EID kasutamine makseteks

Allikas: eid.eesti.ee

ID-kaardi kasutamine makseteks

Ülevaade

Maksekaardisüsteemi põhimõtteline erinevus kliendikaardisüsteemist seisneb lahenduse orienteerituses turvalisele ja tõestatud tehingute sooritamisele. Kuna tüüpiliselt toimub tehingu elektrooniline fikseerimine vastava maksekaardi kasutamise abil, on maksekaardile esitatud oluliselt rangemad turvanõuded - kaart peab olema võltsimatu ning peab olema ka välistatud kaardi volitamatu kasutamine. ID-kaart tänu oma väga kõrgele võltsimiskindlusele ja suurele turvatasemele on seetõttu ideaalne vahend maksekaardina kasutamiseks.

Konkreetse rakendamisnäite leiab Edelaraudtee ID-kaardi põhise maksekaardi baasilt.

Makselahendustes ID-kaardi kasutamise eelised:

  • ID-kaart on nii füüsiliselt kui elektrooniliselt disainitud turvalisust ja võltsimatust silmas pidades. Analoogse turvalisusega kaardi väljaandmine, pidev arendamine ja haldamine on väga kulukas ning nõuab kõrgelt kvalifitseeritud spetsialste.
  • ID-kaart on praktiliselt võltsimiskindel – seda tüüpi kaartidega pole tuvastatud ühtegi võltsimisjuhtu.
  • Kaardiga on võimalik kasutada füüsilist isikutuvastamist, elektroonilist isikutuvastamist ning digiallkirjastamist.
  • Makseteenuse realiseerijal puudub vajadus tegeleda kaardi väljastamise, kadumise ja sulgemise protsessidega – need on kaetud juba riigi poolt.

Eesmärk

ID-kaardi põhises maksekaardisüsteemis kasutatakse ID-kaarti kui automatiseeritud kliendi tuvastamise vahendit.

Süsteemis turvalise ja võltsimatu kaardi kasutamine annab võimaluse realiseerida lahendusi, kus klient ei pea koheselt sularahas või pangakaardiga teenuste ees tasuma, vaid tehingu toimumist tõestatakse ID-kaardiga ning tegelik tasumine toimub kas hiljem või siis automaatselt kaardiga seotud maksesüsteemis. Selline lähenemine annab olulist ajavõitu tehingu toimumise hetkel ning samuti ka pakub olulist lisamugavust püsiklientidele, kes tarbivad tooteid ja teenuseid pidevalt.

ID-kaardi põhise lahenduse korral on võimalik saavutada ülikõrge turvatase, mis isegi ületab tänapäeval panganduses kasutavate kiipkaardipõhiste maksekaardisüsteemide taset.

Lahenduse kirjeldus

ID-kaardi põhise maksekaardisüsteemiga saab realiseerida erineva turvatasemega makseteenuseid, sõltuvalt sellest, kui mugav ja kiire peab olema tehingu fikseerimine ning kui suured on nõuded tehingu turvalisele tõestamisele. Üldloogika on kõikidel maksekaardi lahendustel suhteliselt sarnane – klient tuvastatakse elektroonselt tema ID-kaardi abil ning seejärel on tal võimalik kasutada maksefunktsionaalsust. ID-kaardi kasutamine annab maksesüsteemi opereerijale kindluse, et isik on piisava täpsusega tuvastatud ning aitab maandada maksete väärkasutuse riske. Maksefunktsionaalsus ise ei pruugi olla alati otseselt ID-kaardiga seotud.

Reaalne rahaline tehing saab olla ID-kaardi põhistes makseskeemides realiseeritud väga erinevalt - kas seotud pangakaardi makse abil, mobiilioperaatorite mobiilimakse lahenduse abil, või siis lihtsalt antakse kliendile makse sooritamise hetkel krediiti ning klient kohustub hiljem esitatud arve alusel selle hüvitama.

