Samkvæmt fréttum eru spjaldtölvur jólagjöf ársins 2011. Nú ganga mæður og börn, afar og ömmur stolt um með snjallsíma. Þau skoða tölvupóst, “uppfæra statusinn”, sækja sér smáforrit, auk þess hefðbundna, að hringja og senda SMS. Enn ein byltingin í tækniheiminum er nú orðin að veruleika. Tölva og sími eru runnin saman í eitt tæki. Tæki sem er þægilegt í notkun með vel útlítandi og þægilegt notendaviðmót. Takk, Steve Jobs!

Snjallsímar hafa hlotið athygli fyrir fleira en gott viðmót.  Sérfræðingar keppast við að benda á öryggisholur í tækjunum fínu. Þeim gengur vel. Snjallsímarnir eru sítengdir, gríðarlegt magn til af smáforritum og mögulegt að leyfa þeim allskyns kúnstir. En hvernig er hægt að gera snjallsímann að fullkomlega öruggu greiðslutæki? Svarið er einfalt. Með núverandi tækni er það hreinlega ekki hægt. Ekki með tækinu einu og sér.

Ekki láta allir skort á fullkomnu gagnaöryggi stöðva sig í að koma með nýjar lausnir. Fyrirtækið Square (sjá squareup.com) býður nú upp á einfalda lausn á Bandaríkjamarkaði. Square býður notendum sínum lítið tæki til að smella ofan á iPhone eða Android síma. Með þessa einföldu viðbót að vopni (auk hugbúnaðar frá Square á símanum) geta notendur tekið við kortagreiðslum. Þar með eru smærri aðilar komnir með lipra lausn sem er allt í senn greiðslutæki, “afgreiðslukassi" og sölukerfi.

Lausn Square er virkilega áhugaverð. Fáir eru með aðgengilegra markaðsefni. Eftir stendur samt að gögnin eru ekki dulkóðuð með viðurkenndum aðferðum í örugga geymslu (e. tamper proof) á símanum. Því er möguleiki á að óvandað fólk komist yfir kortagögnin.

Er þá ekki hægt að bjóða upp á nýjar og flottar lausnir? Það er vel mögulegt, en enn sem komið er þarf að nota öruggara tæki en símann í hluta verksins. Þ.e. til að taka við greiðslunni og taka við pinna korthafans.

Posinn og peddinn

Íslendingar þekkja ágætlega fyrirbærið p. Posi er íslenskun á “POS terminal”, eða “Point Of Sale terminal”. Þetta eru tæki sem sjást oft frístandandi á afgreiðsluborðum smærri söluaðila. En posar fara víða. GSM posar eru notaðir í farandsölu, um borð í flugvélum og víðar. Þessi töfratól eru samsett tæki. Þeir eru búnir kortarauf sem les upplýsingar af kortinu en hafa auk þess innbyggðan grunn (POS) söluhugbúnað.

Við í Handpoint höfum verið að vinna með systurtæki posans sem við köllum “pedda". Það er íslenska útgáfan af “PED” eða “Pin Entry Device”. Einfalt og öruggt tæki. Hlutverk þess er að lesa greiðslukortið og síðan pinnann þegar eigandi kortsins slær hann inn.

Lausnirnar okkar eru þannig að sölukerfið, lipurt í umgengni og glansandi, keyrir á spjaldtölvum og snjallsímum, en kortin komast aðeins í tæri við peddann. Setjum upp dæmi úr verslun.

Kaupmaðurinn fer út á búðargólfið með stoltið sitt, nýju spjaldtölvuna. Hann skannar með tölvunni vörurnar sem kúnninn vill kaupa, kerti og spil. Þegar kemur að því að taka við greiðslu dregur kaupmaðurinn peddann upp úr vasa. Kúnninn setur örgjörvakortið sitt í peddann, slær inn pinnið. Greiðsla á sér stað. Nú eru kertin og spilin klár í jólapakkann.

Hér gegnir spjaldtölvan hlutverki kassakerfisins eins og við þekkjum það og peddinn, þráðlaus og nettur, hlutverki posans eða kortalesarans sem við þekkjum úr stórmarkaðnum.

Í þessari lausn er öryggið margfalt á við það sem við þekkjum í dag. Peddinn les upplýsingarnar af örgjörvarkortinu. Til þess hefur hann aðgangslykil frá kortafyrirtækjunum. Hann dulkóðar kortaupplýsingarnar, með öðrum lykli. Sá er gefinn út af greiðslugáttinni (server hlutanum). Þar sem sá lykill er einstakur getur enginn annar en greiðslukerfið sem gaf hann út lesið kortaupplýsingarnar.

