Tässä esseessä käsitellään elektronista luottokorttikaupankäyntiä, ja rajoitetaan se kaupankäyntiin internetissä. Esseessä käsitellään internetissä tehtävien luottokorttiostosten yleisiä piirteitä sekä erilaisia tapoja, joita käytännön kaupanteossa on vallalla. Tietoturva luottokorttikaupassa on yksi keskeisistä teemoista.
Esseessä todetaan internetissä tehtävän luottkorttikaupan tuovan mahdollisuuden joustavampaan, ajasta ja paikasta riippumattomaan kaupankäyntiin, mutta samalla uusia kysymyksiä nousee erityisesti kaupankäynnin luotettavuudesta ja tietoturvasta. Epäselvyys elektronisen kaupankäynnin luotettavuudsta johtuu sekä toimintamuodon lyhyestä olemassaoloajasta että kaupankäyntimuotojen laajasta kirjosta ja tietoturvaan liittyvien standardien puutteesta.
Lopussa pohditaan luottokorttikaupan mahdollisia tulevaisuuden näkymiä kaupankäynnin ollessa yksi arkielämän merkittävistä transaktioista yhteiskunnassa. Esseessä pohditaan mahdollisuutta muiden palvelujen tason laskuun resurssien kohdentuessa verkkokauppaan.
Elektroninen kaupankäynti on tuonut monia uusia mahdollisuuksia kaupankäyntiin. Tässä esseessä käsitellään elektronisen, internetissä tapahtuvan luottokorttikaupan luonteenpiirteitä ja sovelluksia.
Koska kaupan eri osapuolet ovat ainoastaan sähköisessä yhteydessä toisiinsa, elektroniseen kaupankäyntiin liittyy monia erityispiirteitä. Näitä ovat erityisesti kaupanteon luotettavuuteen ja tietoturvaan liittyvät tapahtumat. Esseessä tuodaankin esiin erilaisia menettelyjä kaupankäynnin luotettavuuden ja siihen liittyvän tietoturvan lisäämiseksi.
Lopuksi pohditaan myös verkkokaupan tulevia mahdollisuuksia ja piirteitä.
Internetissä suoritettavalla luottokorttikaupalla on lukuisia tälle kaupankäynnin muodolle luonteenomaisia ominaisuuksia. Näitä ovat internetin toimintaan yleisesti liittyvä ympärivuorokautinen palveluiden tarjoaminen sekä riippumattomuus ostopaikasta. Koska elektronisessa kaupankäynnissä ostaja ja myyjä ovat ainoastaan tiedonsiirron välityksellä yhteydessä toisiinsa, kaupankäyntiin liittyy välittömästi monia muitakin uusia piirteitä ja kysymyksiä. Osa niistä on helposti keksittävissä, mutta osa ei ehkä tule ensimmäisenä mieleen. Tämän vuoksi sähköistä kaupankäyntiä varten annettuihin ohjeisiin on syytä perehtyä ennen ensimmäistä seikkailua bittiputiikissa.
Elektornisessa kaupankäynnissä tiedot kaupan osapuolista on saatava selville sähköisessä muodossa. Toisissa verkon kauppapaikoissa tästä on huolehdittu, toisille tuntuu riittävän se, että on tiedossa jonkun luottokortin numero, josta ostoksia voi laskuttaa [2]. Esimerkkejä tällaisista ostossivuista voi etsiä internetistä tarkastamalla, mitä kauppapaikat kertovat asiakkaan tai oman kauppapaikkansa tunnistuksesta ja tavasta käsitellä luottokortin numeroa.
Sen lisäksi, että osapuolien tulisi voida todentaa molempien osapuolien oikeellisuus, heidän tulisi myös voida varmistua siitä, että toinen osapuoli ei voi kiistää lähettämäänsä tai vastaanottamaansa aineistoa[5]. Esimerkiksi tilaustietojen luotettavan varmistamisen täytyy olla mahdollista sekä asiakkaalle että myyjälle.
Edelleen myyjän tulee kyetä sitovasti osoittamaan, että ostaja on saanut tuotteen. Tavanomaisessa kaupankäynnissä tuotteen toimittaminen ostajalle on helposti todettavissa ja se on edellytyksenä sille, että myyjä voi vaatia maksun tuotteesta[5]. Verkkokaupassa tämä on luonnollisesti vaikeampaa kuin kaupan kassalla.
Kaupankäyntiin liittyy siis riskejä, jotka poikkeavat tavallisesta kaupankäynnistä molempien osapuolten osalta. Nyt onkin vireillä erilaisia menetelmiä, joilla voitaisiin pienentää riskejä ja tehdä verkkokauppa yhtä tutuksi ja turvalliseksi kuin muut kaupantekomuodot.
