Kā darbojas karšu norēķini?
Šajā video uzzināsiet:
- Kas ir karšu ekosistēma un autorizācijas plūsma
- Kādi ir iespējamie transakciju veidi
- Kādas ir maksāšanas un karšu lietotāju autentifikācijas metodes
Kā sākt karšu pieņemšanu?
Šajā video uzzināsiet:
- Kādi ir karšu pieņemšanas risinājumi
- Kā iegūt karšu termināli un sagatavot to darbam
- Kur saņemt tehnisko atbalstu, ja tas ir nepieciešams
Karšu pieņemšana tiešsaistē
Šajā video uzzināsiet:
- Kas ir karšu pieņemšana tiešsaistē un kādi ir tirgotāja ieguvumi
- Kā notiek tiešsaistes maksājumi
- Kādas ir prasības tiešsaistes tirgotājiem
- Kā minimizēt riskus
Kas ir pretenzija?
Šajā video uzzināsiet par karšu pretenzijām - kāds ir process, termiņi, tirgotāja atbildība un risinājumi, lai izvairītos no šādām situācijām.
Kas ir krāpšana ar kartēm?
Svarīgākais par krāpšanu:
- Kā rīkoties iespējamas krāpšanas gadījumā
- Kā samazināt krāpšanas iespēju
Kas tirgotājiem jādara, lai atbilstu prasībām?
Šajā video uzzināsiet:
- Kādas ir galvenās tirgotāja atbildības jomas
- Kā tirgotājam nodrošināt atbilstību banku un starptautisko karšu organizāciju noteikumiem
Kas ir PCI DSS?
Šajā video uzzināsiet:
- Kas ir PCI DSS
- Kā karšu datus var nozagt
- Kā rīkoties tirgotājam, lai darbotos saskaņā ar PCI DSS, un kādas var būt iespējamās sekas, ja to neievēro
Norēķinu karšu nozares drošības standartu padome (PCI SSC), kuru izveidoja vadošās starptautiskās karšu organizācijas Visa, Mastercard, Amex, Diners, Discovery un JCB, ir izstrādājusi PCI DSS noteikumus un dokumentus, kas nosaka karšu drošības principus un politiku. Norādījumi maksājumu drošībai ir jāievēro ikvienam, kas glabā, apstrādā vai pārraida norēķinu karšu datus – tostarp bankām, tirgotājiem un maksājumu apstrādātājiem. Minētie noteikumi nosaka tehniskās un operacionālās prasības, kas ir saistošas organizācijām, kuras pieņem vai apstrādā maksājumu darījumus.
Prasību un standartu jaunākā versija ir pieejama šeit.
Visiem tirgotājiem, kuri glabā, apstrādā vai pārraida norēķinu karšu lietotāja datus, ir jānodrošina atbilstība PCI DSS standartiem.
Karšu datu un sensitīvu autentifikācijas datu elementi:
|
Datu elements |
Glabāšana atļauta |
Datus nepieciešams uzglabāt šifrētā veidā |
Kartes lietotāja dati |
|
Kartes numurs (PAN) |
Jā |
Jā Kartes numurs (PAN) jāpadara nenolasāms |
|
Kartes lietotāja vārds, uzvārds |
Jā |
Nē |
|
Pakalpojuma kods Trīs vai četru ciparu numurs uz kartes magnētiskā celiņa |
Jā |
Nē |
|
Derīguma termiņš |
Jā |
Nē |
Sensitīvi autentifikācijas dati Sensitīvus autentifikācijas datus pēc autorizācijas vairs nedrīkst glabāt pat šifrētā formātā |
|
Pilni kartes celiņa dati Pilni kartes celiņa dati no magnētiskās joslas, čipa vai cita avota |
Nē |
Aizliegts |
|
CVV2/CVC2 Trīs ciparu kods, kas uzdrukāts norēķinu kartes priekšpusē vai aizmugurē |
Nē |
Aizliegts |
|
PIN/PIN bloks Personīgais identifikācijas kods, ko kartes lietotājs ievada darījuma laikā un/vai šifrētais PIN bloks, kas atrodas darījuma ziņojumā |
Nē |
Aizliegts |
Kā pārliecināties par atbilstību PCI DSS prasībām?
