Turvallinen maksu: sähköisen kaupankäynnin standardit ja sertifikaatit
Certyneo-tiimi
Kirjoittaja — Certyneo · Tietoja Certyneon
Suojattu maksu: standardit ja sertifioinnit sähköisessä kaupankäynnissä
Tapahtumien turvaamisesta on tullut strateginen kysymys kaikilla verkkokauppasivustoilla. Banque de Francen mukaan verkkomaksujen petosaste oli 0,193 prosenttia vuonna 2023, mikä on noin 10 kertaa korkeampi kuin paikallisissa maksuissa. Tämän riskin edessä kauppiaiden on turvauduttava tiukkaan teknisten standardien ja säädöstenmukaisten sertifikaattien ekosysteemiin. Näiden standardien ymmärtäminen ei ole vaihtoehto: se on oikeudellinen, kaupallinen ja vakuutusvelvoite, joka edellyttää kuluttajien luottamusta ja toiminnan kestävyyttä.
PCI DSS: korttiturvallisuuden maailmanlaajuinen perusta⬥⬥⬥ Payment Card Industry Data Security Standard (PCI DSS) ⬥⬥⬥, jonka on julkaissut PCI Security Standards Council (Visa, Mastercard, American Express, Discover, JCB), muodostaa pakollisen tietojen käsittelyn tai välittäjän pankkikorttien käsittelyn. Versio 4.0, joka on täysin käytössä 31. maaliskuuta 2024 lähtien, asettaa 12 päävaatimusta, jotka on jaettu kuuteen tavoitteeseen: verkon suojaaminen, tietojen suojaaminen, haavoittuvuuksien hallinta, pääsyn hallinta, järjestelmien valvonta ja suojauspolitiikan ylläpitäminen.⬥⬥⬥ Payment Card Industry Data Security Standard (PCI DSS) ⬥⬥⬥, jonka on julkaissut PCI Security Standards Council (Visa, Mastercard, American Express, Discover, JCB), muodostaa pakollisen tietojen käsittelyn tai välittäjän pankkikorttien käsittelyn. Versio 4.0, joka on täysin käytössä 31. maaliskuuta 2024 lähtien, asettaa 12 päävaatimusta, jotka on jaettu kuuteen tavoitteeseen: verkon suojaaminen, tietojen suojaaminen, haavoittuvuuksien hallinta, pääsyn hallinta, järjestelmien valvonta ja suojauspolitiikan ylläpitäminen.
Vaatimustenmukaisuuden taso riippuu vuosittaisten tapahtumien määrästä:
- Taso 1 ⬥⬥⬥: yli 6 miljoonaa tapahtumaa/vuosi — QSA:n (Qualified Security Assessor) vuosittainen tarkastusTaso 2 ⬥⬥⬥Taso 2 ⬥⬥Q-6 miljoonaa neljännesvuosittainen ASV-skannaus
- Tasot 3 ja 4 ⬥⬥⬥: alle 1 miljoonaa — Yksinkertaistettu SAQTasot 3 ja 4 ⬥⬥⬥: alle 1 miljoonaa — Yksinkertaistettu SAQ
- Noudattamatta jättäminen altistaa sinulle sakkoja, jotka vaihtelevat 5 000–100 000 € kuukaudessa, tai jopa kortin hyväksynnän menettämisen.3D Secure 2 ja vahva todennus (SCA)
⬥⬥⬥ EU-direktiivin PSD2 (PSD2) määräämä
⬥⬥⬥ EU-direktiivin PSD2 (PSD2) määräämä
ja sen tekniset määräykset RTS,onpakollinen⬥⬥⬥ Vahva asiakkaan todennus (vahva asiakkaan todennus) 15. toukokuuta 2021 lähtien Ranskassa. Se perustuu vähintään kahden tekijän yhdistelmään: tieto (salasana), hallussapito (älypuhelin) ja perinnöllisyys (biometriset tiedot).⬥⬥⬥ Vahva asiakkaan todennus (vahva asiakkaan todennus) 15. toukokuuta 2021 lähtien Ranskassa. Se perustuu vähintään kahden tekijän yhdistelmään: tieto (salasana), hallussapito (älypuhelin) ja perinnöllisyys (biometriset tiedot).
