Autor: Jaroslaw Rafa (RAJ_at_inf.wsp.krakow.pl)
Data: Wed 04 Sep 1996 - 01:31:31 MET DST
No i zrobiła się nam na polipie dyskusja off-topic o kartach kredytowych. :-)
Pojawiły się tutaj różne głosy, częściowo wyglądające na sprzeczne. Chciałbym
spróbować w trochę bardziej uporządkowany sposób przedstawić działanie
systemu kart kredytowych na tyle, na ile ja go znam, a ostatnio z racji
sprawienia sobie takiej właśnie karty dosyć mocno interesowałem się tym, jak
to działa.
Ostrzegam: to jest długie, jak ktoś nie chce niech nie czyta ;-)
Zacznijmy od początku. Ktoś tutaj zrobił rozróżnienie między kartą płatniczą
i kartą kredytową. To nie jest całkiem tak. Kartami płatniczymi (payment
cards) są wszystkie karty, których można użyć zamiast gotówki w sklepach,
hotelach itp. itd. Potocznie wszystkie one nazywane są "kartami kredytowymi",
ale ściśle rzecz biorąc są ich trzy rodzaje:
- "prawdziwe" karty kredytowe (credit cards): posiadając taką kartę możesz
płacić pieniędzmi, których jeszcze fizycznie nie posiadasz. Na koniec
miesiąca otrzymujesz rozliczenie wszystkich transakcji dokonanych za pomocą
karty i rachunek, na którym wymieniona jest suma, którą musisz *fizycznie
zapłacić*, zwykle w terminie 30 dni, bankowi, który wystawił twoją kartę (na
Zachodzie najczęściej robi się to przez wysłanie czeku pod określony adres).
Jednakże nie musisz płacić całej sumy od razu. Możesz zapłacić mniej (co
najmniej 10% kwoty). Wtedy automatycznie zaciągasz w banku kredyt (dlatego
karta *kredytowa*) jakoś tam oprocentowany na resztę sumy, którą spłacasz
dowolnie w ciągu następnych miesięcy, nigdy jednak nie mniej niż 10%
miesięcznie.
Np. w USA tego typu kartę można otrzymać bez konieczności posiadania konta w
banku, który kartę wydał, bo i tak fizycznie płacisz czekiem za każdy miesiąc.
- karty tzw. obciążeniowe (charge cards): są one nieco podobne do kart
kredytowych, gdyż również możesz płacić pieniędzmi, których jeszcze nie masz.
Różnica polega na tym, że rachunek, który przychodzi na koniec miesiąca
musisz zapłacić *od razu w całości*, nie możesz go sobie rozłożyć na raty jak
to jest przy karcie kredytowej. W zależności od karty albo musisz
sam fizycznie zapłacić (np. czekiem, podobnie jak w przypadku karty
kredytowej), albo, jeżeli karta jest wystawiona w powiązaniu z
kontem, które masz w tym samym banku, po prostu po upływie określonego
terminu od dnia dostarczenia rozliczenia miesięcznego bank sam odlicza tę
sumę z twojego konta (a jeżeli po otrzymaniu rozliczenia wiesz, że tyle
pieniędzy nie masz ;-), to masz pewien zapas czasu żeby je wpłacić na swoje
konto, albo np. skorzystać z linii kredytowej, zanim ci to odliczą).
- karty debetowe (debit cards): te karty muszą być wydawane w powiązaniu z
kontem w banku i działają po prostu analogicznie do czeków, tylko bez
konieczności wypisywania papierów, legitymowania się itp. To znaczy, że po
każdej transakcji dokonanej z użyciem karty od razu obciążane jest twoje
konto (tzn. od razu kiedy informacja o transakcji dotrze do twojego banku, co
może potrwać kilka dni). W tym przypadku oczywiście musisz fizycznie mieć
pieniądze na koncie, żeby móc nimi zapłacić.
"Zewnętrznie" te wszystkie trzy rodzaje kart są nie do odróżnienia od siebie,
co więcej, ta sama karta może występować w kilku wersjach. Ktoś tu np.
wspomniał że Visa Classic nie jest kartą kredytową. To wszystko zależy od
banku który ją wydaje. Np. w Polsce Bank Śląski oferuje Visę Classic
kredytową, PKO BP Visę Classic typu charge, zaś Visy Classic kilkunastu
pozostałych banków są kartami debetowymi.
(Pomijam tutaj inne rodzaje kart jak karty do bankomatów, karty typu
"electron" czy też cash cards, gdyż mają one dość ograniczone zastosowanie i
nie są ani w części tak rozpowszechnione jak "klasyczne" karty płatnicze tych
trzech typów, które wymieniłem).
Na system kart płatniczych składają się cztery elementy:
1) międzynarodowa organizacja kart płatniczych, taka jak np. Visa. Ona sama
nie wydaje żadnych kart i nie prowadzi żadnych rozliczeń, a jedynie ustala
reguły działania systemu, których muszą przestrzegać pozostali jego
członkowie, a które zapewniają, że np. dowolna karta Visa wydana przez
dowolny bank należący do systemu będzie honorowana w dowolnym punkcie na
świecie, gdzie przyjmuje się płatności kartami Visa.
