Klarna, sofort.com ja verkkopankkitunnuksien urkkiminen

[Ormu]

Taas on keksitty uusi tapa tiedon piilottamiseksi kuluttajilta.

Käytettäessä Svea-maksupalvelua verkkokaupassa tulee ensin tällainen ruutu eteen:

Vaikuttaa jossain määrin asialliselta, mutta kerättäviä tietoja ei ole täsmällisesti selitetty. Tuon jälkeen tuli tavanomainen "login to use a third party"-kirjautumisruutu. Pahempaa on kuitenkin se, että Nordean verkkopankissa ei enää kysytty mitään lupaa tietojen käyttämiselle, ainoastaan lupa päästä käyttämään tiliä.

Täytynee tehdä GDPR-pyyntö Svealle ja katsoa, mitä oikeasti keräävät, sekä laittaa myös kitkerää palautetta Nordealle. On törkeää, että maksuyhtiöille on annettu tällainen tapa normaalin lupakyselyn ohittamiseen.

Jostain syystä nämä epämääräisyydet tuntuvat nousevan esiin ulkomaalaisten ja erityisesti ruotsalaisten yhtiöiden kanssa.

 

[Laza]

On kyllä erittäin hähmäistä hommaa. En kyllä tajua, miksi suoraan verkkopankin kautta maksamisessa pitää luovuttaa huomattava määrä tietoja kolmannelle osapuolelle, onneksi tämä vielä toistaiseksi ainakin ilmenee (paitsi ei selkeästi tuon Svean tapauksessa) verkkopankista jaettavat tiedot- laatikosta. Tällainen tuli Danskella kun yritin maksaa verkkopankilla Klarnan kautta:

Vastaava tuli Gigantista ostettaessa, sillon välissä oli Trustly. Kumpikin ostos jäi kyllä tekemättä. Ymmärrän jonkunasteisen tietojen keräämisen, jos maksaisin luotolla, mutta en suoraan pankkimaksua tehtäessä.

 

[Jrask]

Tuossa Svean tapauksessa kuitenkin sanotaan että käsittelevät "maksutoimeksiannon toteuttamiseksi välttämättömiä henkilötietoja", eihän tuo nyt voi oikeasti tarkoittaa että käyvät läpi kaiken maksuliikenteen tililtä? Jännä muuten että esim. Klarnalla pystyy ostamaan laskulle suostumatta urkintaan mutta jos koittaa maksaa ostoksen etukäteen niin vaativat pääsyä tilitietoihin. Itse kyllä palaan vaikka ostamaan käteisellä kivijalka kaupoista ennen kuin suostun että nämä firmat käyvät läpi kaiken rahaliikenteen tileiltäni.

 

[Nerkoon]

On kyllä erittäin hähmäistä hommaa. En kyllä tajua, miksi suoraan verkkopankin kautta maksamisessa pitää luovuttaa huomattava määrä tietoja kolmannelle osapuolelle, onneksi tämä vielä toistaiseksi ainakin ilmenee (paitsi ei selkeästi tuon Svean tapauksessa) verkkopankista jaettavat tiedot- laatikosta. Tällainen tuli Danskella kun yritin maksaa verkkopankilla Klarnan kautta:

Vastaava tuli Gigantista ostettaessa, sillon välissä oli Trustly. Kumpikin ostos jäi kyllä tekemättä. Ymmärrän jonkunasteisen tietojen keräämisen, jos maksaisin luotolla, mutta en suoraan pankkimaksua tehtäessä.

Ei kuulosta gdpr:n mukaiselta tietojen minimoinnilta, jos kyse on kerran suoraan tililtä maksamisesta. Pistä ilmoitus eteenpäin gdpr rikkomuksesta viranomaisille. Kuvittelisi, että typerät vaatimukset vähenevät kun sakkoja on tippunut riitävän monta kertaa.

 

[ColtPascual]

Toisaalla tuli vastaan mielenkiintoinen juttu kuinka Klarna toimii verkkopankkitunnusten kanssa kyseenalaisella tavalla. Mielestäni asia on sen verran tärkeä että postaan tännekin sen vähän suuremman joukon nähtäväksi julkaisijan luvalla.

--

Suora linkki facebookkiin tästä:




--Varmuuskopio--



Ja muutama vastine varmuuskopioiksi jos jostain syystä katoavat

Kysymyksessä on saksalainen SOFORT palvelu joka välittää heti maksun pankkitililtä eteenpäin myyjälle. direct bank transfer. He siirtää maksun tililtä eteenpäin turvallisesti. Missä vika panikoitaan turhaan. Itse pankkitililleni jopa talletan välillä sofort palvelun kautta ai niin ei suomalaiseen vaan saksalaiselle tililleni. Yleensä fintech palvelut tulevat eturintamalla ja perus isot pankit perässä jotta heidän yhteistyö sujuu ym.

 

[ColtPascual]

BaFin Germany finanssivalvontaviranomaisen alaisuudessaan on Sofort palvelu.
Federal Financial Supervisory Authority
Viranomainen

Katto-organisaatio: Federal Ministry of Finance (Germany)

 

[ColtPascual]

Tässä itsellä palvelu jossa voin pankin tililleni tallettaa laittaa raha jostain toisesta pankista joka on listassa. Tämäkin palvelu on ilmainen ja turvallinen . Sen voin kertoa että Klarna otti nyt käyttöön tekoäly palvelun ja ties mihin sekin johtaa kun uutta tulossa ja kuluttajat ei pysy perässä saatika kivijalka pankit. Yleensä palveluita tulee jotta asiointi on ketterä ja nopeasti kuluttajalle helppoa käyttää ja valinnanvapautta arkeen. Keskieuroopassa on asiat toiset kuin täällä pohjolassa.