⬥⬥⬥ 3D Secure 2.x(EMV 3DS) -protokolla korvaa historiallisen version. Se mahdollistaa reaaliaikaisen riskianalyysin käyttämällä yli 100 kontekstuaalista dataa (laitteen sormenjälki, historia, kori), mikä mahdollistaa "kitkattoman" matkan vähäriskisille tapahtumille. Tulos: muuntokurssi säilynyt ja vastuu petoksesta siirtynyt kortin myöntäjälle (vastuun siirto).Tokenointi, salaus ja lisäsertifioinnit
Tokenointi, salaus ja lisäsertifioinnit
⬥⬥⬥ tokenointikorvaa arkaluontoiset tiedot ei-hyödynnettävällä tunnisteella, mikä vähentää merkittävästi PCI DSS:n kattavuutta. Yhdessä salauksenTLS 1.2 vähintään(TLS 1.3 suositeltu) ja(TLS 1.3 suositeltu) jaHSM (Hardware Security Modules) -sertifioidun FIPS 140-2 taso 3kanssa, se on nykyinen paras käytäntö.
Muut sertifioinnit vahvistavat kauppasivuston uskottavuutta:
- Muut sertifioinnit vahvistavat kauppasivuston uskottavuutta:ISO/IEC 27001 ⬥⬥⬥: tietoturvan hallinta
- SOC 2 Type II ⬥⬥⬥: palveluntarjoajan toiminnanohjaus ⬥⬥⬥: pilvipalvelun sertifiointiACPR:n mukaan maksulaitoksille
- eIDAS-tunnisteeIDAS-tunniste
- hyväksytyille sähköisille allekirjoituksilleRanskassa ja Euroopassa sovellettava lainsäädäntö
(PSD2:n lisäksi ⬥ monet tekstit säätelevät verkkomaksuja: L.133-1 et seq.)
(PSD2:n lisäksi ⬥ monet tekstit säätelevät verkkomaksuja: L.133-1 et seq.)asettaa vastuut petostapauksissa;GDPR (EU-asetus 2016/679)edellyttää kerättyjen pankkitietojen minimoimista;DORA-asetusDORA-asetus(sovellettu tammikuusta 2025 lähtien) vahvistaa finanssialan toimijoiden digitaalista toimintakykyä. CNIL rankaisee säännöllisesti rikkomuksia: vuonna 2023 useita verkkokauppiaita valittiin CVV:n sääntöjenvastaiseen tallentamiseen.
Johtopäätös
Maksuturva ei ole vain sääntelyruutujen tarkistamista: se on suora sijoitus muuntokurssiin ja maineeseen. PCI DSS 4.0 -yhteensopiva sivusto, joka integroi 3DS2:n älykkäillä poikkeuksilla ja tokenisoinnilla, vähentää sekä petoksia (jopa -80 %) että ostoskorin hylkäämistä. Maksupalveluntarjoajan (PSP) tarkistaminen vuosittain ja vaatimustenmukaisuusasiakirjojen pitäminen ajan tasalla ovat olennaisia refleksejä jokaiselle vakavalle sähköiselle jälleenmyyjälle.
Kokeile Certyneoa maksutta
Lähetä ensimmäinen allekirjoituskuoresi alle 5 minuutissa. 5 ilmaista kuorta kuukaudessa, ilman luottokorttia.
Syvennetään aihetta
Aiheeseen liittyvät viiteartikkelit.
Syvennetään aihetta
Kattavat oppaamme sähköisen allekirjoituksen hallintaan.
Jatka lukemista aiheesta Sécurité
Syvennä tietämystäsi näillä aiheeseen liittyvillä artikkeleilla.
Allekirjoittajan todennus: menetelmät ja ongelmat
Allekirjoittajan todentaminen sähköisellä allekirjoituksella: menetelmät, tasot, riskit ja parhaat käytännöt.
Onko sähköinen allekirjoitus turvallinen?
Salaus, todennus, kirjausketju: miksi sähköiset allekirjoitukset ovat turvallisempia kuin paperi.