2) banki należące do organizacji 1), bezpośrednio wydające karty i
realizujące transfer pieniędzy za płatności dokonane kartami
3) firmy handlowe czy usługowe przyjmujące płatności kartami
4) centra rozliczeń kart kredytowych, zbierające od firm 3) informacje o
transakcjach, autoryzujące karty (potwierdzające ich autentycznośc i ważność)
oraz przekazujące zestawienia transakcji bankom 2). Centra te mogą być
związane z bankami (np. Centrum Autoryzacji Kart i Czeków Pekao SA) lub
stanowić niezależne firmy (np. Polcard).
Teraz co do numerów kart. Ktoś tu wspominał o tajnym PIN-ie. PIN jest
rzeczywiście informacją ściśle tajną i nie wolno go ujawniać nigdy i
nikomu (kiedy otrzymujesz kartę, dostajesz do domu list polecony zawierający
twój PIN, zabezpieczony na tyle różnych sposobów że przypomina to powieść
szpiegowską ;-)). PIN jednakże potrzebny jest tylko przy pobieraniu gotówki w
bankomacie, ewentualnie przy korzystaniu z innych automatycznych urządzeń,
gdzie nie ma sprzedawcy-człowieka. PIN pełni identyczną rolę, jak np. twoje
hasło przy logowaniu się do sieci - potwierdza, że to naprawdę ty jesteś.
Przy płaceniu kartą jednak w znakomitej większości wypadków nie podajesz PIN-
u, a właśnie numer karty. W istocie sama czynność zapłaty za pomocą karty
kredytowej sprowadza się do podania sprzedawcy danych figurujących na karcie -
przede wszystkim numeru karty, daty ważności i twojego nazwiska. Dane te
(zwłaszcza numer karty) *są danymi poufnymi*, gdyż ich znajomość *wystarcza*
do dokonania transakcji "zdalnie", np. przez telefon. Cytuję z "Regulaminu
wydawania i używania karty PKO Visa Classic" banku PKO BP, par. 36: "Ze
względów bezpieczeństwa wytłoczony na karcie numer może być okazywany osobom
trzecim wyłącznie w celu dokonania transakcji."
Oczywiście, jeżeli płacisz kartą fizycznie, np. gdy coś kupujesz w sklepie
albo płacisz rachunek w restauracji, to wymagana jest fizyczna obecność karty
i sama znajomość jej numeru nic ci nie pomoże. Dlatego przy płatnościach
dokonywanych fizycznie w przypadku mniejszych sum na ogół rezygnuje się w
ogóle z autoryzacji karty, tzn. sprawdzenia w centrum rozliczeniowym jej
numeru i nazwiska posiadacza, zakładając, że jeżeli karta "wzrokowo" wygląda
na autentyczną (a karty jest raczej dość trudno podrobić), i podpis złożony
przez ciebie na rachunku jeest zgodny z podpisem na karcie, to wszystko jeest
OK.
Kartą możesz płacić również "zdalnie", podając w/w dane przez telefon,
listownie lub przez Internet firmie sprzedającej. W tym przypadku, ponieważ
sprzedawca nie widzi fizycznie karty, każdorazowo musi być dokonana jej
autoryzacja, aby sprawdzić, że taka karta na pewno istnieje i jest ważna.
Takiej autoryzacji sprzedawca może dokonać albo przez telefon, dzwoniąc do
centrum rozliczeniowego (BTW. każdy sprzedawca też ma swój numer
identyfikacyjny, który musi podać dzwoniąc do centrum, aby chcieli z nim
gadać), albo on-line za pomocą specjalnego terminala.
Teraz odnośnie potwierdzania transakcji. Jeżeli płacisz kartą fizycznie,
sprawa jest prosta - sprzedawca bierze od ciebie kartę, jeżeli posiada
terminal do kart (mają je zwykle sklepy w których jest duży ruch, np..
supermarkety), to po prostu wkłada kartę do czytnika terminala i wpisuje z
klawiatury kwotę transakcji. W przypadku małych sum terminal sprawdza kartę
off-line, tzn. sprawdzana jest tylko "algorytmiczna" poprawność numeru karty,
dla większych sum dzwoni (te terminale zwykle "wiszą" na normalnych
komutowanych liniach telef.) do centrum rozliczeniowego i autoryzuje kartę
on-line. Terminal drukuje rachunek, ty go podpisujesz, sprzedawca sprawdza
twój podpis ze wzorem na karcie (albo i nie... 8-)) i oddaje ci kartę z jedną
kopią rachunku, a drugą kopię zostawia sobie. Aha, na terminalu jeszcze musi
potwierdzić poprawność podpisu ("tak=1, nie=0", hi hi ;-)), aby transakcja
została zakończona. Dane z transakcji dokonywanych off-line terminal
przechowuje w swojej pamięci i jak mu się bufor przepełni to dzwoni do
centrum rozliczeniowego i transmituje.
