Turvallisimmat verkkomaksamisen tavat verkkokaupoille

Kyberrikollisten varastaessa yli 146 miljardia maksutietoa vuosittain, maksutietojen turvallisuudesta on tullut kuluttajille merkittävin huomioitava tekijä, kun verkkomaksamisen tapaa valitaan verkkokauppaa kehittäessä. Samalla kuluttajien luottamus verkkomaksamiseen on kuitenkin noussut.

Statrysin artikkeli koosti yhteen verkkokauppojen turvallisimmat verkkomaksamisen tavat. Tämä artikkeli tarjoaa kokoelman turvallisimmista verkkomaksutavoista, joita digitaalisia / online-maksutapoja liiketoiminnassaan hyödyntävien yritysten ja verkkokauppojaen kannattaa käyttää sivuillaan vuonna 2023.  

Onko verkkomaksaminen turvallista? 

Vaikka verkkomaksut ovat parhaimmillaan erittäin käteviä, ne aiheuttavat silti merkittäviä riskejä sekä yrityksille että asiakkaille.

Riskinä on, että verkkomaksujen käsittelyn aikana välitetyt arkaluontoiset tiedot voidaan varastaa ja kyberrikolliset voivat päästä käsiksi niihin. Arkaluontoisilla maksutiedoilla viitataan muun muassa luottokorttien numeroihin, pankkitilitietoihin ja henkilötietoihin.

Tällä hetkellä suurin verkkomaksuihin liittyvä riski on petos.

Statistan mukaan verkkomaksupetokset ovat johtaneet verkkokauppayhtiöille noin 41 miljardin dollarin menetyksiin vuonna 2022.

Tilanne on pahentunut entisestään, ja verkkomaksupetosten vuosittaisten tappioiden odotetaan ylittävän 48 miljardia dollaria vuonna 2023.

Syy siihen on vilpillisen toiminnan lisääntyminen digitaalisissa maksuympäristöissä. Huijarit käyttävät nyt laajaa valikoimaa kehittyneitä lähestymistapoja verkkomaksujärjestelmien haavoittuvuuksien hyödyntämiseen. Koska kyberrikollisuus ja tietoturvarikkeet on mahdollista tehdä etänä, kiinnijäämisen riski on pieni.

Digitaalisiin petoksiin lukeutuu esimerkiksi tietojenkalasteluhuijauksia, tilien haltuunottoa, takaisinperintäpetoksia, sekä identiteettivarkauksia.

Toinen suuri verkkomaksuihin liittyvä riski on hakkereiden aiheuttamat tietomurrot. Näissä tilanteissa hakkerit murtautuvat yritysten tietokantoihin ja varastavat esimerkiksi asiakkaiden pankki- tai luottokorttitiedot, tilitiedot, tai sosiaaliturvatiedot.

Miten verkkokauppa voi suojautua maksukorttipetoksilta?

Yksi tapa suojata verkkomaksujasi edellä kuvatuilta riskeiltä on ottaa käyttöön monikerroksinen turvajärjestelmä.

Tällöin verkkokauppa tarvitsee maksupalvelun, joka ei vain käsittele erityyppisiä tapahtumia, vaan myös toteuttaa kaikki prosessit noudattaen kaikkia alan turvallisuusstandardeja. Kuluttajat arvostavat aina verkkokaupan työtä heidän ostokokemuksensa turvaamiseksi.

Maksuturvallisuus rakentaa brändin uskottavuutta, lisää asiakkaiden uskollisuutta ja nopeuttaa prosesseja. Kun asiakas on alkanut luottaa yhteen verkkokauppatoimijaan, hän ei mielellään syötä luottokorttitietojaan kilpailijoiden järjestelmiin. 

Mitkä ovat turvallisimmat online-maksamisen tavat?

Ohessa on esitelty turvallisimmat digitaalisen maksamisen tavat verkkokaupoille ja muille internetpohjaisille kauppapaikoille.

1. Luottokortit

Luottokortit mahdollistavat ostosten teon tai käteisennakon saannin luotolla. Perinteiset luottokortit ovat sirutettuja tai magneettiraidoitettuja muovikortteja, jotka ovat pankkien tai rahoituslaitosten myöntämiä.

Luottokortin kautta käyttäjät voivat lainata rahaa ennalta määrättyyn luottorajaan asti. Tätä rahasummaa he käyttävät asiointiin, jonka jälkeen lainatut varat maksetaan takaisin kertyneen koron kera.

Yksi standardi, joka suojaa luottokorttitapahtumia, on Payment Card Industry Data Security Standard (PCI DSS).

