Wiarygodny system autoryzacyjno-rozliczeniowy musi być niezawodny i uzyskiwać autoryzację w krótkim czasie.
Proces autoryzacji transakcji przy użyciu karty płatniczej zależy od kilku czynników, m.in. od rodzaju transakcji (gotówkowa, bezgotówkowa), rodzaju karty (z paskiem magnetycznym, mikroprocesorowe itp.) i środowiska, w jakim następuje płatność (terminal, bankomat). Transakcję inicjuje przeciągnięcie karty z paskiem lub umieszczenie karty mikroprocesorowej w czytniku. Po wprowadzeniu kwoty transakcji oraz kodu PIN, autoryzacja jest dokonywana przez połączenie z centrum autoryzacyjnym łączem telekomunikacyjnym.
Kompatybilność systemów
Sprzęt wykorzystywany do autoryzacji transakcji jest dostosowany do różnych systemów łączności (POTS, ISDN, VSAT, GSM-CSD, GPRS, FRAME RELAY, X. 25, TCP/IP). Często jest też możliwa integracja obsługi kart płatniczych z wykorzystywanym systemem kasowym. Terminale POS (point of sale) — jak informują przedstawiciele firmy PolCard — mają wbudowany modem i możliwość połączenia przez analogowe linie telefoniczne. W przypadku cyfrowej linii telefonicznej ISDN konieczne jest zainstalowanie terminalu-adaptera lub odpowiednio wyposażonego zakończenia łącza NT1. Każdy terminal dodatkowo jest wyposażony w port szeregowy R232, pozwalający na komunikowanie się z innymi urządzeniami sieciowymi w celu połączenia z centrum autoryzacyjnym.
— Nowym rozwiązaniem jest zastosowanie POS LAN serwerów i uzyskiwanie odpowiedzi autoryzacyjnych przez istniejącą lub nową sieć LAN punktu, w którym dokonywana jest transakcja (ethernet), połączoną — przez łącza WAN — z systemami naszej firmy. Wówczas infrastruktura kontrahenta musi pozwalać na połączenie z sieci LAN do centrum autoryzacyjnego, np. przez sieć w technologii GPRS. Rozwiązania z użyciem sieci teleinformatycznych pozwalają zmniejszać koszty eksploatacyjne — twierdzi Adam Parfiniewicz, prezes PolCardu.
Szybka zapłata
Istotnymi elementami procesu autoryzacji transakcji są: niezawodność połączeń, stała dostępność systemów autoryzacyjno-rozliczeniowych oraz czas uzyskiwania autoryzacji. Sieci teleinformatyczne znacznie przyspieszają proces autoryzacji, minimalizując czas potrzebny na obsługę klienta. Autoryzacja — mimo skomplikowanej procedury — trwa od kilku do kilkudziesięciu sekund, w zależności od rodzaju połączenia terminalu z centrum, oraz czynników ryzyka.
— W przypadku naszej firmy centrala telefoniczna oparta jest na systemie Definity firmy Avaya/Lucent/AT&T. Jest on zduplikowany z pełną redundancją zasobów, z wieloma łączami ISDN PRI do dwóch niezależnych dużych central tranzytowych Telekomunikacji Polskiej. Łącza poprowadzone są przez niezależne media teletransmisyjne z pełnym alternatywnym kierowaniem ruchu między centralami. Podobnie zorganizowana jest łączność przez sieć Polpak (Frame Relay czy X. 25). Łącza różnymi mediami prowadzone są do różnych węzłów z automatycznym przełączaniem w przypadku awarii. Łączność z większymi klientami zabezpieczana jest łączami zapasowymi, np. linią ISDN, uruchamianą w przypadku awarii podstawowego łącza Frame Relay — wyjaśnia Adam Parfiniewicz.