Mēs tirgotājus reizi gadā e-pastā informējam par darbībām, kas jāveic, lai nodrošinātu atbilstību PCI DSS standartiem, un prasības ir apskatāmas tabulā.
Tirgotāji tiek iedalīti četros līmeņos atkarībā no viena karšu zīmola (t.i. Mastercard, VISA, Amex u.tml.) karšu norēķinu darījumu skaita gadā. 1. līdz 3. līmeņa tirgotājiem par savu atbilstības statusu ir jāinformē mūs pēc nepieciešamo darbību veikšanas. 4. līmeņa tirgotājiem ir jāinformē mūs par savu atbilstības statusu, nosūtot aizpildītu Pašnovērtējuma anketu (SAQ).
Līmenis |
Tirgotāju darījumu kritēriji |
Veicamās darbības tirgotājam |
Biežums |
1. līmenis |
Tirgotāji, kuru kopējais Mastercard vai VISA darījumu skaits gadā sasniedz vai pārsniedz 6 milj. |
Ārējais drošības audits, ko veic Kvalificēts drošības eksperts (QSA) |
reizi gadā |
Tīkla skenēšana, ko veic sertificēts tīkla skenēšanas pakalpojuma nodrošinātājs (ASV) vai kvalificēts drošības eksperts (QSA) |
reizi ceturksnī |
2. līmenis |
Tirgotāji, kuru kopējais Mastercard vai VISA darījumu skaits gadā ir no 1 līdz 6 milj. |
Kvalificēts drošības eksperts (QSA) vai Iekšējais drošības novērtētājs (ISA) 2. līmeņa tirgotājiem, kuri izvēlas pildīt ikgadējo pašnovērtējuma anketu, jānodrošina, ka pašnovērtēšanā iesaistītie darbinieki reizi gadā iziet PCI SSC ISA apmācības un nokārto ar to saistīto akreditācijas programmu, lai varētu turpināt atbilstības pārbaudei izvēlēties pašnovērtēšanu. Kā alternatīvu 2. līmeņa tirgotāji ikgadējās pašnovērtējuma anketas pildīšanas vietā var izvēlēties ikgadējo klātienes novērtējumu, ko veic PCI SSC padomes akceptēts kvalificēts drošības eksperts(QSA). |
reizi gadā |
1. Tirgotājiem, kuri aizpilda Pašnovērtējuma anketu A, A-EP vai D, ir jāpiesaista QSA vai ISA ikgadējai atbilstības pārbaudei.
2. Tirgotāji, kuri aizpilda Pašnovērtējuma anketu B, B-IP, C-VT, C vai P2PE, tagad drīkst veikt pašnovērtēšanu bez QSA vai ISA piesaistīšanas atbilstības pārbaudei.
|
reizi gadā |
Tīkla skenēšana, ko veic sertificēts tīkla skenēšanas pakalpojuma nodrošinātājs (ASV) vai kvalificēts drošības eksperts (QSA)
|
reizi ceturksnī |
3. līmenis |
E-komercijas tirgotāji, kuru kopējais Mastercard vai VISA darījumu skaits gadā ir no 20 000 līdz 1 milj. |
Jāizpilda ikgadējā pašnovērtējuma anketa (SAQ) |
reizi gadā |
Tīkla skenēšana, ko veic sertificēts tīkla skenēšanas pakalpojumanodrošinātājs (ASV) vai kvalificēts drošības eksperts (QSA) |
reizi ceturksnī |
4. līmenis |
Visi citi tirgotāji |
Ikgadējā pašnovērtējuma anketa (SAQ) pēc tirgotāja izvēles |
reizi ceturksnī - ieteicams |
Tīkla skenēšana, ko veic sertificētss tīkla skenēšanas pakalpojuma nodrošinātājs (ASV) vai kvalificēts drošības eksperts (QSA) |
reizi gadā - ieteicams |
Svarīgi! Tirgotājiem ir nepieciešams veikt:
- Drošības auditu, ko veic sertificēts auditors, kas rīkojas kā kvalificēts drošības eksperts (QSA) pie pakalpojuma sniedzējiem, kas minēti PCI DSS oficiālajā Interneta vietnē.
