Når en kunde bliver bedt om at verificere sin alder med MitID på en webshop, virker det umiddelbart som en hurtig og simpel handling. Men bag kulissen sker der en række trin, der sikrer, at aldersverifikationen både er sikker, uforfalskelig og godkendt af myndighederne.
I dette indlæg får du et indblik i, hvordan det tekniske setup fungerer – uden at det bliver alt for nørdet.
1. Trin 1: Kunden forsøger at købe et aldersbegrænset produkt
Når en kunde f.eks. tilføjer en flaske vin til kurven og går videre til checkout, tjekker vores plugin, om produktet er mærket som aldersbegrænset.
Hvis det er tilfældet, bliver verifikationsvinduet automatisk aktiveret, og kunden møder en pop-up med MitID-login.
2. Trin 2: Kunden logger ind med MitID
Når kunden logger ind, bliver der oprettet en sikker forbindelse til Signaturgruppen – vores officielle MitID broker. Herfra valideres brugerens identitet direkte gennem MitID-netværket, og vi får et digitalt svar tilbage om:
Personens alder (om vedkommende er over eller under den krævede grænse, f.eks. 16 eller 18 år)
Om loginforsøget var godkendt
Vi har ikke adgang til brugerens CPR-nummer, navn eller andre følsomme oplysninger. Kun det tekniske verifikationsresultat.
3. Trin 3: Udstedelse af token
Når kunden er godkendt, opretter vores system et unikt token (et digitalt bevis), som bliver knyttet til den specifikke kundesession og kurv-ID.
Dette token kan ikke genbruges og har en begrænset levetid. Det sikrer, at man ikke kan “nøjes med at verificere én gang og så undgå det fremover”.
4. Trin 4: Checkout tillades
Når kunden klikker “Gå til betaling”, tjekker webshoppen, om der er et gyldigt token knyttet til kurven. Hvis der er, går kunden videre. Hvis ikke – så stoppes købet, og verifikation kræves.
Denne kontrol sker server-side og kan ikke omgås, uanset om man ændrer koden, bruger browser-hacks eller forsøger at manipulere checkouten.
5. Hvad med udenlandske kunder?
Hvis kunden ikke har MitID, kan man aktivere funktionen “Not from Denmark”, så checkout’en i stedet kræver, at forsendelseslandet vælges manuelt – og Danmark ikke er en mulighed. Dermed sikrer du dig mod at danske kunder forsøger at omgå systemet ved at “lade som om” de er udlændinge.
En løsning bygget til myndighedernes krav
Vores løsning er godkendt og testet i samarbejde med Sikkerhedsstyrelsen. Den lever op til kravene om:
Sikker identifikation
Entydig aldersbekræftelse
Ikke-mulighed for omgåelse
Og fordi vi bygger ovenpå MitID og Signaturgruppen, er hele flowet forankret i dansk lovgivning og højeste sikkerhedsstandard.