Dodatkowa weryfikacja
Wspólną cechą wszystkich mediów komunikacyjnych jest tzw. silna kryptografia, zapewniająca zarówno uwierzytelnienie urządzenia i karty płatniczej, jak i bezpieczną transmisję informacji wrażliwych, jak numer karty i kryptogram, pozwalający zweryfikować kod PIN. Podczas procesu autoryzacji centrum autoryzacyjne — w tym przypadku PolCardu — dokonuje w czasie rzeczywistym dodatkowej analizy transakcji, po to by wykryć próby oszustw czy nadużyć kartowych.
— Równolegle zapytanie autoryzacyjne jest przekazywane systemem informatycznym do organizacji kartowej — właściciela danego znaku (np. Visa, MasterCard, PolCard) i do banku, który kartę wydał. Decyzja o pozytywnej bądź negatywnej autoryzacji pochodzi niemalże zawsze od banku — wydawcy karty. W określonych sytuacjach, spowodowanych najczęściej procedurami ograniczania ryzyka, bank wydawca może zażądać dodatkowej weryfikacji w kontakcie bezpośrednim. Terminal wyświetla wtedy komunikat nakazujący kontakt telefoniczny z centrum rozliczeniowym, w trakcie którego następuje weryfikacja dodatkowych informacji wymaganych przez bank. Transakcja kończy się wraz w wydrukowaniem jej pozytywnego lub negatywnego potwierdzenia — opowiada Adam Parfiniewicz.
Transakcje on-line
Dokonywanie płatności przez internet kartami płatniczymi — nie licząc innych „fizycznych” form zapłaty (np. za zaliczeniem pocztowym), odbywa się w sposób całkowicie zautomatyzowany, podobny do zapłaty w sposób tradycyjny. Podstawowe różnice między tymi formami płatności są dwie: podmiot dokonujący sprzedaży wykorzystuje sklep on-line lub platformę e-commerce oraz łączy się z firmą zapewniającą autoryzację kart za pośrednictwem internetu, a nie łącza telefonicznego, jak ma to miejsce w przypadku tradycyjnych sklepowych terminali.
— Po wejściu na stronę internetową, kupujący wybiera interesujący go produkt lub usługę i jeśli zadeklaruje chęć zapłaty kartą, jest wówczas przekierowywany na nasz serwer. Następnie na specjalnym formularzu — zabezpieczonym certyfikatem SSL 128 bit — podaje dane swojej karty, czyli numer, datę ważności oraz kod cvv2 lub cvc2. Autoryzacja odbywa się po mniej więcej siedmiu sekundach, a informacja o niej jest przekazywana kupującemu i sprzedawcy — informuje Katarzyna Dłużewska, starszy asystent marketingu i PR spółki eCard.
Bez ryzyka
Dane karty płatniczej trafiają przez specjalne oprogramowanie do systemu firmy dokonującej autoryzacji wraz z informacjami zawierającymi: unikalny numer zamówienia, nadawany przez sprzedawcę, kwotę brutto transakcji, imię i nazwisko posiadacza karty oraz opis zamówienia. W żadnym momencie realizacji transakcji nie ma ryzyka utraty danych.
— Dane docierają do naszej firmy, a następnie są transmitowane — łączem dedykowanym — do naszego partnera autoryzacji transakcji — banku BZ WBK, a stamtąd bezpiecznymi łączami do banku wystawcy karty oraz organizacji płatniczych — Visa i MasterCard. Każde połączenie, za które odpowiada firma zajmująca się autoryzacją, jest szyfrowane, więc nie ma niebezpieczeństwa, że np. numer karty zostanie przez kogoś wykradziony — zapewnia Katarzyna Dłużewska.
System autoryzacji na bieżąco monitoruje wszystkie transakcje. Monitoringowi podlegają m.in. takie elementy, jak numer karty, którą dokonano płatności, kwota transakcji czy imię i nazwisko posiadacza karty. Połączenie systemu z bankiem rozliczeniowym jest zaś wielokrotnie backupowane oraz zabezpieczone zgodnie ze standardami transmisji bankowych.