CDON.com ja henkilötunnus

Piti tilata lahjaksi leikkikalu, jonka löysin vain CDON.COMista. Tarkoitus oli maksaa se tilatessa Mastercardilla, mutta en päässyt niin pitkälle, kun ostaminen karahti henkilötunnuksen kyselyyn. Eikös tämä ole aika poikkeuksellista, että nettikauppa vaatii henkilötunnuksen antamista? Toimitusosoitetta ei vielä tässä vaiheessa kysytty maksutavasta puhumattakaan.

Vaikka toimija "pyrkii aina suojaamaan henkilötietojasi parhaalla mahdollisella tavalla", on monessa tietomurrossa nähty, mitä tuo "paras mahdollinen tapa" voi käytännössä olla.

"Sen lisäksi, että CDON käsittelee henkilötietojasi tavaroiden ja palveluiden toimittamiseksi, niitä voidaan käyttää myös muihin tarkoituksiin, jotka on kerrottu alla." Alla on lueteltu monenlaista tietojen yhdistelemistä ja profilointia. Tietoja ei myydä ulkopuolisille, mutta niitä siirretään konsernin sisällä ja myös yhteistyökumppaneilla on niihin pääsy "tarvittavassa laajuudessa".

Mielestäni varsin merkillistä toimintaa. Vaatiiko joku muu nettikauppa henkilötunnuksen luovuttamista vastaavassa tilanteessa?

Edit. Aika merkillinen on tuo ehtojen maininta "tietosuojavaltuutetusta". Olisiko kyse käännösvirheestä?

• Tietosuojavaltuutettu: Meillä on sopimus tietosuojavaltuutetun kanssa, joka tarjoaa palveluita puolestamme. Nämä palvelut sisältävät mm. painatuksen ja jakelun, tavarantoimituksen, tietojen analyysin ja hakutulosten sekä linkkien tarjoamisen, huolto- ja takuusitoumukset, vakuutusasiat ja tietojen käsittely ja säilytys. Heillä on pääsy henkilötietoihisi tarvittavassa laajuudessa tehtävänsä suorittamiseen, mutta he eivät saa käyttää tietoja muihin tarkoituksiin.

 

Unohda CDON.Firman taso on laskenut,kun lehmän häntä.
Tavaroita saa odotella,tulee jos tulee.Takuut perseestä.
Asiakaspalvelu samasta osoitteesta.
Firma toimii kolmella nimellä.Tilaukset menee sekaisin.
Ihme homma,jos kortilla maksaa ja joutuu sotun tunkemaan johonkin sarakkeeseen.
Onko firmalla nykyään ihan omat systeemit.

 

Ei nyt kortilla maksaessa pitäisi joutua antamaan henkilötunnusta, eri asia jos maksaa laskulla niin silloin voivat luottotiedot tarkastaa sen avulla. Törmäsin minäkin erään kaupan laskulla maksaessani erikoiseen asiaan, olisi pitänyt antaa pankkitunnukset, mikä on sikäli typerää että samallahan tuon ostoksen olisi voinut maksaa niitä tunnuksia käyttäen suoraan tilisiirtona.

 

Ja niiden verkkopankki maksutapa pyytää syöttämään pankkitunnukset johonkin kolmannen osapuolen ohjelmaan. Hyvin epäilyttävää.

 

En ole tilannut tuolta moniin vuosiin mitään.
Löysin vanhat tunnukset.
Kirjauduin sisään,tunnukset toimi.
Kaikki aijemmat tilaukseni / tilaushistoriani on poistettu.
En ole enään firman asiakas.
Kuitenkin pääsen kirjautumaan sisään vanhoilla tunnuksillani.
Sieltä löytyi kuitenkin asiakastietoni.
Pistin viestiä asiakaspalveluun,että poistaisivat kaikki tietoni omasta asiakasrekisteristään.
Saa nähdä tapahtuuko mitään.

 

Asiakastietojen poisto CDON comista.
Tarvinneenko tehdä vielä sukuselvitys.
Emme vahvista tietojen vastaanottamista.
Mutta otamme ehkä joskus yhteyttä,jos muistamme.

