پرداخت امن: استانداردها و گواهینامه های تجارت الکترونیک
نویسنده — Certyneo · درباره Certyneo

پرداخت امن: استانداردها و گواهینامه ها در تجارت الکترونیک
ایمن سازی تراکنش ها به یک موضوع استراتژیک برای هر سایت تجارت الکترونیکی تبدیل شده است. بر اساس گزارش بانک دو فرانس، نرخ کلاهبرداری در پرداخت های آنلاین در سال 2023 به 0.193 درصد رسید یا حدود 10 برابر بیشتر از پرداخت های محلی. در مواجهه با این خطر، بازرگانان باید به اکوسیستم سختگیرانه ای از استانداردهای فنی و گواهینامه های نظارتی اعتماد کنند. درک این استانداردها یک گزینه نیست: یک تعهد قانونی، تجاری و بیمه ای است که اطمینان مصرف کننده و پایداری فعالیت را مشروط می کند.
PCI DSS: مبنای جهانی برای امنیت کارت⬥⬥⬥ استاندارد امنیت داده صنعت کارت پرداخت (PCI DSS)منتشر شده توسط شورای استانداردهای امنیتی PCI (Visa, Mastercard, American Express, Discover, Repositing, JCB) یا انتقال اطلاعات کارت بانکی نسخه 4.0 که از 31 مارس 2024 به طور کامل قابل اجرا است، 12 الزام اصلی را اعمال می کند که به 6 هدف تقسیم می شوند: ایمن سازی شبکه، محافظت از داده ها، مدیریت آسیب پذیری ها، کنترل دسترسی، نظارت بر سیستم ها و حفظ خط مشی امنیتی.
منتشر شده توسط شورای استانداردهای امنیتی PCI (Visa, Mastercard, American Express, Discover, Repositing, JCB) یا انتقال اطلاعات کارت بانکی نسخه 4.0 که از 31 مارس 2024 به طور کامل قابل اجرا است، 12 الزام اصلی را اعمال می کند که به 6 هدف تقسیم می شوند: ایمن سازی شبکه، محافظت از داده ها، مدیریت آسیب پذیری ها، کنترل دسترسی، نظارت بر سیستم ها و حفظ خط مشی امنیتی.
- سطح انطباق به حجم تراکنش های سالانه بستگی دارد:سطح 1 ⬥⬥⬥: بیش از 6 میلیون تراکنش در سال - ممیزی سالانه توسط یک QSA (ارزیابی کننده امنیت واجد شرایط)
- سطح 2 خود ارزیابی اسکن سه ماهه ASVسطوح 3 و 4 ⬥⬥⬥: کمتر از 1 میلیون — SAQ ساده شده
- عدم انطباق شما را در معرض جریمه هایی از 5000 تا 100000 یورو در ماه یا حتی از دست دادن تایید کارت قرار می دهد.عدم انطباق شما را در معرض جریمه هایی از 5000 تا 100000 یورو در ماه یا حتی از دست دادن تایید کارت قرار می دهد.
3D Secure 2 و احراز هویت قوی (SCA)
تحمیل شده توسط
دستورالعمل اروپایی PSD2 (PSD2)و مقررات فنی آن RTS،و مقررات فنی آن RTS،(تقویت مشتری قوی)از 15 مه 2021 در فرانسه اجباری شده است. این مبتنی بر ترکیب حداقل دو عامل است: دانش (رمز عبور)، مالکیت (تلفن هوشمند) و ذاتی (بیومتریک).
پروتکل3D Secure 2.x(EMV 3DS) جایگزین نسخه تاریخی می شود. این امکان تجزیه و تحلیل ریسک بلادرنگ را با استفاده از بیش از 100 داده متنی (اثرانگشت دستگاه، تاریخچه، سبد) فراهم میکند و امکان سفرهای "بدون اصطکاک" را برای تراکنشهای کم خطر فراهم میکند. نتیجه: نرخ تبدیل حفظ می شود و مسئولیت در صورت تقلب به صادر کننده کارت منتقل می شود (تغییر مسئولیت).
