Despre incredere in medii virtuale

« Noutati pe scurt: IPv6, proprietate intelectuala si identificatori biometrice

Operatori romani de telefonie mobila blocheaza accesul la VoIP »

Despre incredere in medii virtuale

02/05/11

12:05:50, by bogdan, 814 words

Categories: Stiri - Romania, Pareri personale, Comert electronic

Despre incredere in medii virtuale

Ar fi trebuit sa scriu despre Trusted.ro - o marca de incredere pentru magazinele online lansata vineri intr-un parteneriat cu Gpec.ro si APC Romania. Dar daca va intereseaza detalii, cel mai bine cititi comunicatul de presa sau informatiile chiar de pe trusted.ro. Acolo chiar scrie cam tot ce vroiam sa va spun

Hai sa vorbim mai degraba despre increderea intr-un site.

Daca e vorba de un site unde numai citesti informatie, lucrurile pot fi mai simple.

Dar daca e un site unde vrei sa pui tu ceva? Pui un videoclip [e Trilulilu, pe Youtube sau pe Vimeo? Unde sunt prietenii tai sau unde iti e mai usor? Ori poate unde are interfata in romana?

Dar daca vrei sa cumperi de pe un site? Vinam doar pretul cel mai mic? Intreb un prieten? Sau daca are multe like-uri pe Facebook?

Chiar nu am raspunsul la toate aceste intrebari. In schimb am idei ca o marca de incredere poate ajuta. Si am doua povesti.

1. Acum citeva luni bune am fost invitat sa vorbesc la un seminar master despre protectia datelor personale. Public - cam 30 de persoane, media de varsta in jur de 30 de ani, probabil in mare parte angajati.

Incercand sa mai destind atmosfera si sa implic audienta, intreb cati din sala au comandat online. Un val de gheata vad cum vine spre mine. Vreo 2 maini ridicate timid, ca si cum ar trebui sa admiti ca ai facut o ilegalitate. Chestia asta imi straneste curiozitatea si incep sa intreb de ce.

Motivele par a veni de la un public de 60 de ani: Internetul nu e sigur- nu vedeti citi hakeri avem (?!?), Nu vreau sa platesc online cu cardul (de parca nu am auzit de ramburs), Nu vreau sa imi dau datele de card unui site (apropo, datele nu ajung la proprietarului site-ului si nici macar nu sunt stocate la procesator), Offline e mai ieftin (!?!) etc.

Morala: Faptul ca tu si cunoscutii tai cumpara online usor, nu inseamna ca toata lumea gindeste la fel. Increderea pe Internet in general este inca la nivel redus.

2. Acum vreo 2 luni laptopul meu a stat. Adica, nu s-a mai deschis. Banuiam o protectie automata la supratensiune (asa s-o zice?), dar nu aveam nicio dovada. Trei zile (in care eram in strainatate) am stat fara laptop. Nice, trait viata. Intors in tara, intr-o duminica, trec la operatiunea Reparat Leptopiset.

Google e prietenul meu. Cautarea “reparat laptopuri” imi da ceea ce par a fi niste rezultate interesante, cel putin vreo 5-6 platite. Cind intru pe site-uri par a fi din web 1.0. Cite vreun numar de telefon si adresa de email scrise mari cu text de 30. Gasesc unul care pare a fi ok, inclusiv cu forum de discutii. Cind ma uit la contact, e din Cluj. Eu vreau mai repede.

Inapoi la Google. Caut ceva cu laptopuri, service, Bucuresti, sector 6, reparatii. Cit mai putine rezultate utile, majoritatea in vreun apartament de bloc. De ce sa am incredere intr-un service dintr-un apartament obscur? Maine inchid poate contractul de inchiriere si adio Leptopisetul meu drag. Macar datele sunt safe, ca sunt criptate. Dar totusi..