- Tīkla skenēšanu, ko veic kvalificēts tīkla skenēšanas risinājumu nodrošinātājs, kurš rīkojas kā sertificēts tīkla skenēšanas pakalpojuma nodrošinātājs (ASV) vai kvalificēts drošības eksperts (QSA). Sertificēts tīkla skenēšanas pakalpojuma nodrošinātājs (ASV) var veikt skenēšanu tiešsaistes tirgotājiem un klātienes tirgotājiem, bet tiem nav tiesību veikt ikgadējos auditus.
- Iekšējo auditu, kura ietvaros jāatbild uz pašnovērtējuma anketā (SAQ) iekļautajiem jautājumiem. Anketas saturs ir atkarīgs no tehniskā risinājuma.
PCI DSS prasības un mērķi
Zemāk tabulā redzamās 12 prasības un mērķi jums palīdzēs saprast, kādas svarīgas darbības ir jāveic, lai nodrošinātu atbilstību PCI DSS noteikumiem.
Mērķi |
PCI DSS prasības |
Jāizveido un jāuztur drošs tīkls un sistēma |
1. Jāuzstāda un jāuztur ugunsmūra konfigurācija karšu lietotāju datu aizsardzībai.
2. Nedrīkst izmantot aparatūras vai programmatūras piegādātāja uzstādītās noklusējuma sistēmas paroles un citus drošības parametrus.
|
Jāaizsargā karšu lietotāju dati |
3. Jāaizsargā glabāšanā esošie karšu lietotāju dati.
4. Pārraidot karšu lietotāju datus atvērtos publiskos tīklos, tie ir jāšifrē.
|
Jāīsteno drošības ievainojamības kontroles programma |
5. Visas sistēmas jāaizsargā pret ļaunprogrammatūru un regulāri jāatjaunina prevīrusu programmatūra.
6. Jāizstrādā un jāuztur drošības sistēmas un programmas.
|
Jāievieš strikti piekļuves kontroles pasākumi |
7. Piekļuve karšu lietotāju datiem jāatļauj tikai tad, ja pastāv attiecīga ar biznesu saistīta nepieciešamība.
8. Jāidentificē un jāautorizē piekļuve sistēmas komponentēm.
9. Jāierobežo fiziska piekļuve karšu lietotāju datiem.
|
Regulāri jāuzrauga un jāpārbauda tīkli |
10. Jāseko līdzi un jākontrolē visa piekļuve tīkla resursiem un karšu lietotāju datiem.
11. Regulāri jāpārbauda drošības sistēmas un procesi.
|
Jāuztur informācijas drošības politika |
12. Jāuztur informācijas drošības politika, kas attiecas uz ikvienu darbinieku. |
Lai saņemtu plašāku informāciju, apmeklējiet https://www.pcisecuritystandards.org/
Karšu lietotājiem ir tiesības apstrīdēt jebkurus karšu darījumus, kas veikti ar Mastercard vai Visa karti. Šādas pretenzijas tiek risinātas chargeback formā, un tās regulē virkne noteikumu, ko izstrādājušas attiecīgās organizācijas. Chargeback procesā pierādīšanas pienākums gulstas uz tirgotāju, kuram tiek dota iespēja uzrādīt dokumentāciju, kas pierāda darījuma likumību. Ja tirgotājs to veiksmīgi izdara, darījuma summa tiek atskaitīta atpakaļ uz tā kontu. Ja tirgotājs to neizdara vai nesniedz atbildi noteiktajā termiņā, tirgotājam iestājas finansiāla atbildība atgriezt attiecīgos naudas līdzekļus klientam, kurš iesniedzis pretenziju;
Kādi ir biežākie Chargeback iemesli?
Biežākie Chargeback iemesli:
- kartes lietotājs attiecīgo darījumu nav veicis (bieži vien krāpniecības pazīme);
- regulārais maksājums tiek atcelts;
- preces neatbilst aprakstam;
- precēm ir brāķis vai defekts;
- netiek sniegta atbilde uz kupona pieprasījumiem.
Chargeback var veikt arī citu iemeslu dēļ, piemēram, preču/pakalpojumu nesaņemšanas gadījumā.
Kā izvairīties no Chargeback?
Ieteikumi, kā izvairīties no chargeback:
- Lai izvairītos no pretenzijām saistībā ar preču nepiegādāšanu, ir ļoti ieteicams izmantot piegādes pakalpojumu, kurā izsniedz piegādes apstiprinājumu.
- Lai izvairītos no pretenzijām saistībā ar saplīsušām precēm, vienmēr jāiegādājas pārvadāšanas apdrošināšana, ja preces ir trauslas. Noteikti skaidri nosakiet termiņus, kādos šādas pretenzijas tiks izskatītas.
- Ir divi veidi, kā rīkoties ar pretenzijām par preču saplīšanu, ja tas nav noticis pārvadāšanas rezultātā: ja precei ir garantija, prasīt klientam, lai tas nepastarpināti sazinās ar ražotāju; piedāvāt klientam, lai tas nosūta preci jums atpakaļ. Nodrošiniet, lai jūsu preču atgriešanas politikā būtu ļoti skaidri noteikti termiņi un atgriezto preču autorizācijas process.
- Ja klients apgalvo, ka nekad nav pasūtījis attiecīgo produktu, jums jābūt klienta pasūtījuma skaidrai dokumentācijai.
- Lai jums būtu precīzi fiksētas visas sarunas, saraksti vienmēr veiciet pa e-pastu.
- Noteikumiem un nosacījumiem jābūt skaidri izklāstītiem tīmekļa vietnē, kur attiecīgie pakalpojumi tiek sniegti. Informācija, kas klientam jāsniedz pirms līguma noslēgšanas, ir norādīta patērētāju tiesību aizsardzības noteikumos. Šie noteikumi attiecas uz jebkuru personu, kas pārdod preces vai sniedz pakalpojumus saskaņā ar distances līgumu, un tie ir saistoši.
- Informācijai jābūt sniegtai skaidri un saprotami un jāatbilst izmantotajiem distances saziņas līdzekļiem. Sniedzamā informācija ietver konkrētus datus par attiecīgajām precēm vai pakalpojumiem, to cenu (ieskaitot PVN un citus nodokļus) un piegādes maksām, kā arī informāciju par klienta atteikuma tiesībām. Jāuzrāda arī jūsu uzņēmuma pilna kontaktinformācija.
- Ja klienta pasūtītās preces vai pakalpojumi varētu nebūt pieejami, jums jāinformē klients, vai esat gatavs pasūtīto preču vai pakalpojumu vietā nodrošināt citas tādas pašas kvalitātes un cenas preces vai pakalpojumus.
Tirgotāji, pieņemot karšu darījumus, ir pakļauti dažādiem riskiem. Šī informācija ir sagatavota, lai palīdzētu jums saprast gaidāmos riskus un pasākumus, kādi jāveic zaudējumu riska samazināšanai. Viens no tirgotāju lielākajiem riskiem ir krāpniecisku darījumu risks. Ja nebūsiet uzmanīgs, krāpniecība jūsu uzņēmumam var maksāt dārgi. Noteikta veida tirgotāji atkarībā no to piedāvāto preču veida ir vairāk pakļauti krāpniecisku darījumu riskam nekā citi. Tirgotājiem jāapzinās iespējamība, ka krāpnieki varētu mēģināt pret tiem izvērst savas darbības.
