"Krzysztofsf " <k...@g...pl> writes:

> -otrzymane z wirtualnego punktu handlowego zapytanie ma format zwykłego
> zapytania -
> takiego jak otrzymujemy z bankomatów, supermarketów i sklepów
> działających w
> "fizycznym", niewirtualnym świecie.

Bajki, ciekawe skad terminal zna CVC (kod normalnie zapisany na
sciezce magnetycznej) w takim przypadku, albo ktore bankomaty
wykonuja transakcje keyed-in (bez odczytu paska magnetycznego).

Wiele sklepow wykonuje zdalne transakcje jako "keyed-in", to prawda,
tak bylo od "zawsze" i nie wiem czego sie geniusze spodziewali.
Nie ma tez w tym, w praktyce, nic zlego, oprocz mniejszej ochrony
sprzedawcy, ktory nie moze skorzystac z mechanizmow zwiazanych
z transakcjami internetowymi.

> Takie autoryzacje musimy odrzucić,
> gdyż ze
> względów bezpieczeństwa eKARTĄ nie można dokonać transakcji niewirtualnych.

Nie wiem w czym upatruja to niebezpieczenstwo, przeciez to wlasnie
transakcje internetowe sa najmniej bezpieczne (w sensie szansy na
fraud, nie bezpieczenstwa np. banku albo klienta).

> -z wirtualnego punktu nie otrzymujemy zapytania autoryzacyjnego
> ponieważ punkt
> obsługuje tylko karty kredytowe, przy których autoryzacja nie jest
> konieczna.

Ciekawe w ktorych to "punktach" autoryzacja nie jest konieczna przy
zdalnych transakcjach, a klient wie o odrzuceniu transakcji online.

Kiedys moglo byc tak ze np. linia lotnicza nie autoryzowala transakcji
karta przy wczesniejszym zakupie biletu, bo w razie chargebacku po
prostu anulowali bilet. Ale obawiam sie ze teraz to juz nie ma
miejsca, i z pewnoscia nie o takie przypadki chodzi.

Co ma do tego kredytowosc to nie wiem.

> Często punkty takie wymagają jako dodatkowego potwierdzenia podania
> adresu, na który
> ma zostać przysłana faktura (tzw. adresu billingowego) lub przesłania
> faksem kopii
> dokumentów kupującego. Nawet po otrzymaniu tych danych punkt nie jest
> w stanie
> zweryfikować klienta, gdyż dla karty wirtualnej jedyną formą
> otrzymania zgody na
> dokonanie transakcji jest autoryzacja on-line u wydawcy (czyli w mBanku)."

Innymi slowy, jest dokladnie tak samo jak w przypadku dowolnej innej
karty wydanej przez ten sam mBank (z wyjatkiem roznic w reakcji banku,
oczywiscie). Dziwne ze inne karty dzialaja? A moze nie dzialaja?

W kazdym razie inne karty innych bankow dzialaja.

> "Te problemy w większej skali dotyczą sklepów zagranicznych, które
> już wcześniej
> obsługiwały karty kredytowe i nie chcą, bądź nie mogą, dokonać
> zmian systemowych,

No jasne, a czego sie spodziewali? mBank pewnie bardzo chetnie
dokonuje zmian systemowych w swoich kartach?

> które byłyby zgodne z regulacjami organizacji Visa.

Dzialanie tych sklepow jest zgodne z regulacjami bez tych zmian.

> Naszym zdaniem nie doceniają w
> ten sposób rosnącego grona klientów - posiadaczy kart wirtualnych
> na całym świecie.

Czy to jest rosnace grono klientow, to nie wiem. Moze to raczej banki
(chyba niezbyt liczne?) nie doceniaja swoich wlasnych klientow?

> Jednocześnie podtrzymują funkcjonowanie mniej bezpiecznych płatności
> - kartami,
> których można używać bez autoryzacji on-line, także w zwykłych
> sklepach i rozmaitych
> punktach usługowych."

A to mBank nie wydaje kart, ktorych mozna uzywac bez autoryzacji
on-line? Podobno wydawali?

Jesli sklepowi nie przeszkadza zwiekszone ryzyko, np. brak
weryfikacji adresu (brak zwiazku z kartami wirtualnymi; wielu
sprzedawcom przeszkadza), to moze nalezaloby ruszyc d*
i wprowadzic pare mechanizmow podnoszacych bezpieczenstwo,
zamiast oferowac produkt w wersji co najwyzej "testowej"
jako komercyjny.
--
Krzysztof Halasa