Er det dårlig skik at bede om betalingoplysninger i en beta trial af SaaS produkt

Jeg har udviklet et SaaS produkt som jeg skal have beta testet af rigtige brugere.  siden er programmeret så beta medlemmerne skal opgive deres betalingsoplysninger for at registrere sig. De får en 100% discount kupon og der står på betalingssiden, hvordan man nemt kan afmelde sig igen, og at vi sender en email ud inden beta periodens ophør. Alligevel oplever jeg at beta medlemmerne er skeptiske, når det kommer til at opgive deres betalingsoplysninger.

Mit spørgsmål er om jeg bør få mine udviklere til at omprogrammere flowet for beta medlemmer, så de ikke skal opgive betalingsoplysninger? Mine developers argument for at opkræve oplysningerne er at det beskytter siden mod falske registreringer fra såkaldte bots.

Håber der er nogen med erfaring i beta testing af et Saas produkt, som kan give mig et godt råd.

På forhånd tak, Anette

Med CRO-brillerne på vil jeg helt klart anbefale dig ikke at kræve kortoplysninger før de reelt skal bruges. Og det er uanset om der er tale om en beta eller reel service. Hvis du f.eks. har en 7 dages free trial uden at kræve kortoplysninger og følger op på de potentielle kunders tilfredshed, giver det langt flere konverteringer til både servicen og dine nyhedsbreve, end en løsning der kræver kortoplysninger eller betaling og returret. Kortoplysninger er noget der kan misbruges og på grund af alle skrækhistorierne er det noget der får folk til at stoppe op og overveje signup.

Trust sælger, så jeg vil samtidig anbefale dig at have en knap, hvor kunden selv kan slette kortoplysningerne uanset om kunden har et aktivt abonnement eller ej. Så slipper du ikke alle kunderne helt, når de vil opsige deres abonnement og kan fastholde kontakten gennem statusmails og nyhedsbreve. Det tager samtidig brodden af evt. utilfredse kunders frustrationer, da de ikke føler sig låst til en service de vil ud af. Og det giver færre negative anmeldelser.

Bots bør så vidt muligt bekæmpes diskret, ikke med konverteringsdræbere.

Det kan gøres ved at lave opslag i blacklists. F.eks. cleantalk.org, såfremt løsningen kan gøres GDPR compliant.

Tak for dit svar Karsten. Vi har en 30 dages Free Trial. Jeg brugte lang tid på at diskutere dette punkt med programmørerne da jeg som udgangspunkt ville køre det sådan som du beskriver det. Jeg havde dog ikke tænkt på en knap der kan slette betalingsoplysningerne. Tak for den ide!

mvh Anette

Hej Anette,

Hvis en bruger skal bekræfte sit login vha. en mail, så er ikke en to-trins-bekræftelse:
1. Brugeren indtaster sin e-mailadresse
2. Der bliver sendt en mail til brugeren
3. Brugeren klikker på et link for at BEKRÆFTE sin adresse
4. Serveren har bekræftet brugeren.

Det er en 1-trins-bekræftelse. Det vil først blive en to-trins-bekræftelse hvis der var et andet identifikationsmiddel, fx. en app eller en sms.

Men når IT-sikkerhedsfolk taler om multitrinsbekræftelse, så handler det som sådan ikke om at bekræfte at du REGISTRERER dig med en MAILADRESSE du angiver, men om det BRUGERNAVN du angiver giver dig AUTORISATION til at logge på.

For at autorisere dig, er der tre metoder der kan bruges:
1. Noget du ved
2. Noget du har
3. Noget du er

Det første, "noget du ved", er kombinationen af et brugernavn og en adgangskode. Det er noget, du har lagret i din hjerne, på en lap papir, i en notesbog eller i en passwordmanager. Her er det værd at bemærke, at det altid er en god idé at skelne mellem et brugernavn og en mailadresse - det anbefales oftest at man IKKE kan logge på med sin mailadresse, men med et brugernavn der enten er blevet valt af brugeren eller tildelt ved registrationen (spørg, hvis du vil vide hvorfor). Noget du ved er en meget usikker form for autorisering, da "det man ved" nemt kan overdrages til andre, herunder ondsindede hackere.

