Βάσει του προτύπου PCI DSS, οποιαδήποτε επιχείρηση επεξεργάζεται, αποθηκεύει ή μεταδίδει δεδομένα πιστωτικών καρτών, οφείλει να συμμορφώνεται με το πρότυπο. Ο γενικός κανόνας είναι ότι όταν μια επιχείρηση δέχεται κάρτες με οποιονδήποτε τρόπο, τότε είναι υποχρεωμένη να είναι πιστοποιημένη. Οι προδιαγραφές ορίζονται βάσει του τρόπου που η επιχείρηση λαμβάνει πιστωτικές κάρτες. Έτσι, ένα φυσικό κατάστημα που διαθέτει POS δεν έχει τις ίδιες απαιτήσεις ασφαλείας με μια επιχείρηση που πραγματοποιεί για παράδειγμα ηλεκτρονικές πληρωμές με redirect στο περιβάλλον της τράπεζας ή σε κάποιον Service Provider.
Η πρώτη βασική κατηγοριοποίηση έχει να κάνει με το πλήθος των ηλεκτρονικών συναλλαγών που πραγματοποιεί ένας έμπορος με χρήση πιστωτικών καρτών ανά έτος. Έτσι, υπάρχουν 4 συνολικά επίπεδα με χαμηλότερο το 4 και υψηλότερο το 1. Η μεγαλύτερη διαφορά στα 4 level έχει να κάνει με το Level 1 στο οποίο το AOC εκδίδεται αποκλειστικά από qualified security accessors (QSA's) και ονομάζεται ROC (Report of compliance).
Merchant Level |
Συναλλαγές ανά έτος |
Redirect | IFRAME | Direct Post | JavaScript | XML |
---|---|---|---|---|---|---|
1 | Πάνω από 6 εκατομμύρια | RoC A | RoC A | RoC A-EP | RoC A-EP | RoC D |
2 | 1–6 εκατομμύρια | SAQ-A | SAQ A | SAQ A-EP | SAQ A-EP | SAQ D |
3 | 20.000-1 εκατομμύριο | SAQ-A | SAQ A | SAQ A-EP | SAQ A-EP | SAQ D |
4 | Έως 20.000 | SAQ-A | SAQ A | SAQ A-EP | SAQ A-EP | SAQ D |
Η πρώτη επαφή της πλειοψηφίας των επιχειρήσεων με το PCI DSS θα είναι όταν απαιτηθεί να ενσωματώσουν ηλεκτρονικές πληρωμές, όπως για παράδειγμα σε ένα website. Η ηλεκτρονική μετάδοση, επεξεργασία και αποθήκευση στοιχείων πιστωτικών καρτών αποτελεί και τον μεγαλύτερο κίνδυνο σε σχέση με τις συναλλαγές με φυσική παρουσία της πιστωτικής κάρτας, για προφανείς λόγους. Ένας κοινός μύθος που πιστεύει ο πολύς κόσμος είναι ότι εάν μια επιχείρηση κάνει Redirect στο περιβάλλον της τράπεζας, δεν χρειάζεται να συμμορφωθεί με το PCI DSS. Για τις ηλεκτρονικές συναλλαγές υπάρχουν 3 βασικά ερωτηματολόγια που καθορίζουν πρακτικά και τις προδιαγραφές που θα αναλύσουμε στη συνέχεια.
Για εμπόρους χωρίς τη φυσική παρουσία κάρτας. Όλα τα δεδομένα πιστωτικών καρτών επεξεργάζονται πλήρως με ανακατεύθυνση με τη μέθοδο του redirection ή iframe από κάποιον 3rd party PCI validated service provider.
Για τους εμπόρους, οι οποίοι ενώ έχουν αναθέσει τμήμα της διαδικασίας πληρωμής σε τράπεζες ή επικυρωμένους εξωτερικούς παρόχους, παρ' όλα αυτά ο τελικός πελάτης εισάγει τα στοιχεία της κάρτας στο περιβάλλον του εμπόρου.
Για τους εμπόρους, οι οποίοι λαμβάνουν άμεσα στα συστήματά τους πιστωτικές κάρτες και είτε τις αποθηκεύουν, είτε τις επεξεργάζονται, είτε απλά τις μεταδίδουν.
Αν και οι περισσότεροι δεν το γνωρίζουν, οι συναλλαγές πιστωτικών καρτών που πραγματοποιούνται σε φυσικούς χώρους επιχειρήσεων με τις γνωστές τερματικές συσκευές ή αλλιώς POS, υπόκεινται στις προδιαγραφές του PCI DSS και με συγκεκριμένα μάλιστα κριτήρια που έχουν να κάνουν με τον τύπο του POS.
Για την κατηγορία των παλαιότερης τεχνολογίας POS, τα οποία ολοκληρώνουν την συναλλαγή μέσω κλήσης πάνω από το συμβατικό τηλεφωνικό δίκτυο PSTN ή ISDN.
Τα σύγχρονα και πιο διαδεδομένα πλέον τερματικά POS ολοκληρώνουν τις συναλλαγές μέσω διαδικτύου, είτε μέσω wifi, είτε καλωδιακής σύνδεσης data, είτε μέσω ενσωματωμένης κάρτας sim (3G - 4G - 5G).
Η συγκεκριμένη κατηγορία αφορά συναλλαγές όπου ο πελάτης δεν βρίσκεται στον φυσικό χώρο της επιχείρησης ώστε να χρησιμοποιήσει την κάρτα του, αλλά συναλλάσσεται μέσω τηλεφώνου. Στην περίπτωση αυτή, ο merchant λαμβάνει την κάρτα τηλεφωνικά και την πληκτρολογεί κατά κανόνα σε κάποιο Virtual POS που του παρέχει κάποιος PCI Validated service provider.
Ο έμπορος ολοκληρώνει την συναλλαγή, εισάγοντας τα στοιχεία της κάρτας του πελάτη σε ένα Virtual Terminal από τον υπολογιστή του ή οποιαδήποτε άλλη εγκεκριμένη συσκευή.
Δικτυακές συσκευές ή εφαρμογές συνδεδεμένες στο τοπικό δίκτυο του εμπόρου, όπως ERP συστήματα κ.α.