Wymogi bezpieczeństwa kart płatniczych obowiązują wszystkie firmy akceptujące płatności kartami niezależnie od wielkości firmy lub kwoty transakcji. Każda firma, która przechowuje, przetwarza, przesyła numery kart płatniczych, jest zobowiązana zapewnić zgodność z wymogami PCI DSS.
Brak zgodności ze standardem PCI DSS i naruszenie wymogów bezpieczeństwa kart płatniczych może skutkować dla Twojej firmy utratą reputacji i poważnymi konsekwencjami finansowymi. Mogą mieć negatywny wpływ na dalsze prowadzenie działalności, a nawet ją uniemożliwić, niezależnie od wielkości firmy.
Zrozumienie procesu transakcji
Poniżej znajduje się krótki opis podstawowych pojęć i tego jak działa proces transakcji.
- Akceptant – praktycznie każda firma, która chce akceptować płatności kartą i która spełnia standardy kwalifikacyjne organizacji kartowej i agenta rozliczeniowego.
- Agent rozliczeniowy – licencjonowana instytucja członkowska systemu kartowego, weryfikująca i przyjmując akceptantów do swojego programu przetwarzania transakcji.
- Bank wydający kartę – instytucja finansowa posiadacza karty.
- Posiadacz karty - osoba, której instytucja finansowa wydała kartę płatniczą
- Mastercard, Visa – globalny system kart płatniczych udzielający licencji na wykorzystywanie swojej marki instytucjom finansowym, będącym jego członkami, w zamian za usługi dostarczane posiadaczom kart i akceptantom.
Poniżej przedstawiamy typowy przebieg transakcji kartą płatniczą:
- Rozpoczęcie transakcji - posiadacz karty nabywa towar lub usługi od akceptanta
- Autoryzacja - akceptant przekazuje transakcje agentowi rozliczeniowemu i otrzymuje od niego zapłatę pomniejszoną o opłatę akceptanta
- Dostarczenie transakcji - agent rozliczeniowy przekazuje transakcję do banku wystawcy karty w celu uzyskania zapłaty
- Płatność do akceptanta - bank wydawcy karty przekazuje płatność agentowi rozliczeniowemu, pomniejszoną o jego opłaty
- Płatność posiadacza karty - posiadacz karty spłaca wystawcy należność za towar i usługi zakupione wcześniej od akceptanta
Na każdym z etapów przeprowadzanych transakcji kartowych wymagane jest przestrzeganie wytycznych Standardu Bezpieczeństwa w Branży Kart Płatniczych (PCI DSS). Standardy te są takie same dla wszystkich podmiotów biorących udział w procedowaniu transakcji. Podmioty będą jednak miał różnie rozbudowane systemy oraz w zależności od liczby przeprowadzanych transakcji muszą potwierdzać stosowanie standardów od samodzielnie wypełnionego potwierdzenia, do audytowanego procesu weryfikacji przeprowadzanego przez autoryzowane firmy.
Poziomy PCI DSS w zależności od liczby przeprowadzanych transakcji kartowych
- Poziom 1 - dot. organizacji które przetwarzają ponad 6 milionów transakcji wykonanych kartami Visa lub Mastercard. Organizacje te obowiązuje coroczna weryfikacja, którą przeprowadza Qualified Security Assessor (QSA), oraz pozytywny wynik skanu sieci, który wykonuje Approved Scanning Vendor (ASV)
- Poziom 2 - dot. organizacji które przetwarzają od 1 do 6 milionów transakcji wykonanych kartami Visa lub Mastercard. Organizacje te obowiązuje coroczne wypełnienie Kwestionariusza Samooceny (SAQ) oraz pozytywny wynik skanu sieci, który wykonuje Approved Scanning Vendor (ASV)
- Poziom 3 - dot. organizacji które przetwarzają od 20.000 do miliona transakcji e-commerce wykonanych kartami Visa lub Mastercard. Organizacje te obowiązuje coroczne wypełnienie Kwestionariusza Samooceny SAQ oraz, jeśli systemy organizacji są dostępne przez internet, skan sieci który wykonuje Approved Scanning Vendor (ASV)
- Poziom 4 - dot. organizacji, które przetwarzają mniej niż 20.000 transakcji e-commerce kartami Visa lub Mastercard. Organizacje te obowiązuje coroczne wypełnienie Kwestionariusza Samooceny SAQ oraz, jeśli systemy organizacji są dostępne przez internet, skan sieci który wykonuje Approved Scanning Vendor (ASV)
SAQ-A dla prowadzących sklepy IdoSell oraz przyjmujące płatności kartowe
Kwestionariusze Samooceny (SAQ) są dokumentami wypełnianymi samodzielnie przez firmy. Jest ich kilka rodzajów w zależności od tego jak działalność firmy ociera się o bezpieczeństwo kart. Dla sklepów korzystających z płatności kartowych przez system IdoSell przygotowaliśmy wygodny sposób uzupełniania dokumentów SAQ-A, które są przeznaczone dla firm, które przeprowadzają transakcje bez fizycznej obecności karty płatniczej (są to transakcje eCommerce lub MO/TO) i który w całości przetwarzanie danych kart płatniczych powierza zewnętrznemu dostawcy usług posiadającemu certyfikat PCI DSS (czyli IAI), przy czym firma nie przechowuje danych kart płatniczych w formie elektronicznej, nie przesyła ani nie przetwarza ich w swoich systemach informatycznych lub na swoim terenie. Jeśli te wytyczne nie dotyczą twojej firmy, skontaktuj się z nami w celu głębszej oceny twojej sytuacji.
Wymogi względem organizacji przyjmujących płatności kartowe
PCI DSS stworzyła listę 12 wymagań podzielonych na 6 grup, które musi spełniać każda firma biorąca udział w procedowaniu transakcji kartami płatniczymi.
Z listy 12 wymagań wyróżnione zostało 5, które musi spełniać każda kwalifikująca się do samodzielnego wypełnienia Kwestionariusza Samooceny SAQ-A firma
Oto lista wymagań:
1. Stwórz i utrzymuj bezpieczną sieć:
- Zawsze zmieniaj domyślne hasła
- Kontroluj domyślne ustawienia urządzeń, które instalujesz w swojej sieci
6. Stwórz i utrzymuj bezpieczne systemy i aplikacje:
- Instaluj wszelkie aktualizacje w używanych aplikacjach oraz urządzeniach
- Instaluj wszelkie aktualizacje nie później niż w ciągu miesiąca od ich pojawienia się
8. Identyfikuj i autoryzuj dostęp do swoich systemów:
- Każdy użytkownik twoich systemów ma swój identyfikator na każdym z wykorzystywanych systemów
- Natychmiast blokuj dostęp do swoich systemów użytkownikom, którzy przestali z tobą współpracować
- Udostępniając użytkownikom swoich systemów dostępy pamiętaj by nadać im jakiekolwiek ograniczenia, jak co najmniej hasło
- Zadbaj by hasła dostępu miały co najmniej 7 znaków i zawierały litery i cyfry
- Nie stosuj grupowych kont dostępu
9. Ogranicz fizyczny dostęp do danych:
- Ogranicz fizyczny dostęp do urządzeń i danych które zawierają dane o płatnikach, w tym dane ich kart
- Kontroluj gdzie i jak przechowywane i przetwarzane są dane w twojej firmie
- Niszcz wszelkie niezbędne nośniki danych
12. Utrzymuj instrukcje dotyczące bezpieczeństwa informacji dla całego personelu:
- Udostępnij wszystkich swoim pracownikom informacje jak należy postępować z danymi kartowymi płatników
Pamiętaj: jeśli w twojej firmie lub sklepie stosowane są płatności kartami, to wypełniając Kwestionariusz Samooceny SAQ-A, potwierdzasz że jestem świadomym uczestnikiem systemu płatności kartami oraz możesz udostępniać w swoim sklepie IdoSell płatności kartowe.