n 3D Secure lanserades 2002 i USA och började användas i Sverige året därpå. Än så länge finns inga autentiseringslösningar för svenska kortinnehavare.
n 3D Secure skiljer sig från set (secure electronic transaction). Den nya standarden uppges bli enkel att använda för kortinnehavarna, ger betalningsgaranti och är accepterad i USA. Det sistnämnda har stor betydelse, eftersom set inte accepterades av amerikanska aktörer. Det omöjliggjorde global spridning.
n Visa använder logotypen "Verified by VISA" och Mastercard använder "Mastercard Securecode".
n När 3D Secure fullt utvecklat fungerar det så här: Då nätkunden vill betala anger denne sitt kortnummer. Via krypterad kommunikation kontrolleras detta av kortutgivaren via en säkerhetsserver. Kunden identifierar sig till exempel med ett lösenord, banken verifierar och säljaren får okej på att köpet kan genomföras. Kortutgivaren kan identifiera och godkänna den som handlar. När detta är gjort är butiken garanterad betalning från kortinlösaren.
computersweden.se/a/967
computersweden.se/a/968
computersweden.se/a/968
n 3D Secure lanserades 2002 i USA och började användas i Sverige året därpå. Än så länge finns inga autentiseringslösningar för svenska kortinnehavare.
n 3D Secure skiljer sig från set (secure electronic transaction). Den nya standarden uppges bli enkel att använda för kortinnehavarna, ger betalningsgaranti och är accepterad i USA. Det sistnämnda har stor betydelse, eftersom set inte accepterades av amerikanska aktörer. Det omöjliggjorde global spridning.
n Visa använder logotypen "Verified by VISA" och Mastercard använder "Mastercard Securecode".
n När 3D Secure fullt utvecklat fungerar det så här: Då nätkunden vill betala anger denne sitt kortnummer. Via krypterad kommunikation kontrolleras detta av kortutgivaren via en säkerhetsserver. Kunden identifierar sig till exempel med ett lösenord, banken verifierar och säljaren får okej på att köpet kan genomföras. Kortutgivaren kan identifiera och godkänna den som handlar. När detta är gjort är butiken garanterad betalning från kortinlösaren.
computersweden.se/a/967
computersweden.se/a/968
computersweden.se/a/968
– De e-handlare som satsar på 3D Secure säljer värdefulla varor och tjänster. I täten bland handlarna ligger resebranschen, säger Mikael Geijer, konsult på Nufort och specialist på e-betalningslösningar.
I princip har de flesta större reseföretag satsat på den nya standarden i sina e-butiker; Fritidsresor, Ving, Always, My Travel och SJ är några exempel.
– Men det är fortfarande långt kvar innan alla webbutiker med någon skaplig omsättning börjar satsa på standarden. De mindre avvaktar nog ett par år till, säger Mikael Geijer.
Säkrare för alla
Med erfarenheterna från kritiserade set tog Visa år 2002 fram 3D Secure för att göra e-handeln säkrare för såväl e-butikerna och konsumenterna som bankerna.
Precis som set slipper webbutiker som inför 3D Secure kostnader för kreditförluster och kortbedrägerier. Det beror på att de kortutgivande bankerna ger en betalningsgaranti för e-handlarna.
– 3D Secure är en enklare lösning än set för e-butiker, banker och kortinnehavare men den är inte lika säker som föregångaren set, säger Mikael Geijer.
Numera har de flesta kortföretag i princip anammat 3D Secure som en gemensam standard. För webbutikerna innebär samarbetet att de kan ha samma hantering av kortköpen oberoende av vilket kort som är utgivare.
För webbutiker som vill använda 3D Secure krävs en elektronisk koppling till en inlösande bank eller en PSP, payment service provider.
En PSP tar hand om hela betalningsflödet åt e-butiken genom sina kopplingar mot både banker och kortföretag. Därefter måste webbservern uppgraderas med ett tilläggsprogram.
Komplicerat att införa
Visas program heter MPI, Merchant server plugin.
– Man kan införa 3D Secure utan en PSP. Men det är inget jag rekommenderar, i alla fall inte för mindre handlare. Det är komplicerat. Dessutom är det många certifikat att hålla reda på, säger Mikael Geijer.