Með þessu móti getur spjaldtölvan, sem við treystum ekki fyllilega, fengið vin sinn peddann, traustsins verðan, til að taka við greiðslu fyrir sig. Söluhugbúnaðurinn segir bara peddanum hvaða upphæð á að taka af kortinu og fær upplýsingar um hvernig gekk að greiðslu lokinni.

Þökk sé þessari nálgun fá spjaldtölvurnar að vera með í fjörinu. Þær fá að vera þær sjálfar. Glansandi og sætar, en ekki fyllilega treystandi fyrir hverju sem er.

Ísland eftirbátur annarra landa í öryggismálum

Þróunin í kortagreiðslum er öll í eina átt, til aukins öryggis. Það er þannig líka á Íslandi þó hægt gangi. Það er ekki svo langt síðan að hægt var að lesa greiðslukortanúmer í heild sinni af kvittunum á Íslandi (Manstu eftir því?). Nú erum við í miðju ferli kort og pinn væðingar. Þar erum við Íslendingar aftarlega á merinni. Framar á baki þeirrar brúnu sitja íbúar nær allra Evrópulanda. Þeim dugir ekki bara að sveifla kortunum sínum. Þeir verða að gjöra svo vel að muna pinnan sinn og slá inn. Hér á landi er mikill meirihluti posa enn eingöngu fær um að lesa segulröndina. Eldgamla og óörugga tækni. Til gamans rifja ég upp söguna af segulröndinni í framhjáhlaupi.

Sagan af segulröndinni

Árið 1960 voru segulbönd allsráðandi sem geymslumiðill. Forrest Parry, vann sem verkfræðingur hjá IBM. Forrest kom heim úr vinnunni. Kona hans Dorothea horfði á sjónvarpið og straujaði þvott um leið. Verkfræðingurinn var þreyttur eftir daginn. Hann hafði verið að vinna að nýrri hugmynd. Þær snérust um að festa segulbandsstubb á plastspjald. Með þessu sá herra Parry fyrir sér að hægt væri að geyma og flytja gögn á þægilegan hátt. Nú var hann strand. Það var sama hvaða lím hann reyndi að nota, segulbandsstubburinn ýmist hékk ekki á spjaldinu eða krumpaðist. Forrest henti frá sér spjaldinu og stubbnum. Dorothy greip hvort tveggja á lofti, skellti heitu járnin á. Plastkort með áfastri segulrönd kom undan járninu. Nú 50 árum síðar segjum við, takk Dorothea!

Þó við séum þakklát húsmóðurinni snjöllu þá viljum við samt kveðja segulröndina. Hún uppfyllir ekki lengur þær kröfur sem við gerum um geymslu og öryggi kortaupplýsingar. Nú getur hver sem er nálgast tæki og tól til að afrita greiðslukortið og misnota.

Örgjörvakortin er ekki hægt að afrita. Viðskiptavinurinn setur kortið sjálfur í peddann og slær inn pinnann. Upplýsingarnar eru svo dulkóðaðar eins og nefnt var að framan. Svona viljum við hafa færslur dagsins í dag.

Næsta skref í byltingunni, snertilaus tækni

Nú þegar sjáum við fyrir okkur næstu skref. Snertilaus viðskipti er nú þegar möguleg. Þá er notuð tækni sem við þekkjum frá bensínstöðvum eða í aðgangsstýringu á vinnustöðum. Nú er Þessi nýja tækni auka enn á töfra snjallsímanna. Þar með er ekkert því til fyrirstöðu að nota símana til þráðlausra viðskipta. Til dæmis má tengja greiðslukortareikninginn við símann. Þannig sveiflar þú símanum að lesara en greiðsla færist af kortinu. En það eru fleiri möguleikar. Ef símafyrirtækin fá að ráða verður síminn tengdur inneign þinni hjá símafyrirtækinu. Ef aðrir sjálfstæðir aðilar reka greiðslukerfið (segjum Facebook), þú átt þá peninga inni á viðkomandi reikningi og notar til greiðslu.

Hvað sem kemur upp úr jólapakkanum þessi jólin er ljóst að síðasta byltingin í tækniheimum hefur enn ekki orðið, við fylgjumst áfram með.

Góða skemmtun og gleðileg jól!

Freyr Ólafsson, CTO