Indhold
Af Robert Vanglo og Morten T. Svendsen
9. april 1999: Pengeinstitutternes Betalings Systemer, PBS, er klar med dets løsning for betaling med Dankort på Internet. Tidligere satsede PBS udelukkende på en betalingsløsning, hvor SET-protokollen (Secure Electronic Transaction) udgjorde sikkerheden i systemet, men i den nye Dankort-løsning har PBS sadlet helt om og anvender i stedet SSL-protokollen (Secure Sockets Layer). SSL-protokollen er det mest anvendte sikkerhedssystem i forbindelse med Internet-handel uden for landets grænser. Tanken er at tilbyde begge systemer side om side.
Den væsentligste forskel mellem SET og SSL er, at mens kundens fortrolige kortoplysninger overføres via Internet ved SSL-løsningen, så sker dette ikke, når man bruger SET. Forretningen får således aldrig kendskab til kortoplysningerne, som kun ligger hos PBS.
Ulempen ved dette system er dog, at det kræver, at kunderne har registreret sig hos PBS, før de kan begynde at handle. Efter registreringen modtager man noget software ? en såkaldt elektronisk pung ? der skal installeres på pc?en, ligesom man modtager en særlig kuvert, som indeholder en sikkerhedskode, der skal indtastes, når systemet tages i brug.
Med SSL overføres alle informationer ? herunder også kundens kortoplysninger ? over Internet. Selve protokollen er dog ganske sikker og benytter en kombination af public key/private key-kryptering og digitale signaturer, som sørger for, at oplysningerne ikke kan opsnappes (eller i hvert fald gør det langt sværere). Dette er ikke ensbetydende med, at PBS? løsning er sikker, men det er ikke SSL-protokollen, der udgør det egentlige problem.
PBS? nye system til betaling med Dankort på Internet fungerer som følger:
| Dankort på Internet ? trin for trin. | |
| 1. | Først udfylder brugeren en formular i browseren. I formularen skal indgå korttype, kortnummer, udløbsdato, navn og adresse. Derefter bekræfter brugeren ordren ved at sende formularen fra browser-vinduet. Kommunikationen til Internet-forretningen foregår over SSL (Secure Socket Layer), og det udgør ikke noget problem. |
| 2. | Forretningen modtager brugerens data i en Merchant-server. Forretningens Merchant-server sørger for at pakke data om brugeren, brugerens kort og beløbet, som skal betales, ind i PBS? egen PSIP-protokol. |
| 3. | De pakkede bruger-data sendes over SSL til PBS? Payment GateWay (PGW). |
| 4. | PBS? Payment GateWay beder Dankort-systemet om autorisation for brugerens Dankort. |
| 5. | Dankort-systemet undersøger kortet. Er kortet for eksempel spærret, vil der ikke blive givet en autorisation. Er kortet ikke spærret, og er beløbet ok, vil Dankort-systemet sende en autorisation tilbage til PBS? Payment Gateway. Der bliver ikke flyttet penge her ? der er blot tale om, at kortet og beløbet bliver godkendt. |
| 6. | Når Payment Gateway?en har modtaget autorisationen, konstruerer den et såkaldt token ud fra brugerens data (det vil sige en unik identifikation af brugerens data). Dette token sendes sammen med alle brugerdata tilbage til forretningens Merchant-server. |
| 7. | Forretningens Merchant-server modtager autorisationen fra PBS? Payment Gateway. |
| 8. | Merchant-serveren bekræfter over for brugeren, at kortet og handlen er godkendt. |
| 9. | For at følge PBS? regler skal brugerdata og det modtagne token nu krypteres. Det bliver de med en krypteringsnøgle. De krypterede data skal ligge på Merchant-serveren, indtil ordren effektueres. Der må maksimalt gå syv dage, fra ordren afgives, til den effektueres. |
| 10. | Først når forretningen effektuerer ordren og sender varen til kunden, må forretningen trække pengene på brugerens kort. For at det kan lade sig gøre, skal brugerens data dekrypteres, og det samme gælder det token, der blev oprettet af PBS? Payment Gateway, da kortet blev autoriseret. |
| 11. | Nu sendes både det modtagne token og alle brugerens data over SSL til PBS? Payment Gateway. |
| 12. | PBS? Payment Gateway sørger for, at pengene bliver overført fra brugerens konto til forretningens konto. |