 

[Kizmo]

Kysymyksessä on saksalainen SOFORT palvelu joka välittää heti maksun pankkitililtä eteenpäin myyjälle. direct bank transfer. He siirtää maksun tililtä eteenpäin turvallisesti. Missä vika panikoitaan turhaan. Itse pankkitililleni jopa talletan välillä sofort palvelun kautta ai niin ei suomalaiseen vaan saksalaiselle tililleni. Yleensä fintech palvelut tulevat eturintamalla ja perus isot pankit perässä jotta heidän yhteistyö sujuu ym.

Siihen ei ole ainuttakaan syytä miksi tilitietoja pitäisi jakaa kenellekään. Luotan pankkiini paljon enemmän kuin random maksunvälittäjään.

 

[ColtPascual]

Maksupalveluja on erilaisia kuten Trustly ym. On korttimaksut jne. Muuden Sofort ei kiinnosta sinun tilitiedot se näkee voimassaolevan IBAN nr kuten voit itse lukea ja maksu välitetään eteenpäin ei sen muuta. Mutta kuten sanoin palveluja on erilaisia jotkun ovat herkkiä uusille palveluille toiset ei. Ennen kun tuotetta,palvelua alat aletaan käyttämään kannattaa tutustua ja tajua sen idea ja sitten päätös.

 

[hupiukko]

Tässä itsellä palvelu jossa voin pankin tililleni tallettaa laittaa raha jostain toisesta pankista joka on listassa. Tämäkin palvelu on ilmainen ja turvallinen . Sen voin kertoa että Klarna otti nyt käyttöön tekoäly palvelun ja ties mihin sekin johtaa kun uutta tulossa ja kuluttajat ei pysy perässä saatika kivijalka pankit. Yleensä palveluita tulee jotta asiointi on ketterä ja nopeasti kuluttajalle helppoa käyttää ja valinnanvapautta arkeen. Keskieuroopassa on asiat toiset kuin täällä pohjolassa.

Löysikö tänne ko. lafkan myyntiedustaja paikalle?

 

[jarp]

Täysin irrelevanttia mikä Soforttia, Klarnaa tai kutakin "kiinnostaa", pääsylle tietoihin pitää olla laillinen ja muutenkin hyväksyttävä peruste. Ja kyllähän heitä tosiasiallisesti kiinnostaa, kun pääsyä pyytäävät, jos just nyt ei ole urkituille tiedoille käyttöä, niin kyllä ne vähintäänkin voi myydä eteenpäin myöhemmin ja sdaada hyvät massit. Toinen asia on puhtaan tekninen, tietoturvan nimissä mitään ylimääräisiä pääsyjä ei anneta ja tietoja liikutella, jotta voidaan rajata vahingot kun joku tietojärjestelmä korkataan.

Jotenkin oudoksi on kyllä mennyt someaikana tämä tohu. Ennen vanhaan ihmiset tuntuivat olevan valveutuneempia ja älähtävän oikeuksien ja yksityisyyden loukkauksista, nyt menee mikä tahansa paska läpi kun heitellään vähän buzzwordeja kuten digitalisaatio, tekoäly jne. Henkilötiedot, tilitiedot, kotiporno, kaikki vaan someen ja pilveen yolo ja sit itketään lehdissä miten elämä on tuhoutunut ja joutuu käymään terapiassa kun homma ei mennytkään ihan putkeen.

 

[BongisKhan]

Tulipas vastaan taas uudenlainen Klarna-vitutus:

En ole IKINÄ antanut (ainakaan tietoisesti) Klarnalle osoitetietojani tai rekisteröinyt heille mitään tiliä tai muuta vastaavaa. Itseasiassa ihan kategorisesti kieltäydyn ostamasta nettikaupoista, jotka tarjoavat vain Klarnaa maksuvaihtoehdoksi, enkä todellakaan ole ikinä antanut heille pääsyä pankkitileilleni.

Eilen olin sitten Luhdan verkkokaupasta tilaamassa tavaraa ja sähköpostiosoitteeni syötettyäni Klarna pulautti suoraan ulos ajantasaiset osoitetietoni ja puhelinnumeroni. Ilmeisesti jossain verkkokaupassa nämä on skreipattu ja yhdistetty sähköpostiosoitteeseeni jotain muuta maksutapaa käyttäessäni. Avuliaasti osoitetietojen yhteydessä oli linkki, jota painamalla voisi jotenkin poistaa näiden osoitetietojen käytön... Paitsi, että tämä vaatii ensin sähköpostiosoitteen vahvistamisen... joka ei edes toiminut kun yritin.

Vittu tätä paskafirmaa saatana.