 

Asia selviää kun luet tuon pankki-oppaasta. Varmentaminen ostoksien yhteydessä selviää hyvin oppaasta.
Luottokortilla maksamien verkkokaupassa.
http://www.pankki-opas.com/luottokortilla-maksaminen.html
Olen jonkiverran käyttänyt MasterCardia verkko-ostoksissa yleensä hotelleita, matkoja maksettaessa etukäteen tai vaikkapa retkiä etukäteismaksuna ilman että koskaan olis henk.tietoja kyselty. Yleensä käytän jos mahdollista niin PayPalia ostoksien maksamisessa.

 

No sellainen homma,kun tuolta CDON firmasta olen joskus tilannut muutaman elokuvan.
Niin olen maksanut se sähköpostiin tulleella laskulla,tai paketin mukana tulleella laskulla,en luottokortilla,enkä paypallilla.
Viimeinen tilaus tuolta on joskus 2013 <-- >2014 aikoihin.
Sen jälkeen ei ole ollut mitään asiointia.Eikä tule olemaankaan.
Siis.En ole ostamassa tuolta yhtään mitään.
Vaan pyytämässä asiakastietojeni poistamista.

 

Sori vaan. Tuli nimittäin tuo vastaukseni "väärälle" henkilölle eikä suoraan 1pertille niinkuin oli tarkoitus.

 

Minä taas en ollenkaan ymmärrä, mitä asiaa tuon linkin olisi pitänyt selvittää. Minähän ihmettelin sitä, miksi kyseinen verkkokauppa vaati ostajaa antamaan henkilötunnuksensa, vaikka ei ollut kyse luotollisesta myynnistä, vaan asiakas maksoi Visalla tai Mastercardilla. Lisäksi kyseinen myyjä käytti Verified by Visa/Mastercard SecureCode -palvelua, joka varmistaa, että kortilla oli maksuvaraa ja että kortti oli sen oikean haltijan hallussa ja näin ollen takasi myyjälle varman suorituksen.

Tästä tuli mieleen, että olikohan myöhemmässä viestissä mainitussa pankkitunnusten kyselyssä kyseessä juuri tuo Verified by Visa/Mastercard SecureCode -palvelu. Kyseinen palvelu ottaa yhteyden kortin myöntäneeseen pankkiin asiakkaan tunnistamiseksi. Tunnukset annetaan vain pankin järjestelmään ja myyjä saa sitten tiedon, että asiakas on tunnistettu kyseisen tilin omistajaksi tai maksukortin haltijaksi. Samalla ostajakin saa vahvistuksen, että myyjä on oikeasti se, joka väittää olevansa, mutta pankkitunnuksia ei myyjälle missään tapauksessa välity.
https://www.nordea.com/fi/media/uut.../2017-08-11-maksa-turvallisesti-verkossa.html

 

Jos tarkoitit mun viestiä niin ei, ei ole tuttu pankin tarjoama palvelu mitä kysyi tunnuksia. Oli aivan täysin ulkopuolinen firma josta en ole koskaan kuullut. Peruuta nappia painelin siitä eteenpäin...

Edit: kokeilin uudestaan ja Trustly on palvelu joka haluaa sun verkkopankkitunnukset

 

Todentotta! Vaikka epäilin, näyttää tuollainen tosiaan olevan totta ja peruuta-napin painaminen kyseisessä tilanteessa oli oikea reaktio. Mainitsemasi Trustlyn lisäksi myös Sofort-niminen palvelu on toiminut samoin:
https://www.tivi.fi/Kaikki_uutiset/...ihin-pankki-merkittava-tietoturvauhka-6686865

Lis. Tuollainenhan on vielä paljon törkeämpää kuin henkilötunnuksen tarpeeton kysyminen.

 

CDON on tehnyt ulkopuolisen sopimuksen noista ostotapahtumista jollekin muulle yritykselle joka hoitaa tuon laskutuksen CDON:in puolesta jolloin CDON saa rahansa aina. Se kenen kanssa tuo laskutussopimus on tehty niin se perii asiakkaalta rahat vaikka ulosoton kautta. Mutta jos tilaajalla on luottotiedot menneet niin maksu tapahtuu etukäteen tavaran toimittajalle. Edellämainitussa/mainituissa tapauksissa CDON:lla ei ole tarvetta kysellä henkilötietoja ennen kuin tilaaja on hyväksynyt ostotapahtuman edellyttäen että asiakas ei ole tehnyt rekisteröintiä. Rekistöröinnin yhteydessä kysytään nimet, sos.tunnus. osoite, puh.numero, e-mail ja mahd. markkinointi tiedot. tavaran lähettämistä varten.
Sen jälkeen kun nuo on hyväksytty CDON puolesta ei niitä kysellä kun tiedot ovat heidän tietokannassaan.
Jos epäilee onko sivu luotettava niin kannattaa tarkistus suorittaa täällä. En nyt löytänyt tuota suomenkielistä artikkelija mutta on todettu erittäin luotettavaksi.
https://www.scamadviser.com/

 

Pokerisaitit käyttää usein trustlyä. Ihan toimiva systeemi se on.

