Sigurno plaćanje: standardi i certifikati e-trgovine

Sigurno plaćanje: standardi i certifikati u e-trgovini

Osiguranje transakcija postalo je strateško pitanje za bilo koje mjesto za e-trgovinu. Prema Banque de France, stopa prijevara u online plaćanjima dosegla je 0,193% u 2023., ili oko 10 puta više od lokalnih plaćanja. Suočeni s ovim rizikom, trgovci se moraju osloniti na strogi ekosustav tehničkih standarda i regulatornih certifikata. Razumijevanje ovih standarda nije opcija: to je zakonska, komercijalna i obveza osiguranja koja uvjetuje povjerenje potrošača i održivost aktivnosti.

PCI DSS: globalna osnova za sigurnost kartica⬥⬥⬥ Standard sigurnosti podataka industrije platnih kartica (PCI DSS) ⬥⬥⬥, koji je objavilo Vijeće za sigurnosne standarde PCI (Visa, Mastercard, American Express, Discover, JCB), čini obavezni repozitorij za sve aktere koji pohranjuju, obrađuju ili prenose banku podatke kartice. Verzija 4.0, u potpunosti primjenjiva od 31. ožujka 2024., nameće 12 glavnih zahtjeva podijeljenih u 6 ciljeva: osigurati mrežu, zaštititi podatke, upravljati ranjivostima, kontrolirati pristup, nadzirati sustave i održavati sigurnosnu politiku.Razina usklađenosti ovisi o količini godišnjih transakcija:

Razina usklađenosti ovisi o količini godišnjih transakcija:

• Razina 1 ⬥⬥⬥: više od 6 milijuna transakcija godišnje — godišnja revizija od strane QSA (Qualified Security Assessor)Razina 2 ⬥⬥⬥: 1 do 6 milijuna — SAQ samoprocjena + kvartalno ASV skeniranje
• Razine 3 i 4 ⬥⬥⬥: manje od 1 milijun — Pojednostavljeni SAQNeusklađenost vas izlaže kaznama u rasponu od 5.000 do 100.000 € mjesečno ili čak gubitku odobrenja za prihvaćanje kartice.
• 3D Secure 2 i snažna autentifikacija (SCA)3D Secure 2 i snažna autentifikacija (SCA)

Nametnuta

europskom direktivom PSD2 (PSD2)

i njezinom tehničkom regulativom RTS,snažna provjera autentičnosti korisnika (Strong Customer Authentication)snažna provjera autentičnosti korisnika (Strong Customer Authentication)je obavezan od 15. svibnja 2021. u Francuskoj. Temelji se na kombinaciji najmanje dva faktora: znanja (lozinka), posjedovanja (pametni telefon) i inherentnosti (biometrija).Protokol

3D Secure 2.x(EMV 3DS) zamjenjuje povijesnu verziju. Omogućuje analizu rizika u stvarnom vremenu korištenjem više od 100 kontekstualnih podataka (otisak prsta uređaja, povijest, košarica), omogućujući putovanja bez trenja za transakcije niskog rizika. Rezultat: očuvana stopa konverzije i prijenos odgovornosti u slučaju prijevare na izdavatelja kartice (pomak odgovornosti).Tokenizacija, enkripcija i dodatni certifikati

Tokenizacija, enkripcija i dodatni certifikati

⬥⬥⬥ tokenizacijazamjenjuje osjetljive podatke identifikatorom koji se ne može iskoristiti, drastično smanjujući opseg PCI DSS-a. Zajedno s enkripcijomTLS 1.2 minimalno(preporučuje se TLS 1.3) i(preporučuje se TLS 1.3) iHSM (Hardverski sigurnosni moduli) certificiranim FIPS 140-2 razine 3 ⬥⬥⬥, predstavlja trenutnu najbolju praksu.Ostali certifikati jačaju vjerodostojnost trgovačke stranice:

ISO/IEC 27001 ⬥⬥⬥: upravljanje sigurnošću informacija

• SOC 2 Tip II ⬥⬥⬥: operativne kontrole kod pružatelja usluga oblakaPSP certifikacija
• PSP certifikacijaod strane ACPR-a za institucije za platni promet
• eIDAS oznakaza kvalificirane elektroničke potpise
• Pravni okvir primjenjiv u Francuskoj i EuropiPravni okvir primjenjiv u Francuskoj i Europi

Osim PSD2, nekoliko tekstova regulira plaćanje putem interneta:

Monetarni i financijski kodeks (članci L.133-1 i dalje)postavlja odgovornosti u slučaju prijevare;GDPR (EU uredba 2016/679)zahtijeva minimiziranje prikupljenih bankovnih podataka;zahtijeva minimiziranje prikupljenih bankovnih podataka;DORA uredba(primjenjiva od siječnja 2025.) jača digitalnu operativnu otpornost financijskih igrača. CNIL redovito sankcionira kršenja: 2023. nekoliko je e-trgovaca izdvojeno zbog neusklađene pohrane CVV-a.

Zaključak

Sigurnost plaćanja nije samo provjera regulatornih okvira: to je izravno ulaganje u stopu konverzije i ugled. Stranica usklađena sa standardom PCI DSS 4.0, koja integrira 3DS2 s pametnim izuzecima i tokenizacijom, smanjuje prijevare (do -80%) i napuštanje košarice. Godišnja revizija vašeg pružatelja usluga plaćanja (PSP) i ažuriranje vaše dokumentacije o sukladnosti osnovni su refleksi svakog ozbiljnog e-trgovca.