3D Secure-t használnád mint bankkártya-elfogadó?

Security-all

Sziasztok!

Magyarországi célközönségű weboldal online kártyás fizetési felületénél használnátok 3D Secure biztonsági eljárást?

Arról van szó, hogy a kártyaadatok megadása után a vevő bankjának saját felületén kell még egy egyszeri (jellemzően SMS) jelszóval engedélyezni a kártyás fizetési tranzakciót.

Előnyök a vásárlói oldalon:
- Ettől lehet, hogy nagyobb biztonságban érzi magát a vásárló

Hátrányok a vásárlói oldalon:
- Ha nem tudja mi ez, jó eséllyel nem tud majd fizetni (összekeverheti a netbank belépéssel, vagy valami trükknek nézheti, mert a saját bankjának a felülete jelenik meg a kereskedő weboldalán)

Előnyök a kártyaelfogadói oldalon:
- Ha átmegy ezen az ellenőrzésen a tranzakció, akkor már nem az elfogadóé a felelősség reklamációkor (mint a PIN-kódos vásárlás a boltban)

Hátrányok a kártyaelfogadói oldalon:
- Olyan tranzakciók is sikertelenek lehetnek, ahol a vevő nem tudja mi ez a második lépcsős ellenőrzés, annak ellenére, hogy amúgy minden stimmel

  • 13080 megtekintés

( Szenti v | 2016. 05. 25., sze – 08:47 )

Használnék. A vevőt a bank fel kellett világosítsa a 3D Secure működéséről, és valószínűleg már használja is más hazai szolgáltatók oldalain. Azon szolgáltatók, amelyek az OTP-s felületet veszik igénybe, már eleve 3D Secure használók.

( cheeky v | 2016. 05. 25., sze – 09:16 )

Persze. Hátrány nincs. A 3DSecure szolgáltatáshoz a kártyatulajdonosnak meg kell adnia egy saját azonosító szöveget, amit csak a tulajdonos illetve a kibocsátó bank ismer, ezzel kvázi a megerősítő kód beviteli felület hamisíthatatlanná válik a skimmerek számára.
Mivel ezt a kártyatulajdonosnak meg kell adnia, ezért minden esetben tud róla, hogy van ilyen szolgáltatása. Ha egy kártyán nincs aktiválva a 3DSecure szolgáltatás, nem lesz sikertelen a tranzakció, csak hagyományos tranzakciónak minősül.

A különbség kereskedő/bank viszonylatban van igazából. Egy 3DSecure azonosított tranzakció kockázata alacsonyabb, ezért a bank alacsonyabb jutalékot számol fel a kereskedővel szemben a tranzakcióért, mint egy hagyományos CNP (card not present) tranzakció esetében. Kereskedői oldalról nézve tehát a dolognak igazából csak előnyei vannak, kockázata pedig nem nagyon van.

„Ha egy kártyán nincs aktiválva a 3DSecure szolgáltatás, nem lesz sikertelen a tranzakció”
Netlocknál fizettem volna múlt hétvégén a céges kártyával, amelyre nem lett aktiválva, és sikertelen lett. Baromi morcos voltam miatta.

Úgyhogy ezt azért ne jelentsük ki.

A kereskedő nem vállalta a 3DS nélküli tranzakciók magasabb jutalékát. Ez nyilván nettó balf.szság, de ha valaki saját magát akarja szívatni, persze lehet így is. A konyhakésre se írják rá, hogy le állítsd bele a saját lábfejedbe, de elég nagy barom vagy, ha megteszed. :D

Párom orosz Unicredit kártyáján az azonosító szöveg a bank által meghatározott, és minden ügyfélnél ugyanaz. Mellesleg az első netes kártyás vásárlásig fogalma nem volt róla, hogy van ilyen a kártyájához és hogy egyáltalán mi is ez. Ugyanezt a jelenséget elfogadóként is tapasztalom több nyugat-európai, észak-amerikai, japán és koreai vevőnél is. Gyanítom, hogy az adott országokban a belföldi tranzakcióknál nem elterjedt a 3DS, és mivel a nagy szolgáltatóknál (Amazon, Ebay, Paypal) sincs ilyen, ezért akkor szembesülnek vele először, amikor nálam vásárolnak.
Ergo én vagyok a hülye/csaló/whatever.

--
Kum Gábor
Linux pólót a PingvinBoltból!