 

[Varistin]

Valitin vähän aikaa sitten HLS:lle, kun heidän korttilatauksen verkkomaksu käyttää välittäjänä Paytrailia, joka haluaa oikeudet seurata tiliä 3vrk. Palautteeseen tuli tällainen vastaus:

"Käytännössä Paytrail käyttää Open banking maksujen toteuttamiseen kumppania AiiA A/S joka teknisesti toteuttaa maksutoimeksiannon Open banking rajapintojen kautta. AiiA pyytää Paytrailin puolesta oikeuden käynnistää maksutoimeksiannon. AiiA pyytää vain ne oikeudet, joita maksutoimeksiannon suorittaminen vaatii ja jotta voidaan varmistua, että maksutoimeksianto on onnistunut. Oikeudet, jotka pyydetään ja saadaan ovat:
-Muodostaa yksi maksutoimeksianto
-Tarkastella tämän yhden maksutoimeksiannon tilaa 3 päivän ajan

Tämän kolmen päivän aikana Paytraililla ei ole oikeutta tehdä uusia maksutoimeksiantoja tai valtuuttaa uudestaan aiemmin tehtyjä maksutoimeksiantoja. 3 päivän ajan ainoa oikeus on tarkastella tämän yhden luodun maksutoimeksiannon tilaa. Loppuasiakas siis hyväksyy jokaisen maksutoimeksiannon erikseen, eikä Paytrail saa muuta pääsyä asiakkaan pankkitileihin. Paytrail ei saa tietoonsa asiakkaan tilin saldoa, asiakkaan muita tilitapahtumia tai muuta asiakkaaseen liittyvää pankkitietoa. Paytrail on selvitettänyt asiaa AiiA:n kanssa ja pankeilla ovat samanlaiset oikeudet. Paytrail saa oikeuden vain yhteen maksutoimeksiantoon ja sen tilan tarkasteluun."

Sinällään positiivista, että viitsivät selvittää asiaa, enkä pidä Paytrailia muutenkaan pahimpana toimijana alalla, mutta toki pyrin viimeiseen asti välttämään näiden välikäsien käyttöä. Tässä tapauksessa päädyin maksamaan luottokortilla.

 

[Antw]

Paytrailissa ei ole mitään pahaa. Ja aika hsrvassa ovat nykyään sellaiset verkkokaupat, jiotka tekisivät suoraan pankkien kanssa verkkomaksusopimuksia, tämä tulisi sietämättömän kalliiksi verkkokauppiaalle. Siksi käytännössä kaikki käyttää maksunväliryspalvelua, jolla saa "kaikki" maksutavat kohtuuhintaan.

 

[BongisKhan]

Paytrailissa ei ole mitään pahaa. Ja aika hsrvassa ovat nykyään sellaiset verkkokaupat, jiotka tekisivät suoraan pankkien kanssa verkkomaksusopimuksia, tämä tulisi sietämättömän kalliiksi verkkokauppiaalle. Siksi käytännössä kaikki käyttää maksunväliryspalvelua, jolla saa "kaikki" maksutavat kohtuuhintaan.

On siinä, koska se ruinaa moneksi päiväksi oikeuksia tiliini ja pääsyä sellaiseen informaatioon, jota sen ei tarvitse saada tietää. Itse edelleen kategorisesti kieltäydyn luovuttamasta mitään tilitietojani kenellekään, saati antamaan _mitään_ käyttöoikeuksia tiliini missään tilanteessa. Varsinkin kun oikeasti nuo välipuljarit saavat hemmetisti enemmän tietoa kuin mitä siinä väitetään.

Tämän seurauksena olen kyllä skipannut useammankin kaupan ja laittanut palautetta, että nyt jäi kaupat tekemättä, koska tarjoatte vain tuollaista invasiivista paskaa maksutavaksi. Noh, onneksi lähes kaikkialle kuitenkin luottokortti edelleen kelpaa.

 

[Kizmo]

Paytrailissa ei ole mitään pahaa. Ja aika hsrvassa ovat nykyään sellaiset verkkokaupat, jiotka tekisivät suoraan pankkien kanssa verkkomaksusopimuksia, tämä tulisi sietämättömän kalliiksi verkkokauppiaalle. Siksi käytännössä kaikki käyttää maksunväliryspalvelua, jolla saa "kaikki" maksutavat kohtuuhintaan.

Miksei paypalin tarvitse saada vastaavia tilitietoja ja maksaminen onnistuu välittömästi?

 

[Grez]

Miksei paypalin tarvitse saada vastaavia tilitietoja ja maksaminen onnistuu välittömästi?

Paypal käyttää välittömiin maksuihin pankkitililtä Trustlyä, ja minusta kyllä näyttäisi että Trustly haluaa ihan samanalaisia oikeuksia. Voit toki oikaista jos olen väärässä tuon Trustlyn suhteen.

En toki sanoa että Paytrail on hyvä. Jos haluan itse maksaa verkkokaupassa pankkitililtäni, niin mieluiten käytän kauppoja jotka käyttää edelleen suomalaisten pankkien maksupainikkeita, suoraan tai välittäjän (esim. Visma Pay) kautta. Toisaalta ymmärrän että Suomi on pieni markkina-alue ja noiden suomalaisten maksupainikkeiden nostaminen riittävän hyväksi kilpailuvaltiksi että pärjättäisiin, voi olla haastavaa.

 

[=JP=]

Avuliaasti osoitetietojen yhteydessä oli linkki, jota painamalla voisi jotenkin poistaa näiden osoitetietojen käytön... Paitsi, että tämä vaatii ensin sähköpostiosoitteen vahvistamisen... joka ei edes toiminut kun yritin.

Oliko linkki tämä? Ainakaan tuolla ei mainita että pitäisi vahvistaa sähköposti...

Yksityisyys ja turvallisuus | Klarna Suomi

Lue siitä, kuinka Klarna varmistaa tietojesi yksityisyyden ja turvallisuuden, ja käytä yksityisyysoikeuksiasi.

www.klarna.com

Noh, onneksi lähes kaikkialle kuitenkin luottokortti edelleen kelpaa.