Det andet, "noget du har", er sværere for en hacker at bryde. "Noget du har" er en genstand, der indeholder informationer som du kan give når du logger ind. Det kan være et nøglekort (som du måske kender fra NemID), en nøgleviser (MitID, NemID), en godkendelsesapp (Google, Microsoft), en SMS (Booking.com, Microsoft, Google, Apple),  et opkald (Apple, Microsoft), en kode på en anden registreret enhed (Apple) eller en QR-kode du skal scanne (MitID)

Det tredje, "noget du er", er endnu sværere at bryde for en hacker. Det bliver også kaldt for biometrisk godkendelse, og kan være at du bekræfter adgang vha. din krop: ansigtsgenkendelse (iPhone, MitID, Android), fingeraftryk (mange forskellige enheder), Irisscan (mange forskellige avancerede systemer), DNA-check (ikke så udbredt, men visse steder i Pentagon bruges det).

Først når du kombinerer de ting, der er tale om multifaktorgodkendelse. Et website som Medium bruger kun én trins godkendelse, men gør det ved at sende en kode til ens e-mailadresse. Det er altså mere sikkert end "noget du ved", men kan stadigvæk brydes, hvis en hacker har fået adgang til ens e-mail.

Albert

PS I går var jeg hos en kunde, hvor jeg skulle aktivere multifaktorgodkendelse på hans Google-konto. Der valgte jeg at gøre det via SMS, så Google sendte en sms til hans telefon. Min kunde var lige ude for at ryge en smøg, og havde efterladt sin telefon hos mig. Den var gået til låseskærmen, så jeg kunne ikke læse hans sms'er. Men da Google sendte en sms med en kode, jeg skulle indtaste, kom de første x-antal ord af sms'en på låseskærmen. Og i de x-antal ord var der den kode, jeg skulle indtaste. Spørgsmålet er her: hvem har et sikkerhedshul: Apple, fordi den viser (en del af) indholdet af en ny sms på låseskærmen, eller Google, fordi de sender bekræftelseskoden i starten af sms'en :)

Tak for din grundige forklaring. Det var lærerigt...og hvor er der meget man skal sætte sig ind i...bare fordi man har fået en god ide

Hej Anette

Vi har snart 2 mio brugere på vores SaaS platform. Vi valgte ikke at kræve betalingsoplysninger upfront. Det var meget åbenlyst for os at det var det rigtige valg. Vi har en freemium model som baserer sig på at vores brugere først skal prøve vores produkt før det bliver nødvendigt at betale (+ hvis du ikke bruger det så meget, så kan du forblive gratis brugere på ubegrænset tid). Jeg tror ikke vi ville have haft success hvis vi krævede betalingsoplysninger upfront. Når det er sagt, så afhænger det jo nok meget af dit produkt og forretningsmodel hvorvidt det er en god idé. Der er skrevet rigtig meget om emnet som jeg håber du har læst?

Dine programmørers argument omkring at undgå bots finder jeg ikke relevant. Det er reelt nok, at du til en vis grad kan undgå bots på den måde. Men det mulige tab du lider ved at folk ikke tilmelder sig din service (og du derfor måske aldrig får gang i forretningen) er bare højest sandsynligt mange mange gange større en det tab du evt kan lide ved at et par bots tilmelder sig (hvad er det reelt for en risiko du løber her?). Desuden findes der så mange muligheder for at undgå bots. Se fx Googles reCAPTCHA.

Sig til hvis du har brug for yderligere sparring. Deler gerne mine erfaringer.

Tak for din feedback Martin. Det kunne være rigtig spændende at connecte med dig og høre mere om dine erfaringer. Du hører nok fra os efter sommerferien