Usługa "moduł IOO" umożliwia przeprowadzenie transakcji w publicznej sieci Internet z wykorzystaniem karty płatniczej jako środka płatności. Płatności mogą być dokonywane z użyciem kart wypukłych tych wszystkich systemów, które standardowo obsługują centra autoryzacyjno-rozliczeniowe. Są to systemy: VISA, EUROPAY, MASTERCARD, DINERS CLUB, JCB, POLCARD, PBK STYL.
Transakcje przeprowadzane są w czasie rzeczywistym (online), co oznacza, iż posiadacz karty może od razu otrzymać odpowiedź czy płatność zostanie zrealizowana czy nie.

Przebieg transakcji
Jednym z podstawowych założeń przyjętych podczas opracowywania nowego modelu był fakt, iż w Internecie połączenie może nawiązać każdy z każdym. Dzięki temu istnieje możliwość utworzenia szyfrowanego połączenia pomiędzy kupującym a rozliczającym transakcje, z pominięciem sprzedawcy. Oznacza to, iż poufne dane posiadacza kart nie będą ujawniane w punkcie handlowo-usługowym.
Przebieg transakcji internetowej możemy podzielić na dwa etapy:
W pierwszym etapie dochodzi do zestawienia szyfrowanego połączenia z serwerem sklepu internetowego, wybrania towaru, zestawienia kolejnego szyfrowanego połączenia z serwerem centrum autoryzacyjno-rozliczeniowego, dokonania autoryzacji i zwrócenia odpowiedzi do serwera sklepu internetowego. Centrum autoryzacyjno-rozliczeniowe przekazuje odpowiedź autoryzacyjną do serwera punktu w chwilę po otrzymaniu zapytania autoryzacyjnego. Czas potrzebny do wygenerowania odpowiedzi zazwyczaj nie przekracza kilkunastu sekund.
Drugim etapem transakcji internetowej jest przekazanie dokonanej transakcji do rozliczenia. Może się to odbywać na dwa sposoby: przy pomocy zestawienia połączenia dial-up z serwerem dostępowym centrum autoryzacyjno-rozliczeniowego; lub poprzez wystawienie zbiorów w tym samym formacie do rozliczenia na serwerze sklepu internetowego i umożliwienie centrum autoryzacyjno-rozliczeniowemu pobrania ich przeglądarką WWW.

Bezpieczeństwo transakcji
Nasz nowy model został oparty na protokole SSL z możliwością wykorzystania pełnego 128-bitowego szyfrowania danych. W protokół SSL standardowo wyposażona jest większość przeglądarek internetowych; jest on więc powszechnie dostępny, co w dużej mierze upraszcza, a także upowszechnia możliwość płacenie kartami w Internecie.
Proponowane przez nas rozwiązanie zwiększa bezpieczeństwo przekazywanych danych dotyczących numeru karty, ponieważ informacje o karcie płatniczej przekazywane są bezpośrednio do centrum autoryzacyjno-rozliczeniowego, z pominięciem internetowego punktu handlowo-usługowego. Posiadacz karty ma pewność, iż numer jego karty jest chroniony w sposób szczególny i jest wiadomy jedynie centrum autoryzacyjno-rozliczeniowemu - czyli firmie rozliczającej transakcje dokonane z użyciem kart płatniczych. To również ułatwienie dla punktów internetowej sprzedaży, gdyż nie muszą gromadzić na własnych serwerach numerów kart.
W celu podniesienia bezpieczeństwa dokonywania transakcji internetowych zastosowane zostało kilka progów weryfikacji transakcji:
weryfikacja na poziomie centrum autoryzacyjno-rozliczeniowym, którą jest proces autoryzacyjny, celem którego jest sprawdzenie czy dana karta płatnicza może wziąć udział w transakcji internetowej,
pierwsza weryfikacja na poziomie punktu akceptującego, polegająca na udzieleniu w czasie rzeczywistym zgody lub odmowy na jej przeprowadzenie po wstępnym dokonaniu sprawdzenia poprawności transakcji z własnymi bazami danych,
druga weryfikacja na poziomie punktu akceptującego, polegająca na podjęciu decyzji co do wysłania transakcji do rozliczenia po jej powtórnej weryfikacji z własnymi bazami danych.

