Jak zapobiegać oszustwom w sklepie internetowym W trosce o bezpieczeństwo Twojego sklepu, PayU we współpracy z organizacjami kartowymi przygotowało krótki przewodnik z poradami, jak uniknąć oszustw (tzw. fraudów). Prosimy o zapoznanie się z podstawowymi zasadami bezpieczeństwa przy akceptacji kart w Internecie. Wystarczy przestrzeganie kilku prostych zasad, by w dużej mierze ograniczyć ryzyko występowania fraudów. Zabezpieczenia internetowych transakcji kartowych System 3DSecure Jest to dodatkowa weryfikacja użytkownika karty, przeprowadzana za pośrednictwem systemu PayU. Odbywa się ona standardowo przy każdej próbie dokonania płatności na Twojej stronie internetowej, o ile karta płacącego umożliwia taką opcję. System ten polega na potwierdzeniu tożsamości użytkownika karty poprzez weryfikację przez jego bank dodatkowych danych, znanych tylko posiadaczowi karty. Takie zabezpieczenie pozwala w maksymalny sposób ograniczyć ryzyko wykorzystania karty płatniczej przez osoby nieuprawnione i chronić Twój sklep przed transakcjami oszukańczymi. Ochrona danych Aby minimalizować ilość danych w rękach przestępców, organizacje kartowe wprowadzają standardy dotyczące przechowywania danych. Wbrew pozorom jest to bardzo ważne dla bezpieczeństwa transakcji. Ogólna zasada jest taka, że wszelkie informacje zawierające dane, które mogą być użyte do przeprowadzenia transakcji płatniczej muszą być przechowywane w sposób bezpieczny i zabezpieczone przed osobami nieuprawnionymi. Dostęp do nich powinna mieć ograniczona ilość osób. Bardzo ważnym aspektem ochrony przez oszustwami jest prawidłowe zabezpieczanie danych kartowych. Przestępcy używają różnych metod, aby uzyskać dostęp do numerów kart i innych danych niezbędnych do przeprowadzenia transakcji internetowej. Jedną z bardziej wyszukanych metod jest atakowanie systemów komputerowych i baz danych, w których takie dane mogą się znajdować. Przestępcy stosują również znacznie prostsze metody - np. przeglądanie śmieci wyrzucanych w biurze, w których mogą się znajdować wrażliwe dane. Oczywiście wykorzystują też karty zgubione i skradzione - zanim użytkownik zorientuje się, że utracił kartę i poinformuje o tym swój bank. Przechowywanie wrażliwych danych jest zatem jednym z głównych zmartwień korzystających z płatności online. Ważne jest, aby wszelkie dane, w posiadanie których wejdziesz na jakimkolwiek etapie realizacji zlecenia Klienta, były odpowiednio zabezpieczone. W momencie, kiedy przestaną one być już potrzebne - należy je zniszczyć. Sposób integracji Twojego sklepu z systemem PayU sprawia, że szczególnie wrażliwe dane takie jak: numer karty, data ważności czy kod CVV2/CVC2 nie są przechowywane po Twojej stronie. Jeśli jednak wejdziesz w ich posiadanie w inny sposób (np. Klient poda je przypadkowo na dokumentach) należy mieć na uwadze szczególne rygory związane z ich przechowywaniem. Należy zwrócić również uwagę na dokumenty, używane w kontaktach z Klientem na umowie czy zleceniu warto unikać wpisywania numerów kart, a jeśli to jest niezbędne - niezwłocznie po wykonaniu usługi taką umowę należy zniszczyć w bezpieczny sposób (np. w niszczarce).
