KORTBETALNINGAR

Marknaden för kortbetalningar är lukrativ. Bankerna tjänar stora pengar på avgifter, och konkurrensen har varit minst sagt stagnerad sedan kortens inkomst på 1950 talet. Som kund har man valt mellan olika förmåner; som vilka försäkringar, räntor och bonusar korten erbjuder. Men på senare tid har säkerhetsfunktioner för betalningslösningar och nya lösningar stått högst upp på agendan.

De flesta av oss tänker inte särskilt mycket på vad som händer när ett bank/kreditkort dras för betalning. Det enda vi vet är att på något sätt så dras pengar från ens konto till handlarens konto. Processen inkluderar dock flera parter för att få debit och kredit att stämma överens, samt att säkerheten efterföljs.

Visa och Mastercard med flera framtog ett set av standarder kallat PCI DSS (Payment Card Industry Data Security Standard) som företag måste följa vid hantering av kort. Detta för att motverka kortbedrägeri och identitetsstöld. Man vill säkerhetsställa att kundens information går igenom en säker process och att integriteten bibehålls. De kan dela ut böter till de företag som inte följer kraven.

Standarderna beskriver bland annat;

• Företagets nätverk måste ha en brandvägg och får inte behandla kundinformationen längre än vad som är nödvändigt för att transaktionen ska gå igenom.
• Systemet i sin helhet ska vara uppdaterad till senaste versionerna och kollas regelbundet så att allt är i sin ordning. På samma sätt ska säkerheten för nätverket kollas regelbundet för att se till att ingen extern part har kompromissat det.
• Endast de personer som behöver tillgång till kundinformationen ska ha det, och personalen ska vara informerad och utbildad vid handhavandet med köp av kort.
• Om företaget har återkommande orders som kräver att information från korten sparas, så ska den vara krypterad med minst 128 bit SSL (2¹²⁸ möjliga kombinationer med det digitala certifikatet SSL).

CVV och AVS

När det kommer till online betalning med kort så används främst tre säkerhetsmetoder; lösenordskyddad verifieringsprogramvara, CVV och AVS:

1. 1. I Sverige är de flesta bekanta med mobilt-BankID; en lösenordskyddad verifieringsprogramvara. Det kan sägas motsvara PINkoden till ditt chip kort. Mobilt-BankID har fördelen att kunna användas som verifiering till flertalet typer av inloggningar och bekräftande.

1. 1. CVV (Card Verification Value) är det tre eller fyrsiffriga numret på baksidan av ditt kort som du skriver in efter kortnumret. Denna kod finns endast tillgänglig på det fysiska kortet och sparas inte på andra ställen som kortutdrag, kvitton och dylikt. Med andra ord måste en bedragare ha sett koden på kortet för att kunna utnyttja den.

1. 1. En annan säkerhetsmetod är AVS (Adress Verification Service). Den kollar så att kundens faktureringsadress som är kopplat till kortet stämmer överens med adressen som uppgivits vid betalning för ett köp. Återförsäljaren kan bestämma om det måste matcha eller inte, eller om det behövs ytterligare information från kunden.

Säkerhetsmetoden AVS är dock inget vi svenskar är vana vid, och förekommer ofta på amerikanska sidor. Det hela resulterar ofta i att köpet inte kan genomföras då systemet är uppbyggt främst för amerikanska postnummer.

Mer funktioner och säkerhet med Chipkort

Du kanske undrar varför det fortfarande är magnetremsa kvar på korten när den har ett chip i sig. Det är nämligen så att även om vi i Sverige relativt snabbt ställt om oss till chipbetalning så finns det fortfarande många länder som inte använder tekniken i samma utsträckning. Övergången har inte gått i den takt som kortutgivarna vill. USA är en av de länder som haft störst problem med kreditkortstöld till följd av de gamla magnetkorten.

EMV eller chipkort som vi kallar det, är ett protokoll som har utvecklats av Europay, Mastercard och Visa. Detta tillsammans med PINkod (snarare än signatur) kopplat till kortet är idag industristandard för kortbetalning. Till skillnad mot magnetremskort är EMV både säkrare, flexiblare och erbjuder mer funktioner för både kunden och företagaren.

Magnetremskort består av statisk information och kan med lätthet utnyttjas av bedragare för att göra obehöriga transaktioner eller sälja informationen vidare. Istället består chipkort av dynamisk information, som ändras vid varje ny transaktion. På så sätt är informationen meningslös för en bedragare då den inte kan återskapas vid ett senare tillfälle.