Ir būtiski saprast terminu "autorizācija" - kas tā ir un ko tā nozīmē.
Ko nozīmē "autorizācija"?
Ko nozīmē "autorizācija":
- Konta numurs ir derīgs.
- Karte nav pieteikta kā nozaudēta vai nozagta (lai gan tā joprojām var būt nozaudēta, nozagta vai ar to var būt izdarītas nesankcionētas darbības (proti, notikusi pretlikumīga kartes datu iegūšana vai nokopēšana), bet kartes lietotājs to nezina).
- Ir pieejami darījuma apmaksai pietiekami līdzekļi.
Ko nenozīmē "autorizācija"?
Ko nenozīmē "autorizācija":
- Autorizācija nenozīmē, ka persona, kas ievada vai nosauc kartes numuru, ir kartes tiesīgais lietotājs - joprojām pastāv risks, ka persona, kas ievada vai nosauc kartes numuru, ir karti vai nu nozagusi, vai savādāk prettiesiski to ieguvusi.
- Pastāv arī risks, ka pircējs izmanto kartes numuru, nesankcionēti to iegūstot, bet pati karte var nebūt pircēja rīcībā.
Lai arī ir svarīgi katram darījumam saņemt autorizāciju, tā vien no krāpniecības riska un pretenzijām nepasargās. Risks pastāv arī tad, ja autorizācija ir veikta.
Kādu produktu e-veikli ir pakļauti lielākam krāpniecības riskam?
Biežs krāpnieku mērķis ir tālāk uzskaitītās preces, jo tās ir vērtīgas un tās var pārdot tālāk:
- Elektronika
- Sadzīves tehnika
- Dārglietas
- Datori
- Mēbeles
- Preces, kuras var viegli un ātri realizēt par naudu
Ja jūs nodarbojaties ar šādu preču tirdzniecību, aicinām būt ļoti uzmanīgiem pirms preču nodošanas vai nosūtīšanas. It īpaši iesakām veikt visus pasākumus, lai pārbaudītu, vai pircējs ir patiesais kartes lietotājs.
Darījumu piemēri, kuros jāievēro īpaša piesardzība
Tālāk minēti darījumu piemēri, kuros jābūt īpaši piesardzīgiem. Bieži vien tieši vairāku faktoru kopums liecina par, iespējams, krāpnieciskām darbībām.
- Iepērkas pirmo reizi - noziedznieki vienmēr meklē jaunus tirgotājus, no kuriem nozagt.
- Neparasti lieli pasūtījumi - tā kā zagtām kredītkartēm un konta numuriem ir ierobežots izmantošanas laiks, noziedznieki vēlas veikt pēc iespējas lielākus pirkumus.
- Vienas preces vairāku veidu pasūtījums - vienas un tās pašas preces vairāki eksemplāri ļauj noziedzniekiem gūt lielāku peļņu.
- Steidzama vai vienas dienas piegāde - noziedznieki vēlas savas krāpnieciski iegūtās preces saņemt pēc iespējas drīzāk ātrai tālākpārdošanai, un paaugstinātās piegādes maksas viņiem nerūp.
- Piegāde ārpus tirgotāja darbības valsts - reizēm krāpnieciskos darījumos iegūtās preces piegādā noziedzniekiem ārpus mītnes valsts.
- Neatbilstība - informācija pasūtījuma datos, piemēram, neatbilstība starp rēķina adresi un piegādes adresi, apgabala tālruņa kodi nesakrīt ar tuvumā esošo pasta nodaļu kodiem, e-pasta adreses, par kuru īstumu rodas šaubas, neparasts pasūtījumu veikšanas laiks.
