16 comments
Comment from: Bogdan
Comment from: phane
Daca e vorba de un site de comert electronic: ma uit daca descrierile / parametrii produselor sunt complete si actualizate, daca au stocurile afisate; ma uit la datele de contact - daca e doar un numar de telefon, zic pas. Cand e vorba de produse de valoare mai ridicata, ma duc personal la sediu ca sa le ridic (dupa o prima experienta neplacuta cand am primit cu totul altceva decat am comandat, iar curierul a venit la 11 noaptea dupa ce l-am asteptat toata ziua).
Eu nu am 60 de ani (nu am nici măcar 30), trăiesc din optimizarea site-urilor şi tocmai de aceea nu am din principiu încredere să plătesc online. Nu efectuez tranzacţii decât dacă nu am încotro şi doar pe site-uri cunoscute care trebuie să fie securizate(gen companii aeriene, SNCF, Amazon). Altfel prefer plata ramburs. Nu văd nimic anormal în aceasta, e o atitudine perfect justificată. Cei din e-commerce, care se tot plâng că în România nu se cumpără online, să facă bine să câştige încrederea oamenilor, dacă sunt în stare. Da, magazinele nu-ţi iau datele, dar ţi le pot lua alţii dacă există găuri de securitate. În plus, m-am tot pocnit de cerinţa de a introduce CNP-ul, din nişte motive care-mi scapă. Ce treabă are o companie cu CNP-ul meu dacă eu sunt persoană fizică şi nu vreau factură?
A, să nu uit: în unele cazuri online chiar este mai scump. Pentru că există nişte stupide taxe pentru tranzacţii cu cardul, nu m-am prins exact care sunt, la ce se aplică şi la ce nu, că nu-s peste tot. De exemplu, am descoperit că biletele de concert cumpărate online cu cardul sunt mult mai scumpe, aşa că m-am dus frumos la un magazin când mi-am luat bilet la Yann Tiersen. E nu ştiu ce taxă de ticketing sau aşa ceva. Acum mă voi duce în Anglia şi au spus cei de la hotel că dacă aleg să plătesc cu cardul mă va costa mai mult decât cu bani gheaţă. Lucrurile acestea sunt reale, nu sunt simple prejudecăţi ale unora neobişnuiţi cu web-ul sau cardurile.
Ce mă face să am încredere într-un site? Reputaţia (dacă n-am auzit de ei poate o să caut ceva foarte rapid, să văd ce se spune), prezenţa unor date de contact complete (adresă fizică), descrierea detaliată a ce se întâmplă când cumperi pe site, eventual certificări din acelea de securitate… Dar şi felul în care e structurat site-ul, designul chiar. Dacă designul e simplu şi fără pretenţii nu-i un lucru rău, însă un aspect “cheap", o structură proastă şi supra-optimizare strict pentru Google îmi sugerează că nu i-a păsat nimănui de acel site şi de impresia pe care o face, ci compania respectivă a vrut să obţină trafic rapid, fără bătaie de cap şi cu o investiţie minimă, fără o preocupare serioasă pentru satisfacţia clientului.
Google nu e prietenul nimănui, de altfel a scăzut foarte mult relevanţa rezultatelor.
Comment from: bogdan
Mersi pentru comentarii
@Ioana - si eu cred ca este ilegal sa se colecteze CNP-ul, am mai scris. Anyway, misto comentariul :-)
@phane - si mie imi place sa ma duc sa-l ridic, daca se poate. De cel putin 3 ori mi s-a spus ca nu se poate, ceea ce mi se pare ciudat. In cele din urma in 2 din cazuri am ajuns la sediul lor sa il iau (chiar imi era mai simplu!), in ultimul am alergat eu dupa curier ca sa il iau inainte de Craciun :-)
Comment from: Adi
quote: “apropo, datele nu ajung la proprietarului site-ului si nici macar nu sunt stocate la procesator”
/endquote
pe bune? ia uitati un caz beton:
RDS&RCS (https://digicare.rcs-rds.ro/) foloseste pentru plata online procesatorul EuPlatesc.ro… toate bune pana cand ajungi la pagina de plata si te uiti la sursa html a paginii unde introduci numarul de card si CVV2.. ce descoperi acolo ??
