Norēķinu karšu nozares drošības standartu padome (PCI SSC), kuru izveidoja vadošās starptautiskās karšu organizācijas Visa, Mastercard, Amex, Diners, Discovery un JCB, ir izstrādājusi PCI DSS noteikumus un dokumentus, kas nosaka karšu drošības principus un politiku.
PCI DSS attiecas uz visiem, kas apstrādā, glabā un pārraida karšu lietotāju datus un/vai sensitīvus autentifikācijas datus vai varētu ietekmēt kartes lietotāja datu vides drošību.
Tas ietver visu maksājumu kontu apstrādē iesaistītos - tirgotājus, apstrādātājus, pieņēmējus, izdevējus un citus pakalpojumu sniedzējus. Šie noteikumi nosaka tehniskās un operacionālās prasības organizācijām, kas pieņem vai apstrādā norēķinu darījumus.
Prasību un standartu jaunākā versija ir pieejama šeit.
Visiem tirgotājiem, kuri glabā, apstrādā vai pārraida karšu lietotāja datus un/vai sensitīvus autentifikācijas datus, ir jānodrošina atbilstība PCI DSS standartiem. Atsevišķas PCI DSS prasības var attiekties arī uz tiem, kuru vidē netiek glabāti, apstrādāti vai pārsūtīti dati, piemēram, tiem, kas izmanto ārpakalpojumus maksājumu operācijām vai karšu turētāju datu vides pārvaldībai.
Karšu datu un sensitīvu autentifikācijas datu elementi:
|
Datu elementi |
Glabāšanas ierobežojumi |
Prasība padarīt uzglabātos datus nenolasāmus |
| Kartes lietotāju dati |
|
Kartes numurs (PAN) |
Glabāšana ir samazināta līdz minimumam |
Jā Kartes numurs (PAN) jāpadara nenolasāms |
|
Kartes lietotāja vārds, uzvārds |
Glabāšana ir samazināta līdz minimumam |
Nē |
|
Pakalpojuma kods Trīs vai četru ciparu numurs uz kartes magnētiskā celiņa |
Glabāšana ir samazināta līdz minimumam |
Nē |
|
Derīguma termiņš |
Glabāšana ir samazināta līdz minimumam |
Nē |
| Sensitīvi autentifikācijas dati Sensitīvus autentifikācijas datus pēc autorizācijas vairs nedrīkst glabāt pat šifrētā formātā |
|
Pilni celiņa dati Pilni kartes celiņa dati no magnētiskās joslas, čipa vai cita avota |
Pēc autorizācijas uzglabāt nevar |
Jā, dati, kas tiek glabāti līdz autorizācijas pabeigšanai, ir jāaizsargā ar spēcīgu kriptogrāfiju |
|
Kartes verifikācijas kods (CVV2/CVC2) Trīs ciparu kods, kas uzdrukāts norēķinu kartes priekšpusē vai aizmugurē |
Pēc autorizācijas uzglabāt nevar |
Jā, dati, kas tiek glabāti līdz autorizācijas pabeigšanai, ir jāaizsargā ar spēcīgu kriptogrāfiju |
|
PIN/PIN bloks Personīgais identifikācijas kods, ko kartes lietotājs ievada darījuma laikā un/vai šifrētais PIN bloks, kas atrodas darījuma ziņojumā |
Pēc autorizācijas uzglabāt nevar |
Jā, dati, kas tiek glabāti līdz autorizācijas pabeigšanai, ir jāaizsargā ar spēcīgu kriptogrāfiju |
Kā pārliecināties par atbilstību PCI DSS prasībām?
Mēs tirgotājus reizi gadā e-pastā informējam par darbībām, kas jāveic, lai nodrošinātu atbilstību PCI DSS standartiem, un prasības ir apskatāmas tabulā.