Oletko katsonut tarkkaan, ettei tuokin mene esim. Klarnan läpi, sitä vaan ei selkeästi mielestäni mainita tuossa tapauksessa, jokin pieni logo jossain kulmassa näkyy. Klarna nääs myös mahdollistaa luottokorttimaksut ja jos kauppa käyttää kyseistä palvelua, niin melko varmasti myös luottokorttimaksut menee sen kautta.

 

[Antw]

On siinä, koska se ruinaa moneksi päiväksi oikeuksia tiliini ja pääsyä sellaiseen informaatioon, jota sen ei tarvitse saada tietää. Itse edelleen kategorisesti kieltäydyn luovuttamasta mitään tilitietojani kenellekään, saati antamaan _mitään_ käyttöoikeuksia tiliini missään tilanteessa. Varsinkin kun oikeasti nuo välipuljarit saavat hemmetisti enemmän tietoa kuin mitä siinä väitetään.

Ei pidä paikkaansa. Klarna/Sofort voi tuollaista tehdäkin, Paytrail ei. Pari viestiä ylempänä itse asiassa onkin suora vastaus Paytraililta, eivätkä he todellakaan "urki" mitään ylimääräistä.

Tämän seurauksena olen kyllä skipannut useammankin kaupan ja laittanut palautetta, että nyt jäi kaupat tekemättä, koska tarjoatte vain tuollaista invasiivista paskaa maksutavaksi. Noh, onneksi lähes kaikkialle kuitenkin luottokortti edelleen kelpaa.

Jos haluaa omaa elämäänsä hankaloittaa tällaisen asian takia niin siitä vaan. Mikä siinä tilissäsi on niin salamyhkäistä? Laita saldo ja parin viime kuun tiliote tänne niin ihmetellään porukalla.

 

[=JP=]

Jos haluaa omaa elämäänsä hankaloittaa tällaisen asian takia niin siitä vaan. Mikä siinä tilissäsi on niin salamyhkäistä? Laita saldo ja parin viime kuun tiliote tänne niin ihmetellään porukalla.

Laita itse, ku kerta ei siellä ole mitään salamyhkäistä...

 

[jad]

Valitin vähän aikaa sitten HLS:lle, kun heidän korttilatauksen verkkomaksu käyttää välittäjänä Paytrailia, joka haluaa oikeudet seurata tiliä 3vrk.

Minkälaista oikeutta tuo tarkalleenottaen pyysi ?

Kun PSD2 tuli voimaan, moni maksuvälittäjä toteutti maksupalveluja varsin laiskasti ja pyysi tarpeettomia oikeuksia maksun suorituksen yhteydessä. Osassa pankkeja PSD2 rajapintatoteutuksetkin olivat vähän niin ja näin. Tässä kuitenkin on tapahtunut kehitystä sekä rajapinnoissa, että toimijoiden vastuullisuudessa.

Esimerkiksi tuo Paytrailin käyttämä AiiA A/S näyttäisi toteuttaneen rajapinnat Danskeen ja OP:hen. Ainakin OP:n v2 rajapintaversiossa maksun toteutus menee juuri niin kuin Paytrail tuossa vastauksessaan kuvaa, PISP (Payment Initiation Service Provider) saa valtuuden luoda tilisiirron, josta PISP tallentaa tunnisteen, jonka avulla kyseisen tilisiirron tilaa voidaan kysellä myöhemmin ja näin varmistaa maksutapahtuman onnistuminen. Tilin saldoa tai mitään ylimääräistä tietoa tässä tapahtumaketjussa ei PISP:lle kulje.

Muiden pankkien osalta Paytrail taitaa vielä toimia oman toteutuksensa varassa ja käyttää siis perinteisiä pankkimaksuja.

Tarkkana näiden kanssa pitää olla. Varmasti markkinoilla on edelleen paskempia maksuvälittäjiä, jotka pyytävät turhan laajoja oikeuksia, vaikka niitä ei tarvitsisi tai käyttäisi. Itse ainakin suhtaudun näihin liian laajojen oikeuksien pyytämiseen sillä oletuksella, että vaikka välittäjä muuta väitttäisi, niin oletan kaiken oikeuksien mukaisen datan valuvan välittäjälle. Joten jää käyttämättä.

 

[Varistin]

Minkälaista oikeutta tuo tarkalleenottaen pyysi ?

En tullut laittaneeksi tuota silloin talteen enkä muista enää tarkasti. Joka tapauksessa pyydettiin oikeuksia 3vrk ajaksi ja kuvaus oli hieman epämääräinen, eli siitä ei käynyt selvästi ilmi että käyttöoikeus koskee vain tuota yhtä maksutapahtumaa eikä muuta. Siksi myös tuosta palautetta annoin.

 

[=JP=]

Huomasinpa, että Danskella pystyy listaamaan, mikäli on antanut kolmannelle osapuolelle pääsyn maksutileille. Liekkö sinne tulee nämä näkyviin, koska en ole noita palveluita käyttänyt pitkään aikaan niin itsellä on lista tyhjä. Liekkö muilla pankeilla samanlaista näkymää?

Kolmansien osapuolten pääsy maksutileille
Voit tarkastella ja peruuttaa suostumuksia, jotka olet antanut kolmansien osapuolien palveluntarjoajille tietojen käsittelemiseksi.

Olisi kyllä kätevää, jos näitä väliaikaisia "oikeuksia" voisi tosiaan itse seurata, jos sattuu käyttämään noita palveluita, etteivät jää roikkumaan...

 

[jad]

Liekkö muilla pankeilla samanlaista näkymää?

Mielestäni tämä oli yksi PSD2 direktiivin vaatimuksista. Omassa pankissa tuollainen on ollut alusta asti.

