אפשר גם אחרת: לרכוש ברשת ללא כרטיסי אשראי
מאת יעל פטר
חברת הסטרטאפ הישראלית פלאגוולט (PlugWallet) פיתחה מערכת תשלום המתבצע ישירות מול השרתים של החברה, כאשר המוכר אינו מקבל את פרטי המשתמש.
פרשיית ההאקר הסעודי שחשף את פרטיהם של אלפי כרטיסי אשראי ישראלים ברשת, עוררה סערה ענקית שלוותה בחשש הגדול – האם זה יכול לקרות לכל אחד מאיתנו? מדוע להאקר היה כל כך קל להגיע אל המידע, כיצד ניתן להתגונן מפני סיטואציה כזו, וגם אלטרנטיבות – איך לשלם ברשת בלי כרטיס אשראי.
מאחורי הקלעים: איך פועל התשלום ברשת
עולם האשראי מבוסס על תיווך. בתהליך רכישה דרך האינטרנט, חברות האשראי משמשות כמתווך בין הכיס הוירטואלי שלנו, שהוא חשבון הבנק, לבין החנות. במהלך רכישה באינטרנט מספר כרטיס האשראי שלנו עובר מספר גלגולים: לאחר הקלדתו באתר של החנות, הוא עובר אל ה-Gateway אשר שולח את המידע לחברות כרטיסי האשראי על מנת לאמת את פרטי הלקוח. לאחר קבלת האישור המידע עושה את דרכו חזרה דרך אותה שרשרת עד לחנות, והעסקה יכולה לצאת לפועל.
בעת התשלום, כאשר אנו מקלידים את פרטי כרטיס האשראי שלנו בחנות המקווננת, אם בעל החנות מספיק ישר, הוא ידאג כי באתר תהיה הגנת אבטחה (לפי תקני PCI המחמירים), וכמו כן, רצוי שהוא ידאג שפרטי האשראי שלנו ימחקו עם תום הקנייה, ולא ישמרו על גבי השרת שלו לעד. ועל חברות האשראי עצמן מוטלת החובה המוסרית לדאוג כי החנויות הוירטואליות איתן הם פועלות ישמרו על קודי האבטחה.
ככל הנראה מה שקרה בפרשיית ההאקר הסעודי, זה שכל התנאים הללו לא התקיימו. אמנם חברות האשראי הן מאובטחות ביותר, וישנו סיכוי קטן שמישהו יצליח לפרוץ אל השרת שלהם ישירות ולגנוב משם את הפרטים, אבל אם חברות האשראי לא דואגות שאתרי הקניות ישמרו אף הם על האבטחה, אז קל מאוד להאקרים לעשות את העיקוף, ולהגיע לפרצה שבחומה – האבטחה הקלוקלת של החנויות.
לשלם בלי לחשוף את כרטיס האשראי
ישנן שיטות רבות לתשלומים ברשת. השיטה הנפוצה ביותר היא כאמור באמצעות כרטיסי אשראי. שיטה נוספת, אשר גם היא מבוססת על אשראי היא פייפאל (PayPal) לפיה הלקוח מקליד את מספר האשראי שלו פעם אחת – על גבי הפלטפורמה של חברת פייפאל. לאחר מכן הוא מקבל מספר כרטיס וירטואלי שאיתו הוא יכול לבצע רכישות באתרים. במקרה הזה מספר כרטיס האשראי מסתתר מאחורי "מסכה" מאובטחת. היתרון הוא שלא צריך לתת את פרטי האשראי לכל חנות וירטואלית, אולם ישנם חסרונות: השיטה יכולה להתבצע רק אם ללקוח יש כרטיס אשראי, ושנית, היא יקרה יחסית, בגלל עמלות הסליקה המשולמות לכל המתווכים שבדרך (פייפאל, חברות האשראי והבנק).
שיטה נוספת מכונה COD (Cash on Delivery) והיא אינה מצריכה כרטיס אשראי. במהלכה, הלקוח מזמין מוצר מאתר מסויים, ומשלם עליו רק במעמד קבלתו, דרך שליח שמשמש כמתווך בעסקה. בשיטה זו המוכר בחנות צריך להאמין שהלקוח אכן מתכוון לשלם, ואז הוא שולח שליח שיספק את המוצר ויחזור עם הכסף (בדומה להזמנת פיצה – מגיע שליח אשר לוקח את המזומן). הבעיה המרכזית כאן היא גיאוגרפית, מכיוון שצריך קירבה מסויימת בין הלקוח לבין החנות הפיזית על מנת שזה יצא לפועל. שנית, המוכר חייב שיהיה לו איזשהו אמון בלקוח, מכיוון שהוא אינו יכול להסתכן ולשלוח שליחים אם אינו בטוח שיקבל את כספו.