Google nu mai e prietenul meu. Ma intorc totusi la unele din rezultate. Le iau la puricat. Evident ca toti sunt o echipa tinara. La unul scrie Copyright 2008 (neactualizat, zice mintea mea deformata profesional). La altul la sectiunea Despre Noi era o compunere excelenta despre echipa care parea ca a ajuns pe Everest. Echipa “reparam calculatoare Bucuresti rapid si ieftin". N-am gasit la niciunul vreo certificare de la vreun producator ca pot sa deschida laptopuri. Poate nu exista

Pina la urma ma opresc la unul care au in dreapta o zona, unde sunt notate ce marci de laptopuri au in service (cu procente din numarul total de latopuri in service). Pe locul 2 e marca Leptopisetului meu. Deci prezumam ca se pricep. Pagina de contact e clara, sunt aproape de metrou, au harta, au chiar si o poza cu imaginea casei unde au sediul. In plus zic ca o sa ma anunte prin SMS cind e gata. Amin pentru luni inceperea operatiunii, cind deschid.

Povestea e cu Happy End: cind am ajuns la service si am apasat butonul de Power, Leptopisetul meu a pornit ca prin minune. Mi s-a parut ca imi zimbea cinic pe sub mustata, asa ca l-am lasat macar la curatat.

Morala: Daca mie, care ma consider un utilizator de Internet avansat, imi e atit de greu sa gasesc un site de incredere, oare ce face un consumator obisnuit ?

Dar voua, care cumparati online, cum va inspira incredere un site, astfel incat sa ajungeti sa plasati o comanda acolo ?

Raspunsurile clasice ar fi probabil: am mai cumparat de acolo, mi-a recomandat un prieten sau are o marca recunoscuta (de ex. blueair). Dar un magazin care se lanseaza azi nu are nicio sansa sa raspunda pozitiv la niciunul din aceste raspunsuri. Atunci, dincolo de acestea, ce creeaza incredere?

Tags: comert electronic, gpec, incredere, internet, trust, trusted.ro

Permalink 17 comments » • Send a trackback »

Trackback address for this post

17 comments

Comment from: Bogdan [Visitor]

Eu stiu suficienti oameni tineri care nu ar comanda de pe net nici picurati cu ceara. De exemplu eu sunt subiectiv,recunosc, alegerile le fac din instinct cu toata documentarea prealabila, si nu cumpar de pe un site mare de IT din Romania doar din simplul motiv ca ... mi l-a recomandat o persoana in care nu am incredere. Intre timp mi-am mai schimbat parerea dar tot nu merg la ei prima data. Negrul ala din background e tare enervant ... in special cand sunt poze cu fundal alb. Nu are nicio estetica si e si izbitor si dureros pentru ochi.
Nu am raspuns la intrebarea "ce creeaza incredere?" dar am spus ce poate crea neincrederea ... in cazul meu. Daca amicul in care nu ai incredere nu poate fi un argument atunci culoarea cu siguranta este.

02/05/11 @ 14:09

Comment from: phane [Visitor]

Daca e vorba de un site de comert electronic: ma uit daca descrierile / parametrii produselor sunt complete si actualizate, daca au stocurile afisate; ma uit la datele de contact - daca e doar un numar de telefon, zic pas. Cand e vorba de produse de valoare mai ridicata, ma duc personal la sediu ca sa le ridic (dupa o prima experienta neplacuta cand am primit cu totul altceva decat am comandat, iar curierul a venit la 11 noaptea dupa ce l-am asteptat toata ziua).

02/05/11 @ 14:17

Comment from: Ioana [Visitor] · http://halte.ro

Eu nu am 60 de ani (nu am nici măcar 30), trăiesc din optimizarea site-urilor şi tocmai de aceea nu am din principiu încredere să plătesc online. Nu efectuez tranzacţii decât dacă nu am încotro şi doar pe site-uri cunoscute care trebuie să fie securizate(gen companii aeriene, SNCF, Amazon). Altfel prefer plata ramburs. Nu văd nimic anormal în aceasta, e o atitudine perfect justificată. Cei din e-commerce, care se tot plâng că în România nu se cumpără online, să facă bine să câştige încrederea oamenilor, dacă sunt în stare. Da, magazinele nu-ţi iau datele, dar ţi le pot lua alţii dacă există găuri de securitate. În plus, m-am tot pocnit de cerinţa de a introduce CNP-ul, din nişte motive care-mi scapă. Ce treabă are o companie cu CNP-ul meu dacă eu sunt persoană fizică şi nu vreau factură?