Elektronisen luottokorttikaupan erilaiset muodot poikkeavat toisistaan erityisesti sen suhteen, miten niissä on otettu huomioon uuden tekniikan vaatimat muutokset kaupankäynnissä sekä uuden tekniikan luomat mahdollisuudet. Muutoksia kaupankäynnissä ovat erilaisiin fyysisiin tapahtumiin liittyvät uudet toiminnot, kuten kortin käyttäminen, asiakkaan tunnistaminen ja varmistuminen siitä, että asiakas todella on tehnyt sellaisen tilauksen, kuin mitä yritys on vastaanottanut. Näitä kaupanteon turvallisuuteen liittyviä kysymyksiä on käsitelty yksityiskohtaisemmin omassa kappaleessaan.
Tekniikan tuomia uusia mahdollisuuksia ovat juuri ajasta ja paikasta riippumaton ostosten tekeminen, joka on avannut koko maailman suureksi ostoskeskukseksi uudella tavalla: pian ostoksia voi tehdä jopa omasta kännykästä käsin. Myös suuri nopeus on tekijä, joka luottokorttikaupassa vaikuttaa sekä helppouteen että turvallisuuteen.
Turvattomimmillaan asiakkaan lähettämät tiedot kulkevat yhtenäisenä tiedostona salaamattomassa muodossa ja monien laitteiden kautta, joiden turvallisuustasosta ei ole varmuutta. Tätä voitaisiin verrata kärjistettynä siihen, että jättäisi luottokorttilaskujensa tositteet milloin minnekin, mistä satunnainen kiinnostuja voisi ne poimia. Tämä vain ei tunnu välttämättä monesta ihmisestä samalta: jos ei ole ollut koneiden kanssa juurikaan tekemisissä, voi erehtyä kuvittelemaan ettei kukaan voi saada tietoja selville, jos ei seiso olan takana katselemassa. Luottokorttiyhtiöt ovat kuitenkin myös huomanneet, että asiakkaat ovat sekä epätietoisia mutta - onneksi kyllä - myös epävarmoja luottokorttikaupan kirjon suhteen, ja tarjoavatkin sekä ohjeita että menetelmiä tällaisen turvattoman kaupankäynnin välttämiseksi[3,4].
Merkittävä uudistus verkkokaupan turvallisuuden lisäämiseksi on salatun yhteysprotokollan, SSL:n (Secure Socket Layer) käyttö kaupankäynnissä. Tämä protokolla toimii käytännössä siten, että lähetetty tieto välitetään asiakkaan ja myyjän välillä salatussa muodossa. Ensi helpotuksen huokauksen jälkeen on kuitenkin tässäkin otettava nykyinen todellisuus huomioon. SSL takaa vasta ikään kuin suojatun putken tiedonvälittämiseen, mutta siihen ei liity yleismaailmallisesti yhtäpitäviä menetelmiä henkilön tunnistamisesta tai kauppapaikan oikeellisuuden toteamisesta. Tämän vuoksi menetelmä ei tarjoa suojaa vääristettyjä kauppapaikan tarjoajia vastaan, kuten ei myöskään ostajan väärentämistä vastaan. Protokolla ei myöskään tarjoa yhtenäistä menettelyä tiedon kuljettamisesta eteenpäin kaupasta pankkiin[1]. Tällöin on siis mahdollista, että salatuista salatuinkin tieto päätyy printtinä johonkin mapin väliin, josta se sitten sopivan hetken tullen kuljetetaan pankkiin. Pelkän SSL-protokollan käyttöä kaupanteossa voitaisiinkin, edelleen kärjistettynä, verrata kahdenkeskiseen kaupankäyntiin paikassa, jossa ei ole muita läsnä, kun korttia höylätään, jos kuitenkin on valmis tekemään kauppaa kenen kanssa hyvänsä, jolta luottokortin lukulaite sattuu löytymään.
Luottokortin numeron väärinkäyttöön liittyvä oleellinen ero tietoverkossa tehtävän kaupankäynnin ja perinteisempien kaupan muotojen välillä liittyy myös rikollisiin tarkoituksiin hankittavan aineiston määrään ja sen käyttönopeutteen. Esimerkiksi tietoverkon palvelimen tietojen kopioiminen ja käyttäminen väärennettyihin ostoihin voidaan tehdä nopeasti ja suurilla tapahtumamäärillä siten, että korttijärjestelmien suojamekanismit eivät vielä ehdi toimia.[5]
On siis todellakin syytä suhtautua luottokorttikauppaan internetissä tietyllä harkinnanvaraisuudella ja hankkia tietoa luotettavista lähteistä ennen shoppailuun ryhtymistä.
