Προδιαγραφές PCI DSS εμπόρων

Βάσει του προτύπου PCI DSS, οποιαδήποτε επιχείρηση επεξεργάζεται, αποθηκεύει ή μεταδίδει δεδομένα πιστωτικών καρτών, οφείλει να συμμορφώνεται με το πρότυπο. Ο γενικός κανόνας είναι ότι όταν μια επιχείρηση δέχεται κάρτες με οποιονδήποτε τρόπο, τότε είναι υποχρεωμένη να είναι πιστοποιημένη. Οι προδιαγραφές ορίζονται βάσει του τρόπου που η επιχείρηση λαμβάνει πιστωτικές κάρτες. Έτσι, ένα φυσικό κατάστημα που διαθέτει POS δεν έχει τις ίδιες απαιτήσεις ασφαλείας με μια επιχείρηση που πραγματοποιεί για παράδειγμα ηλεκτρονικές πληρωμές με redirect στο περιβάλλον της τράπεζας ή σε κάποιον Service Provider.

Κατηγοριοποίηση βάσει πλήθους συναλλαγών

Η πρώτη βασική κατηγοριοποίηση έχει να κάνει με το πλήθος των ηλεκτρονικών συναλλαγών που πραγματοποιεί ένας έμπορος με χρήση πιστωτικών καρτών ανά έτος. Έτσι, υπάρχουν 4 συνολικά επίπεδα με χαμηλότερο το 4 και υψηλότερο το 1. Η μεγαλύτερη διαφορά στα 4 level έχει να κάνει με το Level 1 στο οποίο το AOC εκδίδεται αποκλειστικά από qualified security accessors (QSA's) και ονομάζεται ROC (Report of compliance).

Merchant
Level
Συναλλαγές
ανά έτος
Redirect IFRAME Direct Post JavaScript XML
1 Πάνω από 6 εκατομμύρια RoC A RoC A RoC A-EP RoC A-EP RoC D
2 1–6 εκατομμύρια SAQ-A SAQ A SAQ A-EP SAQ A-EP SAQ D
3 20.000-1 εκατομμύριο SAQ-A SAQ A SAQ A-EP SAQ A-EP SAQ D
4 Έως 20.000 SAQ-A SAQ A SAQ A-EP SAQ A-EP SAQ D

Ηλεκτρονικές συναλλαγές

Η πρώτη επαφή της πλειοψηφίας των επιχειρήσεων με το PCI DSS θα είναι όταν απαιτηθεί να ενσωματώσουν ηλεκτρονικές πληρωμές, όπως για παράδειγμα σε ένα website. Η ηλεκτρονική μετάδοση, επεξεργασία και αποθήκευση στοιχείων πιστωτικών καρτών αποτελεί και τον μεγαλύτερο κίνδυνο σε σχέση με τις συναλλαγές με φυσική παρουσία της πιστωτικής κάρτας, για προφανείς λόγους. Ένας κοινός μύθος που πιστεύει ο πολύς κόσμος είναι ότι εάν μια επιχείρηση κάνει Redirect στο περιβάλλον της τράπεζας, δεν χρειάζεται να συμμορφωθεί με το PCI DSS. Για τις ηλεκτρονικές συναλλαγές υπάρχουν 3 βασικά ερωτηματολόγια που καθορίζουν πρακτικά και τις προδιαγραφές που θα αναλύσουμε στη συνέχεια.

Redirect & iFrame

Για εμπόρους χωρίς τη φυσική παρουσία κάρτας. Όλα τα δεδομένα πιστωτικών καρτών επεξεργάζονται πλήρως με ανακατεύθυνση με τη μέθοδο του redirection ή iframe από κάποιον 3rd party PCI validated service provider.

Direct Post & Javascript

Για τους εμπόρους, οι οποίοι ενώ έχουν αναθέσει τμήμα της διαδικασίας πληρωμής σε τράπεζες ή επικυρωμένους εξωτερικούς παρόχους, παρ' όλα αυτά ο τελικός πελάτης εισάγει τα στοιχεία της κάρτας στο περιβάλλον του εμπόρου.

XML-API

Για τους εμπόρους, οι οποίοι λαμβάνουν άμεσα στα συστήματά τους πιστωτικές κάρτες και είτε τις αποθηκεύουν, είτε τις επεξεργάζονται, είτε απλά τις μεταδίδουν.

Φυσικές ή αλλιώς Card Present συναλλαγές

Αν και οι περισσότεροι δεν το γνωρίζουν, οι συναλλαγές πιστωτικών καρτών που πραγματοποιούνται σε φυσικούς χώρους επιχειρήσεων με τις γνωστές τερματικές συσκευές ή αλλιώς POS, υπόκεινται στις προδιαγραφές του PCI DSS και με συγκεκριμένα μάλιστα κριτήρια που έχουν να κάνουν με τον τύπο του POS.

DIAL-UP POS

Για την κατηγορία των παλαιότερης τεχνολογίας POS, τα οποία ολοκληρώνουν την συναλλαγή μέσω κλήσης πάνω από το συμβατικό τηλεφωνικό δίκτυο PSTN ή ISDN.

INTERNET CONNECTED POS

Τα σύγχρονα και πιο διαδεδομένα πλέον τερματικά POS ολοκληρώνουν τις συναλλαγές μέσω διαδικτύου, είτε μέσω wifi, είτε καλωδιακής σύνδεσης data, είτε μέσω ενσωματωμένης κάρτας sim (3G - 4G - 5G).

Mail Order & Telephone Order συναλλαγές (MOTO)

Η συγκεκριμένη κατηγορία αφορά συναλλαγές όπου ο πελάτης δεν βρίσκεται στον φυσικό χώρο της επιχείρησης ώστε να χρησιμοποιήσει την κάρτα του, αλλά συναλλάσσεται μέσω τηλεφώνου. Στην περίπτωση αυτή, ο merchant λαμβάνει την κάρτα τηλεφωνικά και την πληκτρολογεί κατά κανόνα σε κάποιο Virtual POS που του παρέχει κάποιος PCI Validated service provider.

VIRTUAL TERMINAL

Ο έμπορος ολοκληρώνει την συναλλαγή, εισάγοντας τα στοιχεία της κάρτας του πελάτη σε ένα Virtual Terminal από τον υπολογιστή του ή οποιαδήποτε άλλη εγκεκριμένη συσκευή.

LAN CONNECTED PAYMENT APPLICATION

Δικτυακές συσκευές ή εφαρμογές συνδεδεμένες στο τοπικό δίκτυο του εμπόρου, όπως ERP συστήματα κ.α.

Θέλετε να μάθετε τον τύπο και το κόστος της πιστοποίησής σας;

Εργαλείο υπολογισμού κόστους

Με το εύχρηστο εργαλείο επιλογής τύπου πιστοποίησης μπορείτε να υπολογίσετε τον τύπο και το ετήσιο κόστος της πιστοποίησής σας.

Υπολογισμός κόστους

TOP