Ta nowa usługa maksymalnie upraszcza transakcję kartą na smartfonie. Ale cena za to może się okazać zbyt wysoka
W miniony piątek operator aplikacji CallPay Kolej, służącej do zakupu biletów na pociągi Przewozów Regionalnych, udostępnił jej ważną aktualizację. Pisałem o tym w sobotę w tekście dostępnym tutaj. Najważniejsze zmiany dotyczą rozszerzenia listy metod płatności oraz znacznego uproszczenia sposobu przeprowadzania transakcji. Zwłaszcza, jeśli chodzi o płatności kartami.
Otóż użytkownik aplikacji CallPay Kolej może teraz zapamiętać wszystkie dane karty po ich jednorazowym odręcznym wprowadzeniu do aplikacji. To nie jest jeszcze niczym nowym, w innych aplikacjach do płatności zdalnych podobne rozwiązania funkcjonują już od dawna. Jednak CallPay Kolej pozwala również na zapamiętanie kodu CVV/CVC znajdującego się na rewersie karty, a służącego do autoryzacji transakcji w internecie. To znakomicie upraszcza płatność. Wystarczy, że użytkownik potwierdzi chęć zapłaty za bilet jednym dotknięciem ekranu smartfona, by transakcja została zrealizowana.
Do opisu nowej usługi znakomicie pasuje jednak powiedzenie, że nie ma róży bez kolców. Kolcem w tym wypadku jest daleko idący kompromis pomiędzy wygodą korzystania z aplikacji a bezpieczeństwem. Przechowywanie numeru CVV/CVC stwarza ryzyko, iż w razie wycieku danych karty łatwo mogą one zostać wykorzystane do przeprowadzenia transakcji fraudowych. Nie jestem specjalistą od bezpieczeństwa, ale patrząc na sprawę okiem laika wydaje mi się, że operator aplikacji poszedł o krok za daleko. Zresztą okazuje się, że nie tylko ja tak uważam.
Przechowywanie kodu zabezpieczającego jest niedozwolone w myśl regulacji organizacji płatniczych. – Nikt, ani merchant ani acquirer, poza czasem potrzebnym na zrealizowanie transakcji kartą MasterCard, nie powinien przechowywać kodu CVC. Po uzyskaniu odpowiedzi autoryzacyjnej przechowywanie CVC pod jakąkolwiek postacią jest nielegalne. Zabraniają tego PCI-DSS w punkcie 3.2, zgodnie z wytycznymi PCI Security Systems Council. Każdy acquirer/procesor/merchant jest zobowiązany być w zgodzie z tymi wymaganiami zewnętrznego regulatora. Inaczej nie ma możliwości uzyskania certyfikatu Attestation of Compliance a później jego odnawiania – napisało mi biuro prasowe MasterCarda w odpowiedzi na moje pytanie w tej sprawie.
Nie wszystko z tego co tu widzicie rozumiem, ale przytaczam pełną odpowiedź MasterCarda, bo dla specjalistów użyte tu terminy mogą być ważne. Natomiast jedna rzecz jest jasna nawet dla laika: kodu przechowywać nie można. Co na to operator aplikacji CallPay Kolej? - Naszym celem było przygotowanie rozwiązania jak najbardziej przyjaznego dla użytkownika. Skorzystaliśmy przy tym z usługi oferowanej przez firmę Przelewy24. Nie przechowujemy danych karty w aplikacji. Są one przechowywane na serwerach firmy Przelewy24 i to ona bierze za nie odpowiedzialność – powiedział mi Tomasz Waligóra, prezes CallPay.
Próbowałem więc skontaktować się w tej sprawie z firmą Przelewy24, ale na razie mi się to nie udało. Wysłałem pytania mejlem. Jeżeli tylko odpowiedzą, aktualizuję tekst. Być może znaleźli jakiś sposób na przechowywanie kodu CVV/CVC, który pozwala jednocześnie być w zgodzie z regulacjami? Odpowiedź na to pytanie może być ważna w kontekście rozwoju rynku płatności w środowisku mobilnym.
AKTUALIZACJA
Przed chwilą otrzymałem wyjaśnienie ze strony operatora Przelewy24. Brzmi ono tak: "Serwis Przelewy24 podlega certyfikowaniu PCI-DSS i w związku z tym spełnia wszystkie wymagania w nim zawarte, dotyczące przede wszystkim ochrony danych. Nie przechowujemy żadnych informacji wrażliwych dotyczących karty. Dane są wykorzystywane wyłącznie w procesie autoryzacji i nie są nigdzie składowane. Do kolejnych transakcji one-click wykorzystuje się "token" - unikalny ciąg znaków, który jednoznacznie identyfikuje powiązanie klienta z akceptantem. Token nie jest nośnikiem żadnych wrażliwych danych karty. Opisane rozwiązanie jest nowością na polskim rynku i tak, jak wskazano w zaletach, oferuje niespotykaną wygodę oraz transparentność operacji, przy jednoczesnym zachowaniu najwyższych standardów bezpieczeństwa".
Innymi słowy zapamiętywany nie jest kod autoryzacyjny, tylko numer powiązany z daną kartą. Numer ten nie może być wykorzystany jako narzędzie autoryzacyjne w żadnym innym kanale czy u innego akceptanta, tylko wyłącznie do płatności w aplikacji CallPay Kolej. Podobne rozwiązanie stosowane jest np. w aplikacji iTaxi.