Na základě reakcí klientů mobilního operátora O2 ohledně zkušeností s mobilními platbami (mPlatby) jsme vydali článek, který popisuje poměrně zvláštní způsob implementace této platební služby. Než abychom jen doplnili vyjádření společnosti O2 do uvedenému článku, rozhodli jsme se, že věnujeme prostor pro celé znění vyjádření. V něm operátor popisuje celou metodiku, díky čemuž se dozvídáme, že nedochází k předávání mobilního čísla třetím stranám.
Na druhou stranu jde o komplexnější metodu, takže je O2 více zapojeno do spolupráce. Na jednu stranu se jedná o bezpečnější metodu identifikace, na druhou stranu pochybujeme o aktuálně nastaveném systému ověření a že si je zákazník plně vědom placení i takových služeb, kde je cena například nastavena na 99 Kč týdně. Sami posuďte vyjádření O2.
Vyjádření O2:
Platby na internetu
Počet plateb na internetu v posledních letech narůstá. Zatímco dříve hráli lidé hry zdarma, nyní si chtějí stahovat placené aplikace a chtějí mít možnost si v nich i doplácet za další dodatečné nákupy. A není to jen o hrách, podobně roste i využívání vzdělávacích aplikací nebo e-publishing.
Obliba plateb na internetu roste plošně u všech metod, přičemž platba prostřednictvím operátora je jen jednou z nich. Boom v posledních letech zažívají aplikační obchody (Google Play, App Store), které tvoří přibližně polovinu všech digitálních transakcí placených přes O2. Možnost zaplatit za obsah platební kartou nebo právě prostřednictvím operátora však najdete i u dalších služeb. Příkladem může být Microsoft a jejich Office 365, XBOX store nebo iCloud.
Existuje i řada poskytovatelů, kteří nabízejí služby mimo aplikační obchody. V takových případech se platba přes telefonní číslo historicky používala pouze v modelu, kdy bylo nutné zadat telefonní číslo a platbu potvrdit opsáním kódu z potvrzovací SMS (tzv. OTP). Nevýhodou této metody je, že takto zákazník zadává své telefonní číslo přímo poskytovateli služby. Dá se tomu však vyhnout.
V případě provádění plateb pomocí Header Enrichment (HE) ke kompromitaci MSISDN vůbec nedochází. Pokud totiž zákazník přistupuje do obchodu partnera připojený přes mobilní data, operátor jej identifikuje pomocí svých síťových prvků a vybraným partnerům může předat formou HE anonymizovaný referenční kód (ACR = Anonymous Customer Reference) namísto identifikačních údajů zákazníka. Zákazník si tak může objednat digitální obsah či službu bez nutnosti prozrazovat partnerovi své telefonní číslo, které tak po celý proces platby zůstane vůči partnerovi utajeno. Operátor zákazníka pomocí ACR identifikovat umí, partner nikoli; ACR mu slouží pouze jako reference na anonymního zákazníka a jen pro účely provedení platby. Nejde o přeskakování potvrzení platby. Jde o propracovaný mechanismus, který má za cíl ochránit citlivá data – v tomto případě telefonní číslo zákazníka – před zneužitím třetími stranami. Objednávací proces je navíc pro zákazníka snazší a rychlejší.
Operátor O2 je jen v pozici platební metody, nikoli prodávajícího či poskytovatele služby, takže ani neprovozuje stránky, kde zákazník provádí nákup a odsouhlasuje platbu. Proto O2 vždy, kdy se dohodne s partnerem na využití tohoto rychlejšího způsobu objednávání, zavazuje smluvně partnera, aby dodržoval jasně daná pravidla, když ve svém obchodu nastavuje proces objednání a potvrzení platby. Objednání musí proběhnout nejméně dvěma kroky – zákazníkovi je nejprve jasně představeno, co a za jakých podmínek si kupuje (včetně ceny). Po kliknutí na tlačítko pak musí následovat ještě minimálně jedna další potvrzovací stránka, aby se eliminoval nákup omylem. Stránka musí být pro zákazníky vždy jasně pochopitelná, mít všechny náležitosti jako přesné uvedení ceny a obchodních podmínek prodávajícího, musí komunikovat v češtině a mít rovněž řádnou ochranu před hackery – každý poskytovatel musí využívat schválené antifraudové řešení, aby byli zákazníci chráněni před útoky hackerů.
Zdroj: O2
Zákazník je navíc vždy po provedení transakce informován o této skutečnosti pomocí SMS. V té jasně vidí, i kde provádění plateb (včetně nastavování finančních limitů či blokací) může spravovat.
Zdroj: O2
Společnost O2 využívá Header Enrichment již několik let. Za tu dobu se – jak roste nabídka služeb, které tento postup využívají – každý měsíc zvyšuje i počet transakcí, které jsou touto cestou provedeny. Poměr reklamací je ale v řádech setin procenta (v září 0,025 %) a dlouhodobě klesá.
Header Enrichment není pro společnost O2 jediným využívaným technickým řešením. Většina nákupů dnes probíhá přes aplikační obchody. Řada služeb má své vlastní aplikace a Header Enrichment není povolen všem. Vše podléhá jasným pravidlům, včetně maximálních finančních limitů pro transakce stanovených zákonem o platebním styku. Každý zákazník O2 si navíc může v rámci zákonných limitů nastavit a libovolně upravovat i vlastní finanční limity, a to prostřednictvím samoobsluhy moje.o2platba.cz, kde je možné jednotlivé obchody nebo i platby přes internet jako celek zablokovat. Pokud chce blokovat zákazník všechny platby přes O2, jde to na jedno tlačítko ve webové samoobsluze Moje O2.
Identifikace zákazníka pomocí Header Enrichment mechanismu:
Provádění plateb pomocí HE je pro zákazníka pohodlnější alternativou než pomocí OTP (one time password). Narozdíl od OTP, u kterého je nutné, aby zákazník napsal do partnerova webového formuláře své telefonní číslo (MSISDN), a tak jej sdělil partnerovi, v případě HE ke kompromitaci MSISDN vůbec nedochází.
HE usnadňuje zákazníkovi nákup a funguje tak, že pokud zákazník přistupuje do obchodu partnera připojený přes mobilní data operátora, operátor jej identifikuje pomocí svých síťových prvků a vybraným partnerům může předat formou HE anonymizovaný referenční kód (ACR = Anonymous Customer Reference) namísto identifikačních údajů zákazníka. Zákazník si tak může objednat digitální obsah či službu bez nutnosti prozrazovat partnerovi své telefonní číslo, které tak po celý proces platby zůstane vůči partnerovi utajeno. Operátor zákazníka pomocí ACR identifikovat umí, partner nikoliv; ACR mu slouží pouze jako reference na anonymního zákazníka a jen pro účely provedení platby.