 

[Maxwell]

Tulipas vastaan taas uudenlainen Klarna-vitutus:

En ole IKINÄ antanut (ainakaan tietoisesti) Klarnalle osoitetietojani tai rekisteröinyt heille mitään tiliä tai muuta vastaavaa. Itseasiassa ihan kategorisesti kieltäydyn ostamasta nettikaupoista, jotka tarjoavat vain Klarnaa maksuvaihtoehdoksi, enkä todellakaan ole ikinä antanut heille pääsyä pankkitileilleni.

Eilen olin sitten Luhdan verkkokaupasta tilaamassa tavaraa ja sähköpostiosoitteeni syötettyäni Klarna pulautti suoraan ulos ajantasaiset osoitetietoni ja puhelinnumeroni. Ilmeisesti jossain verkkokaupassa nämä on skreipattu ja yhdistetty sähköpostiosoitteeseeni jotain muuta maksutapaa käyttäessäni. Avuliaasti osoitetietojen yhteydessä oli linkki, jota painamalla voisi jotenkin poistaa näiden osoitetietojen käytön... Paitsi, että tämä vaatii ensin sähköpostiosoitteen vahvistamisen... joka ei edes toiminut kun yritin.

Vittu tätä paskafirmaa saatana.

Oletan, että joskus olet kuitenkin jostain ostanut (vahingossa) Klarnaa käyttäen. Se on monilla vähän piilotettuna. Vaihtoehtoina voi olla erilaisia Klarna-maksutapoja ja sitten pelkkä "Pankkikortti", mutta sekin menee todellisuudessa Klarnan kautta. En ole varma, milloin se tallentaa tiedot, mutta äärimmäisen hanakasti Klarna nappaa kaiken talteen varmaankin sen kuuluisan "asiakaskokemuksen" vuoksi. Itse välttelen myös kaikkia nettikauppoja, joissa on Klarna.

Minullekin oli tuo automaattinen tili tehty. Tein sitten GDPR-poistopyyntöä kaikista tiedoistani, mutta Klarna ei suostunut poistamaan ennen kuin "tunnistaudun" kertomalla jonkun laskun, verkkokaupan tms. jossa olen Klarnaa käyttänyt. Varsin helppoa, kun välttelee sitä viimeiseen asti mutta joskus sitten vahingossa lipsahtanut. Naurettavintahan on, että ostaessa Klarnalla ei ole mitään varsinaisia tunnistautumisvaatimuksia, vaan ainakin aiemmin pelkällä postinumerolla ja sähköpostiosoitteella sait tilattua toisen henkilön laskuun. TIetojen poistaminen on paljon vaikeampi homma kuin toisen henkilön laskuun tilaaminen.

 

[ztec]

Mielestäni tämä oli yksi PSD2 direktiivin vaatimuksista. Omassa pankissa tuollainen on ollut alusta asti.

En löytänyt S-Pankista moista, onko joku löytänyt? Laitoin tästä asiasta niille viestiä muutamia kuukausia sitten. Katsotaan onko tullut mitään vastausta.

Mielekiintoista on, että vastauksessa kerrotaan:
- Pankki ei pysty hallitsemaan sitä, kenellä on pääsy pankkitapahtumiin.
- Pankki ei pysty poistamaan pääsyoikeuksia, jos sellaiset on myönnetty.

Ei kuulosta kovin hyvältä. Eli jos jossain onnistutaan puijaamaan oikeudet, niin sille ei sitten voi enää mitään. - En nyt tiedä mitä tästä ihan oikeasti pitäisi ajatella, mutta sanotaanko että kuulostaa aika katastrofaaliselta.

 

[love_doctor]

En löytänyt S-Pankista moista, onko joku löytänyt?

En löytänyt puhelinsovelluksesta. S-pankilla taitaa olla niin, että muutenkin paljon toiminnallisuutta puuttuu puhelimesta ja vain tietokoneella voi käyttää koko verkkopankkia.

 

[=JP=]

Danskella tuo löytyi siis puolivahingossa mobiilisovelluksesta, kun sitä asentelin SailfishOS luuriin pitkästä aikaa. Ainakin antaa kuvan, että voisi poistella myöskin halutessaan oikeudet, mutta vaikea tuollaista on testata, en ny halua alkaa antamaan jollekin oikeuksia testaamista varten...

 

[jad]

Säästöpankissakin nuo on aika hyvin piilotettu Palveluasetukset -> Tilitietosuostumukset valikon alle. Ihan ensimmäisenä ei tule mieleen, että nuo kuuluu jotenkin asetuksiin, mutta kai siinä joku logiikka on.

 

[HTK12]

Mistä nuo kolmannen puolen oikeudet näkee Nordealle / OP:lla? OP:n kohdalla löysin kohdan: Omistus ja käyttöoikeudet ja sen alla Valtuutus tilitietopalveluun. Pitäisikö tuossa sitten näkyä, jos noita valtuutuksia on? Itsellä ei siinä näy mitään.

 

[Ormu]

Paytraililla ei tullut kyselyä oikeuksista, kun äsken maksoin. Kysyttiin ainoastaan tiliä, mutta siinä ei lueteltu mitään lupia. Kyseessä oli sama "login to use a third party" -menettely kuten ennenkin on ollut.

Paytrail on ennen toiminut asiallisesti, joten en ole sikäli kovin huolissani. Mutta mitähän tuo tarkoittaa, että lupia ei kysytä? Saako yksittäisen maksun tehdä ilman lupakyselyä (OK), vai onko maksuyhtiöille taas annettu joku tapa tietojen pimittämiseen (ei OK)?