W sklepach w których nie ma terminali, sprzedawca posługuje się
specjalnymi formularzami samokopiującymi z 3 kopiami i mechaniczną maszynką
odbijającą na takim formularzu dane z karty oraz dane sprzedawcy. Najpierw
sprzedawca wpisuje na rachunku kwotę transakcji i daje ci ten rachunek do
podpisania. Sprawdza twój podpis z podpisem na karcie (w przypadku "ręcznej"
obsługi kart raczej zawsze sprawdzają podpisy 8-)), po czym wsadza kartę do
maszynki i odbija na rachunku to, co trzeba. Jedna kopia rachunku jest dla
ciebie, druga zostaje u sprzedawcy, trzecia jest wysyłana do centrum
rozliczeniowego. Jeżeli suma jest duża, to przed wykonaniem opisanej operacji
sprzedawca dzwoni do centrum rozliczeniowego i autoryzuje kartę.
Ktoś tu spytał, "a dlaczego ludzie po odebraniu towaru nie wypierają się,
mówiąc że pierwsze słyszą, aby coś takiego kupowali". No mniej więcej z tego
samego powodu, dla którego jeżeli płacisz w sklepie gotówką, a zdarzy się
tak, że sprzedawca wcześniej poda ci towar niż weźmie pieniądze (co się
przecież zdarza nie raz), to nie odwracasz się na pięcie i nie uciekasz co
sił w nogach, tylko jednak płacisz ;-).
Co się tyczy płacenia "zdalnego", tak jak napisałem, sprowadza się ono do
podania za pomocą jakiegoś środka łączności (telefon, faks, list, e-mail,
formularz na WWW) sprzedawcy danych swojej karty. Sam jeszcze tego nigdy nie
robiłem, więc nie wiem, jak dokładnie wygląda procedura potwierdzania
transakcji. Z tego, co wiem od ludzi, czasami nie ma żadnego potwierdzenia -
zakłada się po prostu, że generalna większość kupujących to będą ludzie
uczciwi, a ewentualne przypadki wykorzystania cudzej karty właściciel karty
sobie wyjaśni przy rozliczeniu miesięcznym. Czasami stosowane jest
potwierdzenie w postaci rachunku nadesłanego wraz z zamówionym towarem, który
trzeba podpisać i odesłać. W przypadku zamówień składanych zwykłą pocztą czy
faksem za wystarczające potwierdzenie może prawdopodobnie posłużyć podpis na
zamówieniu. Nie musi ono być żadnym szczególnym drukiem. Tak jak mnie
informowali ludzie z USA, cały ten system opiera się w dużej mierze na
wzajemnym zaufaniu sprzedających i kupujących.
Tu właśnie jest istotne aby nikt nie przechwycił danych twojej karty
kredytowej i nie podszył się pod ciebie. Oczywiście w takim przypadku zawsze
możesz np. zwrócić otrzymany, a niezamawiany towar, z informacją, że ktoś
wykorzystał twoją kartę kredytową i firma powinna wycofać transakcję, ale w
praktyce może to być różnie. W USA - z tego co mi mówiono - jeżeli okaże się,
że transakcje są nie twoje, to ty jesteś nimi obciążony tylko do pewnej
sumy (bodajże 50$), a za resztę odpowiada bank (albo ubezpieczenie?). W Polsce
trudno powiedzieć, jak to jest; regulamin który mam nie wypowiada się na ten
temat wprost, jednak można przypuszczać, że jednak takimi transakcjami
chcianoby obciążyć właściciela karty. Pewnie potrzebna byłaby precedensowa
sprawa żeby ustalić postępowanie w takich przypadkach.
Po to właśnie np. w Netszkapie jest protokół SSL, a na większości site'ów
gdzie można coś zamówić za pomocą karty służą do tego celu szyfrowane przez
SSL tzw. "Secure order forms", osiągalne przez URL'e typu
https://co%b6.tam/co%b6/tam.html. Jeżeli włączysz sobie w Netszkapie opcję "Warn
insecure forms" (większość ludzi trzyma to wyłączone, bo na dłuższą metę nie
ma to sensu), to na każdej nieszyfrowanej stronie zawierającej formularze
Netszkapa wprost cię ostrzega, że jeżeli za pomocą tego formularza chcesz
przesyłać numer karty kredytowej, to lepiej tego nie rób.
Ktoś tu pisał, że teraz już tak zamawiać nie można. Nieprawda. Jest bardzo
wiele site'ów gdzie można tak zamawiać. Oczywiście duże "Internet malls"
faktycznie wymagają wcześniej zarejestrowania się jako klienta i
jednorazowego podania numeru karty poza Internetem (telefon, faks - tak
jakby to było trudniej podsłuchać ;-)), ale wiele małych sklepików sieciowych
pozwala zamawiać bezpośrednio przez (szyfrowane 8-)) WWW.
No, przynajmniej na końcu nie było całkiem off-topic... :-) Długie to, ale
ostrzegałem ;-)
Pozdrowienia,
Jaroslaw Rafa
raj_at_inf.wsp.krakow.pl
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 15:59:30 MET DST