Tirgotāji tiek iedalīti četros līmeņos atkarībā no viena karšu zīmola (t.i. Mastercard, VISA, Amex u.tml.) karšu norēķinu darījumu skaita gadā. 1. līdz 3. līmeņa tirgotājiem par savu atbilstības statusu ir jāinformē mūs pēc nepieciešamo darbību veikšanas. 4. līmeņa tirgotājiem ir jāinformē mūs par savu atbilstības statusu, nosūtot aizpildītu Pašnovērtējuma anketu (SAQ).
| Klienta līmenis |
Tirgotāju darījumu kritēriji |
Veicamās darbības tirgotājam |
Biežums |
| 1. līmenis |
Tirgotāji, kuru kopējais Mastercard vai VISA darījumu skaits gadā sasniedz vai pārsniedz 6 milj. |
Ārējais drošības audits, ko veic Kvalificēts drošības eksperts (QSA) |
reizi gadā |
| Tīkla skenēšana, ko veic sertificēts tīkla skenēšanas pakalpojuma nodrošinātājs (ASV) vai kvalificēts drošības eksperts (QSA) |
reizi ceturksnī |
| 2. līmenis |
Tirgotāji, kuru kopējais Mastercard vai VISA darījumu skaits gadā ir no 1 līdz 6 milj. |
Kvalificēts drošības eksperts (QSA) vai Iekšējais drošības novērtētājs (ISA) Tirgotājiem, kas aizpilda SAQ A, A-EP vai D, ir jāpiesaista QSA vai ISA ikgadējai atbilstības pārbaudei. Tirgotāji, kas aizpilda SAQ B, B-IP, C-VT, C vai P2PE, tagad var veikt pašnovērtējumu, neizmantojot QSA vai ISA atbilstības pārbaudei. |
reizi gadā |
|
Tīkla skenēšana, ko veic sertificēts tīkla skenēšanas pakalpojuma nodrošinātājs (ASV) vai kvalificēts drošības eksperts (QSA)
|
reizi ceturksnī |
| 3. līmenis |
E-komercijas tirgotāji, kuru kopējais Mastercard vai VISA darījumu skaits gadā ir no 20 000 līdz 1 milj. |
Jāizpilda ikgadējā pašnovērtējuma anketa (SAQ) |
reizi gadā |
| Tīkla skenēšana, ko veic sertificēts tīkla skenēšanas pakalpojuma nodrošinātājs (ASV) vai kvalificēts drošības eksperts (QSA) |
reizi ceturksnī |
| 4. līmenis |
Visi citi tirgotāji |
Jāaizpilda ikgadējā pašnovērtējuma anketa (SAQ) pēc tirgotāja izvēles |
reizi ceturksnī - ieteicams |
| Tīkla skenēšana, ko veic sertificēts tīkla skenēšanas pakalpojuma nodrošinātājs (ASV) vai kvalificēts drošības eksperts (QSA) |
ieteicams reizi gadā |
Svarīgi! Tirgotājiem ir nepieciešams veikt:
- Drošības auditu, ko veic sertificēts auditors, kas rīkojas kā Kvalificēts drošības novērtētājs (QSA) pie juridiskām personām, kas minētas PCI DSS oficiālajā Interneta vietnē.
- Tīkla skenēšanu, ko veic kvalificēts tīkla skenēšanas risinājumu nodrošinātājs, kurš rīkojas kā Akceptēts skenēšanas risinājumu nodrošinātājs (ASV) vai Kvalificēts drošības novērtētājs (QSA). ASV var veikt skenēšanas procedūru klātienes veikalu un tiešsaistes tirgotājiem, bet tiem nav tiesību veikt ikgadējos auditus.
- Iekšējo auditu, kura ietvaros jāatbild uz pašnovērtējuma anketā (SAQ) iekļautajiem jautājumiem. Anketas saturs ir atkarīgs no tehniskā risinājuma.
PCI DSS prasības un mērķi
Zemāk tabulā redzamās 12 prasības un mērķi kas jums palīdzēs saprast, kādas svarīgas darbības ir jāveic, lai nodrošinātu atbilstību PCI DSS noteikumiem.
| Mērķi |
PCI DSS prasības |
| Jāizveido un jāuztur drošs tīkls un sistēma |
1. Jāievieš un jāuztur tīkla drošības kontrole.
2. Jāpiemēro drošas konfigurācijas visām sistēmas komponentēm.
|
| Jāaizsargā karšu lietotāju dati |
3. Jāaizsargā glabāšanā esošie kontu dati.
4. Jāaizsargā karšu lietotāju dati ar spēcīgu kriptogrāfiju, tos pārsūtot atvērtā vai publiskā tīklā.
|
| Jāīsteno drošības ievainojamības kontroles programma |
5. Jāaizsargā visas sistēmas un tīkli pret ļaunprātīgu programmatūru.
6. Jāizstrādā un jāuztur drošas sistēmas un programmatūra.
|
| Jāievieš strikti piekļuves kontroles pasākumi |
7. Piekļuve sistēmas komponentēm un karšu lietotāju datiem jāatļauj tikai tad, ja pastāv attiecīga ar biznesu saistīta nepieciešamība.