Mistä nuo kolmannen puolen oikeudet näkee Nordealle / OP:lla? OP:n kohdalla löysin kohdan: Omistus ja käyttöoikeudet ja sen alla Valtuutus tilitietopalveluun. Pitäisikö tuossa sitten näkyä, jos noita valtuutuksia on? Itsellä ei siinä näy mitään.

Noita myönnettyjä oikeuksia ei kai jälkikäteen näe, jos pankki ei tarjoa sellaista palvelua. Nordea ei ainakaan tällä hetkellä tarjoa, mutta olisihan se todella hyvä, jos tarjoaisi.

GDPR:n mukaisella tietopyynnöllä voi saada omat tietonsa maksuyhtiöltä.

 

[=JP=]

Laitoin Tietoturva ketjuun jo asiasta, mutta laitetaan nyt tännekin, eli pyritään selventämään asiakkaalle, että mihinkäs sitä nyt ollaan tunnistaumassa. Eihän tämä poista näiden turhien tili oikeuksien vaatimista, mutta pitäisi selkeyttää että minne ollaan tuota tekemässä.

Vahvan sähköisen tunnistuksen uudet vaatimukset tekevät asioinnista entistä turvallisempaa | Kyberturvallisuuskeskus

Liikenne- ja viestintäviraston määräys koskien vahvaa sähköistä tunnistusta ja luottamuspalveluita astuu täysimääräisinä voimaan kesäkuussa 2023. Uudessa määräyksessä on kaksi tärkeää kohtaa, jotka tekevät sähköisestä asioinnista entistä turvallisempaa.

www.kyberturvallisuuskeskus.fi

 

[ZarekX]

Itellä on OPssä näkyy S-pankki tili ihan kätevä toiminta ei tarvi käytää toista appi että pääse katoo tilitiedot.

 

[ztec]

Katsotaan saadaanko noihin autentikointipyyntöhihin noi lisätiedot mukaan. Ainakin eräs liikepankki lähettää autentikointipyynnöt ilman mitään referenssiä, ei tietoa pankista tai tapahtumasta. Olen monta kertaa maininnut ja viimeksi kun käytin, ei ollut vieläkään korjattu. Samoin osa autentikoinninpyytäjistä ei anna mitään pyytäjä tietoa. Eli antavat vain referenssi koodin.

Hyvä että tuohon epäkohtaan ehkä tullaan jatkossa puuttumaan. Mutta saas nähdä, tuleeko noi korjatuksi vai ei. Voisin melkein piruuttani tarkistaa tuon liikepankin tilanteen heti. Katsotaas sanoi tohtori. Tarkistettu tuoreeltaan, ei tule vieläkään. Se on vaan että vahvista sisäänkirjautuminen ja se on siinä. Ei mitään tietoa mihin ollaan kirjautumassa ja miksi ja mistä sessiosta on kyse.

Kopio myös tietoturvaketjuun, koska se on oikeampi paikka tällaiselle laajamittaiselle ongelmalle.

 

[Laza]

Pistin noista Klarnan ja Trustlyn hämärähommista eteenpäin kyselyä tietosuojavaltuutetulle. Toivoittavasti etenee sitä kautta.

 

[Tonnin Seteli]

eräs liikepankki

Mulkvistimainen toimija olisi aina syytä selkeästi nimetä ja jättää turhat kohteliaisuudet kasvotonta yritystä kohtaan. Asia on vakava.

 

[takomo]

Palautteeseen tuli tällainen vastaus:

"Käytännössä Paytrail käyttää Open banking maksujen toteuttamiseen kumppania AiiA A/S joka teknisesti toteuttaa maksutoimeksiannon Open banking rajapintojen kautta. AiiA pyytää Paytrailin puolesta oikeuden käynnistää maksutoimeksiannon. AiiA pyytää vain ne oikeudet, joita maksutoimeksiannon suorittaminen vaatii ja jotta voidaan varmistua, että maksutoimeksianto on onnistunut. Oikeudet, jotka pyydetään ja saadaan ovat:

Yritinpä kaivella, että mikä tuo never-heard AiiA on, niin se on ilmeisesti tanskalainen maksutoimeksiantojen välittäjä ...joka on päätynyt Mastercardin omistukseen:

Page not found – Aiia

www.aiia.eu

"NOVEMBER 18, 2021 - Mastercard (NYSE: MA) today announced it has completed its acquisition of Aiia, a leading European open banking technology provider that offers single and secure API access to banks and fintech companies, and enables users to easily perform account-to-account payments."

Näin suomalaisesta näkökulmasta tuo "enables users to easily perform account-to-account payments" vaikuttaa jokseenkin turhalta palvelulta. Pankkisiirron keksimisestä on kulunut jo tovi ja SEPA-siirrotkin on toimineet 15 vuotta.

 

[oongee]

Näin suomalaisesta näkökulmasta tuo "enables users to easily perform account-to-account payments" vaikuttaa jokseenkin turhalta palvelulta. Pankkisiirron keksimisestä on kulunut jo tovi ja SEPA-siirrotkin on toimineet 15 vuotta.

