Online betalen ja, maar hoe?
De winkelier die op het web een ?retail? boetiek wil opstarten, blijft het moeilijk om een van de vele on line betaaloplossingen te kiezen. Het internet moedigde talloze initiatieven aan, zowel op basis van hardware als software. Tussen al die oplossingen zijn er heel grote verschillen wat gebruiksgemak en veiligheid betreft.
Fraude en de onrechtmatige toe-eigening van de bankidentiteit blijven de belangrijkste kopzorg voor internetter die wel eens iets on-line kopen. 90% van de on-line betalingen gebeurt met de creditcard, maar de meeste consumenten zijn nog een beetje bang om hun bankkaartnummer zomaar op het web te gooien. Volgens Visa zorgt 5% van de on-line betalingen in de Verenigde Staten voor 47% van de geschillen.
Andere verwachtingen
Argwaan tegenover de on-line betaling is een van de belangrijkste obstakels voor de doorbraak van e-commerce. Technologische ondernemingen en geldinstellingen spaarden geen moeite om een oplossing te bieden, maar tot nog toe is geen enkele erin geslaagd om door te stoten. Sommige oplossingen werden van tafel geveegd omdat ze te kwetsbaar bleken te zijn. Andere waren dan weer te complex om te beheren. De situatie wordt nog bemoeilijkt door het feit dat winkeliers en consumenten niet dezelfde verwachtingen koesteren. De consument streeft naar gebruiksgemak en beveiligde transacties. De winkelier wil zich indekken tegen het risico dat de aankoop afgewezen wordt en dat de koper zich onrechtmatig een andere identiteit toe-eigent. Hij wil de klant ook een uitgebreide waaier betaalmiddelen bieden zonder afhankelijk te zijn van ??n enkele geldinstelling of een al te hoge commissie te betalen per transactie.
De bestaande, online betaalmiddelen zijn heel gevarieerd. Het verschil begint al op technisch vlak : er zijn oplossingen die stoelen op hardware (chipkaart) of software (“wallet”). Bovendien hebben niet alle elektronische betaalmiddelen de bedoeling de gehele e-commerce markt te bestrijken. Hun toepassing hangt af van hun gebruikskost en het gemiddeld bedrag van de gedane betalingen. Bovendien zijn ze niet allemaal even soepel. Soms zijn het betaalmiddelen die gewoon aan Internet zijn aangepast, soms gaat het om speciaal voor Internet ontworpen systemen. Tot slot zijn ook de geboden veiligheidniveaus ongelijk.
Hardwaremiddelen
Chipkaart + lezer – In deze categorie treffen we betaaltoepassingen aan die gebaseerd zijn op een chipkaartlezer. Kaart en houder worden geauthentificeerd door invoering van een geheime code. In de chipkaart zijn signatuursystemen ge?ntegreerd, zodat transacties ondertekend kunnen worden in een beveiligde hardwareomgeving ? de kaartlezer ? en niet op de PC van de gebruiker. De toepassing berust op het internationaal protocol SET (Secure Electronic Transaction). De combinatie van lezer, chipkaart en SET protocol sluit de afwijzing van betalingen uit en biedt de winkelier een betaalgarantie. Andere toepassingen kunnen ook : bijvoorbeeld voor de betaling (de lezer en de chipbankkaart kunnen de authentificatie van minder beveiligde betaaloplossingen versterken) of voor andere zaken (authentificatie voor de toegang tot bankdiensten, het herladen van Protonkaarten, etc…). Het werkt zo : de gebruiker surft naar een winkelsite en besluit om een product te bestellen. De winkelier bevestigt de bestelling van de gebruiker door een SMS bericht te sturen naar diens GSM. De klant stopt zijn bankkaart in zijn GSM en voert zijn geheime code in. Het verzoek wordt via SMS naar de bank gestuurd. Deze manier van werken garandeert de niet-afwijzing van de betaling, wat neerkomt op een betaalgarantie voor de winkelier. GSM-gebaseerde e-commerce projecten zijn in de maak. Die projecten maken gebruik van WLS protocollen (SSL voor WAP).