Tanken med 3D Secure är att kortkunden ska identifiera sig mot sin kortutgivare innan betalningen på webbutiken kan godkännas. De kortutgivande bankerna har flera valmöjligheter hur detta ska gå till. Nu utvecklas autentiseringsmetoder till kortinnehavarna, som sedan ska informeras hur lösningen används. Men än så länge finns ingen färdig autentiseringslösning för svenska kortinnehavare.
– Det innebär att kortutgivande bankerna släpar efter utvecklingen. Förutom pågående satsningar i autentiseringslösningar är det andra omfattande investeringar som måste göras, säger han.
Lämnar betalningsgaranti
Ett exempel är investeringar i ACS, Access Control Server, som verifierar kundens identitet vid kortköpet. Servern ska integreras mot bankens system – kanske även mot egna internetbanker.
Även om de kortutgivande bankerna haltar har det i princip ingen betydelse för e-handlarna.
– E-handlarna får i alla fall sin betalningsgarantier då de gör en kontroll mot servern om kortet deltar i 3D Secure. Däremot är det negativt för kortutgivarna eftersom ansvaret för en chargeback (reklamation vid bedrägeri) flyttas från e-butik och inlösare till kortutgivaren, säger Mikael Geijer.
För att få ta emot kortbetalningar med betalningsgaranti måste e-handlarna ha tecknat inlösenavtal med bankernas kortinlösensavdelning.
– Dessutom kräver nästan alla inlösande svenska banker att butikerna ska ha 3D Secure för att få garantin, säger Mikael Geijer.
Olika organisationer
Det kan tyckas vara märkligt att bankerna, som också är kortutgivare, vill att deras e-handlare ska ha 3D Secure när ansvaret för chargeback flyttas från butik/inlösare till kortutgivarna.
Mikael Geijer uppger orsaken att inlösare och kortutgivare är olika organisationer inom samma bank. Därtill agerar de oberoende av varandra. Vissa banker är stora på inlösen, men kanske inte har så stor del av kortmarknaden, och omvänt.
Kortorganisationerna Visa och Master Card kräver 3D Secure av inlösare samt att man vill öka förtroendet för korthandeln och därmed själva e-handeln.
– Man kan säga att inlösarna gärna vill ge svartepetter till kortutgivaren, fast de indirekt finns under samma hatt, säger Mikael Geijer.
Fördelar för nätkunderna
Det finns även fördelar för nätkunderna med den nya standarden. De nätkunder som testade set var tvungna att installera ett program på varje dator man ville handla ifrån. Tack vare den nya standarden kan man handla ifrån vilken dator som helst.
Problemet med autentisering har flyttats från användarens pc till den bank som givit ut kundens kort. Det innebär att 3D Secure blir ett system där varje bank bestämmer hur deras kunder ska kunna identifiera sig när de handlar på nätet.
– Bankernas kortutgivare har olika lösningar för autentiseringar på gång. Vid ett e-köp blir nog den vanligaste lösningen ett poppuppfönster där man får identifiera sig mot sin bank i form av lösenord eller pinkod eller med hjälp av sin internetbank, säger Mikael Geijer.
SEB Korts enhet för kortinlösen, Euroline, var först i Sverige med att erbjuda 3D Secure till sina e-handlare.
– Vi ger alla våra säljande e-företag en betalningsgaranti mot bedrägliga köp på kort utfärdade i Europa. Alla nya e-handlare som blir kunder hos oss måste införa den nya standarden, säger Kenneth Bäckström, produktchef på Euroline.
Lösning presenteras om ett halvår
Det är SEBs kortutgivarsida som ansvarar för lösningen av autentisering för kortkunderna. Enligt en källa ska den första autentiseringslösningen lanseras om drygt sex månader, något som ingen inom SEB kan eller vill bekräfta.
Varför ska e-handlare ha 3D Secure, det finns ju ingen färdig autentiseringslösning för kortkunderna?
– Vi som kortinlösare ger i dag skydd för bedrägerier, oavsett om kortinnehavaren autentiserat sig eller inte, säger Kenneth Bäck-ström.
Johan Cooke
cs@idg.se
(
Den här artikeln har null kommentarer:
