PCI DSS – OMG, još jedan standard?

PCI DSS – OMG, još jedan standard?

Na prošlotjednom OMG Commerceu raspravljalo se o raznim temama s područja internetske trgovine, pa i o sigurnosti kartičnog poslovanja za web trgovce i kupce. Ivan Mišković iz Webteha i Marko Jetrec iz ECS-a naglasili su važnost PCI DSS-a, globalnog sigurnosnog standarda sigurnosti kartičnog plaćanja.

ivan_miskovic_pcidss_fb
Ivan Mišković, Webteh (snimio Luka Travaš)

PCI DSS (Payment Card Industry Data Security Standard) je globalni standard kojim je regulirana kartična sigurnost prilikom internetskog plaćanja. Standard je nastao pod pokroviteljstvom kartičnih tvrtki MasterCard, Visa, Amex, Discover i JCB, a predstavnici ovih tvrtki osnovali su i PCI Security Standards Council – tijelo koje se bavi unaprjeđivanjem standarda.

Prije uvođenja ovog standarda nisu postojale nikakve minimalne sigurnosne mjere koje bi propisivale prijenos, obradu i pohranu kartičnih podataka. Po riječima Marka Jerteca (ECS), standard je dogovor čovječanstva.

Ako smo se dogovorili oko vremena, SI sustava i USB standarda, pa što ne bismo i oko kartičnog poslovanja? Uostalom, da nema standarda, imali bismo kaos.

Zašto uopće PCI DSS?

Prema podacima Nilson reporta (2015), tijekom 2014. godine na svakih 100 američkih dolara prometa internetske trgovine čak 5,65 centi bilo je lažno, odnosno, radilo se o prijevari. Isti izvještaj, uz Europsku centralnu banku i Verizon 2015, predviđa da će gubitci nastali kartičnim prijevarama do 2020. godine iznositi čak 35 milijuna američkih dolara godišnje, dok će web trgovci postati glavna meta cyber kriminalaca. Svakim danom pojavljuju se nove prijetnje, a zadatak IT-a je da sustave nadograđuje prema aktualnim ranjivostima. Kako tvrdi Ivan Mišković iz Webteha, apsurdno je da se tijekom 2015. godine dogodilo više od 100 napada na ranjivostima otkrivenim prije 9 godina.

Glavni ciljevi PCI DSS-a su zaštita potrošača i njihovih podataka, zatim zaštita trgovaca, njihovih podataka i ugleda te zaštita vlasništva banaka i kartičnih kuća, a konačni cilj je stjecanje povjerenja u sigurnu internetsku kupovinu. Naime, ako se trgovcu desi prijevara (fraud), a njegovo poslovanje nije usklađeno sa standardom, prijevara se automatski smatra krivnjom trgovca i slijede penali u iznosu od nekoliko tisuća do nekoliko desetaka tisuća eura. Ako pak poslujete sukladno standardu, smatra se da ste poduzeli minimalne mjere sigurnosti i zaštitili kupca koliko je u vašoj moći, stoga se s vas skida dio odgovornosti za prijevaru.

Ipak, ne može se desiti da web trgovac nema baš nikakav utjecaj na sigurnost. Trgovčeva web stranica ima velik utjecaj na rizičnost transakcije. Implementiranjem standarda i različitih zaštitih mjera možete samo smanjiti rizik, ne možete ga u potpunosti otkloniti. Bez obzira na način prihvata i obrade kartičnih podataka mjere iz standarda povećavaju sigurnost transakcija.

pci_dss
Marko Jertec, ECS (snimio Luka Travaš)

PCI DSS obvezan i u Hrvatskoj

PCI DSS postao je obaveza temeljem zahtjeva financijskih institucija u Republici Hrvatskoj, a primjenjuje se na sve organizacije koje su u procesu kartičnih transakcija (merchants, payment gateways, issuers, acqurires, processors…). Zahtjevi su isti za male, srednje i velike organizacije, no načini dokazivanja usklađenosti se razlikuju (ovisno o tzv. nivou i tehnologiji prihvata). Usklađenost sa svim točkama standarda je obavezna, nije moguće biti djelomično usklađen (ili PASS ili FAIL).

Kako do usklađenosti?

PCI DSS standard trgovce raspoređuje u razrede prema broju transakcija po brendu kartice godišnje:

  • Razred 1: više od 6 milijuna transakcija
  • Razred 2: od 1 do 6 milijuna transakcija
  • Razred 3: od 20 tisuća do 1 milijuna transakcija
  • Razred 4: manje od 20 tisuća transakcija

99% trgovaca u Hrvatskoj spada u razred 2, 3 ili 4.

Također, standard trgovce dijeli u razrede rizičnosti prema tehnologiji prihvata kartica:

  • Nizak rizik – u niski nivo rizičnosti spadaju trgovci koji koriste redirect ili iFrame te su potpuno eksternalizirali proces plaćanja.
  • Srednji rizik – srednje rizični su trgovci koji koriste DirectPost i JavaScript, odnosno, svi trgovci koji imaju mogućnost manipulacije kartičnim tijekom.
  • Visoki rizik – najrizičnija skupina trgovaca su svi koji ne spadaju u gornje dvije skupine, trgovci koji pohranjuju brojeve kartica kod sebe koriste API i bilo što drugo.

I za kraj, nekoliko savjeta za trgovce:

Mišković (Webteh) i Jertec (ECS) savjetuju:

  • Ne pohranjujte podatke kojim vam nisu potrebni.
  • Ne pohranjujte kartične podatke osim ako to nije nužno. Nemojte to raditi samo zato jer se to nekada tako radilo.
  • Kriptirajte, maskirajte, tokenizirajte. Što više to bolje.
  • Budite dosljedni.
  • Koristite passworde, firewalle, nemojte imati otvorene portove, pazite na svoje poslužitelje.
  • I naravno, koristite PCI DSS standard za smanjivanje rizika.

Želite se sljedeći OMGcommerce 2017. pridružiti Ivanu, Marku i drugim uglednim predavačima? Ostavite nam email pa ćemo vam javiti sve detalje (a možda i popust!) 🙂 

[yikes-mailchimp form=”2″ submit=”Zainteresiran sam za sljedeći OMGcommerce!”]

grafika_nova

Pravila ponašanja

Na Netokraciji za vas stvaramo kvalitetan, autorski potpisan sadržaj i zaista se veselimo vašim kvalitetnim, kontruktivnim komentarima. Poštujmo stoga jedni druge prilikom komentiranja držeći se sljedećih pravila ponašanja:

  • Ne budite 💩: Nema vrijeđanja, diskriminiranja, ni psovanja (osim ako nije osobni izričaj, ali onda neka psovka bude općenita, a ne usmjerena prema nekome)
  • Samo kvalitetna rasprava, manje trolanja: Ne morate se ni sa kim slagati, ali budite konstruktivni i doprinesite raspravi! Svako trolanje, flameanje, koliko god "plesalo" na granici, leti van.
  • Imenom i prezimenom, nismo Anonymous 👤: Autor sadržaja stoji iza svog sadržaja, stoga stojite i vi iza svog komentara. Koristimo ime i prezime (Hrvoje Lončar) ili barem ime i inicijala (Hrvoje L.) te pravu email adresu. Kako koristimo podatke koje tamo ostavljate? Bacite oko na našu izjavu o privatnosti.

Sve ostale komentare ćemo s guštom spaliti, jer ne zaslužuju svoje mjesto na internetu.

Odgovori

Tvoja e-mail adresa neće biti objavljena.

Popularno

Sponzorirano

Kako izbjeći sklizak “onboarding” iliti zašto sam se uspješno ukrcala na RBA brod?

Prvi tjedni (a često i prvi mjeseci) ključni su za uspješno uključivanje zaposlenika na novo radno mjesto. Ovo su moja prva iskustva onboarding procesa na poziciju Senior Enterprise programerke u Raiffeisen banci iz kojih se daju izvući zanimljive pouke kako za novozaposlene, tako i za poslodavce.

Startupi i poslovanje

Može li servis PlatiMe pomoći onima koji ne mogu čekati naplatu računa?

Duga dospijeća plaćanja računa bolna su točka svakog poduzetnika, a u Hrvatskoj donedavno nije postojao praktičan način da ovaj problem riješite. Provjerili smo što to sprema domaći Moj-eRačun.

Startupi i poslovanje

Hrvatski jednorog pokreće program za startupe: Infobip Startup Tribe!

Hrvatska se nalazi u idealnom momentu za ekspanzivni rast startup ekosustava, ističe Nikola Pavešić, voditelj Infobipova tima kojim žele pridonijeti rastu i razvoju startupa u Hrvatskoj, ali i diljem drugih lokacija gdje je Infobip prisutan.

Što ste propustili

Sponzorirano

Bazirano na istinitim događajima: Developerica u paklu marketinga

Nakon pola godine uspona i padova, misterija i HEUREKA trenutaka pokušavajući razumjeti što su “ad grupe” i kakve veze imaju “keywordi” s oglasima, napokon, iako se bavim developmentom, i ja pritišćem gumb kojim se kreira 20.000 oglasnih grupa s ključnim riječima i oglasima u jednom satu. 

Najava

Combis ovog ljeta zapošljava više od deset IT stručnjaka, evo što ih čeka

Nedavno su napunili 3 desetljeća čak, a otkako su prisutni na tržištu implementirali su više od 1000 kompleksnih projekata. Evo koje pozicije su otvorene ovog ljeta u hrvatskom Combisu!

Izvještaj

Fintech startupi žele biti regulirani, ali traže otvorenost regulatora, brže odgovore i transparentne kriterije

Kriptovalute neizbježna su tema kada govorimo o financijskome svijetu koji se sve više digitalizira. Na dan održavanja konferencije Fintech – inovacije, rizici i odgovornost, jedan Bitcoin vrijedio je 238.940,91, a u trenutku pisanja ovoga članka vrijedi 196.236,28 kuna.

Startupi i poslovanje

Što je zapravo hrvatski TeamUp kojeg opisuju kao “Tinder za startupe”?

Hrvatski TeamUp već je zaradio vrlo dobre reakcije, a najbolje rezultate vide u pronalasku "soft skill" kadrova - više detalja otkrili smo u razgovoru s pokretačima.

Digitalni marketing

Raiffeisen bank pomaže perspektivnim studentima digitalnog marketinga putem stipendije “Luka Mak”

Luka Mak imao je tu nevjerojatnu sposobnost da iskreno kaže svoje mišljenje, a da pritom baš nikoga ne povrijedi. Uvijek se trudio biti bolji, svaki je dan učio od drugih i učio druge te pomicao granice. Ako i tebe krase takve osobine – možda te čeka stipendija Luka Mak.

Startupi i poslovanje

Brendiranje inovativnosti: Što Hrvatska može naučiti od Izraela, Švicarske i Velike Britanije?

Hrvatska ne gradi svoj imidž na inovativnosti, ne koristi inovativnost kao snažan komunikacijski alat u brendiranju zemlje niti prepoznaje potencijal inovativnosti kao hrvatsku "meku moć" kojom može konkurirati na svjetskom tržištu...