A, să nu uit: în unele cazuri online chiar este mai scump. Pentru că există nişte stupide taxe pentru tranzacţii cu cardul, nu m-am prins exact care sunt, la ce se aplică şi la ce nu, că nu-s peste tot. De exemplu, am descoperit că biletele de concert cumpărate online cu cardul sunt mult mai scumpe, aşa că m-am dus frumos la un magazin când mi-am luat bilet la Yann Tiersen. E nu ştiu ce taxă de ticketing sau aşa ceva. Acum mă voi duce în Anglia şi au spus cei de la hotel că dacă aleg să plătesc cu cardul mă va costa mai mult decât cu bani gheaţă. Lucrurile acestea sunt reale, nu sunt simple prejudecăţi ale unora neobişnuiţi cu web-ul sau cardurile.

Ce mă face să am încredere într-un site? Reputaţia (dacă n-am auzit de ei poate o să caut ceva foarte rapid, să văd ce se spune), prezenţa unor date de contact complete (adresă fizică), descrierea detaliată a ce se întâmplă când cumperi pe site, eventual certificări din acelea de securitate... Dar şi felul în care e structurat site-ul, designul chiar. Dacă designul e simplu şi fără pretenţii nu-i un lucru rău, însă un aspect "cheap", o structură proastă şi supra-optimizare strict pentru Google îmi sugerează că nu i-a păsat nimănui de acel site şi de impresia pe care o face, ci compania respectivă a vrut să obţină trafic rapid, fără bătaie de cap şi cu o investiţie minimă, fără o preocupare serioasă pentru satisfacţia clientului.

Google nu e prietenul nimănui, de altfel a scăzut foarte mult relevanţa rezultatelor.

02/05/11 @ 17:51

Comment from: bogdan [Member] · http://www.legi-internet.ro

Mersi pentru comentarii
@Ioana - si eu cred ca este ilegal sa se colecteze CNP-ul, am mai scris. Anyway, misto comentariul :-)

@phane - si mie imi place sa ma duc sa-l ridic, daca se poate. De cel putin 3 ori mi s-a spus ca nu se poate, ceea ce mi se pare ciudat. In cele din urma in 2 din cazuri am ajuns la sediul lor sa il iau (chiar imi era mai simplu!), in ultimul am alergat eu dupa curier ca sa il iau inainte de Craciun :-)

02/05/11 @ 18:23

Comment from: Adi [Visitor]

quote: "apropo, datele nu ajung la proprietarului site-ului si nici macar nu sunt stocate la procesator"
/endquote

pe bune? ia uitati un caz beton:
RDS&RCS (https://digicare.rcs-rds.ro/) foloseste pentru plata online procesatorul EuPlatesc.ro... toate bune pana cand ajungi la pagina de plata si te uiti la sursa html a paginii unde introduci numarul de card si CVV2.. ce descoperi acolo ??

__title__EuPlatesc.ro - Detaliile tranzactiei__/title__
[...]
__form name="frm" ACTION="/plati-online/tdsprocess/checkout_plus.php" METHOD="POST" autocomplete="off"

(am modificat putin tagurile html ca sa nu fie active)

asta inseamna ca euplatesc.ro nu trimite direct datele de card la
Romcard (secure2gw.ro) ci are oportunitatea sa le salveze local pe
harddisk!!

a.. si btw, site-ul asta al EuroPayment services srl (J40/9950/2006, CUI 18773866) mai pretinde si ca este certificat PCI DSS!

02/05/11 @ 20:28

Comment from: Adi [Visitor]

P.S.
tot din cauza faptului ca EuPlatesc.ro intercepteaza detaliile privind numarul de card si cvv2, pe site-ul lor la adresa IP de unde s-a efectuat plata, in loc sa apara adresa mea ip de aici, apare adresa serverului lor

e.g., citat din cea mai recenta plata a facturii pe care am facut-o online prin ei:

Comerciant RCS & RDS. S.A. (https://digicare.rcs-rds.ro)
Adresa de ip 193.226.140.57

url-ul "chitantei" incepe cu
http://www.euplatesc.ro/plati-online/index.php/plati-sigure/ordersearch.html?numar_tranzactie=

site-ul nici macar nu foloseste https pentru afisarea chitantelor.