 

Yksittäisinä lauseina nuo ovat järkeviä, mutta niistä muodostuva kokonaisuus ei sitä ole, enkä ymmärtänyt, mitä tuolla yritettiin todistaa. Alkuperäinen pointti on se, että silloin kun maksu tapahtuu luottokortilla, ei myyjällä ole mitään syytä vaatia henkilötunnusta eikä sen tallentaminen tällaisessa tapauksesa edes ole (Suomen) lain mukaista. Tässä kyseisessä verkkokaupassa ei kuitenkaan pääse maksamaan (luottokortilla) ennen kuin on antanut muiden henkilötietojensa lisäksi myös henkilötunnuksensa.

Toimiva tai ei, niin se on turvallisuudeltaan arveluttava. Lisäksi pankkitunnusten antaminen muulle toimijalle kuin omalle pankille on vastoin suomalaisia verkkopankkisopimuksia ja Finanssivalvonnan yksiselitteistä ohjeistusta: https://www.hs.fi/talous/art-2000005519598.html

Tuon Sofortin omistaja on Klarna, jonka liiketoimintamallina on "kuluttajan harhaanjohtaminen ja koronkiskonta verkkokauppojen avulla".
https://www.finanssivalvonta.fi/con...seklarna_koronkiskonta_636824782559120304.pdf

 

Käyttäähän paypalkin trustlyä. Eikö se ole luotettava?

 

Niinkuin missä?

T: Vesku

 

https://www.paypal-topup.fi/

 

Minulla ei tietenkään ole asiantuntemusta arvioida kyseisen menetelmän luotettavuutta. Sillä, että se on mielestäni epäilyttävä, ei tietenkään ole todellisen luotettavuuden kannalta merkitystä.

Merkittävää sen sijaan on, että mistään ei löydy tietoa siitä, miten PSD2-direktiivin määräykset käytännössä toteutetaan. Näyttääkin siltä, että standardeista päättäminen on yhä kesken. Pelkästään se, että Trustly itse ilmoittaa järjestelmänsä olevan PSD2:n mukainen, ei vielä mitään todista, ei ainakaan Suomen Finanssivalvonnan mielestä.

"Suomessa on totuttu käyttämään pankkien tunnistuspalvelua myös maksutapahtumien käynnistämiseen verkkokaupoissa ja asiakkaat tunnistavat hyvin nämä turvallisiksi tunnetut palvelut. PSD2:en liittyvien teknisten standardien täsmentyessä toivotaan saatavan selvennystä myös siihen, miten asiakas jatkossa erottaa turvallisen, luvan saaneen palvelun, jos maksutapahtuman käynnistäminen tai tilitietokysely ei enää tapahtuisikaan pankin kirjautumissivun kautta."

"Screen Scrapingilla eli kuvakaappauksella tarkoitetaan sitä, että maksupalvelun tai tilitietopalvelun tarjoaja pyytää asiakasta antamaan pankkitunnuksensa omalle sivulleen (eikä pankin tunnistautumislinkin kautta) ja kirjautuu sen jälkeen tunnusten avulla asiakkaan verkkopankkiin.

Suomen valvontaviranomaisen (Finanssivalvonta) mukaan Screen Scraping ei ole sallittua kahdestakaan syystä. Palveluntarjoaja ei tällä menetelmällä pystyisi täyttämään omaa lainsäädännön edellyttämää tunnistautumisvelvollisuuttaan pankille. Toisaalta se mahdollistaa pääsyn yksilöityjen maksutilitietojen lisäksi myös muihin asiakkaan verkkopankissa oleviin tietoihin, mihin uusi sääntely ei anna oikeutta."

http://www.finanssiala.fi/uutismajakka/Sivut/QA-Toinen-maksupalveludirektiivi.aspx

 

Itse käytin Matti Meikäläisen henkilötunnusta ja kaikki toimi hyvin. Tarkistaa ilmeisesti vain tarkistusluvun, muuten ei väliä mitä siihen tyrkkää.