U plaatst een bestelling op Amazon, u bevestigt de betaling, en op geen enkel moment wordt u gevraagd naar de drie cijfers op de achterkant van uw kaart. Op de meeste andere webwinkels is deze code (de visuele cryptogram, of CVV) systematisch vereist. Amazon werkt anders, en deze keuze is gebaseerd op specifieke technische mechanismen.
Tokenisatie van bankkaarten: wat Amazon echt opslaat
Wanneer u een kaart op Amazon registreert, bewaart de site uw kaartnummer niet zoals het is. Het gebruikt een systeem dat EMV-tokenisatie wordt genoemd, een standaard die wordt ondersteund door internationale betalingsnetwerken. Het principe: uw echte nummer wordt vervangen door een unieke digitale token, een “token”, die als referentie dient voor toekomstige transacties.
Ook interessant : De beste oplossingen om uw gehoor op oudere leeftijd te verbeteren
Deze token is herbruikbaar. Bij elke nieuwe aankoop verzendt Amazon deze token naar het betalingsnetwerk zonder uw kaartnummer of cryptogram direct te manipuleren. De netwerken Visa en Mastercard hebben specifieke programma’s opgezet voor grote verkopers die in aanmerking komen voor deze tokenisatie. Amazon valt daaronder.
Het cryptogram speelt dus geen rol meer na de eerste registratie. Het is slechts één keer gevraagd, bij het toevoegen van de kaart, om te verifiëren dat u de houder ervan bent. Daarna neemt de token het over. Als u zich afvraagt waarom Amazon niet om de 3d secure vraagt bij elke bestelling, is dit mechanisme voor een groot deel de verklaring.
Aanrader : Waar betrouwbare informatie te vinden om uw online bedrijf gemakkelijk te laten groeien
Sterke authenticatie en DSP2: de rol van uw bank
Misschien heeft u opgemerkt dat Amazon u soms naar de app van uw bank leidt om een aankoop te bevestigen. Dit is geen toeval. Sinds de invoering van de Europese richtlijn DSP2 (tweede richtlijn inzake betalingsdiensten), is sterke authenticatie verplicht voor online betalingen in Europa.
Sterke authenticatie is gebaseerd op twee factoren uit drie mogelijke categorieën:
- Iets dat u weet (een geheime code, een wachtwoord)
- Iets dat u bezit (uw telefoon, een fysieke kaart)
- Iets dat u bent (vingerafdruk, gezichtsherkenning)
Het cryptogram met drie cijfers valt op geen enkele manier robuust binnen deze categorieën. Het is een statische code, gedrukt op de kaart, die gemakkelijk te kopiëren is. De DSP2 heeft banken aangespoord om betrouwbaardere validaties te ontwikkelen: meldingen in de bankapp, tijdelijke sms-codes, biometrie.
Het is uw bank die deze verificatie in gang zet, niet Amazon. De verkoper verzendt de gegevens van de transactie, en de uitgevende bank beslist over het vereiste niveau van authenticatie. Amazon kan dus zonder het cryptogram omdat de beveiliging op een andere schakel in de keten berust.
Uitzonderingen op sterke authenticatie: waarom sommige aankopen zonder validatie doorgaan
U heeft ongetwijfeld gemerkt dat niet al uw Amazon-aankopen een bankverificatie activeren. Sommige bestellingen gaan direct door, zonder sms-code of melding. De DSP2 voorziet in uitzonderingen om het aankoopproces te vergemakkelijken.
De gevallen waarin sterke authenticatie kan worden omzeild:
- Transacties van laag bedrag (onder een door de bank gedefinieerde drempel)
- Terugkerende betalingen aan eenzelfde verkoper die als “betrouwbaar” is geïdentificeerd
- Transacties die door de analyse van de bank of betalingsdienstverlener als laag risico worden beoordeeld
Amazon heeft een zeer laag fraudetarief op zijn transacties. Dit lage fraudetarief stelt het in staat om te profiteren van bredere uitzonderingen bij betalingsnetwerken. Wanneer een verkoper een solide veiligheidsverleden aantoont, accepteren banken om meer transacties zonder aanvullende authenticatie te valideren.
Het cryptogram wordt dan dubbel onnodig: de token vervangt het kaartnummer, en de DSP2-uitzondering vrijwaart van de klassieke bankverificatie.
Veiligheid van betalingen op Amazon zonder cryptogram: de grenzen die u moet kennen
Dit systeem is over het algemeen betrouwbaar, maar het verschuift de verantwoordelijkheid. Als iemand toegang krijgt tot uw Amazon-account (gecompromitteerd wachtwoord, open sessie op een gedeeld apparaat), kan hij bestellingen plaatsen zonder ooit uw fysieke kaart nodig te hebben. De bescherming van uw Amazon-account wordt de echte beveiligingsvergrendeling.
Het activeren van de tweefactorauthenticatie op uw Amazon-account is de meest effectieve maatregel. Zonder deze is een gestolen wachtwoord voldoende om bestellingen te plaatsen met uw geregistreerde kaarten, aangezien noch het volledige nummer noch het cryptogram opnieuw zal worden gevraagd.
Wat u concreet kunt doen
Controleer of de dubbele authenticatie actief is in de inloginstellingen van uw account. Verwijder de kaarten die u niet meer gebruikt. Controleer regelmatig de lijst van apparaten die zijn verbonden met uw Amazon-account om onbekende sessies op te sporen.
Het cryptogram is nooit ontworpen als een sterke barrière. Het is een statische code, zichtbaar voor iedereen die de kaart in handen heeft. Tokenisatie en bankauthenticatie via de DSP2 bieden een hoger niveau van bescherming, op voorwaarde dat de toegang tot uw account aan uw kant veilig blijft.
Amazon heeft gekozen voor soepelheid door gebruik te maken van betalings technologieën die het cryptogram overbodig maken in het kader van terugkerende transacties. Dit is geen vergetelheid of shortcut in de beveiliging: het is een architectuur waarin elke actor (verkoper, kaartnetwerk, bank) een aparte rol speelt. De veiligheid van uw wachtwoord blijft het enige element dat u alleen kunt garanderen.