02/05/11 @ 20:34

Comment from: Olivian BREDA [Visitor] · http://getaresultnow.com

Îți recomand să te uiți pe o bucată dintr-un ghid scris de mine:
tinyurl.com/3cqbzmu

Asta dacă nu sunt marcat ca spammer.

02/05/11 @ 20:43

Comment from: bogdan [Member] · http://www.legi-internet.ro

@Adi - naspa daca e asa, eu stiam ca daca esti certificat PCI DSS, sigur nu stochezi datele asta (via epayment)

02/05/11 @ 20:44

Comment from: bogdan [Member] · http://www.legi-internet.ro

@Olivian, m-am uitat, dar cred ca ghidul tau este pt programatori mai degraba decit pentru utilizatorul final. :-)

PS: de ce sa fi marcat sa spammer ?

02/05/11 @ 20:46

Comment from: Adi [Visitor]

@Bogdan: din pacate este adevarat :(
anyway, ieri a fost ultima oara ca mai fac plata online cu cardul la rds (sau oricare alt site care foloseste euplatesc.ro si/sau 3DSecure)

ca sa pot face plata a trebuit sa refuz inca odata activarea 3DS, a fost al treilea refuz la care aveam dreptul, se pare ca de acum incolo nu mai imi va fi acceptat la plata cardul online (daca site-ul foloseste 3DSecure) si asta desi banca sustine sus si tare ca 3DSecure este OPTIONAL.

optional si obligatoriu simultan este cam imposibil :(

ai aici o serie de 12 slide-uri (capturi de ecran) pe care le-am facut ieri in timpul platii facturii online la rds.

01 - landing page, dupa ce am dat click pe site la rds sa platesc factura:
http://oi56.tinypic.com/2eowrkp.png

02: formularul de introducere a datelor de pe card:
http://oi51.tinypic.com/260af4g.png

03: codul sursa al formularului, care arata unde vor fi trimise datele cand apas submit:
http://oi52.tinypic.com/3346ccn.png

04: locatia frame-ului respectiv
http://oi51.tinypic.com/x0qulf.png

05: BT spune ca 3DSecure este OPTIONAL:
http://oi51.tinypic.com/19ruvs.png

06: dar... RDS+EuPlatesc vor sa fie obligatoriu si vor sa imi impuna noi reguli (contractul 3dsecure) in derularea contractului meu cu un tert (banca).
De mentionat greseala de scriere a numelui bancii, daca nu as sti mai bine as crede ca asta e o pagina de phishing in toata regula.
http://oi52.tinypic.com/245lf88.png

07: sursa frame-ului de mai sus, cu eroarea de scriere, este chiar secure2gw.ro (romcard) !
http://oi54.tinypic.com/2rokj84.png

08:some more 3ds junk
http://oi54.tinypic.com/33nxiqe.png

09: frame info about that junk
http://oi54.tinypic.com/29yijgj.png

10: chitanta de plata rds
http://oi56.tinypic.com/2myopag.png

11: chitanta de plata rds, full page, cu tot cu logo-ul PCI DSS
http://oi53.tinypic.com/a17a7l.png

12: pagina de pe site-ul lor care evidentiaza plata:
http://oi51.tinypic.com/zjhyr4.png
de remarcat favicon-ul care este astfel ales incat sa fie verde si sa sugereze ca inca se mentine conexiunea HTTPS, ca si adresa ip de pe care s-a "efectuat plata" - adresa serverului lor.