(EMV 3DS) جایگزین نسخه تاریخی می شود. این امکان تجزیه و تحلیل ریسک بلادرنگ را با استفاده از بیش از 100 داده متنی (اثرانگشت دستگاه، تاریخچه، سبد) فراهم میکند و امکان سفرهای "بدون اصطکاک" را برای تراکنشهای کم خطر فراهم میکند. نتیجه: نرخ تبدیل حفظ می شود و مسئولیت در صورت تقلب به صادر کننده کارت منتقل می شود (تغییر مسئولیت).
رمزگذاری، رمزگذاری و گواهیهای اضافی⬥⬥⬥ توکنسازیدادههای حساس را با یک شناسه غیرقابل بهرهبرداری جایگزین میکند و دامنه PCI DSS را به شدت کاهش میدهد. همراه با رمزگذاریTLS 1.2 حداقلTLS 1.2 حداقل(TLS 1.3 توصیه میشود) وHSM (ماژولهای امنیتی سختافزار) دارای گواهی FIPS 140-2 سطح 3 ⬥⬥⬥، بهترین عملکرد فعلی را تشکیل میدهد.
سایر گواهینامه ها اعتبار سایت تاجر را تقویت می کنند:
- ISO/IEC 27001 ⬥⬥⬥: مدیریت امنیت اطلاعاتSOC 2 نوع II
- SOC 2 نوع IIارائه گواهی ابری⬥ در کنترل عملیاتی
- توسط ACPR برای موسسات پرداختبرچسب eIDAS
- برای امضاهای الکترونیکی واجد شرایطبرای امضاهای الکترونیکی واجد شرایط
چارچوب قانونی قابل اجرا در فرانسه و اروپا
فراتر از PSD2، متون متعددی بر پرداخت آنلاین نظارت میکنند. L.133-1 و بعد.)مسئولیتها را در صورت تقلب تعیین می کند.GDPR (مقررات اتحادیه اروپا 2016/679)نیازمند به حداقل رساندن داده های بانکی جمع آوری شده است. مقرراتنیازمند به حداقل رساندن داده های بانکی جمع آوری شده است. مقرراتDORA(قابل اجرا از ژانویه 2025) انعطاف پذیری عملیاتی دیجیتال بازیگران مالی را تقویت می کند. CNIL مرتباً موارد نقض را تحریم می کند: در سال 2023، چندین خرده فروش الکترونیکی به دلیل ذخیره سازی غیرمنطبق بر CVV انتخاب شدند.
نتیجه گیری
امنیت پرداخت فقط مربوط به بررسی جعبه های نظارتی نیست: این یک سرمایه گذاری مستقیم در نرخ تبدیل و شهرت است. یک سایت سازگار با PCI DSS 4.0 که 3DS2 را با معافیتهای هوشمند و توکنسازی ادغام میکند، هم کلاهبرداری (تا 80-٪) و هم رها کردن سبد خرید را کاهش میدهد. ممیزی سالانه ارائهدهنده پرداخت (PSP) و بهروز نگهداشتن اسناد انطباق، بازتابهای ضروری برای هر خردهفروش الکترونیکی جدی است.
Certyneo را به صورت رایگان امتحان کنید
اولین پاکت امضای خود را در کمتر از 5 دقیقه ارسال کنید. 5 پاکت رایگان در ماه، بدون کارت بانکی.
ابزارهای Certyneo مرتبط
از مطالعه به اقدام برروید با ابزارهای یکپارچه در پلتفرم.
عمیقتر شدن در موضوع
راهنماهای جامع ما برای تسلط بر امضای الکترونیکی.
خواندن خود را ادامه دهید در Sécurité
دانش خود را با این مقالات مرتبط با موضوع تعمیق دهید.