Norēķinu karšu pieņemšana internetā

Ar kāda veida kartēm varēs norēķināties pircēji jūsu interneta veikalā?

Jūsu interneta veikala pircēji varēs apmaksāt preces un pakalpojumus:

• ar jebkurā pasaules bankā izsniegtu VISA vai MASTERCARD kredītkarti;
• ar Latvijas komercbankās izsniegtu VISA ELECTRON vai MAESTRO debetkarti.

Cik droša ir norēķinu karšu pieņemšana internetā?

Lai nodrošinātu norēķinu karšu pieņemšanu internetā, jebkuram interneta veikalam sadarbībā ar First Data Latvia speciālistiem ir jāintegrē tirdzniecības sistēmā "IBIS Tirgotāja aģents". "IBIS Tirgotāja aģents" ir First Data Latvia izstrādāts risinājums, kurš paredzēts karšu transakciju apkalpošanai interneta vidē. Šis risinājums pilnībā atbilst starptautisko maksājumu organizāciju VISA un MasterCard drošības prasībām un specifikācijām un ir sertificēts abās minētajās organizācijās.

IBIS serveris nodrošina:

• maksājumu karšu datu konfidencialitāti, nodalot kartes datu ievadi un apstrādi no interneta veikala informācijas. Tas nozīmē, ka interneta tirgotājam nav pieejami karšu dati;
• interneta veikala IP adreses pārbaudi;
• drošu datu pārraides kanālu starp IBIS serveri un „IBIS Tirgotāja aģentu” nodrošina SSL (Secure Sockets Layer) protokols, kā arī tiek izmantots datu kodēšanas algoritms ar 128 bitu atslēgu.

Papildu informāciju par pakalpojumu un tā drošību varat iegūt pie Swedbank tehniskajiem sadarbības partneriem First Data Latvia

Kas nepieciešams, lai ieviestu pakalpojumu:

• nosūtīt izskatīšanai uz e-pastu: cmservice@swedbank.lv aizpildītu un parakstītu "Interneta tirgotāja pieteikuma anketu" un saņemt bankas apstiprinājumu par iespēju izmantot pakalpojumu;
• atvērt Swedbank Norēķinu kontu
• noslēgt līgumu ar Banku par "Norēķinu karšu pieņemšanu internetā"
• noslēgt līgumu ar First Data Latvia par "IBIS servera pieslēguma izveidi un uzturēšanu"
• sadarbībā ar First Data Latvia integrēt "IBIS Tirgotāja aģenta" moduli - tehniskā dokumentācija

Tehniskais atbalsts:

• First Data Latvia, SIA, Kontaktu centrs, Tālr.: +371 67092555 (24h.)
• e-pasts: contact.centre@firstdata.lv
• www.firstdata.com

Norēķinu karšu datu drošības nodrošināšana ir ārkārtīgi svarīga. Drošības standartu izstrāde tika uzsākta 2000.g. sākumā. Sākotnēji par šī projekta nosaukumu tika lietots VISA piedāvātais variants AIS jeb "Account Information Security" (Konta informācijas drošība). MasterCard projekta nosaukums bija SDP jeb "Site Data Protection" (Vietnes datu aizsardzība), un tajā galvenā uzmanība tika vērsta uz interneta tirgotāju pienākumu glabāt karšu datus. 2004.gadā abi uzņēmi apvienoja spēkus, kā arī projektā iesaistīja citas karšu organizācijas. 2005.g. janvārī tika pabeigts Norēķinu karšu nozares datu drošības standarts (Payment Card Industry Data Security Standard jeb PCI DSS), ko veido divpadsmit prasības. Šīs prasības attiecas uz visiem pakalpojumu sniedzējiem un uzņēmumiem, kas sniedz karšu maksājumu pieņemšanas pakalpojumus vai darbojas par starpniekiem to sniegšanā.

No šī starptautiskā standarta izrietošās prasības skar visas maksājumu sistēmas sastāvdaļas, kuras nonāk saskarsmē ar kartes lietotāja datiem. Karšu lietotāja dati atrodas vidē, kas ir tīkla sastāvdaļas (tīkla komponentes, serveri, lietojumprogrammas), kurās savukārt glabājas kartes lietotāja dati vai sensitīvi autentifikācijas dati. Drošības prasības ir noteiktas pakārtoto prasību un jautājumu veidā.

Kartes lietotāja dati un sensitīvi autentifikācijas dati

Kā pārliecināties, ka ir nodrošināta atbilstība PCI DSS prasībām?

1. Nepieciešams, lai sertificēts inspektors (kvalificēts drošības novērtētājs - QSA jeb Qualified Security Assessor) uz vietas veiktu drošības pārbaudi.
2. Nepieciešams, lai kvalificēts tīklu skenēšanas speciālists veiktu tīkla skenēšanu (gadījumos, kad tirgotājs lieto internetu).
3. Nepieciešams veikt uzņēmuma iekšējo drošības auditu, kurā jāaizpilda Pašnovērtējuma anketa (Self Assessment Questionnaire jeb SAQ). Atbildamie jautājumi atšķiras atkarībā no norēķinu risinājuma veida.

Tirgotāju iedala četros līmeņos pēc to darījumu apjoma. Šajā tabulā ir sniegts katra līmeņa apraksts un norādīts veicamo drošības pārbaužu veids:

Iekšējais drošības audits

Uzņēmuma iekšējā audita gaitā ir jāpārliecinās par minēto 12 prasību ievērošanu. Katrai prasībai ir noteikti pakārtotie jautājumi, kas palīdz pārliecināties vai prasības ir ievērotas.

• Jāizveido un jāuztur drošs tīkls

  • Jāuzstāda un jāuztur ugunsmūra konfigurācija karšu lietotāju datu aizsardzībai
  • Nedrīkst izmantot aparatūras vai programmatūras pārdevēja uzstādītās noklusējuma sistēmas paroles un citus drošības parametrus

• Jāaizsargā karšu lietotāju dati

  • Jāaizsargā glabāšanā esošie karšu lietotāju dati
  • Pārraidot karšu lietotāju datus atvērtos publiskos tīklos, tie ir jāšifrē

• Jālieto "vājo vietu" kontroles programma

  • Jālieto un regulāri jāatjaunina pretvīrusu programmatūra
  • Jāizstrādā un jāuztur drošības sistēmas un programmas

• Jāievieš strikti piekļuves kontroles pasākumi

  • Piekļuve karšu lietotāju datiem jāatļauj tikai tad, ja pastāv attiecīga ar biznesu saistīta vajadzība
  • Jāpiešķir unikāls identifikācijas numurs ikvienam, kam ir pieeja datoriem.
  • Jāierobežo fiziska piekļuve karšu lietotāju datiem

• Tīkli regulāri jākontrolē un jāpārbauda

  • Jāseko līdzi un jākontrolē visa piekļuve tīkla resursiem un karšu lietotāju datiem
  • Regulāri jāpārbauda drošības sistēmu procesi

• Jāīsteno informācijas drošības politika

  • Jāīsteno politika par informācijas drošību

Ja jums nav nodrošināta atbilstība kādai no obligātajām prasībām, jums ir jāizstrādā plāns, kas palīdzētu novērst problēmas un ļautu jūsu uzņēmumam nodrošināt atbilstību drošības prasībām.

Plašāka informācija ir pieejama, interneta vietnē www.pcisecuritystandards.org.