__title__EuPlatesc.ro - Detaliile tranzactiei__/title__
[…]
__form name="frm” ACTION="/plati-online/tdsprocess/checkout_plus.php” METHOD="POST” autocomplete="off”
(am modificat putin tagurile html ca sa nu fie active)
asta inseamna ca euplatesc.ro nu trimite direct datele de card la
Romcard (secure2gw.ro) ci are oportunitatea sa le salveze local pe
harddisk!!
a.. si btw, site-ul asta al EuroPayment services srl (J40/9950/2006, CUI 18773866) mai pretinde si ca este certificat PCI DSS!
Comment from: Adi
P.S.
tot din cauza faptului ca EuPlatesc.ro intercepteaza detaliile privind numarul de card si cvv2, pe site-ul lor la adresa IP de unde s-a efectuat plata, in loc sa apara adresa mea ip de aici, apare adresa serverului lor
e.g., citat din cea mai recenta plata a facturii pe care am facut-o online prin ei:
Comerciant RCS & RDS. S.A. (https://digicare.rcs-rds.ro)
Adresa de ip 193.226.140.57
url-ul “chitantei” incepe cu
http://www.euplatesc.ro/plati-online/index.php/plati-sigure/ordersearch.html?numar_tranzactie=
site-ul nici macar nu foloseste https pentru afisarea chitantelor.
Comment from: bogdan
@Adi - naspa daca e asa, eu stiam ca daca esti certificat PCI DSS, sigur nu stochezi datele asta (via epayment)
Comment from: bogdan
@Olivian, m-am uitat, dar cred ca ghidul tau este pt programatori mai degraba decit pentru utilizatorul final. :-)
PS: de ce sa fi marcat sa spammer ?
Comment from: Adi
@Bogdan: din pacate este adevarat :(
anyway, ieri a fost ultima oara ca mai fac plata online cu cardul la rds (sau oricare alt site care foloseste euplatesc.ro si/sau 3DSecure)
ca sa pot face plata a trebuit sa refuz inca odata activarea 3DS, a fost al treilea refuz la care aveam dreptul, se pare ca de acum incolo nu mai imi va fi acceptat la plata cardul online (daca site-ul foloseste 3DSecure) si asta desi banca sustine sus si tare ca 3DSecure este OPTIONAL.
optional si obligatoriu simultan este cam imposibil :(
ai aici o serie de 12 slide-uri (capturi de ecran) pe care le-am facut ieri in timpul platii facturii online la rds.
01 - landing page, dupa ce am dat click pe site la rds sa platesc factura:
http://oi56.tinypic.com/2eowrkp.png
02: formularul de introducere a datelor de pe card:
http://oi51.tinypic.com/260af4g.png
03: codul sursa al formularului, care arata unde vor fi trimise datele cand apas submit:
http://oi52.tinypic.com/3346ccn.png
04: locatia frame-ului respectiv
http://oi51.tinypic.com/x0qulf.png
05: BT spune ca 3DSecure este OPTIONAL:
http://oi51.tinypic.com/19ruvs.png
06: dar… RDS+EuPlatesc vor sa fie obligatoriu si vor sa imi impuna noi reguli (contractul 3dsecure) in derularea contractului meu cu un tert (banca).
De mentionat greseala de scriere a numelui bancii, daca nu as sti mai bine as crede ca asta e o pagina de phishing in toata regula.
http://oi52.tinypic.com/245lf88.png
07: sursa frame-ului de mai sus, cu eroarea de scriere, este chiar secure2gw.ro (romcard) !
http://oi54.tinypic.com/2rokj84.png
08:some more 3ds junk
http://oi54.tinypic.com/33nxiqe.png
09: frame info about that junk
http://oi54.tinypic.com/29yijgj.png
10: chitanta de plata rds
http://oi56.tinypic.com/2myopag.png
11: chitanta de plata rds, full page, cu tot cu logo-ul PCI DSS
http://oi53.tinypic.com/a17a7l.png
12: pagina de pe site-ul lor care evidentiaza plata:
http://oi51.tinypic.com/zjhyr4.png
de remarcat favicon-ul care este astfel ales incat sa fie verde si sa sugereze ca inca se mentine conexiunea HTTPS, ca si adresa ip de pe care s-a “efectuat plata” - adresa serverului lor.
