Hur man misslyckas med att skapa förtroende för kortbetalning på nätet
Handlade precis på Adlibris. De upplyser snyggt och fint före kortbetalning att DIBS kommer att hantera kortköpet.
Förvisso kan någon ha hackat Adlibris och lagt ut desinformation, men DIBS är jag bekant med och jag är ännu så länge fullt trygg.
När man går vidare så blir man skickad till en sajt som vill ha ens kreditkortsuppgifter. Det är förväntat och helt i sin ordning, om det inte vore för att sajten inte alls ligger under dibs.se utan under secure.incab.se…
Vad tusan är Incab? Adlibris har just sagt att jag ska genomföra kortköpet på ”en sida hos DIBS”, och de förväntar sig nu att jag matar in mina uppgifter till incab.se. Okej…, eller så är incab.se något helt annat än vad den utger sig för att vara, trots den fina DIBS-loggan och allt. Hur ska jag veta?
Jag Googlar! Får dock inga resultat för ”incab site:dibs.se”, och även noll träffar vid sökning på ”incab” med sökfunktionen på http://www.dibs.se/, okej…
Hur ska jag veta att jag hamnat på rätt ställe? Någon har gjort ett riktigt dåligt jobb här!
Men okej, ett sista försök. Jag tittar i certifikatet för secure.incab.se och ser att det är utfärdat till organisationen ”DIBS Payment Services”.
Kollar upp http://www.thawte.com/ssl/ och ser att de genomför en ”Full organization validation” innan certifikatet lämnades ut, om man nu inte köpt ett SSL123-cert. Vet inte vad valideringen innebär, men nu är jag trött och jag väljer att tro på att det är en bra validering, eftersom det inte står ”123” som utfärdare.
Det finns många problem här, och jag väljer att lista några uppenbara:
- Att upplysa om att DIBS är PCI-certifierad hjälper föga när kunder skickas till incab.se.
- Att upplysa om att DIBS är PCI-certifierad hjälper inte för att öka förtroendet för att hackers inte har tagit över adlibris.se och att inhämtandet av kortuppgifter dirigeras till deras egen sajt.
- Någon på Adlibris bör ta sig en rejäl funderare över sin betalningslösning och den information som går ut till kunderna.
- Någon på DIBS bör ta sig en rejäl funderare över användandet av domänen incab.se.
- Att inte ta detta med ”redirect” på större allvar leder till att säkerhetsmedvetandet på Internet avtrubbas! Detta är ett ansvar som här faller på Adlibris och DIBS.
PCI DSS 3.0 förtydligar i viss mån kraven för organisationer liknande Adlibirs, då de dirigerar trafik till betalsajter. Detta kommer förhoppningsvis att leda till ett högre säkerhetstänk hos e-handlare, men det gör det inte lättare för konsumenter att bedöma trovärdighet på nätet. För detta behövs just den tydlighet och stringens som Adlibris och DIBS nu saknar.