Chargeback Chargeback (z ang. obciążenie zwrotne) to szczególny rodzaj reklamacji, składanych przez użytkownika karty w jego banku. Zazwyczaj prowadzą one do żądania zwrotu należności, jaka została opłacona kartą płatniczą. Najczęstsze powody takich reklamacji ze strony Klientów, to: brak realizacji usługi (np. Klient twierdzi, iż nie otrzymał towaru); niewłaściwa realizacja usługi (np. Klient otrzymał uszkodzony towar); nierozpoznanie transakcji (np. Klient nie pamięta o fakcie dokonania transakcji na daną kwotę). Co zrobić, aby zminimalizować ryzyko zgłoszenia reklamacji przez Klienta: Klient powinien być zawsze poinformowany o aktualnym statusie realizacji zamówienia; jeśli zamówiony przedmiot jest niedostępny o ile jest to możliwe, należy zaproponować Klientowi zakup podobnego przedmiotu, a jeśli nie jest zainteresowany - niezwłocznie zwrócić mu środki. Jak wygląda proces rozpatrywania reklamacji Chargeback? W przypadku, gdy do PayU SA wpłynie reklamacja dotycząca transakcji kartą, zostaniesz zgodnie z zapisami regulaminu poproszony o przekazanie wszelkich informacji dotyczących takiej transakcji. Mogą to być m.in.: szczegóły transakcji (imię i nazwisko kupującego, opis wysłanego towaru/zrealizowanej usługi), skan potwierdzenia odbioru towaru/realizacji usługi, z widocznym podpisem Klienta (uwaga: potwierdzenie nadania przesyłki nie jest dokumentem wystarczającym do oddalenia reklamacji posiadacza karty), korespondencja (na papierze lub elektroniczna) z Klientem dotycząca danej transakcji (banki często wymagają od Klienta podjęcia próby złożenia reklamacji bezpośrednio w sklepie, zanim rozpoczną procedurę chargebackową). Zgodnie z zasadami ustalonymi przez organizacje kartowe to sprzedawca jest zobowiązany do udowodnienia, że transakcja została zrealizowana prawidłowo. Szczególnie warto pamiętać o tym obowiązku w przypadku sprzedaży usług niematerialnych (np. elektroniczne kupony, doładowania telefonów itp.), która wiąże się z podwyższonym ryzykiem. W przypadku wszczęcia procedury reklamacyjnej prosimy o ścisłą współpracę z PayU SA i terminowe przekazanie nam wszelkich możliwych informacji na temat takiej transakcji, łącznie z elektronicznymi potwierdzeniami odbioru (e-maile, logi). Niezwykle istotne jest to, abyś przechowywał dowody realizacji transakcji, które w przyszłości umożliwią skuteczną obronę przed tego typu reklamacjami. Brak możliwości udowodnienia, że reklamowana transakcja została należycie przez Ciebie zrealizowana, skutkować może koniecznością zwrotu środków. Najczęstsze próby wyłudzeń W kontekście zapobiegania fraudom warto poznać zachowania przestępców, zapamiętać podejrzane schematy postępowania. Transakcje fraudowe cechuje bardzo często nietypowy przebieg, odbiegający od standardowych zachowań Twoich Klientów.
Co powinno zwrócić Twoją uwagę podczas realizacji zamówień: Nietypowe zamówienia Klientów. Nikt lepiej od Ciebie nie zna oferty Twojego sklepu i jej atrakcyjności. To Ty potrafisz najlepiej ocenić, czy Twój towar jest na tyle atrakcyjny, że Klienci mogą chcieć nabyć dużą jego ilość w krótkim odstępie czasu. Mimo ogromnej pokusy szybkiego zarobku, warto sprawdzić Klienta. Nie bój się zadać dodatkowych pytań, jeśli pierwsze duże zamówienie danego Klienta budzi Twoje wątpliwości. Sprawdź Kupującego w wyszukiwarkach internetowych, zweryfikuj adres IP, z którego pochodzą maile od niego, porównaj dane do wysyłki, dane Klienta. Sprawdź, czy Klient wybiera anonimową formę wysyłki typu paczkomat, skrytka pocztowa. Warto zadzwonić do Klienta i porozmawiać chwilę o złożonym przez niego zamówieniu. Jeśli jest ono nietypowe, na pewno będzie w stanie wyjaśnić przyczynę. Przykłady nietypowych zamówień: 1. Duże zamówienia - Przestępcy muszą zarobić. Aby tak się stało, muszą kupować dużo co wiąże się z wysokimi kwotami. Mogą nie zwracać uwagi na rozmiar, powtarzanie się produktów w jednym zamówieniu. 