8. Jāidentificē lietotāji un jāautorizē piekļuve sistēmas komponentēm.
9. Jāierobežo fiziska piekļuve karšu lietotāju datiem.
|
| Regulāri jākontrolē un jāpārbauda tīkli |
10. Jāreģistrē un jāuzrauga visa piekļuve tīkla komponentēm un karšu lietotāju datiem.
11. Regulāri jāpārbauda drošības sistēmas un tīkli.
|
| Jāuztur informācijas drošības politika |
12. Jārūpējas par informācijas drošību, izmantojot organizācijas politikas un programmas. |
Lai saņemtu plašāku informāciju, apmeklējiet https://www.pcisecuritystandards.org/
Karšu lietotājiem ir tiesības apstrīdēt jebkurus karšu darījumus, kas veikti ar Mastercard vai Visa karti. Šādas pretenzijas tiek risinātas chargeback formā, un tās regulē virkne noteikumu, ko izstrādājušas attiecīgās organizācijas. Chargeback procesā pierādīšanas pienākums gulstas uz tirgotāju, kuram tiek dota iespēja uzrādīt dokumentāciju, kas pierāda darījuma likumību. Ja tirgotājs to veiksmīgi izdara, darījuma summa tiek atskaitīta atpakaļ uz tā kontu. Ja tirgotājs to neizdara vai nesniedz atbildi noteiktajā termiņā, tirgotājam iestājas finansiāla atbildība atgriezt attiecīgos naudas līdzekļus klientam, kurš iesniedzis pretenziju;
Kādi ir biežākie Chargeback iemesli?
Biežākie Chargeback iemesli:
- kartes lietotājs attiecīgo darījumu nav veicis (bieži vien krāpniecības pazīme);
- regulārais maksājums tiek atcelts;
- preces neatbilst aprakstam;
- precēm ir brāķis vai defekts;
- netiek sniegta atbilde uz kupona pieprasījumiem.
Chargeback var veikt arī citu iemeslu dēļ, piemēram, preču/pakalpojumu nesaņemšanas gadījumā.
Kā izvairīties no Chargeback?
Ieteikumi, kā izvairīties no chargeback:
- Lai izvairītos no pretenzijām saistībā ar preču nepiegādāšanu, ir ļoti ieteicams izmantot piegādes pakalpojumu, kurā izsniedz piegādes apstiprinājumu.
- Lai izvairītos no pretenzijām saistībā ar saplīsušām precēm, vienmēr jāiegādājas pārvadāšanas apdrošināšana, ja preces ir trauslas. Noteikti skaidri nosakiet termiņus, kādos šādas pretenzijas tiks izskatītas.
- Ir divi veidi, kā rīkoties ar pretenzijām par preču saplīšanu, ja tas nav noticis pārvadāšanas rezultātā: ja precei ir garantija, prasīt klientam, lai tas nepastarpināti sazinās ar ražotāju; piedāvāt klientam, lai tas nosūta preci jums atpakaļ. Nodrošiniet, lai jūsu preču atgriešanas politikā būtu ļoti skaidri noteikti termiņi un atgriezto preču autorizācijas process.
- Ja klients apgalvo, ka nekad nav pasūtījis attiecīgo produktu, jums jābūt klienta pasūtījuma skaidrai dokumentācijai.
- Lai jums būtu precīzi fiksētas visas sarunas, saraksti vienmēr veiciet pa e-pastu.
- Noteikumiem un nosacījumiem jābūt skaidri izklāstītiem tīmekļa vietnē, kur attiecīgie pakalpojumi tiek sniegti. Informācija, kas klientam jāsniedz pirms līguma noslēgšanas, ir norādīta patērētāju tiesību aizsardzības noteikumos. Šie noteikumi attiecas uz jebkuru personu, kas pārdod preces vai sniedz pakalpojumus saskaņā ar distances līgumu, un tie ir saistoši.
