Saugus mokėjimas: elektroninės prekybos standartai ir sertifikatai

Saugus mokėjimas: standartai ir sertifikatai elektroninėje komercijoje

Sandorių apsauga tapo strategine bet kurios el. prekybos svetainės problema. Banque de France duomenimis, 2023 m. mokėjimų internetu sukčiavimo lygis siekė 0,193 %, arba maždaug 10 kartų didesnis nei vietinių mokėjimų. Susidūrę su šia rizika, prekybininkai turi pasikliauti griežta techninių standartų ir reguliavimo sertifikatų ekosistema. Neįmanoma suprasti šių standartų: tai teisinė, komercinė ir draudimo prievolė, sąlygojanti vartotojų pasitikėjimą ir veiklos tvarumą.

PCI DSS: pasaulinis kortelių saugumo pagrindas⬥⬥⬥ Mokėjimo kortelių pramonės duomenų saugos standartas (PCI DSS) ⬥⬥⬥, paskelbtas PCI saugumo standartų tarybos („Visa“, „Mastercard“, „American Express“, „Discover“, JCB), yra privalomas bet kokių duomenų saugojimo, perdavimo banko kortelių apdorojimas ar duomenų perdavimas. 4.0 versija, visiškai taikoma nuo 2024 m. kovo 31 d., nustato 12 pagrindinių reikalavimų, suskirstytų į 6 tikslus: apsaugoti tinklą, apsaugoti duomenis, valdyti pažeidžiamumą, kontroliuoti prieigą, stebėti sistemas ir laikytis saugos politikos.⬥⬥⬥ Mokėjimo kortelių pramonės duomenų saugos standartas (PCI DSS) ⬥⬥⬥, paskelbtas PCI saugumo standartų tarybos („Visa“, „Mastercard“, „American Express“, „Discover“, JCB), yra privalomas bet kokių duomenų saugojimo, perdavimo banko kortelių apdorojimas ar duomenų perdavimas. 4.0 versija, visiškai taikoma nuo 2024 m. kovo 31 d., nustato 12 pagrindinių reikalavimų, suskirstytų į 6 tikslus: apsaugoti tinklą, apsaugoti duomenis, valdyti pažeidžiamumą, kontroliuoti prieigą, stebėti sistemas ir laikytis saugos politikos.

Atitikties lygis priklauso nuo metinių operacijų apimties:

• 1 lygis ⬥⬥⬥: daugiau nei 6 milijonai operacijų per metus – metinis QSA (kvalifikuoto saugumo vertintojo) auditas2 lygis ⬥⬥⬥⬥⬥⬥⬥⬥⬥⬥⬥⬥⬥⬥⬥⬥⬥⬥⬥ ketvirtinis ASV nuskaitymas
• 2 lygis ⬥⬥⬥⬥⬥⬥⬥⬥⬥⬥⬥⬥⬥⬥⬥⬥⬥⬥⬥ ketvirtinis ASV nuskaitymas3 ir 4 lygiai ⬥⬥⬥: mažiau nei 1 milijonas – supaprastintas SAQ
• Nesilaikant reikalavimų, jums gresia baudos nuo 5 000 iki 100 000 EUR per mėnesį arba net netenkama kortelės priėmimo patvirtinimo.3D Secure 2 ir stiprus autentifikavimas (SCA)

3D Secure 2 ir stiprus autentifikavimas (SCA)

Numatoma

Europos direktyva PSD2 (PSD2)ir jos techninis reglamentas RTS,ir jos techninis reglamentas RTS,privalomas⬥⬥⬥ tvirtas klientų autentifikavimas (stiprus kliento autentifikavimas) nuo 2021 m. gegužės 15 d. Prancūzijoje. Jis pagrįstas bent dviejų veiksnių deriniu: žinios (slaptažodis), turėjimas (išmanusis telefonas) ir prigimtis (biometriniai duomenys).

⬥⬥⬥ 3D Secure 2.x⬥⬥⬥ 3D Secure 2.x(EMV 3DS) protokolas pakeičia istorinę versiją. Tai leidžia atlikti rizikos analizę realiuoju laiku, naudojant daugiau nei 100 kontekstinių duomenų (įrenginio pirštų atspaudų, istorijos, krepšelio), leidžiančių „be trinties“ keliauti mažos rizikos sandoriams. Rezultatas: konvertavimo kursas išsaugotas ir atsakomybė sukčiavimo atveju perduota kortelės išdavėjui (atsakomybės perkėlimas).

Tokenizavimas, šifravimas ir papildomi sertifikatai

⬥⬥⬥ Tokenizavimaspakeičia jautrius duomenis neišnaudojamu identifikatoriumi, drastiškai sumažindamas PCI DSS apimtį. Kartu su šifravimupakeičia jautrius duomenis neišnaudojamu identifikatoriumi, drastiškai sumažindamas PCI DSS apimtį. Kartu su šifravimuTLS 1.2 minimalus(rekomenduojamas TLS 1.3) irHSM (Hardware Security Modules) sertifikuotas FIPS 140-2 3 lygio ⬥⬥⬥, tai yra dabartinė geriausia praktika.HSM (Hardware Security Modules) sertifikuotas FIPS 140-2 3 lygio ⬥⬥⬥, tai yra dabartinė geriausia praktika.

Kiti sertifikatai sustiprina prekybinės svetainės patikimumą:

• ISO/IEC 27001 ⬥⬥⬥: informacijos saugos valdymasSOC 2 tipas II ⬥⬥⬥: teikėjo sertifikavimas ⬥ debesyje.
• SOC 2 tipas II ⬥⬥⬥: teikėjo sertifikavimas ⬥ debesyje.pagal ACPR mokėjimo įstaigoms
• eIDAS etiketėkvalifikuotiems elektroniniams parašams
• kvalifikuotiems elektroniniams parašamsTeisinė sistema, taikoma Prancūzijoje ir Europoje

Be PSD2, keli tekstai reglamentuoja mokėjimus internetu ir piniginį ⬥Finansinį kodeksą: L.133-1 ir toliau)

nustato atsakomybę sukčiavimo atveju;nustato atsakomybę sukčiavimo atveju;BDAR (ES reglamentas 2016/679)reikalaujama kuo labiau sumažinti renkamus bankinius duomenis;DORA reglamentasDORA reglamentas(taikomas nuo 2025 m. sausio mėn.) sustiprina finansų žaidėjų skaitmeninį veiklos atsparumą. CNIL reguliariai sankcijas už pažeidimus: 2023 metais keli e. mažmenininkai buvo išskirti dėl reikalavimų neatitinkančio CVV saugojimo.

Išvada

Mokėjimo saugumas yra ne tik reguliavimo langelių patikrinimas: tai tiesioginė investicija į perskaičiavimo kursą ir reputaciją. Su PCI DSS 4.0 suderinama svetainė, integruojanti 3DS2 su išmaniosiomis išimtimis ir prieigos raktais, sumažina sukčiavimą (iki -80 %) ir krepšelio atsisakymą. Kasmetinis mokėjimų teikėjo (PSP) auditas ir atitikties dokumentų atnaujinimas yra esminiai kiekvieno rimto el. mažmenininko refleksai.