You are here: TUTWiki>Tietoturva/Tutkielmat>EerolaJ?>2007-20

Tuukka Ojanen:

Maksujärjestelmät ulkomaisissa www-palveluissa

Johdanto

Tämän tutkielman aiheena on erilaisten maksujärjestelmien kartoitus ulkomaisissa www-palveluissa. Tutkielmassa kartoitetaan erilaisten järjestelmien yleisyyttä sekä niiden käytettävyyttä ja luotettavuutta etenkin asiakkaan näkökulmasta. Ulkomaille suoritettaviin maksuihin liittyy tiettyä lisäjännitystä verrattuna kotimaisille osapuolille kohdistettuihin maksuihin. Miten käyttäjä voi olla varma maksun perillemenosta ja saajan oikeellisuudesta? Mitkä ovat henkilön keinot ja oikeudet mikäli jotain menee pieleen?

Maksujärjestelmien kartoitus

Ulkomaisissa verkkopalveluissa maksaminen yleisimmin tarkoittaa yksityishenkilön kohdalla jonkinlaisen tuotteen ostamista. Ulkomaista liikkeistä tuotteiden tilaamisen taustalla ovat useimmiten kotimarkkinoita edullisempi hinta tai sitten kyse on harvinaisemmasta tuotteesta, jonka saatavuus on muuten heikkoa kotimaisia kanavia pitkin. Ulkomaat tällaisessa tilanteessa tarkoittavat tarkemmin useimmiten Euroopan maita, Yhdysvaltoja tai Aasian maita. Eksoottisimpien maiden osalta saattaa paikallinen lainsäädäntö poiketa paljonkin totutusta, kun taas toisaalta EU-alueella lainsäädäntöä on pitkälti yhtenäistetty. Myös ongelmatapauksissa avunsaanti ja toimenpiteiden teko saattaa osoittautua vaikeaksi suomalaiselle henkilölle vieraampien sekä kaukaisempien maiden kohdalla. Esimerkiksi kielimuuri voi tulla ongelmaksi. On ulkomaalaisia verkkokauppoja, joista pystyy tilaamaan Suomeen saakka, mutta verkko- ja asiakaspalvelu toimivat ainoastaan paikallisella kielellä, ja tämä ei välttämättä ole edes englanti.

Maksujärjestelmistä erilaisissa verkkopalveluissa tässä tutkielmassa keskitytään tarkemmin vertailemaan maksuja PayPal?- palvelulla, Western Unionin palvelun kautta, luottokorteilla maksun, postiennakolla ja tilisiirtoihin pankkien välillä. Nämä tavat valittiin yleisimpänä käytäntöinä tähän tutkielmaan lyhyen kartoituksen sekä omien henkilökohtaisten kokemuksien perusteella.

Yleisimpien maksujärjestelmien kuvaus

Maksujärjestelmien toiminta ja käytettävyys

Erilaisten maksutapojen kohdalla yksityishenkilön kannalta on itse maksuprosessissa isoja eroja käytännön ja maksutapahtuman sujuvuuden kannalta. Maksu tapahtuu helpoiten www-palvelun lomakkeen täyttämällä ja hankalimmassa tapauksessa maksua varten pitää käydä esimerkiksi paikallisessa konttorissa.

Luottokorttimaksuissa maksu hoituu helposti luovuttamalla yksinkertaisesti tarpeelliset tiedot maksun saajalle ja tämä onnistuu yleensä välittömästi ostopäätöksen jälkeen tämän toisen osapuolen www-sivujen lomakkeen kautta. Luottokorttimaksut ovat toiminnan ja käytettävyyden yksinkertaisuuden kannalta huipputasoa. Maksu on nopeasti perillä ja rekisteröitynä vastaanottajan järjestelmiin.

PayPalin? omistaa eBay. PayPal? soveltuu hyvin kansainvälisten ostosten tekemiseen. Sen käyttö edellyttää PayPal?-tilin luomista. Tiliin yhdistetään luottokortti, jota käytetään maksuvälineenä, myös Visa Electron käy. Kun luottokortti on yhdistetty PayPal?-tiliin, tekee PayPal? pankkitililtä muutaman euron väliaikaisen katevarauksen. Muutaman päivän sisällä tapahtuma näkyy pankkitilillä ja sitä kautta saa nelinumeroisen tunnuksen, jolla vahvistetaan, että omistaa kyseisen luottokortin. Tämän jälkeen PayPal?-tiliä voi käyttää maksamiseen. Väliaikainen katevaraus palautetaan pankkitilille. [6]

Kun päätetään maksaa PayPalin? kautta, ei pankkitietoja vaihdeta ostajan ja myyjän välillä. PayPal? huolehtii, että maksu siirtyy pankkitililtä myyjän PayPal?-tilille. Vaihtoehtoisesti rahat voi ensin siirtää omalle PayPal?-tilille ja maksaa sitä kautta. Jos myyjä haluaa, voi hän tarvittaessa siirtää PayPal?-tilillä olevan varallisuuden omalle pankkitililleen, mutta tästä koituu 1,50 dollarin palvelumaksu. PayPal?-maksun tekee helpoksi se, että ostosumma on valmiiksi laskettu ja maksaminen tapahtuu kirjautumalla omalle PayPal?-tilille. Maksaminen onnistuu vain muutamalla klikkauksella. Omia maksutapahtumia voi jälkikäteen seurata, sillä PayPal? tarjoaa maksuhistorian näkymät ja yksityiskohtaiset tiedot maksusuorituksista ja niiden tilasta. [1] ja [7]