- Informācijai jābūt sniegtai skaidri un saprotami un jāatbilst izmantotajiem distances saziņas līdzekļiem. Sniedzamā informācija ietver konkrētus datus par attiecīgajām precēm vai pakalpojumiem, to cenu (ieskaitot PVN un citus nodokļus) un piegādes maksām, kā arī informāciju par klienta atteikuma tiesībām. Jāuzrāda arī jūsu uzņēmuma pilna kontaktinformācija.
- Ja klienta pasūtītās preces vai pakalpojumi varētu nebūt pieejami, jums jāinformē klients, vai esat gatavs pasūtīto preču vai pakalpojumu vietā nodrošināt citas tādas pašas kvalitātes un cenas preces vai pakalpojumus.
Tirgotāji, pieņemot karšu darījumus, ir pakļauti dažādiem riskiem. Šī informācija ir sagatavota, lai palīdzētu jums saprast gaidāmos riskus un pasākumus, kādi jāveic zaudējumu riska samazināšanai. Viens no tirgotāju lielākajiem riskiem ir krāpniecisku darījumu risks. Ja nebūsiet uzmanīgs, krāpniecība jūsu uzņēmumam var maksāt dārgi. Noteikta veida tirgotāji atkarībā no to piedāvāto preču veida ir vairāk pakļauti krāpniecisku darījumu riskam nekā citi. Tirgotājiem jāapzinās iespējamība, ka krāpnieki varētu mēģināt pret tiem izvērst savas darbības.
Ir būtiski saprast terminu "autorizācija" - kas tā ir un ko tā nozīmē.
Ko nozīmē "autorizācija"?
Ko nozīmē "autorizācija":
- Konta numurs ir derīgs.
- Karte nav pieteikta kā nozaudēta vai nozagta (lai gan tā joprojām var būt nozaudēta, nozagta vai ar to var būt izdarītas nesankcionētas darbības (proti, notikusi pretlikumīga kartes datu iegūšana vai nokopēšana), bet kartes lietotājs to nezina).
- Ir pieejami darījuma apmaksai pietiekami līdzekļi.
Ko nenozīmē "autorizācija"?
Ko nenozīmē "autorizācija":
- Autorizācija nenozīmē, ka persona, kas ievada vai nosauc kartes numuru, ir kartes tiesīgais lietotājs - joprojām pastāv risks, ka persona, kas ievada vai nosauc kartes numuru, ir karti vai nu nozagusi, vai savādāk prettiesiski to ieguvusi.
- Pastāv arī risks, ka pircējs izmanto kartes numuru, nesankcionēti to iegūstot, bet pati karte var nebūt pircēja rīcībā.
Lai arī ir svarīgi katram darījumam saņemt autorizāciju, tā vien no krāpniecības riska un pretenzijām nepasargās. Risks pastāv arī tad, ja autorizācija ir veikta.
Kādu produktu e-veikli ir pakļauti lielākam krāpniecības riskam?
Biežs krāpnieku mērķis ir tālāk uzskaitītās preces, jo tās ir vērtīgas un tās var pārdot tālāk:
- Elektronika
- Sadzīves tehnika
- Dārglietas
- Datori
- Mēbeles
- Preces, kuras var viegli un ātri realizēt par naudu
Ja jūs nodarbojaties ar šādu preču tirdzniecību, aicinām būt ļoti uzmanīgiem pirms preču nodošanas vai nosūtīšanas. It īpaši iesakām veikt visus pasākumus, lai pārbaudītu, vai pircējs ir patiesais kartes lietotājs.
Darījumu piemēri, kuros jāievēro īpaša piesardzība
Tālāk minēti darījumu piemēri, kuros jābūt īpaši piesardzīgiem. Bieži vien tieši vairāku faktoru kopums liecina par, iespējams, krāpnieciskām darbībām.
- Iepērkas pirmo reizi - noziedznieki vienmēr meklē jaunus tirgotājus, no kuriem nozagt.
- Neparasti lieli pasūtījumi - tā kā zagtām kredītkartēm un konta numuriem ir ierobežots izmantošanas laiks, noziedznieki vēlas veikt pēc iespējas lielākus pirkumus.
- Vienas preces vairāku veidu pasūtījums - vienas un tās pašas preces vairāki eksemplāri ļauj noziedzniekiem gūt lielāku peļņu.
- Steidzama vai vienas dienas piegāde - noziedznieki vēlas savas krāpnieciski iegūtās preces saņemt pēc iespējas drīzāk ātrai tālākpārdošanai, un paaugstinātās piegādes maksas viņiem nerūp.
