Güvenli ödeme: e-ticaret standartları ve sertifikalar

Güvenli ödeme: e-ticarette standartlar ve sertifikalar

İşlemlerin güvenliğini sağlamak, her e-ticaret sitesi için stratejik bir konu haline geldi. Banque de France'a göre, çevrimiçi ödemelerdeki dolandırıcılık oranı 2023'te %0,193'e, yani yerel ödemelerden yaklaşık 10 kat daha fazlaya ulaştı. Bu riskle karşı karşıya kalan satıcıların, teknik standartlardan ve düzenleyici sertifikalardan oluşan sıkı bir ekosisteme güvenmesi gerekir. Bu standartları anlamak bir seçenek değildir; tüketici güvenini ve faaliyetin sürdürülebilirliğini koşullandıran yasal, ticari ve sigorta yükümlülüğüdür.

PCI DSS: kart güvenliğinin küresel temeliPCI Güvenlik Standartları Konseyi (Visa, Mastercard, American Express, Discover, JCB) tarafından yayınlananÖdeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS) ⬥⬥⬥, banka kartı verilerini saklayan, işleyen veya ileten herhangi bir aktör için zorunlu veri havuzunu oluşturur. 31 Mart 2024'ten bu yana tamamen geçerli olan Sürüm 4.0, 6 hedefe bölünmüş 12 ana gereksinimi zorunlu kılıyor: ağın güvenliğini sağlamak, verileri korumak, güvenlik açıklarını yönetmek, erişimi kontrol etmek, sistemleri izlemek ve bir güvenlik politikasını sürdürmek.

Ödeme Kartı Sektörü Veri Güvenliği Standardı (PCI DSS) ⬥⬥⬥, banka kartı verilerini saklayan, işleyen veya ileten herhangi bir aktör için zorunlu veri havuzunu oluşturur. 31 Mart 2024'ten bu yana tamamen geçerli olan Sürüm 4.0, 6 hedefe bölünmüş 12 ana gereksinimi zorunlu kılıyor: ağın güvenliğini sağlamak, verileri korumak, güvenlik açıklarını yönetmek, erişimi kontrol etmek, sistemleri izlemek ve bir güvenlik politikasını sürdürmek.

• Uyumluluk düzeyi, yıllık işlemlerin hacmine bağlıdır:Düzey 1 ⬥⬥⬥: 6 milyondan fazla işlem/yıl — bir QSA (Kalifiye Güvenlik Denetçisi) tarafından yıllık denetim
• Düzey 2 ⬥⬥⬥: 1 - 6 milyon — SAQ öz değerlendirmesi + üç aylık ASV taramasıDüzey 3 ve 4 ⬥⬥⬥: 1 milyondan az — Basitleştirilmiş SAQ
• Uyumsuzluk sizi ayda 5.000 € ile 100.000 € arasında değişen para cezalarına, hatta kart kabul onayının kaybına maruz bırakır.Uyumsuzluk sizi ayda 5.000 € ile 100.000 € arasında değişen para cezalarına, hatta kart kabul onayının kaybına maruz bırakır.

3D Secure 2 ve güçlü kimlik doğrulama (SCA)

⬥⬥⬥ Avrupa direktifi PSD2 (PSD2)

ve teknik düzenlemesi RTS tarafından zorunlu kılınan,güçlü müşteri kimlik doğrulaması (Güçlü Müşteri Kimlik Doğrulaması)güçlü müşteri kimlik doğrulaması (Güçlü Müşteri Kimlik Doğrulaması)15 Mayıs’tan itibaren zorunlu hale gelmiştir, Fransa'da 2021. En az iki faktörün birleşimine dayanır: bilgi (şifre), sahip olma (akıllı telefon) ve içsellik (biyometri).⬥⬥⬥ 3D Secure 2.x

(EMV 3DS) protokolü, geçmiş sürümün yerini alır. 100'den fazla bağlamsal veriyi (cihaz parmak izi, geçmiş, sepet) kullanarak gerçek zamanlı risk analizine olanak tanır ve düşük riskli işlemler için "sürtünmesiz" yolculuklara olanak tanır. Sonuç: Dönüşüm oranı korunur ve dolandırıcılık durumunda sorumluluk kartı veren kuruluşa aktarılır (sorumluluk değişimi).Tokenleştirme, şifreleme ve ek sertifikalar⬥⬥⬥ tokenizasyon

⬥⬥⬥ tokenizasyon

hassas verileri, yararlanılamaz bir tanımlayıcıyla değiştirerek PCI DSS kapsamını büyük ölçüde azaltır. ŞifrelemeMinimum TLS 1.2(TLS 1.3 önerilir) veHSM (Donanım Güvenlik Modülleri) sertifikalı FIPS 140-2 seviye 3HSM (Donanım Güvenlik Modülleri) sertifikalı FIPS 140-2 seviye 3ile birlikte mevcut en iyi uygulamayı oluşturur.Diğer sertifikalar bir ticari sitenin güvenilirliğini güçlendirir:

ISO/IEC 27001 ⬥⬥⬥: bilgi güvenliği yönetimi

• SOC 2 Type II ⬥⬥⬥: bulut sağlayıcılarındaki operasyonel kontrollerPSP sertifikası
• PSP sertifikasıACPR tarafından ödeme kurumları
• eIDAS etiketinitelikli elektronik imzalar için
• Fransa ve Avrupa'da geçerli yasal çerçeveFransa ve Avrupa'da geçerli yasal çerçeve

PSD2'nin ötesinde, çevrimiçi ödemeyi düzenleyen çeşitli metinler vardır:

Para ve Mali Kanun (L.133-1 ve devamı maddeler)sorumlulukları belirler dolandırıcılık olayı;GDPR (AB düzenlemesi 2016/679)toplanan bankacılık verilerinin en aza indirilmesini gerektirir;toplanan bankacılık verilerinin en aza indirilmesini gerektirir;DORA düzenlemesi(Ocak 2025'ten beri geçerlidir) finansal oyuncuların dijital operasyonel dayanıklılığını güçlendiriyor. CNIL ihlalleri düzenli olarak yaptırıma tabi tutuyor: 2023'te birkaç e-perakendeci CVV'nin uygunsuz şekilde saklanması nedeniyle seçildi.

Sonuç

Ödeme güvenliği yalnızca düzenleme kutularını işaretlemekle ilgili değildir: dönüşüm oranına ve itibara doğrudan bir yatırımdır. 3DS2'yi akıllı muafiyetler ve tokenizasyonla entegre eden PCI DSS 4.0 uyumlu bir site, hem dolandırıcılığı (%-80'e kadar) hem de sepetten vazgeçmeyi azaltır. Ödeme sağlayıcınızı (PSP) yıllık olarak denetlemek ve uyumluluk belgelerinizi güncel tutmak, ciddi bir e-perakendeci için temel reflekslerdir.