Tilisiirto eri maiden välillä onkin hieman monimutkaisempi ja vaatii enemmän tiedonvaihtoa osapuolien välillä liittyen kansainvälisiin tilinumeroihin ja pankkikoodeihin. Myös pankkien palvelumaksut eri maihin maksettaessa saattavat olla yllättävä menoerä, eikä maksua tehdessä välttämättä tarkalleen tiedä näiden maksujen suuruutta ja lopullisesti tililtä veloitettavaa summaa. Kuitenkin EU:n sisällä SEPA-maksu on ilmainen. Maksun perillemeno saattaa kestää useita arkipäiviä. Tiedot pitää verkkopankkiin syöttää huolellisesti ja pienikin virhe tai puute saattaa aiheuttaa ylimääräisiä kuluja tai viivästyksiä. Euroopassa myös melko yleinen käytäntö on perinteinen postiennakko, jota osa palveluista tarjoaa vaihtoehtona. Postiennakossa tavara ja maksu kulkevat suomalaisen postin kautta ja ostaja suorittaa maksun valitsemallaan tavalla noutaessaan lähetyksen paikallisesta postitoimistostaan.

Western Union taas on maailmanlaajuisesti toimiva yritys, jonka palvelupisteiden kautta voi lähettää maksun toiselle henkilölle noudettavaksi toisesta Western Union palvelupisteestä. Palvelun käyttö vaatii tiedot toisesta osapuolesta ja Western Union palvelun lomakkeiden täytön paikallisessa toimipisteessä.

Maksujärjestelmien luotettavuus ja varmuus

Yksityishenkilön tehdessä maksuja vieraille tahoille vieraisiin maihin on tärkeätä voida luottaa maksun perillemenoon ja oikeellisuuteen. Maksutavoissa on eroja maksun ja myös tuotteen perille löytämisen varmistuksessa sekä oikeellisuudessa.

Helposti onnistuvan luottokorttimaksun huono puoli on arkojen maksutietojen välittyminen tietoverkkojen lävitse ja näin mahdollisesti joutuvan vääriin käsiin. Yksityishenkilö harvemmin voi olla varma www-palvelua tuottavan tahon huolellisuudesta tietoturvan suhteen palvelun tuottamisessa ja suunnittelussa. Luottokorttitietoja yritetään myös aktiivisesti kerätä erilaisten virusten ja haitta-ohjelmien kautta sekä huijaamalla yksityishenkilö antamaan maksutiedot väärälle taholle. Yksityishenkilö ei myöskään voi olla varma luottokortin veloituksen oikeellisuudesta. Maksukorttitapahtumia vastaanottavat palveluntarjoajat ovat kuitenkin pakotettuja noudattamaan kansainvälisen maksukorttialan tietoturvastandardin, PCI-standardin mukaisia ehtoja. PCI-standardin tavoitteena on turvata kortinhaltijan maksutiedot kaikissa olosuhteissa sekä nostaa korttitietojen käsittelevien tietoturvatasoa. [2]

PayPal? palvelun turvallisuus luottokorttimaksuihin verrattuna perustuu osaksi siihen, että varsinaisia korttinumeroita ei tarvitse kertoa maksun saajalle ja maksumääräyksen tekee tässä tapauksessa yksityishenkilö. Myös PayPal? tilien tietojen urkinta on mm. erilaisten sähköpostien ja huijaus sivustojen kautta on aktiivista.

Western Union palvelussa käyttäjä ei voi mitenkään varmentua maksun saajan henkilöllisyydestä, eikä ole mitään takeita ostostenkaan tulemisesta. Tilisiirrot ovat pankkien välisiä ja transaktioina turvallisia. Ostajan pitää tässäkin tapauksessa jollain keinolla varmistua vastaanottajan henkilöllisyyden oikeellisuudesta.

Postiennakko on järjestelmänä turvallinen ostettaessa tavaroita ulkomailtakin. Maksu suoritetaan vasta paikalliseen postiin lähetyksen tullessa, näin voidaan olla melko varmoja maksun perillemenosta sekä maksutapahtuman ja tietojen turvallisuudesta. Riskinä tässäkin tavassa kuitenkin on lähetyksen sisällön oikeellisuus.

Riskejä ja uhkakuvia

Maksutapahtuman yhteyteen liittyviä riskejä ovat tietenkin maksun perillemenon estyminen, palvelun tai tuotteen saamatta jääminen ja vakavimpana riskinä maksu- ja henkilötietojen joutuminen väärille tahoille, jonka johdosta voi kohdata isojakin rahallisia menetyksiä.

