączeniami klienta do serwerów (m.in. adresy IP, żądane adresy URL itp.). Informacje tego typu wynikają z ogólnych zasad połączeń obowiązujących w sieci Internet. Dane tego typu są zapisywane w logach systemowych i przechowywane przez okres 3 miesięcy.

W przypadku płatności kartami kredytowymi system CashBill przechowuje jedynie podstawowe informacje o posiadaczu karty (bez imienia, nazwiska), identyfikator transakcji, skrócony numer karty kredytowej. W systemie nie są gromadzone żadne kluczowe dane, tj. numery kart kredytowych (pełne), data ważności, imiona i nazwiska posiadaczy, a jedynie te, które są wymagane do identyfikacji użytkownika w systemie.


Sposoby ochrony informacji.

Kluczowe dane użytkowników (dane osobowe podawane na etapie rejestracji, loginy i hasła do systemu cashbill, transakcje kartami kredytowymi) są chronione za pomocą protokołu kryptograficznego SSL (Secure Socket Layer), z zastosowaniem mocnej kryptografii zapewniającej odpowiednio wysoki poziom bezpieczeństwa transmisji. Certyfikat dla witryny internetowej serwisu CashBill został wystawiony przez Ośrodek Certyfikacji PolCert - Polski Urząd Certyfikacyjny wpisany do rejestru kwalifikowanych urzędów certyfikacyjnych w myśl Ustawy o Podpisie Elektronicznym z dn. 18.09.2001.

Serwisy internetowe zrzeszone w systemie CashBill wymieniają informację z systemem głównym, stosując mechanizmy uwierzytelnienia. Informacje poufne, dane osobowe i inne są przechowywane z zachowaniem należytej staranności i ostrożności wymaganej przez prawo i standardy polskie oraz międzynarodowe.


Wykorzystanie gromadzonych informacji.

Gromadzone dane są wykorzystywane głównie do:
- identyfikacji użytkownika w systemie (właściciela serwisu, webmastera, użytkownika),
- czynności administracyjno-prawnych (np. umów) względem właścicieli serwisów oraz webmasterów wykonywanych przez operatora systemu CashBill - Media Systems s.c.
- rozliczeń wzajemnych między właścicielami serwisów oraz webmasterami a operatorem systemu CashBill,
- przechowania informacji o zdarzeniach zachodzących w systemie celem rozstrzygania sporów, reklamacji użytkowników itp.


Przekazywanie danych i informacji innym podmiotom

Zgromadzone informacje nie są przekazywane innym podmiotom. Dostęp do nich posiada jedynie operator systemu CashBill - Media Systems s.c. Jedynymi wyjątkami są:
- przekazanie informacji o transakcji płatności kartą kredytową do PolCard S.A. - operatora technicznego płatności kartami kredytowymi, 
- przekazanie numeru telefonu serwisowi internetowemu, abonentowi usługi "Przekazywanie informacji" celem identyfikacji użytkownika w systemie, przekazanie informacji odpowiednim organom ścigania wyszczególnionym w prawie polskim (Policja, Straż Graniczna, Prokuratura, Sąd, ABW itp) na ich wyraźny wniosek, który jest podyktowany prowadzonym postępowaniem prawnym lub administracyjnym określonym polskim prawem,
- przekazanie informacji grupom reagowania na incydenty tj. CERT Polska, działy bezpieczeństwa dużych, krajowych operatorów sieciowych na ich wniosek. Podmiotom tym nie zostaną udostępnione żadne inne informacje niż te powiązane z połączeniami sieciowymi i podjętymi akcjami w kontekście zasad panujących w sieci Internet. Przekazanie takich informacji wymaga zgody kierownictwa operatora systemu CashBill - Media Systems s.c. i jest możliwe jedynie w sytuacjach uzasadnionych i nadzwyczajnych.


Ochrona danych osobowych

Każdy uczestnik systemu ma prawo wglądu i modyfikacji swoich danych. Dane osobowe są chronione w sposób określony "Ustawą o danych osobowych" z dn. 29.10.1997.