Visa ja MasterCard ovat kehittäneet yhdessä tietotekniikka-alan yritysten kanssa SET-protokollan (Secure Electronic Transaction protocol), jonka avulla yritetään maksimoida luottokorttikaupankäynnin turvallisuus internetissä[4, 8]. SET-protokolla on toimintamuoto, jossa todennetaan sekä ostaja että myyjä, varmistetaan salattu tiedonkulku kaikissa vaiheissa, myös myyjältä pankkiin sekä varmistetaan lähetetyn tiedon oikeellisuus[1].
Järjestelmää on rakennettu vuodesta 1996, ja sen oletettiin valmistuvan saman vuoden aikana. Työ on kuitenkin venynyt, ja nyt se alkaa olla käytössä. Uusien laitteiden hankkimista on vältetty toteuttamalla protokolla ohjelmapohjaisena systeeminä[6]. Käytännössä tämä tarkoittaa erityistä lompakko-ohjelman käyttöä maksutapahtumien yhteydesä.
SET-protokollassa käytetään digitaalisia sertifikaatteja osapuolien todentamiseen [7]. Sertifikaattien käyttö edellyttää myös erityistä luottamushierarkiaa, toisin sanoen joku molempien osapuolten luottama kolmas taho todistaa osapuolien oikeellisuuden. Yhtenäinen tällainen menettely puuttuu SSL-protokollasta. SETissä tämä kolmas osapuoli on luottokorttiyhtiö[1,7]. Sertifikaatti on varsin luotettava todiste, mutta tällainen vaatii sekä ostajan että yrityksen puolelta sertifikaatin hankkimista ja käyttämistä. Suomessa tällainen toiminta on jo lähtenyt käyntiin, ja yrityksiä on mukana jo joitakin, joskin on vielä paljon matkaa siihen, että tätä voitaisiin pitää yleisenä toimintana[8x].
Tiedon salaamiseen SET käyttää RSA-salausta [6]. Vaikka tieto kulkisi salattuna, voidaan sitä kuitenkin esimerkiksi siirrellä lähetettävässä materiaalissa paikasta toiseen, erityisesti jos on tiedossa jotakin aineiston mahdollisesta sisällöstä. Tätä estämään SET tarjoaa salauksen lisäksi myös tiedon oikeellisuuden todentamisen menetelmän. Lisäksi protokolla tarjoaa menettelyn pankin, ostajan ja luottokorttiyhtiön välille.[1]
SET-järjestelmä tarjoaa myös merkittävän parannuksen entistä parempaan yksityisyyteen: kotitietokoneella maksettaessa myyjä saa asiakkaan tilauksen sekä maksutiedot erillään. Maksutiedot salataan ja välitetään edelleen maksujärjestelmään, joten myyjä ei pysty näkemään asiakkaan kortin numeroa [6] Tämä on varmasti monelle ympäri maailmaa ostoksia tekevälle mieluisa parannus.
Kaikista hienouksistaan huolimatta SET-protokollan käyttö vaatii ohjelman latauksen koneelle ja hieman perehtymistä. Vaikka tämä on siis helpon kuuloista, se ei sitä ole kaikille potentiaalisille ostajille, jotka mahdollisesti ovat jo muihin ostostapoihin tottuneille, eivätkä juuri tiedä tai ehkä edes välitä turvallisuustekijöistä. Lisäksi monet palvelun tarjoajat käyttävät varsin vakuuttelevaa kieltä kertoessaan omista suojajärjestelyistään, vaikka ne sitten olisivatkin sähköpostissa kahdessa erässä lähetettävän suojauksen luokkaa. Tarvitaan varmasti vielä paljon tiedonjakoa tietoturvan ja luotettavuuden merkityksestä ja tarkastamisesta, sekä pientä perehtymistä käyttäjiltä, jotta SET-protokolla voisi yleistyä. Protokollan ollessa vielä lähes uunituore, tämän toteutuminen jää vielä nähtäväksi.
Verkkokauppaa käyttävät tällä hetkellä aktiivisimmin varsin nuoret ihmiset. Jotta tällainen menetelmä tulisi tutuksi, tarvitaan varmasti runsaasti helposti saatavilla olevia ohjeita siitä, mistä verkkokauppoja voidaan löytää, ja miten maksaminen oikeasti tapahtuu. Tässä sekä ohjeet turvallisuudesta ja sen maksimoimisesta että itse ostamisesta ovat ratkaisevassa asemassa: madaltuuko kynnys muovirahan käyttöön bittiavaruudessa vai ei. Myöskin turvattomasta kaupasta mahdollisesti saadut kokemukset ohjaavat varmasti suosion suuntaa sekä palvelun tarjoajan että ostajan kannalta. Monessa maassa on tällä hetkellä myyjän vastuulla vastata tilauksesta ja kaupanteon oikeasta laidasta. Mikäli kauppojen tappiot nousevat erinäisten maksamatta jättämisten tai muuten väärennettyjen tilausten vuoksi, tällainen kaupankäynti ei välttämättä pitelekään suuren kehityssuosion etusijaa.
