Kod kartičnih plaćanja na internetu, bezbednost je od najveće važnosti jer se radi sa osetljivim podacima o karticama i ličnim podacima vlasnika kartica.
Bezbednost online plaćanja ključna je za izgradnju poverenja kupaca i očuvanje integriteta tvoje internet prodavnice.
Zato o bezbednosti uvek vredi pričati – ovaj blog posvećen je upravo toj temi.
Velika odgovornost u procesu online plaćanja leži na Internet Payment Gatewayu (IPG), jer on procesira transakcije između internet prodavnice i banke prihvatioca.
Ceo proces mora da se odvija u skladu sa strogim bezbednosnim pravilima: kartični podaci unose se isključivo na IPG formi koja mora biti zaštićena, a ako se na IPG sistemu čuvaju podaci o karticama i vlasnicima kartica, mora biti ispunjen niz strogih bezbednosnih uslova.
Nivo bezbednosti IPG-a dokazuje se PCI DSS (Payment Card Industry Data Security Standard) sertifikatom.
PCI DSS je najviši bezbednosni standard u platnoj industriji.
Prema njemu moraju biti sertifikovane banke, ali i sve druge kompanije koje na bilo koji način obrađuju kartične podatke.
Zbog uticaja koji bezbedno čuvanje i obrada kartičnih podataka imaju na reputaciju i poslovanje, trgovci moraju da vode računa da li njihov IPG partner ima PCI DSS Level 1 sertifikat.
Posebno naglašavam – nije isto da li je IPG sertifikovan ili samo usklađen sa PCI DSS standardom.
Sertifikacija je viši nivo i neophodan je uslov za čuvanje i procesiranje kartičnih podataka i transakcija.
I internet prodavnice mogu da dobiju PCI DSS sertifikat, ali u praksi se to retko dešava jer je proces složen i skup, a sertifikat mora da se obnavlja svake godine kroz detaljnu reviziju.
Zato je broj sertifikovanih trgovaca u našem regionu gotovo zanemarljiv.
Da bi dobio sertifikat, IPG mora da ispuni više od 250 bezbednosnih zahteva koji se odnose na:
- izgradnju i održavanje bezbedne mreže (vatrozidi, lozinke, bezbednosni parametri),
- zaštitu kartičnih podataka (čuvanje i prenos informacija),
- korišćenje i održavanje softvera za upravljanje ranjivostima (antivirusni programi, bezbednosne aplikacije),
- kontrolu pristupa (računari, prostor),
- praćenje pristupa i testiranje mreže (bezbednosni testovi sistema i procesa),
- politiku bezbednosti informacija.
Ako si trgovac koji tek započinje online poslovanje, obavezno proveri da li tvoj potencijalni IPG partner ima PCI DSS Level 1 sertifikat.
Ako već sarađuješ sa nekim IPG-om, proveri da li sertifikat redovno obnavlja svake godine.
Ukoliko IPG ispunjava uslove i redovno prolazi revizije, sigurno će to imati istaknuto na svom sajtu.
Ako ne, slobodno zatraži da ti pošalje važeći sertifikat na uvid.
Želim ti siguran let kroz online svet!
Edgar