Προδιαγραφές PCI DSS εμπόρων

Βάσει το προτύπου PCI DSS, οποιαδήποτε επιχείρηση επεξεργάζεται , αποθηκεύει η μεταδίδει δεδομένα πιστωτικών καρτών οφείλει να συμμορφώνεται με το πρότυπο. Ο γενικός κανόνας είναι οτι όταν μια επιχείρηση δέχεται κάρτες με οποιονδήποτε τρόπο, τότε είναι υποχρεωμένη να είναι πιστοποιημένη. Οι προδιαγραφές ορίζονται βάσει του τρόπου που η επιχείρηση λαμβάνει πιστωτικές κάρτες. Έτσι ένα φυσικό κατάστημα που διαθέτει POS δεν έχει τις ίδιες απαιτήσεις ασφαλείας με μια επιχείρηση που πραγματοποιεί για παράδειγμα ηλεκτρονικές πληρωμές με redirect στο περιβάλλον της τράπεζας ή σε κάποιον Service Provider.

Κατηγοριοποίηση βάσει πλήθους συναλλαγών

Ο πρώτη βασική κατηγοριοποίηση εχει να κανει με το πλήθος των ηλεκτρονικών συναλλαγών που πραγματοποιεί ένας έμπορος με χρήση πιστωτικών καρτών ανα έτος. Έτσι υπαρχουν 4 συνολικά επίπεδα με χαμηλότερο το 4 και υψηλότερο το 1. Η μεγαλύτερη διαφορά στα 4 level έχει να κάνει με το Level 1 στο οποίο το AOC εκδίδεται αποκλειστικά απο qualified security accessors (QSA's) και ονομάζεται ROC ( Report of compliance )

Merchant
Level
Συναλλαγές
ανά έτος
Redirect IFRAME Direct Post JavaScript XML
1 Πάνω από 6 εκατομμύρια RoC A RoC A RoC A-EP RoC A-EP RoC D
2 1–6 εκατομμύρια SAQ-A SAQ A SAQ A-EP SAQ A-EP SAQ D
3 20.000-1 εκατομμύριο SAQ-A SAQ A SAQ A-EP SAQ A-EP SAQ D
4 Εώς 20.000 SAQ-A SAQ A SAQ A-EP SAQ A-EP SAQ D

Ηλεκτρονικές συναλλαγές

Η πρώτη επαφή της πλειοψηφίας των επιχειρήσεων με το PCI DSS θα είναι όταν απαιτηθεί να ενσωματώσουν ηλεκτρονικές πληρωμές όπως για παράδειγμα σε ένα website. Η ηλεκτρονική μετάδοση, επεξεργασία και αποθήκευση στοιχείων πιστωτικών καρτών αποτελεί και τον μεγαλύτερο κίνδυνο σε σχέση με τις συναλλαγές με φυσική παρουσία της πιστωτικής κάρτας για προφανείς λόγους. Ένας κοινός μύθος που πιστεύει ο πολύ κόσμος είναι ότι εάν μια επιχείρηση κάνει Redirect στο περιβάλλον της τράπεζας δεν χρειάζεται να συμμορφωθεί με το PCI DSS. Για τις ηλεκτρονικές συναλλαγές υπάρχουν 3 βασικά ερωτηματολόγια που καθορίζουν πρακτικά και τις προδιαγραφές που θα αναλύσουμε στη συνέχεια.

Redirect & iFrame

Για εμπόρους χωρίς τη φυσική παρουσία κάρτας, Όλα τα δεδομένα πιστωτικών κάρτών επεξεργάζονται πλήρως με ανακατεύθυνση με τη μέθοδο του redirection η iframe απο καποιον 3rd party PCI validated service provider

Direct Post & Javascript

Για τους εμπόρους, οι οποίοι έχουν αναθέσει τμήμα της διαδικασίας πληρωμής σε τράπεζες ή επικυρωμένους εξωτερικούς παρόχους, παρόλα αυτά ο τελικός πελάτης εισάγει τα στοιχεία της κάρτας στο περιβάλλον του εμπόρου

XML-API

Για τους εμπόρους, οι οποίοι λαμβάνουν άμεσα στο συστήματά τους πιστωτικές κάρτες και είτε τις αποθηκεύουν, είτε τις επεξεργάζονται, είτε απλά τις μεταδίδουν.

Φυσικές ή αλλιώς Card Present συναλλαγές

Αν και οι περισσότεροι δεν το γνωρίζουν, οι συναλλαγές πιστωτικών καρτών που πραγματοποιούνται σε φυσικούς χώρους επιχειρήσεων με τις γνωστές τερματικές συσκευές ή αλλιώς POS, υπόκεινται στις προδιαγραφές του PCI DSS και με συγκεκριμένα μάλιστα κριτήρια που έχουν να κάνουν με τον τύπο του POS.

DIAL-UP POS

Για την κατηγορία των παλαιότερης τεχνολογίας POS τα οποία ολοκληρώνουν την συναλλαγή μέσω κλήσης πάνω απο το συμβατικό τηλεφωνικό δίκτυο PSTN ή ISDN

INTERNET CONNECTED POS

Τα σύγχρονα και πιο διαδεδομένα πλέον τερματικά POS ολοκληρώνουν τις συναλλαγές μέσω διαδικτύου, είτε μέσω wifi, είτε καλωδιακής σύνδεσης data, είτε μέσω ενσωματωμένης κάρτας sim (3G - 4G - 5G)

Mail Order & Telephone Order συναλλαγές (MOTO)

Η συγκεκριμένη κατηγορία αφορά συναλλαγές οπου ο πελάτης δεν βρίσκεται στον φυσικό χώρο της επιχείρησης ώστε να χρησιμοποιήσει την κάρτα του, αλλα συναλλάσσεται μέσω τηλεφώνου. Στην περίπτωση αυτή ο merchant λαμβάνει την κάρτα τηλεφωνικά και την πληκτρολογει κατα κανόνα σε κάποιο Virtual POS που του παρέχει κάποιος PCI Validated service provider

VIRTUAL TERMINAL

Ο έμπορος ολοκληρώνει την συναλλαγή εισάγοντας τα στοιχεία της κάρτας του πελάτη σε ενα Virtual Terminal από τον υπολογιστή του ή οποιαδήποτε άλλη εγκεκριμένη συσκευή

LAN CONNECTED PAYMENT APPLICATION

Δικτυακές συσκευές ή εφαρμογές συνδεδεμένες στο τοπικό δίκτυο του εμπόρου όπως ERP συστήματα κ.α.

Θέλετε να μάθετε τον τύπο και το κόστος της πιστοποίησής σας;

Εργαλείο υπολογισμού κόστους

Με το εύχρηστο εργαλείο επιλογής τύπου πιστοποίησης μπορείτε να υπολογίσετε τον τύπο και το ετήσιο κόστος της πιστοποίησής σας.

Υπολογισμός κόστους

TOP