Jos verkkokauppa kysyy henkilötunnusta, täytyykö se antaa? Onko korttitietojen tallentaminen verkkokaupan sivuille riski?
Mitä vähemmän henkilökohtaisia tietojasi on maailmalla, sitä paremmassa turvassa olet tietomurtautujan iskuilta. Mutta miten suojautuminen tietovarkailta onnistuu käytännössä, kun ostaa tuotteita tai palveluita verkosta?
Tietosuojalainsäädäntö suojaa kansalaista. EU:n tuore GDPR-asetus antaa meille uusia tietoturvaan liittyviä oikeuksia. Tämä on eittämättä hienoa.
Mutta vaikka säädökset suojaavat ja puolustavat kansalaista, erään tietoturvakoulukunnan mukaan kannattaa joka tapauksessa varautua pahimpaan: henkilökohtaiset tietosi, joita joku muu säilöö, tulevat ennemmin tai myöhemmin varastetuiksi.
Tai ne on jo varastettu.
Your personal data is already stolen, kirjoitti tietoturvaguru Bruce Schneier äskettäin blogissaan. Ja mitä enemmän henkilökohtaisia tietojasi vuotaa julki, sitä enemmän aineksia on tarjolla identiteettivarkauteen.
Niinpä kannattaa pyrkiä siihen, että luovuttaa mahdollisimman vähän henkilötietoja verkkokaupoille ja muille palveluntarjoajille. Näin toimien minimoit mahdollisen tietomurron seuraukset.
Vaan miten temppu käytännössä tehdään? Tässä seitsemän tärkeää kysymystä ja vastausta avuksi verkko-ostajalle:
1. Mitä tietoja minun täytyy verkossa antaa, mitä ei?
Tietoturvan optimoiminen ei ole valitettavasti aivan yksinkertainen tehtävä. On mahdotonta määritellä yleispätevästi, mitä tietoja ostotapahtuman yhteydessä pitää ja mitä ei pidä luovuttaa. Tämä määräytyy käytännössä tapauskohtaisesti.
”Sitä, mitä henkilökohtaisia tietoja saa käsitellä, määrittävät eurooppalaisen tietosuoja-asetuksen laillisuusperiaate sekä minimointiperiaate”, tietosuojavaltuutettu Reijo Aarnio sanoo.
Henkilötietojen käsittelyn laillisuudelle on monia ehtoja, joista ainakin yhden on täytyttävä. Tavallisin niistä lienee kuluttajan itsensä antama suostumus tietojen käsittelyyn. Mutta annettu suostumus ei – onneksi – ole avoin valtakirja palveluntarjoajalle udella ja säilöä mitä tahansa tietoja.
”Minimointiperiaate ja tietojen käyttötarkoitus yhdessä määräävät sen, että edes kuluttajan suostumuksella ei saisi käsitellä tarpeettomia tietoja”, Aarnio jatkaa. Eli esimerkiksi terveydenhuollon palveluissa tarvittavia arkaluonteisia tietoja ei todellakaan ole syytä tiedustella verkkokaupassa. Aarnio antaakin neuvon:
”Jos kuluttajalle tulee yhtään epätietoisuutta siitä, miksi jokin verkkopalvelu pyytää jotain tietoa, kannattaa kääntyä myyjän tai tämän antaman informaation puoleen. Sieltä pitäisi löytyä selitys tietojen keräämiselle.”
2. Mistä tiedän, mihin tietoni menevät?
Kuluttajalla on oikeus tietää etukäteen, ennen tietojen antamista ja verkkokaupoissa ostopäätöksen tekemistä, mitenhänen henkilötietojaan käsitellään.
”Sivustoilla näkee nykyisin ilahduttavan usein tietosuojaselosteita tai vastaavia selvityksiä henkilötietojen käytöstä, kiitos EU:n tietosuoja-asetuksen informointivelvoitteen”, Reijo Aarnio sanoo.