Useimmat suuret luottokorttiyhtiöt ovat PCI Security Standards Councilin jäseniä, joka kehittää ja parantaa korttitapahtumien ja digitaalisten maksujen käsittelyn turvallisuutta.

Tällaisia brändejä ovat esimerkiksi Visa, Mastercard, American Express, Discover, Wells Fargo ja Chase.

Nämä luottokorttien tarjoajat tarkastavat maksutapahtumia vilpillisen toiminnan varalta. Jos maksu suoritetaan varastetulta kortilta, laillisen omistajan pitäisi pystyä vaatimaan rahansa takaisin toimittamalla todisteet tapahtuneesta.

Näitä petostentorjuntatoimenpiteitä tukevat useat maksujen turvaominaisuudet, jotka on upotettu luottokortteihin ja niiden taustalla oleviin maksuverkkoihin.

Verified by Visa on esimerkiksi ominaisuus, joka todentaa kortinhaltijan henkilöllisyyden 3-D-protokollan avulla.

Pohjimmiltaan se kehottaa luottokortin käyttäjiäi antamaan salasanan tai vastaamaan turvakysymykseen aina, kun he yrittävät suorittaa verkkotapahtuman.

Luottokorttien tarjoajat ovat myös kehittäneet AVS:n, joka on lyhenne sanoista Address Verification Service. AVS:n avulla verkkokauppa voi vahvistaa asiakkaan laskutusosoitteen kortin myöntäjältä.

Tämän jälkeen luottokorttiyhtiöt toimittavat CVV:n (Card Verification Value), jotta verkkokauppa voi varmistaa, että asiakkaalla on fyysinen kortti hallussaan online-tapahtumia tehdessään.

Luottokorttitapahtumien turvaominaisuudet

• Petospisteytys korkeariskisten maksutapahtumien tunnistamiseksi.
• Käyttäytymisanalytiikka epätavallisten tapahtumamallien havaitsemiseksi.
• Laitteen sormenjäljet tapahtumiin käytettyjen laitteiden tunnistamiseksi.
• Dynaaminen CVV maksujen vahvistusta varten.
• SSL-salaus.
• Kaksivaiheinen todennus.
• Maantieteelliseen sijaintiin perustuva petosten havaitseminen.
• Biometrinen tunnistus asiakkaan todennusta varten.
• Tokenointi korttitietojen suojaamiseksi.
• AVS osoitteen vahvistamiseen.

Luottokorttimaksujen huonot puolet maksutapana verkkokaupassa

• Voi vaikuttaa negatiivisesti maksajan luottopisteisiin
• Usein mukana tulee piilokuluja.
• Voidaan käyttää identiteettivarkauksiin.
• Korkojen maksut asiakkaille.

1.2 Video: kuinka verkkokaupat voivat vastaanottaa luottokorttimaksuja näkemättä lainkaan luottokorttisi numeroa

2. Verkkopankkimaksu

Verkkopankkimaksu on turvallinen maksutapa, jolla siirretään rahaa pankkitililtä toiselle. Suomessa asiakkaat ovat yhä tänäkin päivänä tottuneet käyttämään verkkopankkimaksuja verkkokaupoissa asioidessaan. 

Eri pankkien maksutavat tarjoaa usein Klarnan tai Paypalin tyyppinen maksuliikennetarjoaja, joka ottaa oman komissionsa maksutapahtuman käsittelystä.

Pankkisiirrot ovat erityisen ihanteellisia suurille maksutapahtumille ja kansainvälisille maksuille, jotka aina hyödyntävät sen vahvaa end-to-end -salaus- ja todennusominaisuuksia. Toisaalta verkkopankkimaksuja voi hyödyntää pienissä maksutapahtumissa, kuten rahan lataamisessa sovelluksen sähköiselle tilille (esimerkki Trustlyn pankkisiirtoa maksutapana hyödyntävästä sivustosta linkin takana). 

Toisin kuin fyysiset käteisvaihdot, verkkopankkimaksut ja tilisiirrot suoritetaan sähköisesti, jolloin varat lähetetään asiakkaan ja verkkokaupan käyttämien pankkien välillä.

Pankkisiirron aloittamiseksi lähettäjän on maksettava tapahtuma pankissaan, johon verkkokaupan hyödyntämä maksutarjoaja ohjaa käyttäjän. 

Vastaanottajan pankkitiedot tulevat verkkopankkimaksuun automaattisesti, jolloin ne ovat automaattisesti tarkkoja vastaanottavan yrityksen tilitietojen osalta.

Pankkilaitokset joutuvat sitten vaihtamaan tietoja vastaanottajasta, vastaanottajan tilinumerosta ja siirrettävästä summasta. Kaikki nämä maksuohjeet välitetään yleensä turvallisesti SWIFT- tai Fedwire-verkkojen kautta.

