Eigen geld op kaart

Ook op de vakantiebestemming komt het geld steeds vaker uit de muur en wordt aan de kassa van supermarkt en tolweg en in het restaurant met plastic betaald. De techniek levert nu de zekerheid die vroeger door de beslotenheid van de portemonnee en later de handtekening werd geboden.

Kiest u volgende vakantie voor de creditcard of blijft u toch liever pinnen? Of gaat uw voorkeur uit naar de vertrouwde travellerscheques of het contante geld? Wanneer de vakantie beperkt blijft tot West- of Zuid-Europa zal een bankpas (europas of giropas) voldoende handig blijken om te kunnen betalen. Niet alleen zijn er over het algemeen voldoende pinautomaten – in ons land ruim 160.000 – vaak is ook rechtstreeks betalen in winkels of restaurants mogelijk. Een vereiste voor het gebruik van bankpassen in het buitenland is dat deze geschikt zijn voor Maestro-transacties. Het Maestro-netwerk (onderdeel van creditcardmaatschappij Mastercard) geeft wereldwijd toegang tot vijf miljoen geldautomaten en betaalpunten.

Elke betaalpas is voorzien van een donkere magneetstrip. Hierop staan in beginsel alle gegevens die ook met het blote oog op de kaart te lezen zijn, zoals naam van de kaarthouder, rekeningnummer, pasnummer en geldigheidsdatum. De strip bevat in elk geval niet de pincode.

Wat er precies aan gegevens opstaat, is vastgelegd in de internationale ISO-norm 9564. Aan de gegevens is een aantal codes toegevoegd, die op de een of andere manier afgeleid zijn van de persoonlijke gegevens. Een magneetkaartlezer vergelijkt de persoonsgebonden codes van de kaart met de personal identification numbers (PIN). Het eventueel veranderen van de gegevens op de magneetkaart kan dus niet straffeloos gebeuren zonder de versleutelde codes mee te veranderen. Bij een geldtransactie versleutelt de kaartlezer de gegevens via een cryptografische code, de ontvangende partij, veelal de bank, vertaalt de gegevens weer terug. De beveiliging van het systeem zit dus in het bezit van het pasje in combinatie met de kennis van de pincode.

De banken werken momenteel hard aan een verbeterd beveiligingssysteem met behulp van een smart card, een kaart met een klein computertje zoals ook in de chipknip aanwezig is. Met deze processor is de beveiliging beter geregeld, want een dergelijke kaart werkt volgens een vast protocol, dat niet te kopiëren is. Bovendien biedt de chip meer mogelijkheden. Niet alleen kan de chip geld opslaan, zoals bij een elektronische portemonnee als de chipknip, ook de mogelijkheden tot identificatie van de eigenaar zijn uitgebreider, bijvoorbeeld doordat het biometrische kenmerken (vingerafdruk of het patroon van de iris) kan bevatten.

De chip op de smart card bestaat in principe uit drie onderdelen, het geheugen, de CPU en de contactpunten. Het geheugen op de chip is onderverdeeld in een tijdelijk, herschrijfbaar geheugen (RAM), een read-only memory (ROM) waarop het besturingsgedeelte van de chip staat, en een EEPROM, dat meerdere malen herschrijfbaar is en waarin alle data zitten. De CPU beheert het geheugen en doet het rekenwerk. De smart card, die naar verwachting over een jaar of drie op de markt zal zijn, heeft als nadeel ten opzichte van de magneetkaart dat het een vrij dure techniek is.

Merkwaardig is, dat ondanks de uitgebreide beveiligingsmaatregelen die met de bankpas genomen zijn, het in sommige landen mogelijk is om met een pinpas te betalen zonder dat het intoetsen van een pincode noodzakelijk is. Heeft de betreffende winkelier hier een slim foefje bedacht om het invoeren van de pincode te omzeilen? ,,Nee'', verklaart Annemiek Vergoossen namens Interpay, de dochterorganisatie van de Nederlandse banken, ,,er vindt altijd een verificatie plaats om te controleren of het saldo toereikend is en of het pasje niet als gestolen gemeld staat. Maar in plaats van de pincode wordt de handtekening van de eigenaar gecontroleerd.''

Op de buitenlandse terrassen heeft menig vakantieganger al ervaring opgedaan met pinnen op een mobiele pinautomaat. Ook in ons land zijn sinds kort dergelijke mobiele betaalapparaten op de markt, die behalve voor de horeca ook voor winkels die aan huis bezorgen, zoals meubelzaken, en bijvoorbeeld taxibedrijven een uitkomst moeten zijn. Het in Ridderkerk gevestigde Quality Equipment stelt het eerste bedrijf in ons land te zijn die een draagbare pinterminal kan leveren. Het apparaat, dat 600 gram weegt, maakt gebruik van het gsm-netwerk, een oplaadbare accu zorgt voor de elektriciteitsvoorziening. Met de terminal is zowel met PIN als met een creditcard te betalen, een latere versie zal ook betalingen met een chipknip kunnen verwerken. De C-Zam/Smash GSM betaalautomaat maakt gebruik van beveiligde software die is goedgekeurd door Interpay. ,,Het schijnt dat er vroeger ook mobiele terminals op de markt waren, die met een speciale `RAM Mobile' datafrequentie werkten, maar die techniek hebben wij nooit gebruikt'', verduidelijkt Simone van der Zwan van Quality Equipment. ,,Dat waren flinke kasten, die bovendien niet zonder een elektriciteitsaansluiting konden.'' De certificatie door Interpay betreft overigens alleen het gebruik in Nederland.

Een creditcard heeft zeker in het buitenland als voordeel dat veel winkels, restaurants en tankstations op deze magneetkaart zijn ingesteld. Bovendien is een dergelijke kaart nodig voor het telefonisch reserveren van bijvoorbeeld een hotel. In beginsel is de werking hetzelfde als een betaalpas, ook hier staan alle gegevens op de magneetstrip.

Voor het winkelen op internet is de creditcard momenteel het enige geijkte middel. Tot voor kort waren de persoonlijke gegevens van de kaarthouder beschermd door de Secure Sockets Layer (SSL). Dit beveiligingsprotocol is in de browser te herkennen door een slotje (in Microsoft Explorer) of een sleuteltje (Netscape) op het scherm. Bovendien begint op internet de pagina met https (met de s van secure) in plaats van http. Het SSL protocol versleutelt de gegevens op een dusdanige manier dat deze voor een buitenstaander onbruikbaar zijn. Om te voorkomen dat de internetleverancier over de persoonlijke gegevens kan beschikken, hebben Visa en Eurocard het SSL-principe vertaald in de Secure Electronic Transaction SET. Hierdoor levert de creditcard een elektronisch certificaat aan de koper, waarmee deze kan betalen zonder de persoonlijke gegevens prijs te geven. Dit systeem werkt echter alleen als de internetwinkels met dit systeem willen werken.

Overigens gaat Interpay komend najaar het SET-protocol vervangen door het Universal Cardholder Authentication Field (UCAF). In tegenstelling tot SET zou deze nieuwe infrastructuur snel en eenvoudig te implementeren zijn voor de digitale winkeliers.