رفتن به محتوای اصلی
Certyneo
Sécurité

پرداخت امن: استانداردها و گواهینامه های تجارت الکترونیک

Rédaction Certyneo5 دقیقه مطالعه

Rédaction Certyneo

نویسنده — Certyneo · درباره Certyneo

Digitalisation des processus administratifs — équipe en réunion de travail

پرداخت امن: استانداردها و گواهینامه ها در تجارت الکترونیک

ایمن سازی تراکنش ها به یک موضوع استراتژیک برای هر سایت تجارت الکترونیکی تبدیل شده است. بر اساس گزارش بانک دو فرانس، نرخ کلاهبرداری در پرداخت های آنلاین در سال 2023 به 0.193 درصد رسید یا حدود 10 برابر بیشتر از پرداخت های محلی. در مواجهه با این خطر، بازرگانان باید به اکوسیستم سختگیرانه ای از استانداردهای فنی و گواهینامه های نظارتی اعتماد کنند. درک این استانداردها یک گزینه نیست: یک تعهد قانونی، تجاری و بیمه ای است که اطمینان مصرف کننده و پایداری فعالیت را مشروط می کند.

PCI DSS: مبنای جهانی برای امنیت کارت⬥⬥⬥ استاندارد امنیت داده صنعت کارت پرداخت (PCI DSS)منتشر شده توسط شورای استانداردهای امنیتی PCI (Visa, Mastercard, American Express, Discover, Repositing, JCB) یا انتقال اطلاعات کارت بانکی نسخه 4.0 که از 31 مارس 2024 به طور کامل قابل اجرا است، 12 الزام اصلی را اعمال می کند که به 6 هدف تقسیم می شوند: ایمن سازی شبکه، محافظت از داده ها، مدیریت آسیب پذیری ها، کنترل دسترسی، نظارت بر سیستم ها و حفظ خط مشی امنیتی.

منتشر شده توسط شورای استانداردهای امنیتی PCI (Visa, Mastercard, American Express, Discover, Repositing, JCB) یا انتقال اطلاعات کارت بانکی نسخه 4.0 که از 31 مارس 2024 به طور کامل قابل اجرا است، 12 الزام اصلی را اعمال می کند که به 6 هدف تقسیم می شوند: ایمن سازی شبکه، محافظت از داده ها، مدیریت آسیب پذیری ها، کنترل دسترسی، نظارت بر سیستم ها و حفظ خط مشی امنیتی.

  • سطح انطباق به حجم تراکنش های سالانه بستگی دارد:سطح 1 ⬥⬥⬥: بیش از 6 میلیون تراکنش در سال - ممیزی سالانه توسط یک QSA (ارزیابی کننده امنیت واجد شرایط)
  • سطح 2 خود ارزیابی اسکن سه ماهه ASVسطوح 3 و 4 ⬥⬥⬥: کمتر از 1 میلیون — SAQ ساده شده
  • عدم انطباق شما را در معرض جریمه هایی از 5000 تا 100000 یورو در ماه یا حتی از دست دادن تایید کارت قرار می دهد.عدم انطباق شما را در معرض جریمه هایی از 5000 تا 100000 یورو در ماه یا حتی از دست دادن تایید کارت قرار می دهد.

3D Secure 2 و احراز هویت قوی (SCA)

تحمیل شده توسط

دستورالعمل اروپایی PSD2 (PSD2)و مقررات فنی آن RTS،و مقررات فنی آن RTS،(تقویت مشتری قوی)از 15 مه 2021 در فرانسه اجباری شده است. این مبتنی بر ترکیب حداقل دو عامل است: دانش (رمز عبور)، مالکیت (تلفن هوشمند) و ذاتی (بیومتریک).

پروتکل3D Secure 2.x(EMV 3DS) جایگزین نسخه تاریخی می شود. این امکان تجزیه و تحلیل ریسک بلادرنگ را با استفاده از بیش از 100 داده متنی (اثرانگشت دستگاه، تاریخچه، سبد) فراهم می‌کند و امکان سفرهای "بدون اصطکاک" را برای تراکنش‌های کم خطر فراهم می‌کند. نتیجه: نرخ تبدیل حفظ می شود و مسئولیت در صورت تقلب به صادر کننده کارت منتقل می شود (تغییر مسئولیت).