Softwaremiddelen
Kaartnummer meedelen ? De meest courante oplossing voor on-line betaling via de betaalkaart berust op het SSL protocol (Secure Socket Layer). Bij de betaling deelt de koper het nummer en de vervaldatum van zijn betaalkaart mee via het communicatieprotocol SSL, dat het mogelijk maakt een beveiligd datatransmissiekanaal open te stellen (vertrouwelijkheid). De winkelier moet de transactie verder afhandelen met de bank. Een variant op deze technische oplossing, die de voorkeur lijkt te genieten in termen van veiligheid en bescherming van de privacy van de klant, is het inschakelen van een tussenpersoon. Die tussenpersonen of “Trusted Third Party’s” zijn hosts, die voor rekening van anderen SSL sleutels beheren en bankaartnummers in veilige bewaring houden. Het gaat hier om het e-commerce segment van PSP leveranciers (Payment Service Providers) zoals Ogone en Bibit.
Pay button ? Web banking gebruikers beschikken over een “pay button”. Dat is een heel handig betaalsysteem voor courante aankopen op het Internet zoals boeken, CD’s, computermateriaal, huishoudapparaten, entreekaartjes, geschenken, voeding, etc. De “pay button” is een geautomatiseerde overmaking, waarbij de authentificatie gebeurt aan de hand van het door de bank ge?nstalleerde web banking tool. In feite is dit een debetbetaling met dezelfde authentificatie als voor een via web banking gedane overmaking.
P2P betaling – Met een P2P-betaling (person to person) kan iedereen geld verzenden en ontvangen via e-mail. De internaut schrijft zich in op een “e-mail betaalsite” door een bankrekeningnummer of betaalkaartnummer op te geven. Vervolgens geeft hij het e-mailadres op van de persoon naar wie hij geld wil sturen (vriend, verwant, winkelier,?) met vermelding van het bedrag. De correspondent ontvangt een e-mail met een URL link die hem naar de beveiligde site voert, waar hij op zijn beurt een rekening kan openen door zijn gangbare bankrekeningnummer in te tikken om het geld te kunnen ontvangen. Die oplossingen berusten in ruime mate op het SSL-protocol gedurende de gebruiker-serververbinding. Dit systeem kent heel wat bijval in de Verenigde Staten en het Verenigd Koninkrijk. In 2000 hadden in de VS maar liefst 42 miljoen on-line PtoP betalingen plaats. PayPal, dat het model in 1999 op de markt bracht, telt nu meer dan 16 miljoen gebruikers en is operationeel in 38 landen buiten de VS.
Verschillende veiligheidsniveaus In het algemeen hangt de veiligheid van een betaalmiddel van drie factoren af : hoe rijk is de instelling die het betaalmiddel beheert; hoe sterk is de contractuele overeenkomst tussen de partijen die bij de transactie betrokken zijn; hoe goed is de technische en organisatorische veiligheid van het systeem. Softwaresystemen (virtuele portefeuille, communicatie van het bankkaartnummer, P2P betaling via e-mail, ?) bieden niet altijd het gewenste, technische veiligheidsniveau. De Missie voor digitale economie van het Frans Ministerie van Economie en Financi?n, zegt dat “als de gebruiker voor een betaalmiddel gevoelige gegevens moet bewaren, zoals cryptografische sleutels, geheime codes of virtueel geld, hij waarschijnlijk in het bezit moet worden gesteld van hardwaresystemen, die bestand zijn tegen aanvallen.” Maar hardwaresystemen die de nadruk leggen op veiligheid, kosten dan weer een pak meer (een bankkaartlezer thuis kost zowat vijftig euro) en ook de installatie vergt een extra inspanning. Voor alternatieve oplossingen (prepay kaarten, betaling via telefoon,?) zijn dan weer voorafgaande stappen nodig. We merken dus nog steeds dat, alle oplossingen ten spijt, het veiligheidsniveau erg ongelijk is, het gebruik marginaal en de informatie niet aangepast aan de gebruikers. Daarom kan het 3-D Secure protocol, dat de authentificatie van de zender en de vertrouwelijkheid van de gegevens garandeert, misschien een overtuigend antwoord bieden op het vlak van beveiligde transacties en gebruikscomfort.
Bron:
Business ICT
Via: