Voit välittää kiitokset tästäkin EUlle.
EU:han nimenomaan poistaa todellisen tarpeen tällaisille. Tai sitten joudut avaamaan vähän tarkemmin.
Niin siis korjataan sen verran että EU ei vaadi tätä vaan se on mahdollistanut tämän pakottamalla pankit avaamaan rajapintansa. Toki se varmaan on edelleenkin verkkokaupasta kiinni haluaako käyttää laskutukseen firmaa mikä tietoja urkkii?
Tuossa on kirjoitusvirhe, eli se on modirum.com.
Joo kuten sanoin niin MITM-proxy, joka on kyllä perseestä. Ilmeisesti sitten pankista kiinni että ohjaako pankin sivuille vai käyttääkö tuota MITM-proxyä.
Joo pankin vaatima tapa on se itse tapahtuma. Eli pankki lähettää Modirumille urlin, jonka kautta käyttäjä voi vahvistaa korttimaksutapahtumansa.
Aika ironista muuten: Kommentti viime päivien tapahtumista (Kommentti Klarnan uutisosiosta Vastaamon tietomurrosta 26.10.2020)
Testasin juuri k-ruokaa ja s-pankkia. Korttimaksua varten tehdään siis se 1€ varmistus ja mobiiliselaimella tuonne palveluun ei tarvitse enää syöttää yhtään mitään. Maksutapa siis hakee kortin tiedoilla oikean käyttäjän ja sivulla näkyy vain "vahvista maksu s-mobiilissa". En siis syöttänyt sivulle yhtään mitään ja s-mobiilissa hyväksyin pelkän maksun, en kirjautumista. Eli tuolla toteutuksella eivät voi mitenkään urkkia tunnuksia tai edes kirjautua/varastaa sessiota. Ainoa mitä hyväksyin oli vahvistus 1€ maksulle (joka on siis tunnistautumista varten).
Mielestäni virtuaaliset pankkikortit olisi parempi ratkaisu. Toteutettuna siten, että voi luoda useita virtuaalikortteja ja määrittää niille saldorajat. Näitä sitten voisi tehdä ja käyttää vaikka jokaiselle käyttökerralle tai palvelulle oma korttinsa. Tosi tämäkään ei ratkaise sitä ongelmaa, että yhä useampi paikka vaatii kortilla maksaessa vahvan tunnistautumisen, joka sitten taas voidaan paskoa tuolla MITM proxyllä tai scrapingilla.
Näissä erona on se, että klarna käyttää PSD2 rajapinnalla tiliäsi ja vaatii siihen valtuutuksen, minkä antaminen tapahtuu nordean sivuilla. Ja jälkimmäinen taas on normaali pankkinappi- tyyppinen maksun vahvistus.
Kuten sanoin viestissä, johon vastasit, niin siinä ei ole ongelmaa JOS hyväksyy maksun S-Mobiililla. Ongelma tulee jos haluaisi vahvistaa maksun tunnuslukutaulukolla (eli jos klikkaat tuota tunnuslukutaulukolla kohtaa) jolloin tunnukset pitäisi kierrättää Modirumin kautta.
Johtopäätökset voi toki olla mitä vaan, mutta niillä on ihan normaalit PSD2 -rajapinnat.
www.mtvuutiset.fi
ec.europa.eu
Tällainen ilmoitus tulee itselleni Klarnan kautta maksettaessa eräässä suomalaisessa palvelussa. En todellakaan tuollaisia valtuuksia anna. Tosin itseäni ei ainakaan esim. tuo Paytrailin 15 min valtuutus haittaa kun on selvästi kytköksissä ostokseen.
Jotenkin omituista ja törkeää, että maksudirektiivi edes sallii tuollaisen.
Olisikin ihan hyvä saada myös vähemmän terävät käyttämään mobiilivarmennetta. Nykyisin luulevat, että se on toinen nimitys pankin tunnistus- ja vahvistussovellukselle eivätkä ole moisesta kuulleetkaan.
En ole Voita käyttänyt, joten en voi tietenkään olla varma, mutta yleensä tuon tyyppisissä sovelluksissa varmennus tehdään vain ensimmäisen korttimaksun yhteydessä. Tällä pyritään varmistamaan, että korttia käyttää sen oikea omistaja. Vastaavalla tavalla lähimaksujakaan ei voi käyttää, ennen kuin olet kerran käyttänyt korttia sirulla ja syöttänyt PIN-koodin. Tässä on sama idea, eli varmistetaan että kortti on oikealla haltijalla ennen kuin annetaan mahdollisuus tehdä esim. 5 tai 10 pientä maksua.
www.hs.fi