( pirate | 2016. 05. 25., sze – 09:23 )

Az uj (par eves) kartyammal hasznalom ezt, elso hasznalatkor volt egy folyamat amit vegig kellett zongorazni, utana pedig mukodott a jelszo (nem SMS).
Azota hitelkartyas vasarlasok utan keri a jelszot a bank oldala (nem a webshop-ba van integralva, hanem mindig egyforma banki oldal).

-----
"Már nem csak tehetségekből, de a hülyékből is kifogytunk..."

( htmm v | 2016. 05. 25., sze – 10:08 )

Mint vasarlo kifejezetten utalom. Ha van ket hasonlo webshop mindig azt valasztom, ahol ez nincsen.

Visa: Beker egy jelszot. Ha nem tudod a jelszot ott helyben tudod resetelni. Csak a kartya adatait es a cimedet kell hozza tudni.
Amex: Ez mar ertelmesebb, SMS-ben kuld egy jelszot.

A Visa megoldasa mar tobbszor akadalyozott meg a fizetesben, hiaba tudtam a jelszot. Sajnos nem lehet kikapcsolni.

--
http://blog.htmm.hu/

( joco01 v | 2016. 05. 25., sze – 12:09 )

Az én tapasztalataim:

Páromnak Erste Visa debit kártyája van, és az ezt nem tudja. Sose volt ebből gond, egyszer egy nemzetközi oldalon vonatjegyhez kellett volna, na azt csak egy kis levelezés meg idegeskedés árán sikerült megoldani. Ez kb. másfél éve volt, tehát simán lehet még másnak is ilyen kártyája, ami szívás.

Nekem van egy Barclays Visa debit kártyám. Sok webshopban látom, hogy felvillan egy iframe-ben a Barclays logója, hogy ők most futtatják ezt az ellenőrzést, de az esetek nagy részében nem kérdez semmit, és magától továbbmegy. Tehát se jelszó, se SMS, semmi, hacsak nem gyanús a tranzakció, mert akkor meg kb. 3 dolgot bekérnek a kártya adatain kívül (pl. bankszámlaszám, tehát nem valami általam kitalált titkos dolog). Ez így nagyon pozitív élmény.

És mellékesen megjegyzem, hogy az Amazon mennyire laza, mert ott még asszem a CVV-t se kérik be. Gondolom valami különmegállapodásuk lehet a kártyakibocsájtókkal. Elég nagyot néztem, de végül is ha nincs visszaélés és vannak extra garanciák, akkor nem fogok ezért ugrálni. USÁ-ban a PIN kódot se ismerik (habár hallottam olyat, hogy kezdik kötelezővé tenni).

--

( fathom | 2016. 05. 25., sze – 21:24 )

Én konkrétan nem rendelek olyan helyről, ahol ez nem működik, illetve nem ott fizetem ki.

FathoM

A probléma nem ezzel van, hanem azzal, hogy ugyanúgy védtelen vagy olyan elfogadók esetén, akiknél nincs 3DSecure. Ahol a kereskedő beüzemeli, ott pedig magát védi, mert ha beírtad az egyszeri jelszavadat, onnantól nem vonathatod vissza utólag a bankoddal a tranzakciót, míg 3DSecure nélkül ezt megtehetnéd.

--
Kum Gábor
Linux póló | Ciprus | Matek korrepetálás

Hát én még soha, de soha nem vontam vissza átutalást. Igaz még a bankszámlám se hekkelték meg soha. Amúgy már erre rá is kérdeztem a bankomnál és lehet náluk kérni, hogy normál kártyás fizetés át se menjen (nyilván ez más bajokkal járhat).

Viszont nekem teljesen újfajta megoldással találkozom egyre több cseh oldalon, mégpedig hogy bankkártya helyett közvetlen a netbank-ra küld be és valójában egy rendes átutalás megy ki, de szintén ugyanúgy azonnali, nem kell rá várni, hogy meg is érkezzen a másik oldalra a pénz. Sokkal jobb rendszernek tartom és igazából 3DSecure sokat vesztett a vonzerejéből.

FathoM

Erre a "fizetési folyamatra" adott ki pár bank olyan közleményt kb. egy éve, hogy nagyon nem ajánlják, mert a háttérben a felhasználó internetbanki belépési adataival mahinálnak. Mi ezért nem kötöttünk szerződést a Sofort-tal anno, mert ők is ugyanezt csinálják.