- Vairāki darījumi ar vienu karti īsā laika posmā - tas var būt mēģinājums iztukšot karti, pirms tiek slēgts tai piesaistītais konts.
- Nosūtīšana uz vienu un to pašu adresi, veicot darījumus ar vairākām kartēm - tas var liecināt par konta numuru ģenerēšanu, izmantojot speciālu programmatūru vai pat veselu partiju zagtu karšu.
- Vairāki darījumi ar vienu karti vai līdzīgu karti ar vienu un to pašu rēķina adresi, dažādām piegādes adresēm - tas var liecināt par darbību organizētā grupā (pretstatā atsevišķas personas darbībai).
- Tiešsaistes darījumos no vienas IP (interneta protokola) adreses tiek izmantotas vairākas kartes - vairāk par vienu vai divām kartēm varētu liecināt par krāpniecisku shēmu.
- Pasūtījumi no interneta adresēm, kas izmanto bezmaksas e-pasta pakalpojumus - šādi e-pasta pakalpojumi neietver nekādus rēķinus, kā arī nenotiek nekādi auditācijas pieraksti un pārbaudes, ka kontu ir atvēris patiesais kartes lietotājs.
Kā samazināt krāpniecisku pirkumu un reklamāciju iespējamību e-veikalā?
Tirgotāji var samazināt krāpniecisku pirkumu un reklamāciju iespējamību tiešsaistes darījumos, veicot šādus pasākumus:
- lūgt norādīt kartes lietotāja bankas nosaukumu - krāpniekiem, kuri ir prettiesiski ieguvuši konta datus, šādas informācijas nebūs. Ja pircējs kavējas norādīt savas bankas nosaukumu, jāievēro piesardzība;
- palūgt pircējam pa faksu atsūtīt savas vadītāja apliecības kopiju;
- preču nesaņemšanas risks īpaši jāizvērtē, ja tās nosūta uz pasta abonementa kastīti;
- pēc preču piegādāšanas saņemt no kartes lietotāja parakstītu kvīti par veikto piegādi;
- daudz dažādu preču pasūtījumu gadījumā pēc pasūtījuma veikšanas piezvanīt kartes lietotājam, lai apstiprinātu pasūtījumu. Var arī palūgt pircējam atkārtot visus pirkuma datus mutiski. Bieži vien, ja pasūtījums ir krāpniecisks, pircējs nespēj apstiprināt šos datus, jo pasūtītas ir visas preces pēc kārtas, nepiefiksējot, kas tieši tiek pasūtīts;
- jāievēro īpaša piesardzība gadījumos, ja vienam pirkumam izmanto vairākas kartes;
- neturpināt mēģināt veikt autorizāciju pēc atteikuma saņemšanas;
- jāievēro īpaša piesardzība attiecībā uz ārvalstu pasūtījumiem - lieliem pasūtījumiem ieteicams neveikt nosūtīšanu, pirms nav noskaidrota pasūtītāja likumība. Tirgotājam ieteicams preces nenosūtīt, kamēr tas nav ieguvis pārliecību, ka pirkums ir likumīgs.
Izmantojot 3D Secure autentifikācijas pakalpojumus, tirgotājs saņem aizsardzību pret reklamācijām (t.i., atbildība par krāpniecības risku tiek pārnesta) darījumos, kuros parasti tiktu saņemta reklamācija, pamatojoties uz klienta nepiedalīšanos darījumā. Šie pakalpojumi klientiem, tirgotājiem un bankām sniedz lielāku drošību tiešsaistes karšu darījumos.
Lūdzu, sazinieties ar mums, zvanot uz tālruņa numuru 67 444 444, ja nepieciešama konsultācija vai vēlaties ziņot par iespējamu krāpniecību. Plašāk par drošu bankas pakalpojumu izmantošanu var uzzināt šeit.