Saatuaan tiedot aloituspankilta vastaanottajan pankki tallettaa pyydetyt varat maksutilille.

Molemmat pankkilaitokset suorittavat sitten maksun backendissä sen jälkeen, kun rahat on talletettu.

SWIFT viittaa tässä maailmanlaajuiseen viestintäverkkoon, jota rahoituslaitokset käyttävät viestintään. Se ei kuitenkaan siirrä varoja tai toimi pankkijärjestelmänä – SWIFT-verkko lähettää vain maksumääräyksiä pankkien välillä SWIFT-koodeilla.

SWIFT kehitti CSP (Customer Security Programme) -ohjelmansa estääkseen kyberhyökkäykset ja kielteiset seuraukset, joita niillä voi olla yrityksille, kuluttajille ja organisaatioille maailmanlaajuisesti.

CSP:llä on myös Payment Controls -palvelu, joka vähentää petosriskiä. Se valvoo maksuja reaaliajassa pitäen samalla silmällä käyttäytymismalleja. Aina kun epäilyttäviä tai käytäntöjen vastaista toimintaa havaitaan, järjestelmä lähettää tapahtumasta hälytyksen. 

Tämä toimintamalli edistää yksilöllistä ja yhteistä vastuuta verkkomaksutapojen turvaamisessa.

3. Pankkikortti – näin pankkikortin maksuprosessi toimii

Vaikka pankki- ja luottokorttitapahtumat käsitellään samalla tavalla, ne eroavat toisistaan tilin rahoitusmallin suhteen. Molemmat korttityypit käyvät läpi kolme vaihetta: valtuutus, selvitys ja rahoitus – mutta toisin kuin luottokortit, pankkikortit vähentävät rahaa suoraan asiakkaan tililtä.

Pankkikortin maksuprosessi alkaa, kun kortinhaltija aloittaa maksutapahtuman syöttämällä pankkikorttitietonsa verkkokaupan verkkomaksu-yhdyskäytävään.

Sitten maksuyhdyskäytävä pyytää valtuutusta maksun käsittelijältä.

Pyyntö välitetään tämän jälkeen kortin myöntäjälle, joka välittää sen kortin myöntäneelle pankille. Pankki tarkistaa viime kädessä kortinhaltijan tiedot ja joko hyväksyy tai hylkää tapahtuman.

Sitten tapahtuman tila lähetetään takaisin maksuverkon kautta kauppapankkiin.

Koko tämän prosessin aikana pankkikortit hyödyntävät erilaisia suojausominaisuuksia suojatakseen asiakasta ja verkkokauppaa petoksilta, identiteettivarkauksilta ja luvattomalta käytöltä.

Joitain tärkeimpiä suojauskeinoja ovat henkilökohtainen tunnusluku (PIN), EMV-sirutekniikka, 2-vaiheinen todennus, petosten valvonta, ostorajat ja kortin aktivointi.

Pankkikortin myöntänyt pankki valvoo lisäksi debit-, eli pankkikorttitoimintaa vilpillisten tapahtumien varalta. Epäilyttävän toiminnan sattuessa kortti voidaan lukita tai jäädyttää automaattisesti. Tällaisissa tapauksissa kortti pysyy passiivisena, kunnes kortinhaltija aktivoi sen uudelleen.

2-vaiheinen todennus puolestaan toimii ylimääräisenä suojakerroksena luvatonta käyttöä vastaan. Kaksivaiheisessa todennuksessa lähetetään tekstiviesti tai muu viesti (esimerkiksi viesti mobiilisovellukseen) asiakkaan matkapuhelimeen, johon esimerkiksi pankkikortitiedot käsiinsä saaneella varkaalla ei ole pääsyä. Jos kaksivaiheista todennusta onnistutaan jotenkin kiertämään, asiakkaita suojaavat edelleen pankkikorttien ostorajat, jotka rajoittavat summan, jonka he voivat käyttää yhteen ostokseen.

Pankkikorttitapahtumien turvaominaisuudet

• Ostosuojatakuu.
• Automaattiset tapahtumavahvistusviestit.
• Biometrinen todennus.
• Arkaluonteisten tietojen salaus.
• Kortin lukitus tai jäätyminen.
• Maantieteellisen sijainnin rajoitukset.
• Ostorajoitukset.
• Petosten seuranta.
• Kaksivaiheinen todennus.
• PIN (Personal Identification Number)

Pankkikorttitapahtumien haittapuolet maksutapana

• Jos kiistanalaista tapahtumaa ei ratkaista kortinhaltijan eduksi, hänellä ei välttämättä ole yhtä monta vaihtoehtoa, joihin turvautua, kuin luottokorttitapahtumissa.
• Yleisesti vähemmän suojaa petoksia vastaan, kuin luottokorteissa.
• Jotkut pankit voivat veloittaa ulkomaanmaksuja muissa maissa tehdyistä pankkikorttitapahtumista.
• Jotkut verkkokauppiaat voivat asettaa tilapäisen pidätyksen pankkikorttitilin varoihin.