Un site de încredere este acela care-ți oferă aceeași viziune asupra realității pe care tu însuți ți-ai format-o. Asta cel puțin la nivelul site-urilor de informare(site-uri de informare generală, științifică, bloguri). Cât privește partea de presă online, nu cred că felul în care arată un site, ci mai degrabă încrederea s-a construit din activitățile și fapticul offline.
Comerțul online iarăși își construiește reputația din activitatea desfășurată în offline (relația cu ai săi clienți, rezolvarea reclamațiilor, service, etc).
Concluzia este că grosul de încredere se formează prin contact direct iar online-ul este o extensie care vine să completeze și să întregească acest capital care foarte greu se construiește.
Comment from: Olivian BREDA
@Bogdan: Nu am reușit să trimit comentariul cu link inclus. :) La asta mă refeream cu spammer. :)
Comment from: Mihai Jalobeanu
De mai bine de un deceniu există formulate de o echipa de cercetători dela Univ. Stanford niște criterii de evaluare a credibilității pe Web. Am tot scris si eu despre asta (Fiabilitatea si credibilitatea informațiilor, între altele la www.timsoft.ro/ejournal/fiabilitate-info.html)
Era înainte de Web2.0, dar lipsa de profesionalism a paginii Web (inclusiv la nivelul codului sursă html), greselile de exprimare/scriere, lipsa datei ultimei revizuiri, a unei adrese de “contact", a unor referințe sau legături (în cazul paginilor informative), ar trebui să ne determine să nu mai revenim acolo, sau să abandonăm tentativa de tranzacție.
Dar câți “internauți” analizează codul sursă al paginii Web vizitate? Desi fiecare navigator oferă această posibilitate.
Impresia mea este că plătile online, la fel ca si cele cu cardul în magazinele noastre pătrund greu atât din cauze educaționale, dar si din rutina comerțului ilicit (gri?), a restului omis, etc. Evidența plății online rămâne înscrisă, factura pare obligatorie, …
Interesanta dezbatere :)
Cativa pasi pentru userii normali am enumerat si aici
http://blog.epayment.ro/manual-de-cumparaturi-online-sigure/ care face referire la subiectul in cauza.
Personal, iau in calcul foarte multe aspecte inainte de a achizitiona ceva.
Sunt 2 aspecte majore:
- produs (website)
- securitatea datelor personale
Daca primul e indeplinit si al doilea nu, prefer sa platesc cu PayPal daca e oferit, daca nu renunt.
@Adi, 3D Secure ti se poate parea o gaselnita aiurea, dar cert este ca`ti poate da un hint rapid despre magazinul de la care cumperi. Suporta 3D Secure?
De exemplu, companiile aeriene au dezactivat complet fitrarea 3D Secure pe motiv de maximizare vanzari, si nu`mi convine neaparat cand fac o plata catre ei.
Referitor la euplatesc.ro. Am identificat multe probleme legate de procesul de comanda pe care le-am si facut pachet feedback. Sunt probleme majore acolo dar am vazut si lucruri bune, ca acel cod QR unic comenzii si citibil cu Iphone :)
Cineva mentiona ca industria in sine ar trebui sa faca ceva in a creste reputatia platilor online. Este adevarat, atat timp cat te incapatanezi sa ceri un CPN si 1000 de date personale inclusiv inca un cont aiurea doar ca sa comanzi un produs, nu vom ajunge nicaieri.
Oricum, astept commentariile voastre in continuare
Comment from: Tudor
Legat de stocatul datelor de card si increderea in magazine:
Am o firma de software ("de aia cu echipa tanara :)), si am lucrat pe f multe proiecte de ecommerce, si nu ma refer la magazinase mici romanesti cum trag studentii romani pe cateva sute de euro.
Treaba cu stocatul in mod normal ar trebui sa depinda de legislatie: daca ai voie sau nu sa stochezi datale de card. Nu stiu cum e la noi la legea, dar in state si in multe tari din EU este voie, mai ales daca se face procesare offline, manuala.
Indiferent de lege, aplicatii de e-commerce in marea majoritate te lasa sa stochezi daca vrei, ele fiind internationale pana la urma. Daca proprietarul este total pe langa s-ar putea sa incalce legile.