Proces autoryzacji
1. Połączenie posiadacza karty z witryną kontrahenta.
Klient (posiadacz karty) uzyskuje połączenie zgodnie z protokołem http, zabezpieczonym technologią SSL z serwerem kontrahenta. Klient zapoznaje się z ofertą kontrahenta i dokonuje wyboru towarów, które chce zamówić. Przed przejściem do autoryzacji zamówienia konieczne jest spełnienie następujących warunków:
klient powinien zapoznać się z końcową ceną zamawianych towarów, zawierającą wszystkie przewidywalne składniki,
klient powinien podać dane zamawiającego i adres dostawy,
serwer kontrahenta powinien wygenerować numer kolejnego połączenia (session_id),
serwer kontrahenta winien zidentyfikować i zapisać do własnej bazy danych adres IP komputera klienta, który dokonuje zapłaty kartą płatniczą (informacja ta winna być udostępniana na każde żądanie centrum autoryzacyjno-rozliczeniowego).
Po spełnieniu tych warunków serwer kontrahenta generuje stronę HTML z formularzem odsyłającym klienta do bezpiecznej strony autoryzacyjnej centrum autoryzacyjno-rozliczeniowego.
2. Autoryzacja płatności za zamówienia i przekazanie kontrahentowi odpowiedzi autoryzacyjnej.
Po połączeniu się ze stroną autoryzacyjną centrum autoryzacyjno-rozliczeniowego klient (posiadacz karty) wprowadza dodatkowe dane (w tym numer karty i datę jej ważności) konieczne do uzyskania autoryzacji.
Autoryzacja przeprowadzana przez centrum autoryzacyjno-rozliczeniowe polega na skontaktowaniu się z systemem komputerowym banku, który kartę wydał i uzyskaniu odpowiedzi czy dana płatność może być zrealizowana. Po uzyskaniu odpowiedzi centrum autoryzacyjno-rozliczeniowe przesyła ją kontrahentowi. W tym celu serwer centrum autoryzacyjno-rozliczeniowego nawiązuje połączenie http zabezpieczone SSL z serwerem kontrahenta. Podczas nawiązywania połączenia centrum autoryzacyjno-rozliczeniowe przedstawia swój certyfikat SSL podpisany przez jeden ze znanych urzędów certyfikacyjnych. Dzięki temu kontrahent ma możliwość upewnienia się, że nadawcą komunikatu jest centrum autoryzacyjno-rozliczeniowe. Połączenie następuje pod uzgodniony wcześniej z kontrahentem adres URL. Po otrzymaniu przez serwer kontrahenta połączenia pod wskazany adres URL, oprogramowanie serwera kontrahenta powinno zweryfikować drugą stronę połączenia. Po sprawdzeniu kontrahent powinien potwierdzić fakt otrzymania odpowiedzi autoryzacyjnej. To potwierdzenie polega na odesłaniu w odpowiedzi do centrum autoryzacyjno-rozliczeniowego strony HTML, zawierającej adres, pod który centrum autoryzacyjno-rozliczeniowe powinno przekierować przeglądarkę klienta (posiadacza karty).
3. Przekierowanie klienta, realizacja zamówienia.
Klient zostaje przekierowany pod adres podany w potwierdzeniu odpowiedzi autoryzacyjnej. Kontrahent podejmuje decyzję o realizacji lub odrzuceniu zamówienia.

Weryfikacja kodu CVV2/CVC2
BEST GROUP informuje, że z dniem 01 kwietnia 2001r., zgodnie z zaleceniami wystawców kart, przy dokonywaniu transakcji kartami płatniczymi VISA, MasterCard, Diners Club oraz JCB na witrynach internetowych obsługiwanych przez centra autoryzacyjno-rozliczeniowe, należy w formularzu autoryzacyjnym wpisywać kod CVV2/CVC2.
Kod CVV2/CVC2 są to trzy ostatnie cyfry umieszczone na rewersie karty płatniczej, na pasku, na którym znajduje się Państwa podpis.
Weryfikacja kodu CVV2/CVC2 zapewnia większe bezpieczeństwo dokonywanych transakcji internetowych i ogranicza możliwość posługiwania się cudzymi kartami w sieci podczas dokonywania zakupów.
Kod CVV2/CVC2 umieszczony jest jedynie na Państwa karcie oraz w systemie informatycznym banku, który Państwa kartę wydał. Kod ten nie jest drukowany na rachunkach z terminali elektronicznych POS, ani nie jest umieszczony w żadnych innych miejscach.
Kod CVV2/CVC2 stworzony został z myślą o zapewnieniu bezpieczeństwa posiadaczy kart dokonujących transakcji bez fizycznego uczestnictwa karty, a więc także transakcji internetowych.