--
Kum Gábor
Linux póló | Ciprus | Matek korrepetálás

Hát ez azért érdekelne hogyan is. Mivel az eladó oldala (legalábbis, amit itt használtam) nem kért semmilyen adatot, csupán azt, hogy melyik banknál akarom elvégezni. Onnantól átrakott a bankom oldalára (nem iframe-ben, nem beágyazva az eladó oldalába), ahol csak azokat az adatokat adja át, amiket tud (kinek kell utalnom, mennyit, milyen címen), belépni, a saját számlám bármilyen adatát megadni csak a bankom oldalán kell.

FathoM

( andrej_ v | 2016. 05. 25., sze – 21:29 )

Szerintem nagyon hasznos, jó egy extra megerősítés a webes vásárlásokhoz. Ezt a 3x3-as kódot elküldi és beírom és kész, akinek probléma, az szerintem gondolja át inkább mennyire akar online vásárolni. Én nem ragaszkodom hozzá, de nagyon örülök ha van, erősíti a bizalmat.

( norbertkiss | 2016. 05. 25., sze – 21:54 )

Én meg nem adom senkinek a normál bankkártyám számát interneten.
Online vásárlásra webkártyát használok.

( uid_4672 | 2016. 05. 25., sze – 23:11 )

használ[t|j]uk kb. 10 éve már... mindkét oldalon...
és van még Magyarországon olyan bank, ahol nem is hallottak róla (az ügyfélszolgálat legalábbis... elkezdte nekem magyarázni, hogy ott van a cvv2, náluk az van és kész...).

En most szerettem volna ilyen kartyat, es eddig a KH-rol derult ki, hogy tamogatja. 15 banknak irtam, abbol 5 valaszolt nemlegesen, abbol 2 kulon jelezte, hogy nem is tervezik a bevezeteset. Rakerestem csak ugy viccbol, es pl. Romaniaban a bankok ezt tamogatjak, es az lenne a tippem, hogy a legtobb orszagban. Ez csak megerositi a gondolatomat: digitalis mocsar ez itt kerem...

> digitalis mocsar ez itt kerem...

Jártál már az USA-ban, mi ugye a nyugati csúcstechnológia kiteljesedése? :)

Megvan az az érzés, amikor a tömegközlekedési automatákra ki van írva pl olyan, hogy Visa credit card only? Azaz nem elég, hogy a MasterCard kapásból nem jó, még a betéti kártyát is a hajadra kenheted. Vagy az, hogy 2-3 hetes kint-tartózkodás alatt _egyszer_sem_ kellett PIN-kódot használnom? Vagy az, hogy a reptéri üdítőautomata addig ad piát a te kártyádra kiszámlázva, amíg valaki (ideális esetben te, mert nem felejtetted el) manuálisan meg nem nyomja a sign out gombot? Vagy az, hogy boltban fizetéskor csak az embossed kártya jó, mert a boltos úgy akarja rávasalni a kártyaszámot a papírra?

Azért van ez, mert 80%-ban Visa kártyát adnak, a Mastercard nem túl elterjedt.
A magyar "betéti" kártyától azért nem kér pint, mert itt creditnek ismerik fel a terminálok. Ahhoz meg itt nincs PIN.
A dombornyomott kártyáról satírozás Mo-n is elvi lehetőség ha nem megy a terminál, csak nem szeretik a boltosok.

Ezzel nem mondasz újat, pont ezek miatt gondolom, hogy Magyarország azért nem a digitális mocsár, ha kártyás fizetésről van szó. Sőt. Alapvetően itthon elég ritkán lehet olyanba beleszaladni, hogy debit kártyával egyszerűen nem lehet fizetni, vagy hogy egy csomó helyen azért nem fogadják el a külföldi kártyát, mert nem tudja validálni az irányítószámot (!) a terminál.

( gee v | 2017. 08. 10., cs – 23:35 )

Igen, ha nagyobb értékű cuccokat árusítanék.

( NagyZ v | 2017. 08. 14., h – 19:01 )

itt svajcban az osszes kartyam 3d secureos, elosszor akkor lattam ilyet, amikor idekoltoztunk, de mar megszoktam :) a 25 CHF-es pizza vasarlasra is beugrik, tehat nem hiszem, hogy nagy osszeghez lenne kotve.