Põhimõtteliselt on eristatavad järgmised tüüpskeemid ID-kaardil baseeruvates makseskeemides:

  1. ID-kaardi kasutamine kliendiga lepingu sõlmimiseks, maksete sooritamisel enam ID-kaarti ei kasutata. Sellist skeemi kasutatakse juhtumitel, kus makse sooritamise hetkel pole ID-kaarti kas teenuse olemuse tõttu võimalik kasutada või on selle kasutamine makse sooritamise koha kontekstist tulenevalt ebamugav.
  2. ID-kaardi kasutamine maksete sooritamisel PIN-koodi sisestamiseta. Sellisel juhul sõlmitakse kliendiga tavaliselt eelnevalt leping, mille kaudu klient annab nõusoleku sellise makseskeemi kasutamiseks. Sellist skeemi on hea kasutada lahendustes, kus on olulline makse sooritamise kiirus.
  3. ID-kaardi kasutamine maksete sooritamisel autentimise PIN-koodi sisestamisega. Analoogselt eelnevate skeemidega sõlmitakse tavaliselt kliendiga leping, mille kaudu klient nõustub sellist skeemi kasutama.
  4. ID-kaardi kasutamine maksete sooritamisel digiallkirjastamise PIN-koodi sisestamisega. Sellisel juhul pole tingimata vajalik eelnev lepingu sõlmimine kliendiga, kuna vastava lepingu võib liita kasvõi allkirjastatavasse maksesõnumisse. Lahenduses on tagatud tehingu tõestamise autentsus. Sellist skeemi kasutatakse juhtudel, kus on vaja saavutada suurim võimalik maksetehingu tõestamise tase.

Alljärgnevas on kirjeldatud kõik kasutatavad skeemid lähemalt.

ID-kaardi kasutamine kliendiga lepingu sõlmimiseks, maksete sooritamisel enam ID-kaarti ei kasutata

Sellises makselahenduses kasutatakse ID-kaarti ainult selleks, et saaks mugavalt ja elektroonselt sõlmida kliendiga leping, milles ta kohustub järgima makseskeemi põhimõtteid. Makse sooritamiseks saab kasutada tehingu kinnitamisel väga erinevaid mehhanisme ning see valitakse sõltuvalt tehingu teostamise tehnilise lahenduse omapäradest.

Makseteenuse realiseerijal on vajalik pöörata suurt tähelepanu makse sooritamise mehhanismi turvalisusele, et seda ei õnnestuks väärkasutada. Kõik sellepõhised riskid langevad paratamatult teenusepakkujale, kuna puudub usaldusväärne elektroonne meetod makse sooritaja isiku ja tema tahte tõestamiseks.

ID-kaardi kasutamine maksete sooritamisel PIN-koodi sisestamiseta

Sellises skeemis on kliendi jaoks makse sooritamine mugav, kuna piisab ainult kaardi lugejasse sisestamisest ja ei pea sisestama PIN-koodi. Teenusepakkujale pakub selline lahendus automaatse elektroonse isiku fikseerimise võimaluse.

Teenusepakkuja peab olema võimeline vajadusel kliendile tõestama, et makse sooritamise hetkel kasutati tõepoolest ehtsat ID-kaarti (mis antud skeemi korral tähendab kaardi füüsilises ehtsuses veendumises) ning et ID-kaardi kasutaja oli ikka selle omanik (selleks peab teenusepakkuja töötaja veenduma isikusamasuses). Isikusamasuse tagamist on võimalik lepinguliselt panna ka kliendile - kohustades teda ID-kaardi kadumisel viivitamatult teenusepakkujat teavitama.

ID-kaardi kasutamine maksete sooritamisel autentimise PIN-koodi sisestamisega

Sellist lahendust kasutatakse tüüpiliselt veebipõhistes skeemides, kus kasutaja logib oma ID-kaardiga keskkonda sisse ning makse sooritamise hetkel küsitakse talt täiendavalt kinnitust ainult näiteks nupule vajutamise kaudu vms.

Lahenduses saab makse sooritaja isikusamasus elektroonselt tõestatud, kuid teenusepakkujal puudub elektroonne tõestus tehingu toimumise üksikasjadele - summa, alus jms.

ID-kaardi kasutamine maksete sooritamisel digiallkirjastamise PIN-koodi sisestamisega

Tegemist on kõige turvalisema meetodiga tehingu toimumise fakti kinnitamiseks. Sellelaadse makseteenuse kasutamisel ei pea teoreetiliselt teenusepakkuja sõlmima kliendiga ka eelnevat lepingut, kuna lepingutingimused on võimalik liita otse makseandmetesse - klient oma allkirjaga kinnitab üheaegselt nii makseteenuse kasutamise tingimustega nõustumise kui ka tehingu üksikasjad.

