Betalingsverkeer

Een betaal-API van webstandaardenorganisatie W3C die momenteel wordt ingevoerd bij alle grote browsers heeft op z'n minst een privacy-issue en in het slechtste geval zelfs een beveiligingsprobleem. De API specificeert hoe webapplicaties betaalmethodes weergeven en wat er gebeurt als een gebruiker voor een methode kiest: hoe de betaal-app wordt gestart en welke data er wordt ontvangen. Dat komt erop neer dat de betaalmethode informatie ontvangt uit de browser en bijvoorbeeld pasgegevens vast invult.

Er zijn uiteraard mechanismes ingebouwd om te voorkomen dat malafide websites gevoelige informatie kunnen aanspreken, maar die zijn niet toereikend, schrijft onderzoeker Lukasz Olejnik. Zo heeft Chrome een beperking dat de informatie maar eens in de dertig minuten kan worden aangesproken, om aanvallen te voorkomen die meerdere opties uitproberen. Maar dat tijdslot kan worden omzeild door meerdere iframes te gebruiken die elk een andere iteratie proberen.

Alle grote browsers werken aan implementatie: Chrome, Safari, Edge, Firefox, de browser van Samsung en ook Facebook werkt eraan om de Payment Requests-API te kunnen gebruiken. Chrome en Edge hebben de API inmiddels geïmplementeerd, meldt Olejnik, en WebKit en Firefox volgen binnenkort. Het Chrome-team werkt al een tijdje aan een patch die moet worden afgeleverd op 13 oktober, enkele dagen voor Chrome 62 live gaat.

Alles bij de bron; WebWereld


 

75 procent van de Nederlanders gebruikt al een smartphone, tablet of wearable voor geldzaken en 84 procent verwacht dat binnen nu en drie jaar te doen. “Mobiele devices worden voor consumenten steeds meer het zenuwcentrum van hun contacten met dienstverleners, transacties en andere communicatie. Zeker bij de digital natives. Voor hen is dit vanzelfsprekend.”

Door een groei in het aantal mobiele toepassingen om geldzaken mee te doen, heeft de Nederlandse consument steeds meer mogelijkheden om zijn of haar uitgaven en financiële situatie real-time te beheren. Uit de jaarlijkse Digital Payments Study (2017) blijkt dat met name bankieren via een mobiele device populair is onder Nederlanders. Maar liefst twee derde (66%) van de Nederlanders maakt gebruik van een mobiele device om zijn of haar saldo te checken of bankzaken te regelen via een bankieren app. Ook het overmaken van geld naar familie en vrienden via een mobiele device is populair (54%). Ongeveer de helft van de Nederlanders (47%) maakt daarnaast gebruik van een mobiele device om online aankopen te doen.

Het onderzoek laat zien dat gemak en veiligheid de belangrijkste factoren zijn voor de acceptatie van nieuwe mobiele betaalmethoden in Nederland. De Nederlandse consument staat ervoor open om het gemak dat veel nieuwe mobiele betaalmogelijkheden bieden, te omarmen. Consumenten vinden nieuwe vormen van authenticatie voor mobiele toepassingen om geldzaken mee te doen veiliger dan traditionele methoden, zoals wachtwoorden, handtekeningen, PIN-codes en beveiligingsvragen.

82 procent van de Nederlandse consumenten vindt biometrische identificatiemiddelen een veilige vorm van authenticatie, tegenover 73 procent van de ondervraagden die traditionele methoden als veilig beschouwt. Nederlanders hebben het meeste vertrouwen in biometrische authenticatie door middel van een irisscan (73%) of scan van de vingerafdruk (71%). Het merendeel van de Nederlanders geeft aan in de toekomst een voorkeur te hebben voor het gebruik van tenminste één vorm van biometrische authenticatie bij het doen van een betaling.

Alles bij de bron; PortGear


 

De Volksbank (SNS, ASN Bank, RegioBank) gaat rekeninginformatie vanaf 2018 streng bewaken. Via een soort noodknop kunnen klanten hun data afschermen en waar nodig gegevens terugvorderen.  Op 13 januari 2018 wordt de Payment Service Directive 2 (PSD2) van kracht en dat verandert de betaaldienstverlening voor bankklanten.

De Europese richtlijn verplicht banken om financiële (betaal)gegevens van hun klanten aan andere dienstverleners te verstrekken. Zelfs aan partijen zonder bankvergunning. Het doorgeven van de (betaal)gegevens door de bank zal uitsluitend gebeuren via de strikte veiligheidseisen vanuit de wet.