2. Powtórzone zamówienia - Może okazać się, że przestępca będzie składał wiele kolejnych zamówień, sprawdzając, czy karta posiada jeszcze środki, czy jest ciągle aktywna. Kolejne z nich mogą być na coraz niższe kwoty. Mogą pojawić się zamówienia nie opłacone, gdzie przestępca zamówił towar na zbyt wysoką kwotę i nie udało mu się dokonać płatności z uwagi na limity na karcie. Będzie on składał kolejne zamówienia, często zawierające zupełnie inne towary. Widać wtedy brak powiązania między zamówieniami, przypadkowe towary, nieprzywiązywanie wagi do rodzaju towaru, rozmiarów itp. 3. Krótki odstęp czasu pomiędzy kolejnymi zamówieniami - Przestępca w celu uśpienia czujności może podzielić zakupy na kilka mniejszych zamówień. Jednak cały czas działa on pod presją czasu i chce zdążyć przed zablokowaniem karty, z której korzysta. 4. Szybki czas realizacji zamówienia - Przestępcy będą kupować towary, które są dostępne od ręki, nie zwracając uwagi na promocje, korzystniejsze oferty. Będą nalegać na szybką wysyłkę, zapewne wybiorą kontakt mailowy zamiast telefonicznego i będą naciskać na jak najkrótszy termin dostawy. 5. Różne dane Jeśli nawet wszystkie powyższe elementy nie wzbudzą Twoich podejrzeń, warto zwrócić szczególną uwagę na powtarzalność pewnych danych w transakcjach. Takimi elementami są na przykład: I. zamówienia składane z tego samego adresu e-mail, z wskazaniem różnych adresów do wysyłki; II. zamówienia z wykorzystaniem tego samego adresu mailowego, składane przez różne osoby; III. zamówienia tej samej osoby składane przez różne adresy e-mail; IV. zamówienia z różnych adresów IP dla tego samego Klienta; V. zamówienia składane z adresu IP z innego kraju niż kraj wysyłki towaru. Do listy wyznaczników podejrzenia oszustwa można dołączyć adresy wysyłki za granicę, do paczkomatu, na skrzynkę pocztową. Tego typu kombinacji może być wiele ważne jest, aby w momencie pojawienia się wątpliwości dokładnie przeanalizować takie zamówienia i w przypadku jakichkolwiek podejrzeń skontaktować się z Klientem, aby wyjaśnić wszelkie wątpliwości. 6. Wysyłka na adres za granicę - W przypadku zamówień zagranicznych należy wykazać szczególną czujność i sprawdzić przynajmniej adres IP, z którego złożono zamówienie czy jego kraj pokrywa się z krajem wysyłki towaru. Warto także sprawdzić, jak wygląda Twoja konkurencja za granicą. Czy danemu Klientowi faktycznie opłaca się zamawiać towar z zagranicy i ponosić koszty transportu, czy też jest to po prostu próba wyłudzenia.
7. Rezygnacja z zamówienia - Może okazać się, że Klient po opłaceniu zamówienia zrezygnuje z jego realizacji i poprosi o zwrot bezpośrednio na swój rachunek bankowy lub za pomocą transferu pieniężnego. Może to uzasadniać na wiele sposobów. Ważne jest, aby zwrot środków został zrealizowany za pomocą tego samego kanału płatności, który Klient wybrał podczas dokonywania wpłaty. W przeciwnym wypadku może okazać się, że oryginalne zamówienie było złożone z wykorzystaniem skradzionych danych, a przestępca chce w ten sposób otrzymać gotówkę. 8. Ominięcie płatności za zamówienie - Może okazać się, że podczas współpracy Klient przekaże Ci dane swojej karty i poprosi o przeprowadzenie transakcji przez Ciebie. Tego typu sytuacje mogą mieć miejsce na przykład w pensjonatach współpracujących z serwisem booking.com. Należy pamiętać, że Klient powinien składać zamówienia bezpośrednio na Twojej stronie www. Wszelkie maile zawierające dane kartowe nie mogą być przechowywane przez Ciebie ze względu na wrażliwość tych danych. Wyłudzenia podszywanie się pod inne firmy. Prawdopodobnie spotkałeś się ze zjawiskiem phishingu. Przestępcom zależy na pozyskaniu poufnych danych. Celem takiego procederu jest nakłonienie Klientów lub firm do ujawnienia takich danych jak numer karty, dane do logowania w bankowości