Сигурно плащане: стандарти и сертификати за електронна търговия

Сигурно плащане: стандарти и сертификати в електронната търговия

Осигуряването на транзакции се превърна в стратегически въпрос за всеки сайт за електронна търговия. Според Banque de France процентът на измами при онлайн плащания е достигнал 0,193% през 2023 г. или около 10 пъти повече от местните плащания. Изправени пред този риск, търговците трябва да разчитат на строга екосистема от технически стандарти и регулаторни сертификати. Разбирането на тези стандарти не е опция: това е правно, търговско и застрахователно задължение, което обуславя доверието на потребителите и устойчивостта на дейността.

PCI DSS: глобалната основа за сигурност на картитеСтандартътPayment Card Industry Data Security Standard (PCI DSS) ⬥⬥⬥, публикуван от PCI Security Standards Council (Visa, Mastercard, American Express, Discover, JCB), представлява задължителното хранилище за всеки участник, съхраняващ, обработващ или предаващ банка данни на картата. Версия 4.0, напълно приложима от 31 март 2024 г., налага 12 основни изисквания, разделени на 6 цели: защита на мрежата, защита на данните, управление на уязвимости, контрол на достъпа, наблюдение на системи и поддържане на политика за сигурност.

Нивото на съответствие зависи от обема на годишните транзакции:

• Нивото на съответствие зависи от обема на годишните транзакции:Ниво 1 ⬥⬥⬥: повече от 6 милиона транзакции/година — годишен одит от QSA (квалифициран оценител на сигурността)
• Ниво 2 ⬥⬥⬥: 1 до 6 милиона — SAQ самооценка + тримесечно ASV сканиранеНива 3 и 4 ⬥⬥⬥: по-малко от 1 милион — Опростен SAQ
• Несъответствието ви излага на глоби от €5000 до €100 000 на месец или дори загуба на одобрение за приемане на карта.3D Secure 2 и силно удостоверяване (SCA)

3D Secure 2 и силно удостоверяване (SCA)

Наложено от

европейската директива PSD2 (PSD2)и нейните технически регламенти RTS,силно удостоверяване на клиента (Strong Customer Authentication)е задължително от 15 май 2021 г. във Франция. Базира се на комбинацията от най-малко два фактора: знание (парола), притежание (смартфон) и наследственост (биометрични данни).е задължително от 15 май 2021 г. във Франция. Базира се на комбинацията от най-малко два фактора: знание (парола), притежание (смартфон) и наследственост (биометрични данни).

Протоколът3D Secure 2.x(EMV 3DS) замества историческата версия. Той позволява анализ на риска в реално време, използвайки повече от 100 контекстуални данни (пръстов отпечатък на устройството, история, кошница), позволявайки „безпроблемни“ пътувания за транзакции с нисък риск. Резултат: запазване на обменния курс и прехвърляне на отговорността в случай на измама към издателя на картата (изместване на отговорността).

Токенизация, криптиране и допълнителни сертификати

⬥⬥⬥ токенизациятазаменя чувствителните данни с идентификатор, който не може да се използва, като драстично намалява обхвата на PCI DSS. В съчетание с криптиранезаменя чувствителните данни с идентификатор, който не може да се използва, като драстично намалява обхвата на PCI DSS. В съчетание с криптиранеTLS 1.2 минимум(препоръчва се TLS 1.3) иHSM (модули за хардуерна сигурност), сертифицирани по FIPS 140-2 ниво 3 ⬥⬥⬥, това представлява текущата най-добра практика.Други сертификати засилват доверието в търговския сайт:

ISO/IEC 27001 ⬥⬥⬥: управление на информационната сигурност

• ISO/IEC 27001 ⬥⬥⬥: управление на информационната сигурностSOC 2 тип II ⬥⬥⬥: оперативни контроли при облачни доставчици
• PSP сертификацияот ACPR за платежни институции
• eIDAS етикетза квалифицирани електронни подписи
• за квалифицирани електронни подписиПравна рамка, приложима във Франция и в Европа

Освен PSD2, няколко текста уреждат онлайн плащанията:

Паричният и финансов кодекс (статии L.133-1 и следващите)определя отговорности в случай на измама;GDPR (Регламент на ЕС 2016/679)GDPR (Регламент на ЕС 2016/679)изисква минимизиране на събраните банкови данни; регламентътDORA(приложим от януари 2025 г.) укрепва дигиталната оперативна устойчивост на финансовите играчи. CNIL редовно санкционира нарушенията: през 2023 г. няколко електронни търговци на дребно бяха избрани за несъответстващо съхранение на CVV.

Заключение

Сигурността на плащанията не е само проверка на регулаторните кутии: това е пряка инвестиция в обменен курс и репутация. Съвместим с PCI DSS 4.0 сайт, интегриращ 3DS2 с интелигентни изключения и токенизация, намалява както измамите (до -80%), така и изоставянето на кошницата. Годишният одит на вашия доставчик на плащания (PSP) и поддържането на вашата документация за съответствие актуална са основни рефлекси за всеки сериозен електронен търговец.