Jos verkkokauppa tiedustelee vaikkapa kiinnostuksen kohteita, ikää tai perhesuhteita, kyseessä on mitä ilmeisimmin pyrkimys asiakkaan profilointiin ja markkinoinnin kohdentamiseen. Tällaisia tietoja ei ole pakko antaa. Jos niiden antamiselta ei voi ostamisen yhteydessä välttyä, kannattaa vaihtaa kauppaa.
”EU:n tietosuoja-asetuksen osoitusvelvollisuuden mukaan kauppiaan pitää aktiivisesti kyetä osoittamaan olevansa luotettava kumppani”, Reijo Aarnio sanoo. Kannattaa siis tutkia kaupan sivuilta, mitä ja miten kauppias kertoo omasta luotettavuudestaan.
3. Voinko poistaa tietojani verkkopalvelusta?
Jos tietoja on kuitenkin tullut syystä tai toisesta annettua liiaksi, eurooppalainen tietosuoja-asetus antaa kuluttajalle tietyissä tilanteissa oikeuden saada rekisterinpitäjä (esimerkiksi verkkokauppa) poistamaan itseään koskevat tiedot. Tätä kutsutaan myös oikeudeksi tulla unohdetuksi.
Asianosaisen on tehtävä tietojen poistamisesta pyyntö, johon rekisterinpitäjän on vastattava viivytyksettä, viimeistään kuukauden kuluessa pyynnön vastaanottamisesta.
4. Ovatko verkkopalvelulle antamani maksukorttitiedot turvassa?
Henkilökohtaisista tiedoista kenties merkittävimpiä – ainakin oman talouden kannalta – ovat maksukorttitiedot. Väärissä käsissä ne alkavat rullata tiliä tyhjäksi välittömästi.
Tosin tilin tyhjentäminen ei onnistu, jos olet kortinhaltijana käyttänyt ja säilyttänyt korttiasi asianmukaisesti. ”Pääsääntönä on, että korttijärjestelmä suojaa kuluttajan tällaisissa tapauksissa”, korttimaksamisen palveluita tarjoavan Netsin kaupallinen johtaja Sami Toivonen sanoo.
Kortinhaltija joutuu maksamaan haamuostokset ainoastaan siinä tapauksessa, jos hän ei ole käsitellyt korttiaan tai siihen liittyviä tunnuslukuja asianmukaisesti. Kortinhaltijan on pidettävä ne turvallisesti omassa hallussaan.
Monet verkkokaupat ja nettiselaimet tarjoavat mahdollisuutta tallentaa luottokorttitietoja niin, että verkko-ostaminen sujuisi jatkossa jouhevammin. Tämä tallentaminen lasketaan tietojen turvalliseksi käytöksi.
Eli vaikka hakkeri varastaisi kauppiaan järjestelmästä korttitietoja ja vinguttaisi niillä omia ostoksiaan, tietovarkauden kohteeksi joutuneen kuluttajan asema on hyvä. Hänen ei tarvitse kaivella kuvettaan. Yhteydenotto kortin myöntäneeseen pankkiin riittää.
5. Kenellä on vastuu väärästä maksusta? Entä jos verkko-ostajan kortin tiedot varastetaan verkkokaupasta?
Jos kauppiaan järjestelmä ei ole ollut turvamääräysten mukainen, vastuu tapahtuneesta siirtyy kauppiaalle. Jos verkkokauppa on esimerkiksi päättänyt hyväksyä maksutapahtumia ilman maksukortin kääntöpuolelta löytyvää CVV-tarkistetta, sen on hankala kiistää vastuutaan väärinkäyttötapauksessa. Verkko-ostaminen ilman CVV:tä on siis teknisesti mahdollista, mutta tästä syystä hyvin harvinaista.
Ja jos kaupan tietoturva on ollut kunnossa ja murtautuminen silti onnistunut, riskin kantaa korttijärjestelmä. Käytännössä siis Visa tai Mastercard.
Selaimeen tallennetut korttitiedotkaan eivät ole Netsin mukaan ongelma.