Webikaupan näkökulmasta tuo toimeksiannon välittäjä ei ole turha, koska se takaa webikaupalle, että maksu on oikeasti lähtenyt maksajan tililtä ja siihen tulee helposti ja varmasti oikeat tiedot. Pelkkään käyttäjän tekemään SEPA-siirtoon perustuvassa kaupassa pitäisi käyttäjän käydä tekemässä itse omassa nettipankissaan SEPA-siirto, mikä on vaivalloista kun tiedot pitäisi käyttäjän syöttää sinne, ja webikaupan pitäisi jättää tilaus roikkumaan odottaen mahdollisesti myöhemmin saapuvaa maksua. Webikaupalle on paljon parempi, jos tilaus saadaan maaliin saman tien. Roikkumaan jättäminen vähentää myyntiä, koska ostaja voi päätyä toisiin ajatuksiin/unohtaa/tms. Eikä maksutapahtumiin tule virheitä, joista aiheutuu turhaa selvitystyötä, kun asiakas ei pääse niitä sössimään.

 

[hupiukko]

Posti on valinnut OmaPostissa kumppanikseen tietojen urkkijan. Ei tarvinnut maksaa tuota kautta.

OP:n ilmoitus:

Postin info:

 

[BongisKhan]

Posti on valinnut OmaPostissa kumppanikseen tietojen urkkijan. Ei tarvinnut maksaa tuota kautta.

OP:n ilmoitus:

Postin info:

No mut hei, onhan tuo jo huomattavasti kohtuullisempi kuin aikaisemmin...

Mutjoo, edelleen ei voi muuta sanoa kuin vittu mitä paskaa. Ei ole mitään syytä miksi tuon paskalafkan pitäisi päästä käsiksi noihin tietoihin ja ihan käsittämätöntä, että Posti edelleen käyttää heidän palveluaan.

 

[timbba80]

Mulle tuo info on ristiriidassa itsensä kanssa:

"käyttäjän suostumuksella voidaan käyttää...." sisältää viimeisimmän tapahtuman päivämäärän.

"Neonomics käyttää vain tietoja..." kohdassa sanotaan "mutta ei tapahtumahistoriaa".

Kumpi tässä nyt pätee? Hyvin sekava ja epämääräinen info (jonka takia myös itse maksoin jonkun omapostin laskun perinteisellä tilisiirrolla verkkopankissa koska tuo info ei kerro selkeästi saako joku peräreikä pääsyn selailemaan tilihistoriaa vai ei.

 

[Grez]

Kumpi tässä nyt pätee? Hyvin sekava ja epämääräinen info (jonka takia myös itse maksoin jonkun omapostin laskun perinteisellä tilisiirrolla verkkopankissa koska tuo info ei kerro selkeästi saako joku peräreikä pääsyn selailemaan tilihistoriaa vai ei.

No sehän on sinänsä eri asia että saako tiedot vai käyttääkö niitä.

Eli jos niillä oikeasti on järjestelmä joka hakee tilitiedot ja tarkistaa niistä vain sen että haluttu maksu on lähtenyt, eikä tallenna tilitietoja mihinkään, niin silloinhan tuo väite pätee. Näkisin ongelmaksi vaan sen, että tuossa täytyy sitten luottaa Neonomicsiin, että eivät käytä sitä saamaansa tapahtumahistoriaa. Olisi paljon kivempaa, jos eivät kysyisi lupaa tapahtumahistoriaan, niin sitten ei tarvitsisi luottaa niihin. Nythän on mahdollista myöskin, että eivät tarkoituksellisesti käytä tietoja, mutta heidän järjestelmässä on bugi jonka avulla joku (ulkopuolinen) pääsee niihin käsiksi.

 

[takomo]

No sehän on sinänsä eri asia että saako tiedot vai käyttääkö niitä.

Eli jos niillä oikeasti on järjestelmä joka hakee tilitiedot ja tarkistaa niistä vain sen että haluttu maksu on lähtenyt, eikä tallenna tilitietoja mihinkään, niin silloinhan tuo väite pätee.

Tämäkin on tarpeetonta, koska omista järjestelmistä voi tarkistaa, että maksu on on tullut _perille_. SEPA-alueen maksut ovat olleet reaaliaikaisia jo useamman vuoden.

 

[Grez]

SEPA-alueen maksut ovat olleet reaaliaikaisia jo useamman vuoden.

Mistäs tällainen luulo on peräisin? SEPA alueella on kyllä mahdollisuus välittää maksuja suurin piirtein reaaliaikaisesti, mutta vain muutamat pankit lähettävät ilman lisämaksua muihin pankkeihin menevät maksut reaaliaikaisina, useimmat pankit eivät.

 

[Jrask]

Eikö tuota valtuutusta oikeasti saa peruttua nettipankista? Tuossa sanotaan "Jos haluat perua valtuutuksen ole yhteydessa palveluntarjoajaan...". Luulisi että olisi teknisesti mahdollista luvittaa tieto vain siitä yhdestä tilitapahtumasta.

 

[=JP=]

Eikö tuota valtuutusta oikeasti saa peruttua nettipankista? Tuossa sanotaan "Jos haluat perua valtuutuksen ole yhteydessa palveluntarjoajaan...". Luulisi että olisi teknisesti mahdollista luvittaa tieto vain siitä yhdestä tilitapahtumasta.

Tästä on ollut aiemmin puhetta ja jotkin pankit mahdollistaa...

Klarna, sofort.com ja verkkopankkitunnuksien urkkiminen

Taas on keksitty uusi tapa tiedon piilottamiseksi kuluttajilta. Käytettäessä Svea-maksupalvelua verkkokaupassa tulee ensin tällainen ruutu eteen: Vaikuttaa jossain määrin asialliselta, mutta kerättäviä tietoja ei ole täsmällisesti selitetty. Tuon jälkeen tuli tavanomainen "login to use a...

bbs.io-tech.fi

 

[joo22]

"Käyttäjän suostumuksella voidaan käyttää...". Aika härskiä kun tuossa ei ole vaihtoehtoa olla suostumatta.