Digiallkirjastamise kasutamine tagab teenusepakkujale seaduse kaitse. Teenusepakkuja peab hoolitsema, et kliendil oleks võimalik koheselt peale digiallkirjastamist alla laadida tema poolt allkirjastatud dokument - see tagab, et kliendil on võimalik ka ise veenduda, millise sisuga dokumendile ta oma allkirja andis. See välistab hilisemad sellekohased vaidlused.

Digiallkirjastamise kasutamise miinuseks on vajadus hankida allkirjastatavale dokumendile ajatempel - see nõuab paratamatult online ühenduse olemasolu allkirjastamise asukohas.

Väljakutsed

Kuigi ID-kaardi turvalisus on samaväärne või isegi ületab spetsiaalsete kiipkaardipõhiste maksekaartide oma, ei õnnestu ID-kaardile laadida maksete jaoks kohandatud rakendust, mis võimaldaks teostada riskikontrolle, hallata offline kaardikasutust jms.

Teine oluline probleem ID-kaardi põhise makselahenduse realiseerimisel on asjaolu, et puuduvad järeleproovitud ja laialt kasutatavad valmislahendused. Iga makseteenuse pakkuja on sunnitud paratamatult arendama tema vajadustele sobiva lahenduse. Seetõttu peab paratamatult arvestama kahe riskiga:

  • Makseteenuse ärprotsesside turvalisuse risk - risk, et makseteenuse äriprotsessid pole piisavalt põhjalikult läbi mõteldud, mistõttu leiavad kurjategijad protsessist puudujäägi, mida väärkasutuse jaoks ära kasutada
  • Makseteenuse tehnilise lahenduse vigade risk - risk, et makseteenuse tarkvaras leidub mingi tehniline viga, mida kurjategijad saavad väärkasutuseks ära kasutada

Rahvusvaheliste kaardiorganisatsioonde poolt kasutatavad lahendused on tänu aastakümnete pikkusele kasutusele piisavalt läbiproovitud, mistõttu neis on eelpool mainitud riskide tase oluliselt väiksem. Seetõttu tuleks tegelikult lugeda ID-kaardiga realiseeritud makseteenuseid suhteliselt riskantseteks, vaatamata ID-kaardi kui sellise väga heale elektroonilisele turvalisusele. Ettevõte, kes selliseid makseteenuseid realiseerida soovib, peab endale teadvustama kõik olulised riskid ning töötama välja riskiplaani nende maandamiseks.

Tegevuskava

ID-kaardil baseeruva maksekaardisüsteemi realiseerimine sõltub suuresti kogu lahenduse äriloogikast. Tüüpiliselt on tegemist spetsialiseeritud maksekaardisüsteemi spetsiifilise lahendusega – valmis universaalsed laiatarbe tarkvarad selle jaoks puuduvad. Üldjoontes koosneb arendus järgmistest tegevustest:

  1. Analüüs. Täpsete äriprotsesside paikapanek, tehnilise lahenduse kontseptsiooni väljatöötamine, arendusmahtude määratlemine. Kuna analüüsi käigus tuleb välja töötada ka kogu äriline lahenduse ideoloogia, siis tuleks arvestada selle etapi kestvuseks vähemalt üks kalendrikuu.
  2. ID-kaardiga suhtleva komponendi arendamine. Riistavaraline ja tarkvaraline lahendus maksekaardifunktsionaalsuse jaoks vajalikus mahus ID-kaardiga suhtlemiseks – ID-kaardi tuvastamine, sealt isiku info lugemine, digiallkirjastamise käivitamine. Vajalikud madala taseme komponendid on ID-kaardi API näol olemas, kuid arendada on vaja kõrgema taseme tarkvara, mille abil kogu vajalik funktsionaalsus tervikuks seotakse. ID-kaardiga suhtleva komponendi arendamise ja testimise töömaht kokku on ca 40 tundi. Küll aga võib kogu vajaliku teenuse äriloogika realiseerimine olla väga töömahukas.
  3. Vajalikud äriprotsesside realiseeringud – tehingute arvestus, arveldamine, aruandlus jms. Töömaht suuresti sõltuvuses lahenduse olemusest.