Maksutapahtumaa suoritettaessa tuleekin olla huolellinen käytössä olevan tietokoneen tietoturvasta tarkastamalla virussuojauksen toimivuus ja ajantasaisuus sekä huolehtia koneen palomuurisuojauksesta ja erilaisten haittaohjelmistojen poissaolosta. Haittaohjelmien tai virusten kautta maksutiedot saattavat lähetettävän vääriin käsiin tai käyttäjän istunto palvelussa ohjautua hyökkääjän perustamalle sivustolle. Luottokorttimaksuja tehdessä pitää varmistua yhteyden SSL salauksen olemassaolosta koko istunnon ajan sekä SSL sertifikaatin oikeellisuudesta.

Ennen maksun suoritusta ja tietojen syöttämistä on tärkeää tarkistaa toisen osapuolen luotettavuus ja oikeellisuus. Pienikin kirjoitusvirhe palvelun osoitteessa saattaa ohjata käyttäjän oikealta näyttävälle huijaus sivustolle. Kannattaakin käyttää selainta, joka osaa tarkastella sivun luotettavuutta. Esimerkiksi Firefox 3 sisältää sisään rakennettuna piirteen, joka osaa varoittaa phishing-sivuista [8]. Ensimmäisenä jo palvelun käyttöä harkitessa pitää tietenkin luottaa toiseen tahoon, sillä vaikka ongelmia ei maksutavoista johtuen aiheutuisikaan, voi palvelu tai tuote loppujen lopuksi jäädä kuitenkin saamatta.

Turvallisuutta voi parantaa hyvin yksinkertaisin keinoin. Esimerkiksi kun rekisteröityy verkkokauppaan, kannattaa miettiä hyvän salasanan periaatteita. Samaa salasanaa ja tunnusta ei kannata käyttää monessa paikassa. Lisäksi maksutapahtuman jälkeen voi poistaa kaupan omista korttitiedoista oman luottokortinsa tiedot. Näillä keinoilla voidaan paremmin estää omien tietojen vuotaminen tai ulkopuolisten pääsy tilille.

Toteutuneita huijauksia

Vuonna 2007 Nordea pankin nimissä lähetettiin laajamittaisesti suomalaisille vastaanottajille verkkopankkitunnuksiin kohdistettuja phishing- eli tunnuslukujen kalastelusähköpostiviestejä. Tällaisia viestejä arvioitiin lähetetyn jopa miljoonia. Viestissä oleva linkki vei huijauksessa käytetylle palvelimelle, jolla käyttäjä toivottiin syöttävän kertakäyttösalasanansa sivulla olevalle lomakkeelle. [5]

Western Union palvelu on ollut laajasti huijareiden suosiossa rahan noston helppouden ja useiden toimipisteiden vuoksi. Huijaustapauksessa tuote on usein erikoisen edullinen ja houkutteleva ja kiinnostuksen herättyä maksu pyydetään suorittamaan pikaisesti Western Union palvelun välityksellä ja toimittamaan maksutransaktion identifioiva MTCN numero, jonka kautta toinen osapuoli saa pääsyn rahoihin mistä tahansa Western Union toimipisteestä. [4]

Yksityishenkilön mahdollisuudet ongelmatapauksissa

Ongelmatapauksissa ja yksityishenkilön erilaisissa mahdollisuuksissa on isoja eroja kohdemaasta sekä käytetystä maksujärjestelmästä riippuen. EU:n alueella on voimassa ns. etämyyntidirektiivi, joka määrittelee kuluttajansuojan vähimmäistason, jonka jokainen EU-maa joutuu lainsäädännössään takaamaan. Mm. Suomi on kuitenkin lainsäädännössä antanut kansalaisillensa paremman lainmukaisen suojan kuluttajansuojalain muodossa. Kuluttajansuoja on kuitenkin voimassa ainoastaan yksityishenkilöiden ja yritysten välisen kaupan kohdalla.

Ensimmäisenä toimenpiteenä kannattaa kerätä tapahtuneesta mahdollisimman paljon tietoa tallentamalla ja tositteita tulostamalla. Toiseen osapuolen kanssa yhteistyön päättyessä kannattaa seuraavaksi olla yhteydessä maksujärjestelmän ylläpitoon reklamaation muodossa. Mahdollisuudet saada rahat takaisin tai korvauksia ovat eri maksujärjestelmien kohdalla hyvin erilaisia. Esimerkiksi Visa luottokortin kohdalla voi olla mahdollista saada rahat takaisin Visaa operoivalta Luottokunnalta.

Euroopan unionin alueella apua saa paikallisen kuluttajaviraston kautta, jonne valituksensa voi tehdä suomen kielellä. Kuluttajavirasto vie asiaa kuluttajan puolesta eteenpäin EU:n sisällä asian selvittämiseksi ja sovittelemiseksi. [3]

Lähteet

-- JariEerola? - 09 Nov 2009
Print version |  PDF  | History: r5 < r4 < r3 < r2 | 
Topic revision: r5 - 09 Nov 2009 - 12:02:06 - JariEerola?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback