Ordainketa segurua: merkataritza elektronikoko estandarrak eta ziurtagiriak

Ordainketa segurua: estandarrak eta ziurtagiriak merkataritza elektronikoan

Transakzioak ziurtatzea arazo estrategiko bat bihurtu da merkataritza elektronikoko edozein gunerentzat. Banque de France-ren arabera, lineako ordainketen iruzur tasa % 0,193ra iritsi zen 2023an, tokiko ordainketak baino 10 aldiz handiagoa. Arrisku horren aurrean, merkatariek estandar teknikoen eta arauzko ziurtagirien ekosistema zorrotz batean oinarritu behar dute. Arau hauek ulertzea ez da aukera bat: lege-, merkataritza- eta aseguru-betebehar bat da, eta horrek kontsumitzaileen konfiantza eta jardueraren iraunkortasuna baldintzatzen ditu.

PCI DSS: txartelen segurtasunaren oinarri globalaPCI DSS: txartelen segurtasunaren oinarri globala⬥⬥⬥ Payment Card Industry Data Security Standard (PCI DSS) ⬥⬥⬥, PCI Segurtasun Arauen Kontseiluak (Visa, Mastercard, American Express, Discover, JCB) derrigorrezko datuak biltegiratzeko edo biltegiratzeko edozein aktore-txartel biltegiratzeko prozesua osatzen du. 4.0 bertsioak, 2024ko martxoaren 31tik guztiz aplikagarria, 6 helburutan banatutako 12 baldintza nagusi ezartzen ditu: sarea babestea, datuak babestea, ahultasunak kudeatzea, sarbidea kontrolatzea, sistemak kontrolatzea eta segurtasun politika mantentzea.

Betetze-maila urteko transakzioen bolumenaren araberakoa da:

• Betetze-maila urteko transakzioen bolumenaren araberakoa da:1. maila ⬥⬥⬥: 6 milioi transakzio baino gehiago/urteko — QSA (Segurtasun Ebaluatzaile kualifikatua) batek egindako urteko auditoria
• 2. maila ⬥ —⬥-⬥ 6 milioi autoebaluaziora hiruhileko ASV eskaneatzea3. eta 4. mailak ⬥⬥⬥: milioi 1 baino gutxiago — SAQ sinplifikatuak
• 3. eta 4. mailak ⬥⬥⬥: milioi 1 baino gutxiago — SAQ sinplifikatuakEz-betetzeak hilero 5.000 eurotik 100.000 euro arteko isunak jasan ditzake, edo baita txartelaren onarpenaren galera ere.

3D Secure 2 eta autentifikazio sendoa (SCA)

3D Secure 2 eta autentifikazio sendoa (SCA)

⬥⬥⬥ PSD2 (PSD2) Europako zuzentarauak inposatuaeta bere arau teknikoa RTS,eta bere arau teknikoa RTS,bezeroen autentifikazio sendoa (bezeroaren autentifikazio sendoa)⬥⬥⬥ derrigorrezkoa da 2021eko maiatzaren 15etik Frantzian. Gutxienez bi faktoreren konbinazioan oinarritzen da: ezagutza (pasahitza), edukitzea (smartphone) eta inherentzia (biometria).⬥⬥⬥ 3D Secure 2.x

(EMV 3DS) protokoloak bertsio historikoa ordezkatzen du. Arriskuak denbora errealean aztertzea ahalbidetzen du testuinguruko 100 datu baino gehiago erabiliz (gailuaren hatz-marka, historia, saskia), arrisku txikiko transakzioetarako "marruskadurarik gabeko" bidaiak ahalbidetuz. Emaitza: bihurketa-tasa gordeta eta iruzur-erantzukizuna txartelaren igorleari transferitzen zaio (erantzukizun-aldaketa).(EMV 3DS) protokoloak bertsio historikoa ordezkatzen du. Arriskuak denbora errealean aztertzea ahalbidetzen du testuinguruko 100 datu baino gehiago erabiliz (gailuaren hatz-marka, historia, saskia), arrisku txikiko transakzioetarako "marruskadurarik gabeko" bidaiak ahalbidetuz. Emaitza: bihurketa-tasa gordeta eta iruzur-erantzukizuna txartelaren igorleari transferitzen zaio (erantzukizun-aldaketa).Tokenizazioa, enkriptatzea eta ziurtagiri osagarriak

⬥⬥⬥ tokenizazioa

⬥⬥⬥ tokenizazioadatu sentikorrak ustiatu ezin den identifikatzaile batekin ordezkatzen ditu, PCI DSS esparrua izugarri murriztuz. EnkriptatzeaTLS 1.2 gutxienekoTLS 1.2 gutxieneko(TLS 1.3 gomendatua) etaHSM (Hardware Security Modules) ziurtagiria duten FIPS 140-2 3. maila ⬥⬥⬥rekin batera, egungo praktika onena da.Beste ziurtagiri batzuek merkatari gune baten sinesgarritasuna indartzen dute:

Beste ziurtagiri batzuek merkatari gune baten sinesgarritasuna indartzen dute:

• ISO/IEC 27001 ⬥⬥⬥: informazioaren segurtasunaren kudeaketaSOC 2 II mota ⬥⬥⬥: operazio-kontrolak hodeiko hornitzaileen ziurtagiria ⬥⬥⬥⬥⬥⬥ ACPR-k ordainketa-erakundeentzat
• SOC 2 II mota ⬥⬥⬥: operazio-kontrolak hodeiko hornitzaileen ziurtagiria ⬥⬥⬥⬥⬥⬥ ACPR-k ordainketa-erakundeentzateIDAS etiketa
• sinadura elektroniko kualifikatuentzatsinadura elektroniko kualifikatuentzat
• Frantzian eta Europan aplikagarria den lege-esparruaPSD2-tik haratago, hainbat testuk arautzen dute lineako ordainketa: ⬥⬥⬥Diru eta Finantza Kodeak (13) artikuluak eta ondorengoak.

erantzukizunak ezartzen ditu iruzurra gertatuz gero;

erantzukizunak ezartzen ditu iruzurra gertatuz gero;GDPR (EBko 2016/679 araudia)bildutako banku-datuak minimizatzea eskatzen du;bildutako banku-datuak minimizatzea eskatzen du;DORA araudiak(2025eko urtarriletik indarrean dagoena) finantza-eragileen erresilientzia operatibo digitala indartzen du. CNIL-k aldian-aldian zigortzen ditu arau-hausteak: 2023an, hainbat merkatari elektronikoak CVV-a ez betetzeko biltegiratzeagatik nabarmendu ziren.(2025eko urtarriletik indarrean dagoena) finantza-eragileen erresilientzia operatibo digitala indartzen du. CNIL-k aldian-aldian zigortzen ditu arau-hausteak: 2023an, hainbat merkatari elektronikoak CVV-a ez betetzeko biltegiratzeagatik nabarmendu ziren.

Ondorioa

Ordainketa-segurtasuna ez da soilik laukiak egiaztatzea: bihurketa-tasan eta ospean inbertsio zuzena da. PCI DSS 4.0 betetzen duen gune batek, 3DS2 salbuespen eta tokenizazio adimendunekin integratuz, iruzurra (% -80 arte) eta gurdiaren uztea murrizten du. Zure ordainketa-hornitzailea (PSP) urtero ikuskatzea eta zure betetze-dokumentazioa eguneratuta mantentzea ezinbesteko erreflexuak dira edozein merkatari elektroniko serioentzat.