internetowej itp. Jeśli masz wątpliwości co do autentyczności korespondencji otrzymanej od nas warto zadzwonić na naszą infolinię i zweryfikować, czy wiadomość wyszła z naszego systemu. PayU nie prosi nigdy o dane kartowe, loginy, hasła i inne tego typu poufne informacje. Może także okazać się, że ktoś podszyje się pod Twoją firmę. W takich sytuacjach ważne jest zachowanie rozsądku i nieujawnianie poufnych danych. Maile otrzymane od nieznanych nadawców zawierające linki lub załączniki powinny być kasowane. Dobre praktyki W dobie globalnej wioski zakupy w Twoim sklepie może zrobić każdy, nawet mieszkaniec najdalszego zakątka globu. Twój sklep jest dostępny dla Klientów z całego świata. Oprócz korzyści niesie to za sobą także niebezpieczeństwo. Jak w każdym przypadku zachowanie zdrowego rozsądku oraz wprowadzenie prostych mechanizmów pomoże Ci ochronić się przed niebezpieczeństwem. Oto kilka dobrych praktyk, które pozwolą Ci ograniczyć ryzyko wystąpienia oszustw. Poznaj swojego Klienta - jeśli jest on uczciwy i zależy mu na sprawnych zakupach, nie będzie obawiał się przekazać Ci szczegółowych informacji związanych z zamówieniem. Niezależnie od kwoty zamówienia powinieneś być w posiadaniu danych kontaktowych Klienta usprawni to także realizację zamówienia. Daj się poznać swoim Klientom - odpowiednie przygotowanie Twojej strony internetowej jest niezwykle ważne w procesie akceptacji kart w Internecie. Pokazując Klientom kim jesteś, wzbudzasz ich zaufanie. Określając jasne i przyjazne warunki współpracy, zachęcasz ich do zrobienia zakupów właśnie u Ciebie. Dlatego tak ważne jest odpowiednie przygotowanie Regulaminu, jasne określenie polityki zwrotów, reklamacji, a także ochrony danych osobowych. Zgodność z prawem konieczne jest, aby sklep funkcjonował w zgodzie z prawem. Ustawodawstwo polskie narzuca wiele obowiązków. Klienci są świadomi swoich praw i umieją z nich skorzystać. Ich dane osobowe powinny być odpowiednio chronione i przetwarzane tylko w niezbędnym zakresie. Wyznacznikiem jest tutaj Ustawa o ochronie danych osobowych. W przypadku umów zawieranych na odległość, ustawodawca daje Klientom wiele praw, takich jak możliwość zwrotu towaru w terminie 10 dni bez podania przyczyny - w razie braku takiej możliwości
określa dodatkowe obwarowania. Klient powinien potrafić zidentyfikować Cię jako stronę umowy, stąd wymóg umieszczenia na stronie serwisu dokładnej nazwy firmy wraz z numerami rejestracji takimi jak REGON, NIP, KRS zależnie od formy prawnej. Identyfikacja transakcji - Klient, dokonujący zakupów w Twojej firmie powinien wiedzieć, co kupuje oraz na jakich warunkach. Szczegółowe opisy towarów wzbogacone o zdjęcia pozwolą uniknąć zbędnych nieporozumień. Jasne określenie wszystkich kosztów związanych z zakupami, takich jak wartość towaru w określonej walucie, cena przesyłki, czy też dodatkowe koszty związane np. z przygotowaniem paczki, powinny być znane Klientowi przed dokonaniem płatności na taką sumę wyraża on zgodę dokonując płatności. Bezpieczeństwo informatyczne - Niezwykle ważne jest dla ochrony Twojej firmy korzystanie z programów antywirusowych oraz osobistej zapory sieciowej zwanej firewall. Współczesne oprogramowanie posiada wielopoziomowe zabezpieczenia, chroniące Twój sklep oraz dane Klientów. Czarne listy - Jeśli miałeś już przykre doświadczenia związane z oszustami, warto stworzyć własną czarną listę takich osób, firm, adresów e-mail, adresów IP. Zbieranie tego typu informacji pozwoli szybko zidentyfikować w przyszłości przestępcę, który wrócił do Twojej firmy i usiłuje dokonać kolejnego wyłudzenia. Białe listy - Jeśli masz Klientów, którym ufasz, sprawdzonych, czy też z polecenia, warto umieścić ich na specjalnej liście. W przypadku otrzymywania kolejnych zamówień, będziesz szybko wiedział, że to Klient sprawdzony i bez obaw możesz zlecić wysyłkę towaru.