(EMV 3DS) جایگزین نسخه تاریخی می شود. این امکان تجزیه و تحلیل ریسک بلادرنگ را با استفاده از بیش از 100 داده متنی (اثرانگشت دستگاه، تاریخچه، سبد) فراهم می‌کند و امکان سفرهای "بدون اصطکاک" را برای تراکنش‌های کم خطر فراهم می‌کند. نتیجه: نرخ تبدیل حفظ می شود و مسئولیت در صورت تقلب به صادر کننده کارت منتقل می شود (تغییر مسئولیت).

رمزگذاری، رمزگذاری و گواهی‌های اضافی⬥⬥⬥ توکن‌سازیداده‌های حساس را با یک شناسه غیرقابل بهره‌برداری جایگزین می‌کند و دامنه PCI DSS را به شدت کاهش می‌دهد. همراه با رمزگذاریTLS 1.2 حداقلTLS 1.2 حداقل(TLS 1.3 توصیه می‌شود) وHSM (ماژول‌های امنیتی سخت‌افزار) دارای گواهی FIPS 140-2 سطح 3 ⬥⬥⬥، بهترین عملکرد فعلی را تشکیل می‌دهد.

سایر گواهینامه ها اعتبار سایت تاجر را تقویت می کنند:

  • ISO/IEC 27001 ⬥⬥⬥: مدیریت امنیت اطلاعاتSOC 2 نوع II
  • SOC 2 نوع IIارائه گواهی ابری⬥ در کنترل عملیاتی
  • توسط ACPR برای موسسات پرداختبرچسب eIDAS
  • برای امضاهای الکترونیکی واجد شرایطبرای امضاهای الکترونیکی واجد شرایط

چارچوب قانونی قابل اجرا در فرانسه و اروپا

فراتر از PSD2، متون متعددی بر پرداخت آنلاین نظارت می‌کنند. L.133-1 و بعد.)مسئولیتها را در صورت تقلب تعیین می کند.GDPR (مقررات اتحادیه اروپا 2016/679)نیازمند به حداقل رساندن داده های بانکی جمع آوری شده است. مقرراتنیازمند به حداقل رساندن داده های بانکی جمع آوری شده است. مقرراتDORA(قابل اجرا از ژانویه 2025) انعطاف پذیری عملیاتی دیجیتال بازیگران مالی را تقویت می کند. CNIL مرتباً موارد نقض را تحریم می کند: در سال 2023، چندین خرده فروش الکترونیکی به دلیل ذخیره سازی غیرمنطبق بر CVV انتخاب شدند.

نتیجه گیری

امنیت پرداخت فقط مربوط به بررسی جعبه های نظارتی نیست: این یک سرمایه گذاری مستقیم در نرخ تبدیل و شهرت است. یک سایت سازگار با PCI DSS 4.0 که 3DS2 را با معافیت‌های هوشمند و توکن‌سازی ادغام می‌کند، هم کلاهبرداری (تا 80-٪) و هم رها کردن سبد خرید را کاهش می‌دهد. ممیزی سالانه ارائه‌دهنده پرداخت (PSP) و به‌روز نگه‌داشتن اسناد انطباق، بازتاب‌های ضروری برای هر خرده‌فروش الکترونیکی جدی است.

Certyneo را به صورت رایگان امتحان کنید

اولین پاکت امضای خود را در کمتر از 5 دقیقه ارسال کنید. 5 پاکت رایگان در ماه، بدون کارت بانکی.

عمیق‌تر شدن در موضوع

راهنماهای جامع ما برای تسلط بر امضای الکترونیکی.

团体 Certyneo

سوالی در مورد امضای الکترونیکی دارید؟

انضم به جامعه Certyneo: سوالات خود را پرسیدید، پاسخ‌ها خود را به اشتراک بگذارید و با هزاران کاربران و تیم ما در ارتباط باشید.