3. Dostępne formy płatności w systemie Cashbill – ich wady i zalety. Czyli jaką formę wybrać.

a) Do najpopularniejszych form płatności w systemie CashBill należy z pewnością SMS. Największymi zaletami tego typu transakcji są bezpieczeństwo oraz szybkość ich realizacji. Wysyłając SMSa, praktycznie ryzykujemy tylko kwotę, którą obciążany jest nasz rachunek. Jednak w przypadku znanych serwisów internetowych także aspekt zaufania, co do jakości usługi, nie budzi raczej wątpliwości. Identyfikacja transakcji poprzez system pozwala zawsze zweryfikować jej poprawność i uznać prawa reklamacyjne użytkownika. Wybierając taką formę, nie musimy zachowywać praktycznie żadnych standardów bezpieczeństwa poza kwestią zweryfikowania serwisu oferującego usługę. W zależności od systemu współpracującego z Cashbill proces wysłania SMSa i otrzymania odpowiedzi nie powinien przebiegać dłużej niż pół minuty. Są jednak i wady tego rozwiązania, a mianowicie koszty obsługi - zdecydowanie najwyższe wśród dostępnych opcji. To przekłada się z reguły na ostateczny koszt usługi, czyli obciąża bezpośrednio również użytkownika. Kolejnym ograniczeniem tej opcji jest wartość, do jakiej można zrealizować transakcję. Generalnie forma ta przeznaczona jest dla usług o niewielkiej wartości do 9PLN netto.

b) Przelewy on-line, mTransfer, Inteligo - to formy z reguły tańsze w obsłudze z zastrzeżeniem, że np. przelew on-line nie jest realizowany przez bank, który pobiera opłatę za dokonanie przelewu do innego banku. Zastrzeżenie to ma jednak zastosowanie tylko w momencie, kiedy chodzi o małe kwoty transakcji. W przypadku tych opcji płatności reguły bezpieczeństwa i związane z nimi formy zachowań określają ich usługodawcy i są one znane użytkownikom.

c) Najwięcej kontrowersji budzi z reguły transakcja kartą płatniczą. Do jej zalet należą na pewno niskie koszty obsługi i szybkość realizacji transakcji. Wybierając jednak tę formę płatności, trzeba mieć na uwadze i przestrzegać kilku podstawowych zasad bezpieczeństwa, tzn.:

· Korzystać tylko z zaufanego najlepiej osobistego komputera,

· Skanować często komputer programem antywirusowym.

· Używać przeglądarki obsługującej 128 bitowy protokół SSL

· Sprawdzić czy operator zapewnia szyfrowanie SSL – w przypadku Casbill odpowiedź brzmi. TAK.

· Sprawdzić czy następuje przekierowanie ze strony usługodawcy na stronę operatora płatności.

· Wylogować się z systemu po dokonaniu transakcji.

Przestrzeganie tych kilku zasad z pewnością ograniczy ryzyko takiej transakcji. Dobrym sposobem może być również utworzenie dodatkowego konta bankowego, na które przelejemy tylko minimalne kwoty niezbędne do dokonania transakcji kartą.

d) Ciekawym rozwiązaniem, szczególnie dla osób mających zamiar dokonać kilku transakcji w danym serwisie, może być system mikropłatności CashBill PORTFEL.
Mikropłatności to obecnie bardzo szybko rozwijająca się technologia w dziedzinie płatności internetowej.
Dzięki takim zaletom jak anonimowość, odroczony termin płatności w przypadku wykorzystania wiadomości tekstowych SMSa, zyskuje szeroką popularność wśród internatów.
Można by rzec, że w tym systemie gotówka jest zamieniana na punkty kredytowe (Cr) służące następnie do dokonania transakcji. Doładowanie konta następuje za pomocą wyżej opisanych rodzajów transakcji. W zależności od specyfiki obsługiwanego serwisu punkty kredytowe mogą być naliczane wg różnych przeliczników, ale z reguły koszt transakcji jest podobny jak w przypadku pojedynczych transakcji.
Co więc wyróżnia Elektroniczny Portfel od pojedynczych transakcji i dlaczego warto nim się zainteresować?
Przede wszystkim, jeżeli mamy zamiar korzystać kilkakrotnie z danego serwisu, Portfel Elektroniczny jest idealnym rozwiązaniem, ponieważ znacznie upraszcza transakcje i eliminuje konieczność wielokrotnego wpisywania loginów, haseł i innych danych lub wielokrotnego wysyłania SMS-ów. Warto tutaj zaznaczyć, że często koszt transakcji on-line w odniesieniu do SMS jest niższy dla użytkownika, a w przypadku Portfela z reguły za podobną kwotę uzyskujemy więcej punktów kredytowych, dlatego transferując większą kwotę, warto pomyśleć o dokonaniu transakcji kartą lub przelewem on-line.
Transakcje związane z doładowaniem konta w Portfelu Elektronicznym mają identyczne wady i zalety jak pojedyncza transakcja i wiąże się z nimi podobny stopień ryzyka.
Biorąc jednak pod uwagę chociażby bezpieczeństwo transakcji kartą i związane z nim zasady, można stwierdzić wprost, że dokonanie pojedynczej transakcji wykupu punktów kredytowych, które posłużą nam następnie do dokonania np. 20 transakcji w danym serwisie, zmniejszy dwudziestokrotnie ryzyko tych transakcji.

