Сигурно плаћање: стандарди и сертификати за е-трговину

Безбедно плаћање: стандарди и сертификати у е-трговини

Обезбеђење трансакција постало је стратешко питање за сваки сајт за е-трговину. Према Банкуе де Франце, стопа превара на онлајн плаћањима достигла је 0,193% у 2023. години, или око 10 пута више од локалних плаћања. Суочени са овим ризиком, трговци морају да се ослоне на строги екосистем техничких стандарда и регулаторних сертификата. Разумевање ових стандарда није опција: то је законска, комерцијална и осигуравајућа обавеза која условљава поверење потрошача и одрживост активности.

ПЦИ ДСС: глобална основа за безбедност картица⬥⬥⬥ Стандард безбедности података индустрије платних картица (ПЦИ ДСС) ⬥⬥⬥, објављен од стране Савета за безбедносне стандарде ПЦИ (Виса, Мастерцард, Америцан Екпресс, Дисцовер, ЈЦБ), конституишући било коју трансституцију подаци о банковној картици. Верзија 4.0, у потпуности применљива од 31. марта 2024. године, намеће 12 главних захтева подељених у 6 циљева: обезбеђење мреже, заштита података, управљање рањивостима, контрола приступа, надгледање система и одржавање безбедносне политике.⬥⬥⬥ Стандард безбедности података индустрије платних картица (ПЦИ ДСС) ⬥⬥⬥, објављен од стране Савета за безбедносне стандарде ПЦИ (Виса, Мастерцард, Америцан Екпресс, Дисцовер, ЈЦБ), конституишући било коју трансституцију подаци о банковној картици. Верзија 4.0, у потпуности применљива од 31. марта 2024. године, намеће 12 главних захтева подељених у 6 циљева: обезбеђење мреже, заштита података, управљање рањивостима, контрола приступа, надгледање система и одржавање безбедносне политике.

Ниво усаглашености зависи од обима годишњих трансакција:

• Ниво 1 ⬥⬥⬥: више од 6 милиона трансакција годишње — годишња ревизија од стране КСА (Квалификованог оцењивача безбедности)Ниво 2 ⬥:⬥⬥ Самопроцена +К-6 милиона тромесечно АСВ скенирање
• Нивои 3 и 4 ⬥⬥⬥: мање од 1 милион — Поједностављени САКНивои 3 и 4 ⬥⬥⬥: мање од 1 милион — Поједностављени САК
• Непоштовање вас излаже казнама у распону од 5.000 до 100.000 евра месечно, или чак губитком апликације за прихватање картице.3Д Сецуре 2 и јака аутентикација (СЦА)

Наметнута

Наметнута

Европском директивом ПСД2 (ПСД2)и њеним техничким прописом РТС,има снажну аутентификацију корисника ⬥⬥⬥. обавезан је од 15. маја 2021. у Француској. Заснива се на комбинацији најмање два фактора: знања (лозинке), поседовања (паметни телефон) и инхерентности (биометрија).ПротоколПротокол

3Д Сецуре 2.к(ЕМВ 3ДС) замењује историјску верзију. Омогућава анализу ризика у реалном времену користећи више од 100 контекстуалних података (отисак прста уређаја, историја, корпа), омогућавајући путовања без трења за трансакције ниског ризика. Резултат: сачуван курс конверзије и одговорност у случају преваре пренета на издаваоца картице (промена одговорности).Токенизација, шифровање и додатни сертификати

Токенизација, шифровање и додатни сертификати

⬥⬥⬥ токенизацијазамењује осетљиве податке идентификатором који се не може искористити, драстично смањујући ПЦИ ДСС обим. Заједно са шифровањемТЛС 1.2 минимално(ТЛС 1.3 се препоручује) и(ТЛС 1.3 се препоручује) иХСМ (Хардверски безбедносни модули) сертификованим за ФИПС 140-2 ниво 3 ⬥⬥⬥, представља тренутну најбољу праксу.Остали сертификати јачају кредибилитет сајта трговца:

ИСО/ИЕЦ 27001 ⬥⬥⬥: управљање безбедношћу информација

• ИСО/ИЕЦ 27001 ⬥⬥⬥: управљање безбедношћу информацијаСОЦ 2 Типе ИИ
• обезбеђују оперативне контроле⬥⬥: оперативне контроле⬥⬥⬥од стране АЦПР-а за платне институције
• еИДАС ознакаеИДАС ознака
• за квалификоване електронске потписеПравни оквир који се примењује у Француској и Европи

Осим ПСД2, неколико текстова регулише онлајн плаћање ⬥⬥⬥⬥ (чланови Л.133-1 и даље)

Осим ПСД2, неколико текстова регулише онлајн плаћање ⬥⬥⬥⬥ (чланови Л.133-1 и даље)утврђује одговорности у случају преваре;ГДПР (ЕУ регулатива 2016/679)захтева минимизирање прикупљених банкарских података;ДОРА прописДОРА пропис(примењив од јануара 2025.) јача дигиталну оперативну отпорност финансијских играча. ЦНИЛ редовно санкционише кршења: 2023. године неколико е-продаваца је издвојено због неусаглашеног складиштења ЦВВ-а.

Закључак

Сигурност плаћања није само провера регулаторних поља: то је директно улагање у стопу конверзије и репутацију. Сајт усклађен са ПЦИ ДСС 4.0, који интегрише 3ДС2 са паметним изузецима и токенизацијом, смањује и превару (до -80%) и напуштање колица. Годишња ревизија вашег добављача плаћања (ПСП) и ажурирање ваше документације о усклађености су основни рефлекси за сваког озбиљног е-продавца.