Si aici vine si partea cu increderea: de unde stii ca proprietarul este de buna credinta si tine aceste data ca sa le vanda sau ca sa fure de pe carduri? De unde stii ca la procesarea (manuala sau nu) iti va lua suma care trebuie de pe card si nu mai mult?
Morala ar fi urmatoarea: nu plati cu cardul decat daca ai mare incredere in magazin sau furnizor: odata ce ai dat acele date nu mai poti da inapoi si ei pot trage bagi cand vor.
Alternativa care o folosesc eu este paypal (sau alti procesatori de genul). Motivul: nu mai trebuie sa ai incredere in 1000 de magazine dubioase, ci doar in procesator: paypal. Plata se poate face o singura daca cand ai autorizat tu, si la suma autorizata. Magazinul nu ramane cu nimic mai mult decat username folosit pt plata. Nu e nimic util pt un hot.
Comment from: Adi
ok, am primit raspuns si de la Romcard referitor la faptul ca euPlatesc prelucreaza local numarul de card si CVV2, precum si alte info despre PCI DSS si 3DSecure…
[…snip…]
[quote]
Pe langa faptul ca cei 3 participanti folosesc un sistem criptat de comunicatii acestia sunt si “PCI DSS compliant” (au fost verificati de catre QSA autorizati) si deci respecta cerintele de securitate impuse de standardul PCI DSS. In aceste conditii acestia pot procesa datele detinatorului de card si raspund in cazul unor incidente.
[/quote]
….
[quote]
In cazul de fata, procesatorii sunt autorizati si agreati de catre banca si organizatiile internationale de carduri pentru a procesa tranzactii de ecommerce tip 3DSecure. In Romania sunt cel putin 3 procesatori de acest tip. Astfel, situl www.euplatesc.ro este scanat zilnic de McAfee pentru vulnerabilitati si lunar de catre Trustwave. Ambele firme au certificat PCI-DSS www.euplatesc.ro. Mentionam ca in conformitate cu standardul PCI-DSS pentru care suntem certificati nu salvam informatiile despre cardul utilizat. www.euplatesc.ro, pentru aplicarea filtrelor antifrauda, utilieaza aceste informatii intr-un mod ce face imposibila recuperarea informatiilor initiale
[/quote]
are they nuts?
deci, pe scurt, DA: euplatesc.ro proceseaza informatiile local dar “nu le stocheaza” si eu ar trebui sa ma bazez pe “certificare” si pe faptul ca un serviciu EXTERN scaneaza site-ul respectiv DAR fara sa aiba acces la sursa scriptului PHP respectiv.
Sa fim seriosi, toti stim ca mare parte a certificarii este mai mult birocractie de fatada decat securitate propriu-zisa.
Exemple practice:
1) ce se intampla cu Sony PlayStation Network zilele astea de se scurg date despre identitatea a milioane de useri (+numere de card)
Comment from: Marius Delaepicentru
PayPal sau Yahoo! kantan kessai. Sunt doi intermediari excelenţi. Înregistrezi cîte carduri vrei. Trimiţi date sensibile numai o singură dată. Cînd cardul expiră, şi este reînoit, baza de date a instalaţiei este actualizată în backoffice. Nu e nevoie de retransmiterea datelor.
@Adi
La Sony nu s-au semnalat pagube decît folosind datele din sistemul de puncte de fidelitate. S-au înregistrat furturi de puncte, puncte ce au fost cheltuite de către crackeri, însă suma totală nu depăşeşte 1200 USD. Sunt doar găinării.
Eu stiu suficienti oameni tineri care nu ar comanda de pe net nici picurati cu ceara. De exemplu eu sunt subiectiv,recunosc, alegerile le fac din instinct cu toata documentarea prealabila, si nu cumpar de pe un site mare de IT din Romania doar din simplul motiv ca … mi l-a recomandat o persoana in care nu am incredere. Intre timp mi-am mai schimbat parerea dar tot nu merg la ei prima data. Negrul ala din background e tare enervant … in special cand sunt poze cu fundal alb. Nu are nicio estetica si e si izbitor si dureros pentru ochi.
Nu am raspuns la intrebarea “ce creeaza incredere?” dar am spus ce poate crea neincrederea … in cazul meu. Daca amicul in care nu ai incredere nu poate fi un argument atunci culoarea cu siguranta este.