Turvaline makse: e-kaubanduse standardid ja sertifikaadid

Turvaline makse: standardid ja sertifikaadid e-kaubanduses

Tehingute turvamine on muutunud iga e-kaubanduse saidi strateegiliseks probleemiks. Banque de France'i andmetel ulatus veebimaksete pettuste määr 2023. aastal 0,193 protsendini ehk umbes 10 korda kõrgem kui kohalike maksete puhul. Selle riskiga silmitsi seistes peavad kaupmehed tuginema tehniliste standardite ja regulatiivsete sertifikaatide rangele ökosüsteemile. Nende standardite mõistmine ei ole võimalik: see on juriidiline, äriline ja kindlustuskohustus, mis määrab tarbijate usalduse ja tegevuse jätkusuutlikkuse.

PCI DSS: kaardi turvalisuse ülemaailmne alus⬥⬥⬥ Maksekaarditööstuse andmeturbe standard (PCI DSS) ⬥⬥⬥, mille on avaldanud PCI turvastandardite nõukogu (Visa, Mastercard, American Express, Discover, JCB), moodustab kohustusliku andmete töötlemise, pangakaartide töötlemise või repositeerija. Alates 31. märtsist 2024 täielikult rakendatav versioon 4.0 kehtestab 12 peamist nõuet, mis on jagatud 6 eesmärgi vahel: võrgu turvamine, andmete kaitsmine, haavatavuste haldamine, juurdepääsu juhtimine, süsteemide jälgimine ja turbepoliitika järgimine.Nõuetele vastavuse tase sõltub iga-aastaste tehingute mahust:

Nõuetele vastavuse tase sõltub iga-aastaste tehingute mahust:

• Tase 1 ⬥⬥⬥: üle 6 miljoni tehingu aastas — iga-aastane QSA (kvalifitseeritud turbehindaja) auditTase 2
• Tase 2 ⬥⬥⬥⬥⬥⬥⬥⬥⬥⬥⬥ kvartaalne ASV skannimineTase 3 ja 4 ⬥⬥⬥: alla 1 miljoni – lihtsustatud SAQ
• Mittevastavuse korral võidakse määrata trahvid vahemikus 5000–100 000 eurot kuus või isegi kaardi vastuvõtmise loa kaotamine.Mittevastavuse korral võidakse määrata trahvid vahemikus 5000–100 000 eurot kuus või isegi kaardi vastuvõtmise loa kaotamine.

3D Secure 2 ja tugev autentimine (SCA)

Kehtestatud

Euroopa direktiiviga PSD2 (PSD2)ja selle tehniliste eeskirjadega RTS,ja selle tehniliste eeskirjadega RTS,on kohustuslikklienditugev autentimine (tugev kliendi autentimine) alates 15. maist 2021 Prantsusmaal. See põhineb vähemalt kahe teguri kombinatsioonil: teadmised (parool), omamine (nutitelefon) ja päritolu (biomeetria).

Protokoll3D Secure 2.x(EMV 3DS) asendab ajaloolise versiooni. See võimaldab reaalajas riskianalüüsi, kasutades rohkem kui 100 kontekstipõhist andmeet (seadme sõrmejälg, ajalugu, korv), võimaldades madala riskiga tehingute jaoks hõõrdumiseta teekonda. Tulemus: konversioonikurss säilinud ja vastutus pettuse korral üle antud kaardi väljastajale (vastutuse nihe).

(EMV 3DS) asendab ajaloolise versiooni. See võimaldab reaalajas riskianalüüsi, kasutades rohkem kui 100 kontekstipõhist andmeet (seadme sõrmejälg, ajalugu, korv), võimaldades madala riskiga tehingute jaoks hõõrdumiseta teekonda. Tulemus: konversioonikurss säilinud ja vastutus pettuse korral üle antud kaardi väljastajale (vastutuse nihe).

Tokeniseerimine, krüptimine ja lisasertifikaadid⬥⬥⬥ tokeniseerimineasendab tundlikud andmed mittekasutatava identifikaatoriga, vähendades drastiliselt PCI DSS-i ulatust. Koos krüptimisegaTLS 1.2 vähemaltTLS 1.2 vähemalt(TLS 1.3 soovitatav) jaHSM (Hardware Security Modules) sertifitseeritud FIPS 140-2 tase 3

on see praegune parim tava.

• Muud sertifikaadid tugevdavad kaupmehe saidi usaldusväärsust:ISO/IEC 27001 ⬥⬥⬥: infoturbe haldus
• ISO/IEC 27001 ⬥⬥⬥: infoturbe haldusSOC 2 tüüp II ⬥⬥⬥: teenusepakkuja sertifitseerimine ⬥ pilves.
• ACPR makseasutuste jaokseIDAS märgis
• kvalifitseeritud elektrooniliste allkirjade jaokskvalifitseeritud elektrooniliste allkirjade jaoks

Prantsusmaal ja Euroopas kohaldatav õiguslik raamistik

Lisaks PSD2-le reguleerivad mitmed tekstid, mis on seotud raha- ja finantskoodeksiga. L.133-1 jj)määrab vastutuse pettuse korral;GDPR (EL määrus 2016/679)nõuab kogutavate pangaandmete minimeerimist;nõuab kogutavate pangaandmete minimeerimist;DORA määrus(kehtib alates 2025. aasta jaanuarist) tugevdab finantssektori osalejate digitaalset operatsioonide vastupidavust. CNIL karistab rikkumisi regulaarselt: 2023. aastal tõsteti CVV nõuetele mittevastava säilitamise tõttu esile mitu e-jaemüüjat.

Järeldus

Makse turvalisus ei seisne ainult regulatiivsete lahtrite kontrollimises: see on otsene investeering ümberarvestuskursi ja mainesse. PCI DSS 4.0-ga ühilduv sait, mis integreerib 3DS2 nutikate erandite ja tokeniseerimisega, vähendab nii pettusi (kuni -80%) kui ka ostukorvist loobumist. Makseteenuse pakkuja (PSP) iga-aastane auditeerimine ja vastavusdokumentatsiooni ajakohasena hoidmine on iga tõsise e-müüja jaoks olulised refleksid.