02/05/11 @ 21:42

Comment from: Nicolaie Constantinescu [Visitor]

· http://www.kosson.ro

Un site de încredere este acela care-ți oferă aceeași viziune asupra realității pe care tu însuți ți-ai format-o. Asta cel puțin la nivelul site-urilor de informare(site-uri de informare generală, științifică, bloguri). Cât privește partea de presă online, nu cred că felul în care arată un site, ci mai degrabă încrederea s-a construit din activitățile și fapticul offline.
Comerțul online iarăși își construiește reputația din activitatea desfășurată în offline (relația cu ai săi clienți, rezolvarea reclamațiilor, service, etc).
Concluzia este că grosul de încredere se formează prin contact direct iar online-ul este o extensie care vine să completeze și să întregească acest capital care foarte greu se construiește.

02/05/11 @ 22:30

Comment from: Olivian BREDA [Visitor] · http://getaresultnow.com

@Bogdan: Nu am reușit să trimit comentariul cu link inclus. :) La asta mă refeream cu spammer. :)

03/05/11 @ 07:58

Comment from: Mihai Jalobeanu [Visitor] · http://jalobean.itim-cj.ro

De mai bine de un deceniu există formulate de o echipa de cercetători dela Univ. Stanford niște criterii de evaluare a credibilității pe Web. Am tot scris si eu despre asta (Fiabilitatea si credibilitatea informațiilor, între altele la www.timsoft.ro/ejournal/fiabilitate-info.html)
Era înainte de Web2.0, dar lipsa de profesionalism a paginii Web (inclusiv la nivelul codului sursă html), greselile de exprimare/scriere, lipsa datei ultimei revizuiri, a unei adrese de "contact", a unor referințe sau legături (în cazul paginilor informative), ar trebui să ne determine să nu mai revenim acolo, sau să abandonăm tentativa de tranzacție.
Dar câți "internauți" analizează codul sursă al paginii Web vizitate? Desi fiecare navigator oferă această posibilitate.
Impresia mea este că plătile online, la fel ca si cele cu cardul în magazinele noastre pătrund greu atât din cauze educaționale, dar si din rutina comerțului ilicit (gri?), a restului omis, etc. Evidența plății online rămâne înscrisă, factura pare obligatorie, ...

03/05/11 @ 19:18

Comment from: Sorin [Visitor] · http://www.avangate.com

Interesanta dezbatere :)

Cativa pasi pentru userii normali am enumerat si aici
http://blog.epayment.ro/manual-de-cumparaturi-online-sigure/ care face referire la subiectul in cauza.

Personal, iau in calcul foarte multe aspecte inainte de a achizitiona ceva.

Sunt 2 aspecte majore:
- produs (website)
- securitatea datelor personale

Daca primul e indeplinit si al doilea nu, prefer sa platesc cu PayPal daca e oferit, daca nu renunt.

@Adi, 3D Secure ti se poate parea o gaselnita aiurea, dar cert este ca`ti poate da un hint rapid despre magazinul de la care cumperi. Suporta 3D Secure?
De exemplu, companiile aeriene au dezactivat complet fitrarea 3D Secure pe motiv de maximizare vanzari, si nu`mi convine neaparat cand fac o plata catre ei.

Referitor la euplatesc.ro. Am identificat multe probleme legate de procesul de comanda pe care le-am si facut pachet feedback. Sunt probleme majore acolo dar am vazut si lucruri bune, ca acel cod QR unic comenzii si citibil cu Iphone :)

Cineva mentiona ca industria in sine ar trebui sa faca ceva in a creste reputatia platilor online. Este adevarat, atat timp cat te incapatanezi sa ceri un CPN si 1000 de date personale inclusiv inca un cont aiurea doar ca sa comanzi un produs, nu vom ajunge nicaieri.

Oricum, astept commentariile voastre in continuare

04/05/11 @ 19:49

Comment from: Tudor [Visitor]

Legat de stocatul datelor de card si increderea in magazine:

Am o firma de software ("de aia cu echipa tanara :)), si am lucrat pe f multe proiecte de ecommerce, si nu ma refer la magazinase mici romanesti cum trag studentii romani pe cateva sute de euro.

Treaba cu stocatul in mod normal ar trebui sa depinda de legislatie: daca ai voie sau nu sa stochezi datale de card. Nu stiu cum e la noi la legea, dar in state si in multe tari din EU este voie, mai ales daca se face procesare offline, manuala.