”Suhteutettuna tapahtumamäärään, jota käsittelemme, tällaiset ratkaisut eivät ole mikään ongelma. Niissä riskinä on lähinnä se, että jos perheenjäsenet käyttävät samaa konetta tai käyttäjätiliä, lapset saattavat päästä tekemään ostoksia isän tai äidin piikkiin”, Toivonen sanoo. Niinpä onkin hyvä idea perustaa yhteiskäyttöiseen koneeseen pikku käyttäjille oma tili ja välttää luottokorttitietojen tallentamista sinne.
6. Pitäisikö minun välttää korttitietojen tallentamista?
Korttijärjestelmä siis suojaa asianmukaisesti toimivaa kuluttajaa taloudellisilta vahingoilta, mutta ainakin osan väärinkäyttöyrityksistä ja niistä koituvasta häslingistä voi torpata alkuunsa, kun yksinkertaisesti pidättäytyy tallentamasta korttitietojaan kaupan järjestelmään tai selaimeen.
Se toki tuo lisää mutkia maksamiseen. Käytettävyys ja tietoturva kun ovat lähtökohtaisesti enemmän tai vähemmän toistensa vastakohtia.
Kuluttaja voi turvata selustansa vieläkin tiukemmin hyödyntämällä pankkien tarjoamia mahdollisuuksia maksukorttien käytön rajoittamiseen.
Verkkopankissa voi piipahtaa määrittelemässä, minkä verran mitäkin korttia voi maksimissaan vinguttaa kivijalkakaupoissa, pankkiautomaatilla ja verkkokaupoissa.
Jos esimerkiksi nettishoppailua tulee harrastettua lähtökohtaisesti vähän, voi verkkomaksamisen limitin määritellä nollaan euroon ja nostaa sitä tarvittaessa.
Ja jos ulkomaanreissuja ei ole tiedossa, kortin käytön voi määritellä sallituksi vain kotimaassa. Tämä ei siis estä kortin etäkäyttöä esimerkiksi ulkomaisista verkkokaupoista ostettaessa. Käytännössä kaikki suomalaiset pankit OP:tä lukuun ottamatta tarjoavat mahdollisuuden aluerajoituksiin eli geoblokkeihin.
7. Joku vei tietoni ja käytti korttiani ulkomailla. Kuka vastaa?
Miten kuluttajan suoja sitten käytännössä toimii tapauksissa, joissa kortilla tehdään haamuostoksia seuduilla, joilla kortinhaltija on itsekin samaan aikaan matkustelemassa?
”Näissä tapauksissa tutkitaan, löytyykö kauppiaan järjestelmästä merkkejä maksutapahtumasta, esimerkiksi maksukortin pin-koodin digitaalista sormenjälkeä tai allekirjoituskuittia”, Toivonen kuvailee. Jos näitä ei löydy eli ostoksesta ei ole jälkeä, korttijärjestelmä korvaa ostoksen kortinhaltijalle ja perii summan itse kauppiaalta.
”Tämäntyyppiset väärinkäytökset ovat jääneet hyvin pitkälti pois, kun on siirrytty sirukorttien käyttöön”, Toivonen sanoo.
Toivonen vinkkaa, että tiliotteita kannattaa joka tapauksessa käydä aika ajoin läpi epämääräisten maksutapahtumien varalta. Samalla pysyy kärryillä siitä, minkä verran rahaa luikahtaa erilaisiin kuukausiveloituksiin. Kokeilutarjouksena hankittu suoratoistopalvelu saattaa jäädä ruksuttamaan säännöllistä maksuaan, jos sen tilausta ei ole muistanut lakkauttaa.
HENKILÖTUNNUS Henkilötunnus ei ole salainen. Sitä ei kuitenkaan saa käsitellä miten vain. Lue huhtikuun Taloustaidosta, miten henkilötunnusta saa käsitellä. Voit lukea jutun näköislehdestä, jos olet rekisteröitynyt verkkopalvelujemme käyttäjäksi.
Kari Ahokas
