W3C ออกมาตรฐานใหม่ เก็บข้อมูลบัตรเครดิตบนเว็บเบราเซอร์

W3C องค์กรระหว่างประเทศที่ทำหน้าที่จัดระบบมาตรฐานการใช้งานบน WWW ออกมาตรฐานใหม่สำหรับเก็บข้อมูลบัตรเครดิตบนเว็บเบราเซอร์ เรียกว่า Payment Request API เพื่อให้ผู้ใช้เว็บสามารถชำระเงินออนไลน์ได้สะดวกมากยิ่งขึ้น

Payment Request API เป็นมาตรฐานใหม่สำหรับให้ผู้ใช้กรอกและจัดเก็บข้อมูลบัตรชำระเงินไว้ในเว็บเบราเซอร์ แทนที่จะเป็นเว็บไซต์ของร้านค้า เช่นเดียวกับที่ผู้ใช้จัดเก็บรหัสผ่านในปัจจุบัน ซึ่งร้านค้าออนไลน์ทั่วไปสามารถใช้ API ในการสร้างปุ่มกดสำหรับให้ผู้ใช้สามารถซื้อสินค้าได้เพียงคลิกเดียว โดยที่ไม่ต้องใส่ข้อมูลรายละเอียดบัตรเครดิต (หรือบัตรอื่นๆ ) บนแต่ละเว็บไซต์ หรือทุกครั้งที่ทำการชำระสินค้า

Payment Request API นี้ทำงานโดยเป็นอิสระจาก Vendor และร้านค้าต่างๆ เมื่อผู้ใช้กดชำระค่าสินค้า เว็บไซต์จะเรียก API ไปยังเว็บเบราเซอร์ของผู้ใช้ พร้อมส่งข้อมูลรายละเอียดเกี่ยวกับการชำระเงิน จากนั้นเว็บเบราเซอร์จะดำเนินการต่อด้วยการแสดง Pop-up ขึ้นมา ให้ผู้ใช้เลือกข้อมูลบัตรชำระเงินและที่อยู่สำหรับจัดส่ง (หรือถามหาข้อมูลกรณีที่ผู้ใช้ยังไม่เคยกรอกข้อมูล) ซึ่งข้อมูลเหล่านี้ทั้งหมดจะถูกเก็บอยู่ในเว็บเบราเซอร์ในส่วนของ Autofill

หลังจากที่ผู้ใช้เลือกวิธีการชำระเงินแล้ว เว็บเบราเซอร์ (ไม่ใช่เว็บไซต์ของร้านค้า) จะติดต่อกับผู้ให้บริการบัตร เช่น Visa, Master และอื่นๆ เพื่อดำเนินการชำระเงิน เมื่อชำระเงินเรียบร้อย เว็บเบราเซอร์จะส่งข้อมูลการทำธุรกรรมกลับไปยังเว็บไซต์ของร้านค้า เพื่อแจ้งว่าการชำระเงินเสร็จสิ้น พร้อมจัดส่งสินค้าให้ลูกค้าได้

Google Chrome ได้ออกอัปเดตสำหรับรองรับ Payment Request API ทั้งบน Android และ PC เมื่อเดือนที่ผ่านมา ส่วน Microsoft Edge ก็รองรับการใช้ API ดังกล่าวตั้งแต่เดือนกันยายน 2016 ปีที่แล้ว แต่ผู้ใช้จำเป็นต้องลงทะเบียนบัญชี Microsoft Wallet ก่อน จึงเริ่มใช้งานได้ ในขณะที่ FireFox และ Safari กำลังดำเนินการเพื่อรองรับการใช้ API เร็วๆ นี้ สำหรับผู้ให้บริการการชำระเงินอย่าง PayPal หรือ Amazon คงไม่นำ Payment Request API มาใช้งาน เนื่องจาก API ดังกล่าวจะทำให้ผู้ใช้บริการของทั้งสองบริษัทลดน้อยลง

Payment Request API นี้ยังช่วยแบ่งเบาภาระด้านความมั่นคงปลอดภัยแก่ร้านค้าออนไลน์ต่างๆ เนื่องจากเมื่อข้อมูลบัตรชำระเงินถูกเก็บบนเว็บเบราเซอร์ ทำให้เว็บไซต์เหล่านั้นไม่จำเป็นต้องกังวลเรื่องกฎระเบียบ ข้อบังคับจากหน่วยงานที่กำกับดูแลอีกต่อไป รวมไปถึงไม่ต้องกังวลเรื่องข้อมูลบัตรของลูกค้าจะถูกขโมยอีกด้วย แต่ภาระนั้นจะตกกับฝั่งผู้ใช้แทน เนื่องจากต้องปกป้องตัวเองจากมัลแวร์หรือการโจมตีเว็บเบราเซอร์ของแฮ็คเกอร์เพื่อขโมยข้อมูลบัตร

อย่างไรก็ตาม Payment Request API ยังอยู่ในระหว่างการพัฒนา ซึ่งยังไม่เสร็จสิ้นสมบูรณ์ ส่งผลให้ยังคงมีบั๊กและช่องโหว่ที่เสี่ยงต่อการถูกโจมตีได้ นอกจากนี้ หลายฝ่ายยังออกมาแสดงความกังวลถึงประเด็นด้านความเป็นส่วนบุคคล (Privacy) เนื่องจากเจ้าของเว็บเบราเซอร์จะเป็นฝ่ายที่เห็นข้อมูลและธุรกรรมทางการเงินทั้งหมดของผู้ใช้แทนที่จะเป็นร้านค้าออนไลน์ ส่งผลให้บางคนปฏิเสธที่จะเก็บข้อมูลบัตรชำระเงินไว้บนเว็บเบราเซอร์

คาดว่า Payment Request API จะได้ข้อสรุปภายในสิ้นปีนี้ ผู้ที่สนใจสามารถทดสอบ Payment Request API ได้ที่ https://googlechrome.github.io/samples/paymentrequest/

ที่มาและเครดิตรูปภาพ: https://www.bleepingcomputer.com/news/technology/browsers-will-store-credit-card-details-similar-to-how-they-save-passwords/