שיטת eBillme אף היא מבוססת מזומן, אולם אין צורך בשליח. כאן, הגולש מזמין דרך האתר מוצר, ובמעמד חתימת העסקה הוא מקבל קוד. באמצעות הקוד הוא משלם בקיוסק או בבנק, ואז מקבל את המוצר בדואר. השיטה נפוצה בעיקר בארה"ב, בחנויות כמו seven eleven, ו-western Union. והיא פועלת באופן נרחב גם בהודו.
Prepaid אף היא שיטה דומה, אולם כאן סדר ההתרחשויות הפוך – הלקוח קודם כל מפקיד את המזומן, ולאחר מכן הולך ומבצע את הקניה באמצעות כרטיס נטען (באנלוגיה לעולם התקשורת זה דומה לטוקמן). היתרון הברור הוא שאפילו אם פורצים וגונבים את הכסף, זה מוגבל לסכום שהלקוח הפקיד בלבד, אין אפשרות לגנוב מעבר לכך
חברת הסטרטאפ פלאגוולט (PlugWallet) הישראלית פועלת בשיטה זו. לדברי יובל רון, סמנכ"ל טכנולוגיה בפלאגוולט, "היות ואצלנו התשלום מתבצע ישירות מול השרתים של החברה, המוכר אינו מקבל את פרטי המשתמש. כל ההתרחשות מתבצעת ישירות מול השרתים של פלאגוולט”.
"מכיוון שמדובר בכרטיס מבוסס מזומן, כלל לא מעורבת כאן חשיפה של כרטיס אשראי, וזה גם לא משנה האם יש או אין לך כרטיס אשראי", מסביר רון. "הלקוח מטעין את החשבון שלו בסכום שהוא רוצה בעמדות ההטענה (בחנות או בקיוסק), ולאחר מכן מבצע את הרכישה באמצעות הסמארטפון או המחשב”.
לדברי רון, "די מהר הבנו שאחת הבעיות עם אמצעי התשלום הקיימים ברשת, שהם מתבססים על כרטיסי אשראי ומערבים מספר מתווכים. בפלאגוולט היות והתשלום מתבצע במזומן ישירות מול השרתים של החברה, עמלות הסליקה לוקחות בחשבון מתווך אחד בלבד, ולכן זה מוזיל את העמלות בכ-70%-90%".
מדוע פלאגוולט יושבת על ענן? האם זה לא מסוכן יותר?
"להיפך. השרת שלנו יושב על גבי פלטפורמת השירות של אמזון (AWS), שנותנת שירותי אבטחה. אמזון משקיעה מיליוני דולרים כדי לאבטח את השרתים שלה, ומחזיקה סוללת מומחים שזה התפקיד שלהם, לדאוג שהשרת יהיה מאובטח. במצב כזה לא שווה לי, כחברה, להחזיק ולאבטח שרת משלי, אלא עדיף לשכור את שירותי האבטחה בענן. עלי רק מוטלת האחריות לאבטח את האפליקצייה שלי".
עוד בנוגע לאבטחה מוסיף רון, “מלבד שם משתמש ומספר ססמא, ישנו מפתח שפועל אך ורק מהמכשיר של הלקוח עצמו, כך שאפילו אם האקר פורץ וחושף את מספר המשתמש והססמא, הוא חייב גם לגנוב את המכשיר דרכו מתבצעות הרכישות, וזה כמובן מקשה מאוד על כל הרעיון של פריצה".
פלאגוולט שהוקמה ב-2008, על ידי יובל רון, ואביו, עמוס רון (לשעבר, מנכ"ל רשות הנמלים), פונה בעיקר לשווקים מתפתחים, בהם "ישנם הרבה יותר אנשים שיש להם אינטרנט, מאשר כאלו שברשותם כרטיסי אשראי, למעשה 65% ממשתמשי הרשת הרשומים ברחבי העולם הם מחוסרי כרטיסי אשראי”, אומר יובל. "מרביתם נמצאים במדינות המתפתחות, כמו הודו וסין. הם פשוט מסתובבים שם עם כמויות עצומות של מזומן ביד".