 

4. Mobiilimaksaminen ja maksusovellukset, eli digitaaliset lompakot

Digitaaliset lompakot ovat maksusovelluksia, jotka tallentavat luotto-, maksu- ja lahjakorttitiedot yhteen portaaliin, joten voit tehdä ostoksia ilman fyysistä korttia.

Esimerkkinä digitaalisesta lompakosta toimii Mobile Pay.

Globaalisti verkossa on saatavilla useita mobiilimaksamisenvaihtoehtoja – PayPal, Google Wallet, Payoneer, Skrill, XanPay, Venmo, Samsung Wallet, Apple Pay ja Cash App.

Näiden verkkomaksupalvelujen avulla tilinomistajat voivat suorittaa maksutapahtumia jakamatta yksityisiä tietojaan kolmansille osapuolille. Kun verkkokaupan asiakkaat lataavat luottokorttinsa tiedot digitaalisen lompakon tilille, heidän tarvitsee vain vahvistaa ostotapahtuma mobiilisovelluksessa (plus tehdä mahdollinen kaksivaiheinen tunnistautuminen tai verkkopankkitunnistautuminen) tehdäkseen verkkomaksun.

Jos verkkokauppa ei syystä tai toisesta toimita maksettuja tavaroita tai palveluita, digitaalisissa lompakkopalveluissa voi olla ”ostajan suojaus” -toiminto.

Toinen digitaalisten lompakkotapahtumien suuri turvallisuusetu on useat suojauskerrokset, jotka suojaavat ostajan tietoja. Maksusovelluksen lisäksi myös vähittäismyyntipisteesi, taustalla oleva luottokorttiyhtiö ja kortin myöntänyt pankki suojaa sinua.

Se mikä kuitenkin erottaa digitaaliset lompakot perinteisistä luotto- ja pankkikorteista, on niiden tokenisoinnin käyttö. Tämä suojausmenetelmä koodaa tilinhaltijan tiedot niin voimakkaasti, että vaikka jälleenmyyjän järjestelmään murtautuisi, korttien numerot eivät koskaan vaarannu.

Maksutapahtumia käsiteltäessä digitaaliset lompakot korvaavat korttitiedot ainutlaatuisella, kertakäyttöisellä maksukoodilla. Näin henkilötiedot pidetään turvassa uteliailta katseilta.

Tämä on vastakohtainen toimintamalli fyysisille luotto- tai pankkikorttitapahtumille, jotka tallentavat korttitiedot maksunkäsittelyjärjestelmäänsä. Joka kerta kun asiakas suorittaa korttitapahtuman, hän ilmoittaa nimensä, korttinumeronsa, viimeinen voimassaolopäivänsä ja palvelukoodinsa – kaikki nämä voivat mahdollisesti paljastua tietomurron sattuessa.

Digitaalisten lompakoiden turvaominaisuudet

• Suojatut palvelimet käyttäjätietojen tallentamiseen.
• Yksityiskohtainen maksuhistoria jokaisesta tapahtumasta.
• PIN-suojaus.
• Automaattinen uloskirjautuminen tietyn ajan käyttämättömyyden jälkeen.
• Tapahtuman vahvistus ennen käsittelyä.
• Reaaliaikaiset tapahtumahälytykset.
• Lähimaksurajat.
• Kaksivaiheinen todennus.
• Etälaitteen kosketus.
• Maantieteellisen sijainnin rajoitukset.
• Petosten seuranta.
• Laitteen todennus.
• Salausalgoritmit.
• Tokenointi

Digitaalisten lompakoiden miinuspuolet

• Saattaa vaatia käyttäjää jakamaan henkilökohtaisia tietoja kolmannen osapuolen palveluntarjoajien kanssa.
• Vaatii vakaata internetyhteyttä verkkomaksujen turvalliseen käsittelyyn.
• Vaarana hakkerointiyritykset tai kyberhyökkäykset.
• Ei toimi kaikissa verkkokaupoissa.

Mistä löydät sopivat kumppanit verkkokaupan ja digitaalisen maksuliikenteen kehittämiseen?

Verkkokauppojen kehittämiseen erikoistuneet yritykset löydät Ite wikin verkkokaupan osaajayritykset listaavasta hausta  ja digitaaliseen verkkomaksamiseen erikoistuneet yritykset täältä.