Mielenkiintoista on myös nähdä, mihin suhteisiin käteinen raha ja luottokortilla maksaminen siirtyvät. Maksetaanko ostokset yhä enemmän kortilla, esimerkiksi elokuvaliput ennakkoon ennen leffaan menemistä tai vaikkapa kuntosalikortti kätevästi syyskauden alun huumassa? Tässä mielessä ajateltuna nostaa päätään myös elektroninen raha, joka on tulossa käteisen anonymiteetin kilpailijaksi.
Edelleen voidaan miettiä, käykö sittenkin niin, että luottokortit sinänsä poistuvat kokonaan, ja luottokorttikaupan idea siirtyy täysin verkkosovellusten raivaamalle sähköiselle, ja muovittomalle alueelle. Tämä lienee hyvin mahdollista erityisesti skandinaviassa, jossa kaikenlainen tietoliikenneinfrastruktuuri elää muutenkin kukoistuskauttaan. Luottokortti muuttuukin sähköluotoksi ja ostaminen maailman ostoskorista arkipäiväiseksi näpyttelyksi. Tähän liittyy myös se, miten ne ihmiset, jotka eivät koe luottokortti- saati nettiostoksia omakseen, saavat palveluja jatkossa. Mikäli iso osa resursseja kohdistetaan verkkokaupan opetteluun ja tarjontaan, on mahdollista, että muut palvelut vähenevät. Tällöin kilpailuasetelma voikin muuttua myös siten, että eniten verkkopalveluja tarjoava on ykkössijalla jonkun asiakaskunnan piirissä, kun taas normaaleja kauppapalveluja tarjoava toisten. Tämä tuo yhden uuden aspektin alati tiukentuvaan kilpailuun ja tarjonnan eriyttämiseen.
[1] Bankinfo.com, Cryptography and SET - Safe Surfing - bankinfo.com,
8.11.1998 [viitattu 16.9.1999]
<
http://www.bankinfo.com/ecomm/setpart1.html>
[2] Downtown.co.nz New Zealand, netCD Money Matters [viitattu 17.9.1999]
<
http://downtown.co.nz/netCD/MoneyMatters.html>
[3] Luottokunta [viitattu 20.9.1999]
<
http://www.luottokunta.fi/eurocardset/turvallisuusohje.html>
[4] Mastercard, Mastercard [viitattu 17.9.1999]
<
http://www.mastercard.com/shoponline/set>
[5] Oksala, P., Maksutekniikka Oy, Maksaminen tietoverkoissa, 30.4.1996
[viitattu 17.9.1999]
<
http://www.tieke.fi/tiveke/raportit/maksamin.htm>
[6] Saranen, R. & Tuulihovi, P., Sähköinen kaupankäynti
tietoverkoissa,
16.3.1998 [viitattu 17.9.1999]
<
http://www.jyu.fi/~riisara/SahKaup.html>
[7] SetCo, How SET Works [viitattu 16.9.1999]
<
http://www.setco.org/how_set_works.html>
[8] Visa, Visa-Electronic Commerce-Secure Shopping, 7.7.1999 [viitattu 15.9.1999]
<
http://www.visa.com/nt/ecomm/security/main.html>
[1] Bankinfo.com, Cryptography and SET - What's Under the Hood? -
bankinfo.com, 8.11.1998 [viitattu 16.9.1999]
<
http://www.bankinfo.com/ecomm/setpart2.html>
[2] Biscuithead Web, Biscuithead Web Shopping Cart Help Site, 12.4.1999 [viitattu
17.9.1999]
<
http://www.bhw-order-services.com/shop_help/>
[3] ECML.org, ECML.org Home Page, 3.9.1999 [viitattu 20.9.1999]
<
http://www.ecml.org>
[4] Kaikkonen, J., 3.5.1996 [viitattu 20.9.1999]
<
http://keskus.hut.fi/opetus/s38116/1996/esitelmat/41566r/>
[5] Perkiömäki, R., Kohti elektronista kaupankäyntiä, 3.7.1998 [viitattu 20.9.1999]
<
http://www.smek.fi/yrva98/kohti.htm>
[6] Salde, U. & Sandgren & A. Tilly, M., Banking Network Security , 18.6.1997 [viitattu
16.9.1999]
<
http://www.ics.lu.se/staff/icspw/INF344_DK/snapshot/vt97/3B/Index.htm
>
[7] Tanaka, T., Possible Economic Consequences of Digital Cash, First Monday, 1996,
Vol.1, Nro.2 [viitattu 15.9.1999]
<
http://www.firstmonday.dk/issues/issue2/digital_cash>