Indiferent de lege, aplicatii de e-commerce in marea majoritate te lasa sa stochezi daca vrei, ele fiind internationale pana la urma. Daca proprietarul este total pe langa s-ar putea sa incalce legile.

Si aici vine si partea cu increderea: de unde stii ca proprietarul este de buna credinta si tine aceste data ca sa le vanda sau ca sa fure de pe carduri? De unde stii ca la procesarea (manuala sau nu) iti va lua suma care trebuie de pe card si nu mai mult?

Morala ar fi urmatoarea: nu plati cu cardul decat daca ai mare incredere in magazin sau furnizor: odata ce ai dat acele date nu mai poti da inapoi si ei pot trage bagi cand vor.

Alternativa care o folosesc eu este paypal (sau alti procesatori de genul). Motivul: nu mai trebuie sa ai incredere in 1000 de magazine dubioase, ci doar in procesator: paypal. Plata se poate face o singura daca cand ai autorizat tu, si la suma autorizata. Magazinul nu ramane cu nimic mai mult decat username folosit pt plata. Nu e nimic util pt un hot.

05/05/11 @ 10:34

Comment from: Adi [Visitor]

ok, am primit raspuns si de la Romcard referitor la faptul ca euPlatesc prelucreaza local numarul de card si CVV2, precum si alte info despre PCI DSS si 3DSecure...

[...snip...]
[quote]
Pe langa faptul ca cei 3 participanti folosesc un sistem criptat de comunicatii acestia sunt si "PCI DSS compliant" (au fost verificati de catre QSA autorizati) si deci respecta cerintele de securitate impuse de standardul PCI DSS. In aceste conditii acestia pot procesa datele detinatorului de card si raspund in cazul unor incidente.
[/quote]
....
[quote]
In cazul de fata, procesatorii sunt autorizati si agreati de catre banca si organizatiile internationale de carduri pentru a procesa tranzactii de ecommerce tip 3DSecure. In Romania sunt cel putin 3 procesatori de acest tip. Astfel, situl www.euplatesc.ro este scanat zilnic de McAfee pentru vulnerabilitati si lunar de catre Trustwave. Ambele firme au certificat PCI-DSS www.euplatesc.ro. Mentionam ca in conformitate cu standardul PCI-DSS pentru care suntem certificati nu salvam informatiile despre cardul utilizat. www.euplatesc.ro, pentru aplicarea filtrelor antifrauda, utilieaza aceste informatii intr-un mod ce face imposibila recuperarea informatiilor initiale
[/quote]

are they nuts?

deci, pe scurt, DA: euplatesc.ro proceseaza informatiile local dar "nu le stocheaza" si eu ar trebui sa ma bazez pe "certificare" si pe faptul ca un serviciu EXTERN scaneaza site-ul respectiv DAR fara sa aiba acces la sursa scriptului PHP respectiv.

Sa fim seriosi, toti stim ca mare parte a certificarii este mai mult birocractie de fatada decat securitate propriu-zisa.
Exemple practice:
1) ce se intampla cu Sony PlayStation Network zilele astea de se scurg date despre identitatea a milioane de useri (+numere de card)

2) http://dilbert.com/strips/comic/2000-08-31/

09/05/11 @ 09:16

Comment from: Marius Delaepicentru [Visitor] · http://delaepicentru.wordpress.com/

PayPal sau Yahoo! kantan kessai. Sunt doi intermediari excelenţi. Înregistrezi cîte carduri vrei. Trimiţi date sensibile numai o singură dată. Cînd cardul expiră, şi este reînoit, baza de date a instalaţiei este actualizată în backoffice. Nu e nevoie de retransmiterea datelor.

@Adi
La Sony nu s-au semnalat pagube decît folosind datele din sistemul de puncte de fidelitate. S-au înregistrat furturi de puncte, puncte ce au fost cheltuite de către crackeri, însă suma totală nu depăşeşte 1200 USD. Sunt doar găinării.

20/05/11 @ 21:00

Comment feed for this post