Wybierając formę płatności, musimy więc mieć na uwadze czynniki, które są dla nas najważniejsze, tzn. koszty, czas realizacji, bezpieczeństwo. Jak widać, nie ma uniwersalnego narzędzia łączącego zalety wszystkich omówionych powyżej rodzajów transakcji, chociaż Portfel Elektroniczny zbliża nas do takiego rozwiązania. Warto tutaj nadmienić, że przy zachowaniu podstawowych zasad bezpieczeństwa nawet transakcja kartą nie musi się wiązać z ryzykiem utraty gotówki. Jak do tej pory nie stwierdzono faktu złamania klucza SSL i wiele kłopotów użytkowników wynika ze wspomnianej na wstępie pewnej nonszalancji w posługiwaniu się własnymi danymi.


4. Podsumowanie

Płatności on-line stają się powoli naszym „chlebem powszednim” i z natury rzeczy systemy takie jak CashBill będą się rozwijać. Tylko od ich twórców zależy czy będą budzić nasze zaufanie. Za CashBill przemawia na pewno to, że oferuje bardzo szeroki wachlarz możliwości dokonania płatności. Dane gromadzone w systemie są odpowiednio chronione i wykorzystywane tylko w celu bezpośrednio związanych z dokonywaną transakcją. Ponadto „Kluczowe dane użytkowników (dane osobowe podawane na etapie rejestracji, loginy i hasła do systemu cashbill, transakcje kartami kredytowymi) są chronione za pomocą protokołu kryptograficznego SSL (Secure Socket Layer), z zastosowaniem mocnej kryptografii zapewniającej odpowiednio wysoki poziom bezpieczeństwa transmisji”, co można powiedzieć staje się już pewnym standardem dobrych i bezpiecznych systemów realizacji transakcji on-line.
W odróżnieniu do innych operatorów dużą zaletą CashBill jest możliwość bezpośredniego (nie tylko elektronicznego) kontaktu pomiędzy operatorem a obsługiwanym serwisem. Brak anonimowości na linii operator – serwis internetowy pozwala na lepsze zweryfikowanie potencjalnych dostawców usług, czego efektem jest m.in. uwiarygodnienie serwisu internetowego w oczach potencjalnych użytkowników.
Czy można więc powiedzieć, że transakcje realizowane za pomocą CashBill są bezpieczne?
Z pewnością, przy zachowaniu wymienionych wcześniej zasad oraz biorąc pod uwagę szeroki wachlarz dostępnych opcji, można stwierdzić, że realizacja bezpiecznej płatności w tym systemie jest możliwa.

Adrian Łęcki
Arkadiusz Leśniak

 góra strony




Koszyk jest pusty
Zaloguj się:

adres e-mail:

hasło:
   
« Zarejestruj się
Wpisz pobrany
kod dostępu:
 
Polecamy:
















Google
    
UWAGA! Ten serwis używa plików cookies i podobnych technologii, proszę zapoznać się z polityką prywatności platformy edukacyjnej eduskrypt.pl
ZAMKNIJ