Az online vásárlás milyen módon van biztosítva?

A banki szerverrel az adatokat titkosított csatornán cseréled ki, így az "nem lehallgatható". Ellenben a bank nem vállal felelősséget azért, hogyha a te gépeden van bármilyen kártékony eszköz, akár keylogger, akár valami egyéb monitorozó alkalmazás. Ez a te felelősséged, hogy olyan gépen használd a banki felületet, ahol ennek a veszélye nem áll fenn.

Másrészt nem értem a kérdésed PIN-kódos részét. Ha a bankkártya adatai lehallgathatóak lennének a netről, akkor a PIN-kód is, nem gondolod? :) Sőt, ha keyloggerrel figyelné valaki, szintúgy megtudná a PIN kódod is...

A bankkártya adatokat "ellopni" amúgy valóban nem egy "lehetetlen" küldetés. Egy nagyon jó fókuszú fényképezőgép, jó optika, és máris lehet egy-egy vásárlást "lefülelni". Biztos, hogy elcsíphető a bankkártya adat, valamint az aláírási oldalról a verifikációs kód... Ez is a te felelősséged, hogy soha nem téveszd szem elől a kártyát, és ne hagyd, hogy illetéktelenek a rajta lévő adatokat kifigyelhessék.

A kártyák "evolúciója" akként zajlott, hogy kezdetben vala a dombornyomott, offline fizetésre használatos kártya. Még a "sötét középkorban", amikor nem volt minden online, elég nehéz volt közvetlen banki kapcsolatot létesíteni (sőt esetenként még ma sincs meg ez a kapcsolat hajókon, repülőkön), mégis igény volt a készpénzt helyettesítő fizetésre, akkor találták ki a "lehúzható" bankkártyát. Ezért dombornyomott a kártya. Mert beteszi egy "indigós papír" fölé, lehúzza és a papírra átüti a kártyaadatokat. Nincs tévesztés :)

Szóval itt semmiféle pin kód szóba sem kerülhet, a kártya jelenléte kellett a tranzakcióhoz.

Vásárlás esetén, ha az adott helyen van online terminál. [Azaz a tranzakció a bank jóváhagyásával jön létre, az adott összeg zárolásra kerül a számlán.]

Itt két eset lehetséges:

1. A WC-s néni terminálja kér PIN kódot. Azaz a kártyát lehúzzák, kapod a kütyüt, "szokásos zöld-pin-zöld" kombó, majd jön a papírka, aláír, és jaj de jó.

2. A WC-s néni terminálja nem kér PIN kódot. A kártyát lehúzzák, kapod a kütyüt, ahol megszokásból "zöld-pin-zöldet" mondanak, de valójában a zöld megnyomása után jön az OK! felirat, és mindenki boldog, jön a papír, aláírod.

Itt a kártyatársaságok protokollja szerint a második módszer a követendő, tehát NEM SZABAD a vásárláskor PIN-kódot kérni. Hogy miért? Azért, mert a kereskedő nem tudja biztosítani a kártya PIN-kódjának zárt kezelését. Egy pénztár a kamerák kereszttüzében ég, így az adott biztonsági személyzet kb. két másodperc alatt az összes kártyás vevő pin-kódját le tudja olvasni (holott a kódot CSAK TE ismerheted, és azt halandónak semmilyen körülmények között nem adhatod meg...) A bankkártya-szerződésed értelmében minden olyan tranzakció, amelyet PIN-kóddal hajtanak végre, minden külön vizsgálat nélkül a kártyabirtokos által kezdeményezett jogos tranzakciónak minősül, azért a bank felelősséget nem válla. Tehát látható, hogy igen nagy veszélyt rejt, ha a PIN-kódod a biztonsági személyzet (vagy a mögötted vásárló, vagy a pénztáros vagy bárki) kilesi, majd a kártyád "eltűnik". Ekkor ugrott a pénzed és nem lesz felelőse. Ha kód nélkül vásárolsz, akkor az elfogadó felelőssége, hogy azonosít-e téged. Ha ezt nem teszi meg, és mégis jogtalan volt a kártyahasználat, akkor máris fennáll az az eset, hogy a kereskedő felelőssége az esetleges károd!

A másik eset, amikor utazol az Atlanti-óceánon, és nincs az óceánjárónak online banki kapcsolata, neked meg van dombornyomott kártyád. Ekkor az üveg viszkiért fizetendő 500 USD-t úgy terhelik rád, hogy te odaadod a dombornyomott kártyát, azt "lehúzzák" egy papírra, te azt aláírod, a hajó kiköt, az üzemeltető összesíti a cetliket, leadja terhelésre a bankba, a bank pedig intézkedik. Ez esetenként több nap is lehet, míg a te kártyakibocsátódhoz/bankodhoz kerül az az információ, hogy terhelni kellene téged. Persze itt is aztán jött a kontroll, mert telefonon lehetősége volt fedezetellenőrzésre a kártyát elfogadónak. [Ez már egy újabb szint.]

Aztán jött az internetes legújabbkor, amikor már a csetablakba is a bankkártyánk adatait adjuk meg, mert a szemüveges szmájli 100 Ft-ért ne is olyan drága. Szóval ekkor CNP, azaz card-not-present tranzakcióról beszélünk. Nem csak te nem vagy jelen a tranzakciókor, hanem a kártya sincs ott az elfogadónál. Ekkor a kártyaadatok alapján történik az azonosítás.

Itt a tranzakciónál az a lényeges szempont, hogy igazolják, hogy az a kártya, amellyel fizetnek, az valóban "ott van-e" a fizetőnél. Ezt egy kártyára ütött egyedi kóddal teszik (verifikációs kód - CVV, CVC).

Ekkor a tranzakció során a bank kap terhelési értesítést, azaz a fizető számláján az összeg azonnal zárolásra kerül.

A kérdező aggálya valahol érthető. Hiszen elég elveszíteni egy dombornyomott kártyát, és igen kellemetlen pillanatokat tud megélni az ember. Na ezért kell letiltani azt a kártyát, amit nem találunk. [A letiltást követő pillanattól a bank felelőssége a kártyára terhelt összeg.]

Az offline tranzakciókat kivéve azonban az online tranzakciók megelőzhetőek azáltal, hogy ha a kártya nem főszámlához, hanem egy elkülönített kártyaszámlához kapcsolódik. Ekkor a tranzakció előtt a megfelelő fedezetet elhelyezzük a kártyán, és máris jók vagyunk.

Semmit nem lehet 100%-ban hülyebiztosra készíteni. A mi pénzünk, így a mi felelősségünk az, hogy tudjuk-e biztonságosan használni. Ha egy bankkártyát elhagyunk, még mindig ott a lehetősége, hogy a pénzünket megmentsük. Ellenben ha a pénzünket hagyjuk el, akkor uccu neki fakereszt... Tehát nem is annyira az ördögtől való ez a találmány.