- Piegāde ārpus tirgotāja darbības valsts - reizēm krāpnieciskos darījumos iegūtās preces piegādā noziedzniekiem ārpus mītnes valsts.
- Neatbilstība - informācija pasūtījuma datos, piemēram, neatbilstība starp rēķina adresi un piegādes adresi, apgabala tālruņa kodi nesakrīt ar tuvumā esošo pasta nodaļu kodiem, e-pasta adreses, par kuru īstumu rodas šaubas, neparasts pasūtījumu veikšanas laiks.
- Vairāki darījumi ar vienu karti īsā laika posmā - tas var būt mēģinājums iztukšot karti, pirms tiek slēgts tai piesaistītais konts.
- Nosūtīšana uz vienu un to pašu adresi, veicot darījumus ar vairākām kartēm - tas var liecināt par konta numuru ģenerēšanu, izmantojot speciālu programmatūru vai pat veselu partiju zagtu karšu.
- Vairāki darījumi ar vienu karti vai līdzīgu karti ar vienu un to pašu rēķina adresi, dažādām piegādes adresēm - tas var liecināt par darbību organizētā grupā (pretstatā atsevišķas personas darbībai).
- Tiešsaistes darījumos no vienas IP (interneta protokola) adreses tiek izmantotas vairākas kartes - vairāk par vienu vai divām kartēm varētu liecināt par krāpniecisku shēmu.
- Pasūtījumi no interneta adresēm, kas izmanto bezmaksas e-pasta pakalpojumus - šādi e-pasta pakalpojumi neietver nekādus rēķinus, kā arī nenotiek nekādi auditācijas pieraksti un pārbaudes, ka kontu ir atvēris patiesais kartes lietotājs.
Kā samazināt krāpniecisku pirkumu un reklamāciju iespējamību e-veikalā?
Tirgotāji var samazināt krāpniecisku pirkumu un reklamāciju iespējamību tiešsaistes darījumos, veicot šādus pasākumus:
- lūgt norādīt kartes lietotāja bankas nosaukumu - krāpniekiem, kuri ir prettiesiski ieguvuši konta datus, šādas informācijas nebūs. Ja pircējs kavējas norādīt savas bankas nosaukumu, jāievēro piesardzība;
- palūgt pircējam pa faksu atsūtīt savas vadītāja apliecības kopiju;
- preču nesaņemšanas risks īpaši jāizvērtē, ja tās nosūta uz pasta abonementa kastīti;
- pēc preču piegādāšanas saņemt no kartes lietotāja parakstītu kvīti par veikto piegādi;
- daudz dažādu preču pasūtījumu gadījumā pēc pasūtījuma veikšanas piezvanīt kartes lietotājam, lai apstiprinātu pasūtījumu. Var arī palūgt pircējam atkārtot visus pirkuma datus mutiski. Bieži vien, ja pasūtījums ir krāpniecisks, pircējs nespēj apstiprināt šos datus, jo pasūtītas ir visas preces pēc kārtas, nepiefiksējot, kas tieši tiek pasūtīts;
- jāievēro īpaša piesardzība gadījumos, ja vienam pirkumam izmanto vairākas kartes;
- neturpināt mēģināt veikt autorizāciju pēc atteikuma saņemšanas;
- jāievēro īpaša piesardzība attiecībā uz ārvalstu pasūtījumiem - lieliem pasūtījumiem ieteicams neveikt nosūtīšanu, pirms nav noskaidrota pasūtītāja likumība. Tirgotājam ieteicams preces nenosūtīt, kamēr tas nav ieguvis pārliecību, ka pirkums ir likumīgs.
Izmantojot 3D Secure autentifikācijas pakalpojumus, tirgotājs saņem aizsardzību pret reklamācijām (t.i., atbildība par krāpniecības risku tiek pārnesta) darījumos, kuros parasti tiktu saņemta reklamācija, pamatojoties uz klienta nepiedalīšanos darījumā. Šie pakalpojumi klientiem, tirgotājiem un bankām sniedz lielāku drošību tiešsaistes karšu darījumos.
Lūdzu, sazinieties ar mums, zvanot uz tālruņa numuru 67 444 444, ja nepieciešama konsultācija vai vēlaties ziņot par iespējamu krāpniecību. Plašāk par drošu bankas pakalpojumu izmantošanu var uzzināt šeit.