Nadat (betaal)data is doorgegeven hebben de merken van de Volksbank geen controle meer wat daarmee gebeurt. Toch willen de banken klanten een ontsnappingsroute bieden, al dan niet via een noodklop, waarmee alle gegevens weer worden ‘teruggefloten’. De banken willen zelfs rechtszaken voeren om de privacy van klanten te waarborgen, stelt de Nederlandse Vereniging van Banken (NVB). ‘Als een partij zich misdraagt en de klant daardoor wordt benadeeld, dan zullen banken rechtszaken niet uit de weg gaan’, aldus NVB-directeur Eelco Dubbeling.

Alles bij de bron; EMerce


 

Banken zijn vanaf volgend jaar verplicht om je betaalgegevens en je saldo te delen met commerciële partijen, als die daarom vragen. Mits je daar als cliënt toestemming voor geeft. En daar zitten privacy-risico's aan, zegt Maurice Oostendorp, topman van de Volksbank.

'Als we kijken naar de Europese verordening gegevensbescherming, dan vinden wij wel dat klanten bewust gemaakt moeten worden van het feit dat zij met het verstrekken van die gegevens aan een ander bepaalde risico’s kunnen lopen', zegt Oostendorp. De Volksbank, voorheen SNS, zal daar dan ook rekening mee houden in de manier waarop ze met de nieuwe regelgeving zullen omgaan. '... we moeten voorkomen dat er impliciete goedkeuring sprake is', vindt Oostendorp. 'Er komt een soort schakelaar bij je betaalopdracht, die kun je aan- of uitzetten. Staat die schakelaar uit, dan kan het verzoek van een derde om die gegevens te verstrekken niet worden gehonoreerd voordat die klant bij ons die schakelaar naar ‘aan’ heeft omgezet.'

Alles bij de bron; BNR


 

We willen absoluut niet dat bedrijven in onze bankafschriften gaan neuzen om er geld aan te verdienen. Dat werd wel duidelijk toen ING in 2014 een proef aankondigde waarbij de bank betalingsgedrag van klanten wilde gebruiken voor gerichte advertenties. Toch gaat dit binnenkort misschien alsnog gebeuren. Hoe zit dat?...

...Een nieuwe Europese wet, ‘PSD2’ genaamd, verplicht banken namelijk vanaf begin 2018 hun gegevens gratis te delen met zogenaamde Fintech-bedrijven — zij het met instemming van de rekeninghouder. Met de wet wil de EU de financiële innovatie in Europa een duw in de rug geven. En zo wordt het ‘plan-Hagenaars’ — het gebruiken van bankafschriften om commerciële partijen te laten adverteren — via een omweg alsnog werkelijkheid...

...het was helder dat het de ING in 2014 daar niet om te doen was: de andere commerciële partij zou de bank namelijk betalen om de gerichte advertenties naar rekeninghouders te mogen versturen. Op die manier zou de bank dus doodleuk meer kunnen verdienen aan haar bestaande rekeninghouders.

Het enige probleem voor ING: financiële privacy bleek in Nederland uitermate gevoelig te liggen. Van klanten en politici tot toezichthouders en belangenorganisaties, iedereen viel over de bank heen. Niet omdat ING iets wilde doen dat verboden was — de bank wilde haar klanten netjes om de wettelijk vereiste toestemming vragen — maar omdat men het simpelweg niet zag zitten dat een bank geld verdiende aan persoonlijke financiële data van haar klanten. Dit bleek ook uit een opinieonderzoek van Radar: bijna een derde van de geïnterviewde ING-klanten gaf aan te overwegen naar een andere bank over te stappen als de bank het plan zou uitvoeren. En dus verdween het onderwerp in de ijskast. Maar met de PSD2-wet is het plan terug van weggeweest.

Net als met het mislukte plan van ING is er wel de voorwaarde dat de rekeninghouder moet instemmen met het delen van haar of zijn data. Om actief te mogen zijn in de EU moeten de bedrijven daarnaast een vergunning aanvragen bij De Nederlandsche Bank (DNB) of de centrale bank van een andere EU-lidstaat.

Vergeet geld: data is de nieuwe valuta. Wie het controleert, is de baas — of je nu een bedrijf, overheid, hacker, burger of journalist bent. Daarom zijn de belangen rondom data enorm. Follow the Money onderzoekt wat deze belangen zijn en welke gevolgen ze voor ons kunnen hebben.

Alles bij de bron; FollowTheMoney [registratie noodzakelijk]


 

Steeds meer websites bieden de mogelijkheid om ook met bitcoins te betalen, maar die betalingen zijn lang niet zo anoniem als men vaak denkt. Met informatie verzameld door web trackers kan een betalende partij gemakkelijk gevolgd en uiteindelijk geïdentificeerd worden. 

Vaak wordt bitcoin ten onrechte een anonieme munt genoemd. Het tegendeel is waar: bitcoin-transacties zijn via de blokchain voor iedereen zichtbaar. Alsof u uw bankafschriften online zet. Daarom wordt vaak beroep gedaan op zogenaamde mixingdiensten, zoals CoinJoin, die iemands transacties vermengen met die van andere bitcoin-gebruikers. Zo wordt de identiteit van de betaler losgekoppeld van zijn transacties. Nu legt het onderzoek van de universiteit van Princeton bloot dat twee transacties door dezelfde persoon kunnen volstaan om het effect van die mixingdiensten volledig teniet te doen.

