Varno plačilo: standardi in certifikati e-trgovine

Varno plačilo: standardi in certifikati v e-trgovini

Varovanje transakcij je postalo strateško vprašanje za vsako spletno mesto e-trgovine. Po podatkih Banque de France je stopnja goljufij pri spletnih plačilih leta 2023 dosegla 0,193 % ali približno 10-krat več kot pri lokalnih plačilih. Soočeni s tem tveganjem se morajo trgovci zanesti na strog ekosistem tehničnih standardov in regulativnih certifikatov. Razumevanje teh standardov ni možnost: to je pravna, komercialna in zavarovalniška obveznost, ki pogojuje zaupanje potrošnikov in trajnost dejavnosti.

PCI DSS: globalna osnova za varnost kartic⬥⬥⬥ Standard varnosti podatkov industrije plačilnih kartic (PCI DSS) ⬥⬥⬥, ki ga je objavil Svet za varnostne standarde PCI (Visa, Mastercard, American Express, Discover, JCB), predstavlja obvezno skladišče za vse akterje, ki shranjujejo, obdelujejo ali pošiljajo banke podatke kartice. Različica 4.0, ki je v celoti uporabna od 31. marca 2024, nalaga 12 glavnih zahtev, razdeljenih v 6 ciljev: varovanje omrežja, zaščita podatkov, upravljanje ranljivosti, nadzor dostopa, nadzor sistemov in vzdrževanje varnostne politike.Stopnja skladnosti je odvisna od obsega letnih transakcij:

Stopnja skladnosti je odvisna od obsega letnih transakcij:

• 1. stopnja ⬥⬥⬥: več kot 6 milijonov transakcij/leto — letna revizija s strani QSA (kvalificiranega varnostnega ocenjevalca)2. stopnja ⬥⬥⬥: 1 do 6 milijonov — SAQ samoocena + četrtletno skeniranje ASV
• Stopnji 3 in 4 ⬥⬥⬥: manj kot 1 milijon — Simplified SAQNeskladnost vas izpostavi globam v razponu od 5.000 € do 100.000 € na mesec ali celo izgubi odobritve za sprejem kartice.
• 3D Secure 2 in močna avtentikacija (SCA)3D Secure 2 in močna avtentikacija (SCA)

Predlaga

evropska direktiva PSD2 (PSD2)

in njen tehnični predpis RTS,močna avtentikacija strank (Strong Customer Authentication)močna avtentikacija strank (Strong Customer Authentication)je v Franciji obvezen od 15. maja 2021. Temelji na kombinaciji vsaj dveh dejavnikov: znanja (geslo), posesti (pametni telefon) in lastnosti (biometrija).Protokol

3D Secure 2.x(EMV 3DS) nadomešča zgodovinsko različico. Omogoča analizo tveganja v realnem času z uporabo več kot 100 kontekstualnih podatkov (prstni odtis naprave, zgodovina, košarica), kar omogoča "brez trenja" potovanja za transakcije z nizkim tveganjem. Rezultat: ohranjeno menjalno razmerje in prenos odgovornosti v primeru goljufije na izdajatelja kartice (premik odgovornosti).Tokenizacija, šifriranje in dodatni certifikati

Tokenizacija, šifriranje in dodatni certifikati

⬥⬥⬥ tokenizacijanadomešča občutljive podatke z identifikatorjem, ki ga ni mogoče uporabiti, kar drastično zmanjša obseg PCI DSS. Skupaj s šifriranjemTLS 1.2 najmanj(TLS 1.3 priporočeno) in(TLS 1.3 priporočeno) inHSM (varnostni moduli strojne opreme), certificiranim FIPS 140-2 stopnje 3 ⬥⬥⬥, predstavlja trenutno najboljšo prakso.Drugi certifikati krepijo verodostojnost trgovskega mesta:

ISO/IEC 27001 ⬥⬥⬥: upravljanje informacijske varnosti

• SOC 2 tipa II ⬥⬥⬥: operativni nadzor pri ponudnikih v oblakuPSP certifikat
• PSP certifikats strani ACPR za plačilne institucije
• oznaka eIDASza kvalificirane elektronske podpise
• pravni okvir, ki se uporablja v Franciji in Evropipravni okvir, ki se uporablja v Franciji in Evropi

Poleg PSD2 več besedil ureja spletno plačevanje:

monetarni in finančni zakonik (členi L.133-1 in nasl.)določa odgovornosti v primeru goljufije;GDPR (EU uredba 2016/679)zahteva minimizacijo zbranih bančnih podatkov; Uredbazahteva minimizacijo zbranih bančnih podatkov; UredbaDORA(velja od januarja 2025) krepi digitalno operativno odpornost finančnih akterjev. CNIL redno sankcionira kršitve: leta 2023 je bilo več e-trgovcev izpostavljenih zaradi neskladnega shranjevanja CVV.

Zaključek

Varnost plačila ni samo preverjanje regulativnih okenc: je neposredna naložba v menjalno razmerje in ugled. Spletno mesto, skladno s standardom PCI DSS 4.0, ki vključuje 3DS2 s pametnimi izjemami in tokenizacijo, zmanjšuje goljufije (do -80 %) in opustitev košarice. Letna revizija vašega ponudnika plačil (PSP) in posodabljanje vaše dokumentacije o skladnosti sta bistvena refleksa za vsakega resnega e-trgovca.