 

[Linville]

Mutulla heitän, että suurin osa käyttäjistä ei ole koskaan pohtinut tätä asiaa, eikä erityisemmin kiinnitä huomiota siihen, että maksu tapahtuu kolmansien osapuolten palveluiden kautta. Mikäli ketjun dystooppisimmat tulevaisuudenkuvat toteutuvat, niin tässä käy kuten tapaus Vastaamon kanssa, että älähdetään vasta, kun kakka valuu jo punteista. Lisäksi Klarna, Sofort, Trustly ja muut vastaavat palvelut ovat jo kauan olleet käytössä monessa tutuksi ja turvalliseksi koetussa verkkokaupassa eli tämä ongelma koskenee jo huomattavaa osaa käyttäjistä (allekirjoitanutta mukaanlukien). Tiedä sitten, olisiko tietosuojan ja -turvan kannalta paras vaihtoehto pyytää verkkokauppaa lähettämään maksutiedot sähköpostitse ja hoitaa maksu "manuaalisesti" nettipankissa. Tuo olisi tosin verkkaista puuhaa, koska kauppa joutuisi panttaamaan tilauksen käsittelyä niin kauan kuin maksu näkyy heidän järjestelmissään.

Huomasinpa, että Danskella pystyy listaamaan, mikäli on antanut kolmannelle osapuolelle pääsyn maksutileille. Liekkö sinne tulee nämä näkyviin, koska en ole noita palveluita käyttänyt pitkään aikaan niin itsellä on lista tyhjä. Liekkö muilla pankeilla samanlaista näkymää?

Kyllä tuota kolmansien osapuolten pääsyä maksutileille pystyy nähtävästi hallinnoimaan esim. Dansken mobiilipankkisovelluksella valitsemalla "Profiili" > "Suostumukset" > "Kolmansien osapuolten pääsy maksutileille". Sinne nuo voimassa olevat ja päättyneet suostumukset on ainakin minulla listattu.

Haksahdin itse käyttämään kerran trustlyä, hävettää niin vietävästi. Jostain syystä en tajunnut sitä, että en kirjaudukaan suoraan verkkopankkiin. Saatana. Seuraavaa tietomurtoa odotellessa.

Itsekin olen mennyt retkuun tässä asiassa ja eihän tämä hyvältä näytä. Esimerkiksi mukavuussyistä ja maksutapahtuman nopeuttamiseksi olen hoidellut Norwegianin luottokorttilaskuja heidän oman mobiilisovelluksensa kautta ja siinähän maksut toteutetaan Tink-palvelun avulla, joka pääsee käsiksi monenlaiseen tietoon — esim. "saapuvien & lähtevien tapahtumiesi tiedot" antaa aihetta huoleen, jos tuon tulkitsee pahimman kautta... "Tink on Visan omistama ja Ruotsin Finanssivalvonnan lisensoima maksu- ja tilitietopalveluiden kolmannen osapuolen tarjoaja." Jostain syystä noilla Tink-suostumuksilla ei näytä olevan aikarajaa!? Ne pystyy tosin peruuttamaan ja jos Danskeen on luottaminen, niin Tink on hyödyntänyt tuota suostumusta vain kerran (maksutapahtuman yhteydessä).




Muiden maksupalveluiden osalta suostumukset olivat vain väliaikaisia (päättyivät samana päivänä kuin alkoivat).



Paytrailiä on tullut käytettyä, mutta on myös tullut langettua Klarnan palveluihin. Ketjun viesteistä päätellen Paytrail vaikuttaa verrattain luotettavalta, kun taas Klarna, Trustly ja Neonomics ovat sieltä arveluttavimmasta päästä.

GDPR-tietopyynnöllä pyydät tietosi nähtäväksi ja sitten poistettavaksi. Tai suoraan poistettavaksi, jos ei kiinnosta, mitä tietoja on tarkalleen kerätty.

Tällä tavoin käyttäjä voi ehkä saada kyseisen firman poistamaan tiedot järjestelmistään, mutta mites ne tiedot, jotka em. firma on jo myynyt eteenpäin muille tahoille? Onko tuo ns. loputon suo?

 

[Linville]

Tuo Tink on se taho joka noita Klarnan jne. juttuja minusta tuottaa, ja screen scaping teknologiaa käyttää yhä, vaikka tuo on PSD2:ssa vielä erikseen kielletty (jo vuonna 2018).

Tink oli ainakin vielä viime vuonna käytössä Norwegianin mobiilisovelluksessa, mikäli halusi luottokorttilaskujaan maksaa sovelluksen kautta.

Se että maksuvälittäjä haluaa noin laajat oikeudet, on kyllä puhdasta vittuilua. Pelkkä maksun valtuutuskin Nordean PSD2 rajapinnassa olisi mahdollista.

Ketjun viestien perusteella tämä on lähinnä käyttäjien profiloimiseksi, jotta tiedot voidaan myydä eteenpäin mm. mainontaa varten. Sen toki ymmärrän, että kulutusluottojen myöntämistä varten noita tietoja tarvitaan, koska ostajan takaisinmaksukyky on punnittava, mutta tavallisten maksujen osalta tuo urkinta ei ole perusteltavissa. Verkkokauppojen kannattaisikin tarjota näihin normimaksuihin vain luotettavia palveluita ja jättää nuo pahimmat urkkijat pois.

 

[Linville]

...