Webtrackers van derden zijn de boosdoener. Die verzamelen allerlei informatie tijdens de aankoop, bedoeld voor advertentiedoeleinden. Hierdoor wordt het mogelijk om de transactie op de blockchain te koppelen aan de cookie van de betaler. Van de 130 onderzochte webwinkels die bitcoins accepteren, bleken er 53 betaalgegevens aan derde partijen door te spelen. Dat gebeurde meestal opzettelijk.

Veel kun je daar als bitcoin-betaler niet aan doen. De onderzoekers wijzen erop dat browser-extensies zoals Block Origin of Adblock Plus kunnen helpen om sommige trackers te blokkeren, maar dat ze niet altijd effectief zijn. Daarom raden ze voor anonieme betalingen cryptocurrency aan waarvan transacties niet traceerbaar zijn, zoals Monero of Zcash - de privacyvriendelijke broertjes van bitcoin.

Alles bij de bron; DutchIT


 

De Privacycommissie waarschuwt Worldline, het bedrijf dat het automatisch betaalverkeer in ons land regelt. Worldline doet voor diensten zoals Cardstop een beroep op bedrijven in Marokko en Indië. Die maken ook wel deel uit van dezelfde moedermaatschappij, Atos, maar in die landen zijn de privacyregels veel minder streng en dreigen persoonlijke gegevens van klanten gehackt te worden.

Het gaat om gegevens als naam, adres en welke betalingen je doet. Maar Worldline zegt dat ze zelf bindende privacyafspraken hebben met de ondernemingen, en dat de gegevens weldegelijk goed beschermd zijn. "De gegevens worden bewaard in België en in Europa", benadrukt woordvoerster Sarah Thomas, "De beveiliging van de gegevens is op geen enkel moment in gevaar gebracht."

Maar het gaat voor de Privacycommissie vooral over de juridische bescherming van de klanten. "Bij een datalek moet de burger zich kunnen beroepen op die garanties om een schadevergoeding te kunnen krijgen", zegt De Geest, "De bescherming is er op papier maar uit onderzoek is gebleken dat die in praktijk niet aanwezig is."

Alles bij de bron; VTM


 

Er komt een dag dat men zelfs geen kop koffie meer zal kunnen bestellen zonder te worden geregistreerd. Dat heeft de Amerikaanse investeerder en ondernemer Jim Rogers gezegd.

Om de bevolking te kunnen controleren, zullen regeringen volgens hem steeds meer de bestedingen van de consument proberen op te volgen. “De overheden denken in de eerste plaats aan zichzelf, een strategie die al honderden jaren worden toegepast,” benadrukt Jim Rogers, onder meer verwijzend naar ingrepen van de autoriteiten in India en Frankrijk om de cash betalingen boven bepaalde grenzen te verbieden.

“Ook in een aantal Amerikaanse staten zijn is het gebruik van fysiek geld al aan limieten onderworpen,” zegt de investeerder. “Wanneer men iedereen tot digitale betalingen kan verplichten, wordt het ook mogelijk om de consumptiepatronen te kennen en analyseren.”

“Dat maakt het ook mogelijk om de bevolking te controleren, al zullen de autoriteiten beweren de maatregelen in het belang van de bevolking te willen introduceren.”

Alles bij de bron; Express [Thnx-2-Luc]


 

Directeur Peter Blom van de Triodos Bank wil het graag hebben over PSD2, de afkorting van Payment Service Directive 2, technocratentaal voor: andere bedrijven krijgen toegang tot uw bankgegevens.

"Privacy wordt dit jaar een groot thema", zegt Blom. "Onze klanten willen niet dat hun gegevens zomaar ter beschikking komen van derden. Maar met PSD2 gaat dat wel gebeuren." Dan moeten rekeninghouders daarvoor wel toestemming geven. De vrees is dat consumenten te snel akkoord gaan, in ruil voor kortingen bijvoorbeeld, zonder de consequenties te kennen. Verkopen van de gegevens is weliswaar verboden, maar zeker in het begin zullen kwaadwillende fintechs loeren op hun kans.

"Wij helpen klanten om een keuze te maken, om er achter te komen of ze het echt willen dat anderen inzicht krijgen in hun bankgegevens. En als je niet wil, zorgen wij ervoor dat data onzichtbaar blijven. Het is goed dat bankgegevens breed toegankelijk worden gemaakt zodat ook anderen er gebruik van kunnen maken. Maar mensen zijn ook gesteld op hun privacy."

Alles bij de bron; Trouw


 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha