Kod kartičnih plaćanja na internetu sigurnost je od najveće važnosti, jer se barata osjetljivim podacima o karticama i osobnim podacima vlasnika kartica. Sigurnost online plaćanja ključna je za izgradnju povjerenja kod kupaca i očuvanje integriteta web shopa. Zato nikad dovoljno razgovora i pisanja o sigurnosti, pa ovaj blog posvećujem toj važnoj temi.
Velika odgovornost u online plaćanjima je na Internet Payment Gatewayu (IPG), jer on procesira odnosno prenosi transakcije od web shopa do banke prihvatitelja i nazad. Cijeli proces mora se odvijati u skladu sa strogim sigurnosnim pravilima: kartični podaci se unose na platnoj formi IPG-a koja mora biti zaštićena, a kad se na sustavu IPG-a pohranjuju podaci o karticama i vlasnicima kartica, treba biti ispunjen niz strogih preduvjeta.
Razina sigurnosti IPG-a dokazuje se PCI DSS (Payment Card Industry Data Security Standard) certifikatom. PCI DSS je najviši sigurnosni standard u platnoj industriji. Prema tom standardu moraju biti certificirane banke, ali i sve druge tvrtke koje na bilo koji način rade s kartičnim podacima. Zbog važnosti i utjecaja sigurnog pohranjivanja i baratanja kartičnim podacima i transakcijama na imidž i ukupno poslovanje, trgovci kod izbora IPG-a moraju voditi računa o tome ima li on PCI DSS Level 1 certifikat ili ne. Posebno skrećem pažnju da nije isto je li IPG certificiran ili samo usklađen s PCI DSS standardom. Certifikacija je puno viša razina i preduvjet je za spremanje i procesiranje kartičnih podataka i transakcija. I web shopovi se mogu certificirati po PCI DSS standardu, no najčešće im to nije isplativo, jer je proces certifikacije zahtjevan i skup, osobito ako se uzme u obzir godišnja revizija, s obzirom na to da se certifikat mora obnavljati svakih godinu dana. Stoga primjera certificiranih trgovaca u našeg okruženju gotovo i nema.
Za dobivanje certifikata IPG mora zadovoljiti više od 250 sigurnosnih zahtjeva vezanih uz izgradnju i održavanje sigurnosne mreže (vatrozid, lozinke i drugi sigurnosni parametri), zaštitu kartičnih podataka (spremanje i prijenos podataka), korištenje i održavanje programa i aplikacija vezanih uz upravljanje ranjivošću sustava (antivirusni programi i sigurnosne aplikacije), kontrolu pristupa (računala i prostor), praćenje (pristupi) i testiranje mreže (sigurnosni testovi sustava i procesa), te politiku vezanu za sigurnost informacija.
Kao web trgovcu koji tek započinje online poslovanje, savjetujem ti da obratiš pažnju na to ima li tvoj potencijalni IPG partner PCI DSS Leel 1 certifikat. Ako već dulje vrijeme radiš s nekim IPG-om, provjeri obnavlja li certifikat svake godine. Ako je sukladan i redovito prolazi revizije, sigurno će to imati istaknuto na svojim web stranicama. A ako nema, uvijek ga možeš zatražiti da ti pošalje važeći certifikat.
Želim ti siguran let online svijetom!
Edgar