Drošs maksājums: e-komercijas standarti un sertifikāti

Drošs maksājums: standarti un sertifikāti e-komercijā

Darījumu nodrošināšana ir kļuvusi par stratēģisku problēmu jebkurai e-komercijas vietnei. Saskaņā ar Banque de France datiem krāpšanas līmenis tiešsaistes maksājumos 2023. gadā sasniedza 0,193% jeb aptuveni 10 reizes augstāks nekā vietējiem maksājumiem. Saskaroties ar šo risku, tirgotājiem ir jāpaļaujas uz stingru tehnisko standartu un normatīvo sertifikāciju ekosistēmu. Šo standartu izpratne nav risinājums: tas ir juridisks, komerciāls un apdrošināšanas pienākums, kas nosaka patērētāju uzticību un darbības ilgtspējību.

PCI DSS: karšu drošības globālais pamats⬥⬥⬥ Maksājumu karšu nozares datu drošības standarts (PCI DSS) ⬥⬥⬥, ko publicējusi PCI drošības standartu padome (Visa, Mastercard, American Express, Discover, JCB), veido obligātu datu glabāšanas, datu apstrādes vai pārsūtīšanas bankas karti. Versijā 4.0, kas pilnībā piemērojama kopš 2024. gada 31. marta, ir noteiktas 12 galvenās prasības, kas sadalītas 6 mērķos: nodrošināt tīklu, aizsargāt datus, pārvaldīt ievainojamības, kontrolēt piekļuvi, uzraudzīt sistēmas un uzturēt drošības politiku.⬥⬥⬥ Maksājumu karšu nozares datu drošības standarts (PCI DSS) ⬥⬥⬥, ko publicējusi PCI drošības standartu padome (Visa, Mastercard, American Express, Discover, JCB), veido obligātu datu glabāšanas, datu apstrādes vai pārsūtīšanas bankas karti. Versijā 4.0, kas pilnībā piemērojama kopš 2024. gada 31. marta, ir noteiktas 12 galvenās prasības, kas sadalītas 6 mērķos: nodrošināt tīklu, aizsargāt datus, pārvaldīt ievainojamības, kontrolēt piekļuvi, uzraudzīt sistēmas un uzturēt drošības politiku.

Atbilstības līmenis ir atkarīgs no gada darījumu apjoma:

• 1. līmenis ⬥⬥⬥: vairāk nekā 6 miljoni darījumu gadā — ikgadējais QSA (kvalificētā drošības vērtētāja) audits2. līmenis
• 2. līmenis ⬥⬥⬥⬥⬥⬥⬥⬥⬥⬥⬥⬥⬥ ceturkšņa ASV skenēšana2. līmenis ⬥⬥⬥⬥⬥⬥⬥⬥⬥⬥⬥⬥⬥ ceturkšņa ASV skenēšana
• 3. un 4. līmenis ⬥⬥⬥: mazāk par 1 miljonu — vienkāršots SAQ ⬥⬥⬥ Neatbilstības gadījumā jūs varat uzlikt naudas sodu no 5000 līdz 100 000 eiro mēnesī vai pat zaudēt kartes pieņemšanas apstiprinājumu.3D Secure 2 un spēcīgā autentifikācija (SCA)

Nosaka

Nosaka

Eiropas direktīva PSD2 (PSD2)un tās tehniskie noteikumi RTS,obligāta⬥⬥⬥ ir bijusistingra klientu autentifikācija (Spēcīga klientu autentifikācija) kopš 2021. gada 15. maija Francijā. Tas ir balstīts uz vismaz divu faktoru kombināciju: zināšanas (parole), īpašums (viedtālrunis) un iedzimtība (biometrija).stingra klientu autentifikācija (Spēcīga klientu autentifikācija) kopš 2021. gada 15. maija Francijā. Tas ir balstīts uz vismaz divu faktoru kombināciju: zināšanas (parole), īpašums (viedtālrunis) un iedzimtība (biometrija).

Protokols3D Secure 2.x(EMV 3DS) aizstāj vēsturisko versiju. Tas ļauj veikt riska analīzi reāllaikā, izmantojot vairāk nekā 100 kontekstuālos datus (ierīces pirkstu nospiedumus, vēsturi, grozu), ļaujot veikt “bez berzes” zema riska darījumus. Rezultāts: konvertācijas kurss saglabāts un atbildība krāpšanas gadījumā nodota kartes izdevējam (atbildības maiņa).

(EMV 3DS) aizstāj vēsturisko versiju. Tas ļauj veikt riska analīzi reāllaikā, izmantojot vairāk nekā 100 kontekstuālos datus (ierīces pirkstu nospiedumus, vēsturi, grozu), ļaujot veikt “bez berzes” zema riska darījumus. Rezultāts: konvertācijas kurss saglabāts un atbildība krāpšanas gadījumā nodota kartes izdevējam (atbildības maiņa).

Tokenizācija, šifrēšana un papildu sertifikācija⬥⬥⬥ tokenizācijasensitīvus datus aizstāj ar neizmantojamu identifikatoru, krasi samazinot PCI DSS darbības jomu. Kopā ar šifrēšanuTLS 1.2 minimumsTLS 1.2 minimums(TLS 1.3 ieteicams) unHSM (aparatūras drošības moduļi) sertificēta FIPS 140-2 3. līmeņa ⬥⬥⬥, tā ir pašreizējā labākā prakse.

Citi sertifikāti pastiprina tirgotāja vietnes uzticamību:

• Citi sertifikāti pastiprina tirgotāja vietnes uzticamību:ISO/IEC 27001 ⬥⬥⬥: informācijas drošības pārvaldība
• SOC 2 II tips ⬥⬥⬥: pakalpojumu sniedzēja darbības kontrole mākoņos.saskaņā ar ACPR maksājumu iestādēm
• eIDAS marķējumseIDAS marķējums
• kvalificētiem elektroniskajiem parakstiemFrancijā un Eiropā piemērojamais tiesiskais regulējums

(Papildus PSD2, vairāki teksti regulē monetāros ⬥ un finanšu kodeksus: L.133-1 et seq.)

(Papildus PSD2, vairāki teksti regulē monetāros ⬥ un finanšu kodeksus: L.133-1 et seq.)nosaka pienākumus krāpšanas gadījumā;GDPR (ES regula 2016/679)pieprasa līdz minimumam samazināt apkopoto banku datu apjomu;DORA regulaDORA regula(piemērojama kopš 2025. gada janvāra) stiprina finanšu dalībnieku digitālo darbības noturību. CNIL regulāri soda pārkāpumus: 2023. gadā vairāki e-mazumtirgotāji tika izcelti par neatbilstošu CVV glabāšanu.

Secinājums

Maksājumu drošība nav tikai normatīvo rūtiņu pārbaude: tas ir tiešs ieguldījums konvertācijas kursā un reputācijā. Vietne, kas ir saderīga ar PCI DSS 4.0, integrējot 3DS2 ar viediem atbrīvojumiem un marķieriem, samazina gan krāpšanu (līdz pat -80%), gan groza pamešanu. Maksājumu sniedzēja (PSP) revīzija katru gadu un atbilstības dokumentācijas atjaunināšana ir svarīgi refleksi jebkuram nopietnam e-mazumtirgotājam.