Partnerzy strategiczni
MasterCard Visa BLIK
Partnerzy wspierający
KIR ITCARD Polcard
Partnerzy wspierający
Elavon Hitachi Vivus
Partnerzy wspierający
Pekao Wesub
Partnerzy wspierający
LexisNexis Autopay
Partnerzy merytoryczni
Związek Banków Polskich Polska bezgotówkow
Gdzie jest granica wygody? Aplikacja CallPay Kolej oferuje możliwość zapamiętania kodu CVV/CVC

Ta nowa usługa maksymalnie upraszcza transakcję kartą na smartfonie. Ale cena za to może się okazać zbyt wysoka

W miniony piątek operator aplikacji CallPay Kolej, służącej do zakupu biletów na pociągi Przewozów Regionalnych, udostępnił jej ważną aktualizację. Pisałem o tym w sobotę w tekście dostępnym tutaj. Najważniejsze zmiany dotyczą rozszerzenia listy metod płatności oraz znacznego uproszczenia sposobu przeprowadzania transakcji. Zwłaszcza, jeśli chodzi o płatności kartami.

Otóż użytkownik aplikacji CallPay Kolej może teraz zapamiętać wszystkie dane karty po ich jednorazowym odręcznym wprowadzeniu do aplikacji. To nie jest jeszcze niczym nowym, w innych aplikacjach do płatności zdalnych podobne rozwiązania funkcjonują już od dawna. Jednak CallPay Kolej pozwala również na zapamiętanie kodu CVV/CVC znajdującego się na rewersie karty, a służącego do autoryzacji transakcji w internecie. To znakomicie upraszcza płatność. Wystarczy, że użytkownik potwierdzi chęć zapłaty za bilet jednym dotknięciem ekranu smartfona, by transakcja została zrealizowana.

Przeczytajcie także: Czy bankowe aplikacje na Windows odejdą do lamusa?

Do opisu nowej usługi znakomicie pasuje jednak powiedzenie, że nie ma róży bez kolców. Kolcem w tym wypadku jest daleko idący kompromis pomiędzy wygodą korzystania z aplikacji a bezpieczeństwem. Przechowywanie numeru CVV/CVC stwarza ryzyko, iż w razie wycieku danych karty łatwo mogą one zostać wykorzystane do przeprowadzenia transakcji fraudowych. Nie jestem specjalistą od bezpieczeństwa, ale patrząc na sprawę okiem laika wydaje mi się, że operator aplikacji poszedł o krok za daleko. Zresztą okazuje się, że nie tylko ja tak uważam.

Przechowywanie kodu zabezpieczającego jest niedozwolone w myśl regulacji organizacji płatniczych. – Nikt, ani merchant ani acquirer, poza czasem potrzebnym na zrealizowanie transakcji kartą MasterCard, nie powinien przechowywać kodu CVC. Po uzyskaniu odpowiedzi autoryzacyjnej przechowywanie CVC pod jakąkolwiek postacią jest nielegalne. Zabraniają tego PCI-DSS w punkcie 3.2, zgodnie z wytycznymi PCI Security Systems Council. Każdy acquirer/procesor/merchant jest zobowiązany być w zgodzie z tymi wymaganiami zewnętrznego regulatora. Inaczej nie ma możliwości uzyskania certyfikatu Attestation of Compliance a później jego odnawiania – napisało mi biuro prasowe MasterCarda w odpowiedzi na moje pytanie w tej sprawie.

Przeczytajcie także: Usługi iTaxi pojawią się w superportfelach banków

Nie wszystko z tego co tu widzicie rozumiem, ale przytaczam pełną odpowiedź MasterCarda, bo dla specjalistów użyte tu terminy mogą być ważne. Natomiast jedna rzecz jest jasna nawet dla laika: kodu przechowywać nie można. Co na to operator aplikacji CallPay Kolej? - Naszym celem było przygotowanie rozwiązania jak najbardziej przyjaznego dla użytkownika. Skorzystaliśmy przy tym z usługi oferowanej przez firmę Przelewy24. Nie przechowujemy danych karty w aplikacji. Są one przechowywane na serwerach firmy Przelewy24 i to ona bierze za nie odpowiedzialność – powiedział mi Tomasz Waligóra, prezes CallPay.

Próbowałem więc skontaktować się w tej sprawie z firmą Przelewy24, ale na razie mi się to nie udało. Wysłałem pytania mejlem. Jeżeli tylko odpowiedzą, aktualizuję tekst. Być może znaleźli jakiś sposób na przechowywanie kodu CVV/CVC, który pozwala jednocześnie być w zgodzie z regulacjami? Odpowiedź na to pytanie może być ważna w kontekście rozwoju rynku płatności w środowisku mobilnym.

AKTUALIZACJA

Przed chwilą otrzymałem wyjaśnienie ze strony operatora Przelewy24. Brzmi ono tak: "Serwis Przelewy24 podlega certyfikowaniu PCI-DSS i w związku z tym spełnia wszystkie wymagania w nim zawarte, dotyczące przede wszystkim ochrony danych. Nie przechowujemy żadnych informacji wrażliwych dotyczących karty. Dane są wykorzystywane wyłącznie w procesie autoryzacji i nie są nigdzie składowane. Do kolejnych transakcji one-click wykorzystuje się "token" - unikalny ciąg znaków, który jednoznacznie identyfikuje powiązanie klienta z akceptantem. Token nie jest nośnikiem żadnych wrażliwych danych karty. Opisane rozwiązanie jest nowością na polskim rynku i tak, jak wskazano w zaletach, oferuje niespotykaną wygodę oraz transparentność operacji, przy jednoczesnym zachowaniu najwyższych standardów bezpieczeństwa".

Innymi słowy zapamiętywany nie jest kod autoryzacyjny, tylko numer powiązany z daną kartą. Numer ten nie może być wykorzystany jako narzędzie autoryzacyjne w żadnym innym kanale czy u innego akceptanta, tylko wyłącznie do płatności w aplikacji CallPay Kolej. Podobne rozwiązanie stosowane jest np. w aplikacji iTaxi.

KATEGORIA
TEMAT DNIA
UDOSTĘPNIJ TEN ARTYKUŁ

Zapisz się do newslettera

Aby zapisać się do newslettera, należy podać adres e-mail i potwierdzić subskrypcję klikając w link aktywacyjny.

Nasza strona używa plików cookies. Więcej informacji znajdziesz na stronie polityka cookies