Michał
Szybalski
Architekt Systemów
IT, Comarch S.A
Temat: Bezpieczństwo w CC OLT
Ciekawy głos w dyskusji na temat bezpieczeństwa transakcji. Ciekawe też, czy OLT- wzorem Amber Gold- korzysta z "darmowych" rozwiązań.http://samcik.blox.pl/2012/03/Kupowanie-biletow-lotnic...
"Piszę dziś o kupowaniu w OLT Express biletów. Okazuje się, że można to zrobić m.in. przez telefon, podając dane dotyczące karty. Pisze o tym do mnie jeden z czytelników, mając przeczucie, że nie jest to zbyt bezpieczne. „Spotkałem się przed chwilą z grubym naruszeniem procedur bezpieczeństwa w linii lotniczej OLT Express. Otóż linia ta oferuje ostatnio promocyjne połączenia lotnicze dla seniorów, z możliwością rezerwacji wyłącznie przez telefon. Postanowiłem skorzystać z promocji i kupić bilet mojej mamie. W trakcie rozmowy miła konsultantka poprosiła mnie o numer karty, imię i nazwisko, datę ważności i... kod CVV! Zatkało mnie. O ile mogę jeszcze zrozumieć podawanie trzech pierwszych rzeczy, to w mojej opinii kod CVV jest rzeczą absolutnie tajną. Mając komplet tych czterech informacji można zrobić niezłe zakupy na czyjś koszt!”.
No cóż, klient jest zaniepokojony i ja go rozumiem. Jeśli te wszystkie dane wyciekną do jakiegoś nieuczciwego pracownika OLT Express, to istnieje ryzyko fraudu. Ktoś mógłby w oparciu o podane przez klienta informacje zrobić zakupy na jego konto. „Abstrahując od zaufania do konkretnego konsultanta, rozmowa z call center jest przecież nagrywana a ja nie mam przecież wpływu na to kto, kiedy i co z tymi "taśmami" (plikami MP3) zrobi. Czy może Pan poruszyć temat na blogu, może zapytać OLT Express o przyczyny tak intruzywnej procedury?” - pyta czytelnik. Zgodnie z prośbą czytelnika udałem się do biura zarządu OLT Express, by zapytać dlaczego firma naraża klientów na ryzyko kradzieży pieniędzy z konta karty. Po dwóch dniach otrzymałem odpowiedź: „Szanowny Panie, w związku z Pana zapytaniem, poprosiliśmy naszego Operatora Płatności o ponowną interpretację dla stosowanej przez nas oraz wielu innych Sprzedawców usług i towarów, procedury przyjmowania płatności poprzez Call Center. Operator Płatności podkreślił, że jest to proces zgodny z procedurami Visa i MasterCard, a podanie CVV i CVC podczas rozmowy telefonicznej stanowi wręcz dodatkowe (wymagane) zabezpieczenie dla Klienta. Z poważaniem, Sekretariat Biura Zarządu OLT Express”.
Cóż, jeśli dobrze rozumiem, operator usługi płatności przez telefon żąda od klientów kodu CVV lub CVC dla ich własnego dobra. By wykluczyć, że ktoś kupuje bilety na nie swoje konto i by mieć pewność, że nabywca biletu fizycznie ma przed sobą kartę. Część z Was uważa - piszecie o tym w komentarzach do notki oraz na stronie blogu w Facebooku - że CVV lub CVC właśnie po to jest, by go w takiej sytuacji podawać. I że rację ma firma wymagająca tego kodu, a nie czytelnik. Ale jednak mam wątpliwości. W sklepach internetowych też podaje się kod CVV lub CVC, ale dzieje się to na stronie szyfrowanej, na której dane są przekazywane do operatora płatności w sposób ukryty. A tu podajemy taką daną otwartym tekstem, przez telefon. Karta tym samym zostaje narażona na fraudy ze strony kogoś, kto od tej chwili ma podany na złotej tacy komplet danych, by użyć karty w internecie. To taki kartowy striptease... Być może taka po prostu uroda płatności kartą przez telefon?"