Chipkort har en annan fördel gentemot de med bara magnetremsa. Betalningar kan genomföras på områden där uppkoppling till ett nätverk är dålig. Detta genom att chipet berättar för kortläsaren att kortet går att lita på; transaktionsinformationen sparas så att försäljaren vid slutet av dagen kan koppla upp sig för att godkänna dessa betalningar. Notera att ingen data om dig eller kortet sparas under dagen, utan endast den pågående transaktionen.

Kontaktlösa betalningar, NFC

Ett kort med teknologin NFC (Near-Field Communication) innebär att kortet skickar ut en signal till terminalen när du håller det nära. NFC inkorporeras i chipkortet och möjliggör således kontaktlös betalning. Men det är inte bara kort som kan använda denna teknologi.

Dina plastkort kan istället sparas i en mobil plånbok för att kunna göra mobila kontaktlösa betalningar. På samma sätt som vid betalning av EMV kort, så består varje transaktion av en helt ny dynamisk kod för ökad säkerhet. Tjänster som Apple, Samsung och Google Pay är bland de mest använda lösningarna för mobila betalningar internationellt. Alla använder teknologin NFC som skickar en signal till terminalen när du håller mobilen nära.

Du betalar då med mobilen kontaktlöst vid terminalen då ditt kort är sparat i den digitala plånboken. För att verifiera dig så använder du mobilens inbyggda säkerhetsprocesser så som fingeravtryck, irisskanner, PIN eller lösenord. Du slipper således ta med dina plastkort och trycka in PINkod på terminalen.

Biometriska kort, nästa generations chipkort

Numera erbjuder Visa och Mastercard en ny typ av kort som har en säkerhetsmetod alternativt PINkoden. Fingeravtrycksensorer som du kanske är van vid när du verifierar dig på mobilen, finns nu tillgängligt direkt på det fysiska kortet.

Den inbyggda fingeravtryckssensorn kan användas istället för PINkoden, och säkerhetsställer att det är kortinnehavaren som utför köpet i en affär. Den biometriska informationen sparas som en mall i form av ettor och nollor på kortet, och inte ditt fingeravtryck i sig själv. Ditt fingeravtryck matchar denna mall och verifieras av själva kortet som drivs av chipet.

Dessa kort laddas vid betalningen och funkar på alla existerande EMV terminaler världen över. Utöver att du som kund slipper slå in din PINkod och osäkerheten det medför; så utgör det en extra säkerhet för handlaren då de vet att det är kortinnehavaren och ingen annan som utför köpet.

Kryptokort

För tillfället är kryptovalutor svårt att använda vardagligt. Det är än så länge inte många handlare som stödjer valutorna. Kunskapen hos den stora folkmassan är låg och valutorna i sig är väldigt volatila. Detta gör det svårt för handel att inkorporera det som betalningsmedel.

Men i och med ökat intresse från finansiella institutioner, så vill bland annat kortutgivare vara snabbt på pucken till det potentiellt nya landskapet. Ett kryptokort är helt enkelt ett vanligt betal- eller kreditkort som inte bara stödjer fiatvalutor som betalningsmedel, utan också kryptovalutor.

För de redan inbitna i tekniken, så har de flesta använt antingen mobil eller dator vid överföring av kryptovalutor sinsemellan. Men ett kryptokort gör det simpelt och igenkännligt för de som inte har någon tidigare bakgrund med tekniken. De kan handla precis som de är vana vid. En annan fördel med ett kryptokort är att man slipper omständigheten att behöva skriva in adressen på ”plånboken” hos mottagaren korrekt, vilket kan skapa problem.

För handlaren är den uppenbara fördelen att det reducerar kostnader, då ingen tredje parts process medverkar och tar ut avgifter. Samt så är betalningen mer eller mindre direkt och tar inte flera bankdagar för att transaktionen ska vara fullbordad.

Kryptokort likt mer konventionella kort kan ha olika erbjudanden och funktioner. Exempel kan vara bonusar i form av ”cash back”; det vill säga att få tillbaka en viss procent vid köp i butik. Det finns även virtuella kort, i samma anda som chipkorten du kan koppla till mobilen.

Mastercard gick nyligen ut med att de ska stödja kryptobetalningar 2021. Detta genom så kallade ”stablecoins”; det vill säga en kryptovaluta som följer priset av en fiatvaluta. Anledningen är de många fördelarna blockchain tekniken kan medföra, genom att reducera ineffektivitet i nuvarande system. Kryptokort är precis i startskottet, men ger en fingervisning av hur framtiden kan bli.

Vill du veta mer om hur du säkrar dig vid kortbetalningar? Läs våra artiklar om säkra betalningar eller kryptovalutor.