Ar kāda veida kartēm varēs norēķināties pircēji jūsu interneta veikalā?
Jūsu interneta veikala pircēji varēs apmaksāt preces un pakalpojumus:
- ar jebkurā pasaules bankā izsniegtu VISA vai MASTERCARD kredītkarti;
- ar Latvijas komercbankās izsniegtu VISA ELECTRON vai MAESTRO debetkarti.
Cik droša ir norēķinu karšu pieņemšana internetā?
Lai nodrošinātu norēķinu karšu pieņemšanu internetā, jebkuram interneta veikalam sadarbībā ar Worldline Latvia speciālistiem ir jāintegrē tirdzniecības sistēmā "Worldline e-komercijas pakalpojums". "Worldline e-komercijas pakalpojums" ir Worldline Latvia izstrādāts risinājums, kurš paredzēts karšu transakciju apkalpošanai interneta vidē. Šis risinājums pilnībā atbilst starptautisko maksājumu organizāciju VISA un MasterCard drošības prasībām un specifikācijām un ir sertificēts abās minētajās organizācijās.
Worldline e-komercijas pakalpojuma serveris nodrošina:
- maksājumu karšu datu konfidencialitāti, nodalot kartes datu ievadi un apstrādi no interneta veikala informācijas. Tas nozīmē, ka interneta tirgotājam nav pieejami karšu dati;
- interneta veikala IP adreses pārbaudi;
- drošu datu pārraides kanālu starp Worldline e-komercijas serveri un Worldline e-komercijas pakalpojumu nodrošina atbilstošs PCI DSS (Payment Card Industry Data Security Standard) TLS (Transport Layer Security) protokols un datu kodēšanas algoritms.
Papildu informāciju par pakalpojumu un tā drošību varat iegūt pie Swedbank tehniskajiem sadarbības partneriem Worldline Latvia.
Kas nepieciešams, lai ieviestu pakalpojumu:
- aizpildīt pieteikumu internetbankā;
- noslēgt līgumu ar Banku par "Norēķinu karšu pieņemšanu internetā";
- noslēgt līgumu ar Worldline Latvia par "Worldline e-komercijas pakalpojuma” servera pieslēguma izveidi un uzturēšanu;
- sadarbībā ar Wordline Latvia integrēt "Worldline e-komercijas pakalpojuma" moduli – tehnisko dokumentāciju iespējams iegūt, sazinoties ar Worldline Latvia Klientu apkalpošanas centru.
Tehniskais atbalsts:
Norēķinu karšu nozares drošības standartu padome (PCI SSC), kuru izveidoja vadošās starptautiskās karšu organizācijas Visa, MC, Amex, Diners, Discovery un JCB, ir izstrādājusi PCI DSS noteikumus un dokumentus, kas nosaka karšu drošības principus un politiku. Šie noteikumi nosaka prasības organizācijām, kas pieņem vai apstrādā norēķinu karšu darījumus – bankām, tirgotājiem un maksājumu apstrādātājiem.
Noteikumi un dokumenti ir pieejami šeit.
Visiem tirgotājiem, kuri glabā, apstrādā vai pārraida norēķinu karšu lietotāja datus, ir jānodrošina atbilstība PCI DSS standartiem.
Karšu datu un sensitīvu autentifikācijas datu elementi:
|
Datu elements |
Glabāšana atļauta |
Datus nepieciešams uzglabāt šifrētā veidā |
| Kartes lietotāja dati |
|
Kartes numurs (PAN) |
Jā |
Jā |
|
Kartes lietotāja vārds, uzvārds |
Jā |
Nē |
|
Pakalpojuma kods |
Jā |
Nē |
|
Derīguma termiņš |
Jā |
Nē |
| Sensitīvi autentifikācijas dati |
|
Pilni kartes celiņa dati |
Nē |
Aizliegts |
|
CVV2/CVC2 |
Nē |
Aizliegts |
|
PIN/PIN bloks |
Nē |
Aizliegts |
Kā pārliecināties par atbilstību PCI DSS prasībām?
Banka tirgotājus reizi gadā informē par darbībām, kas jāveic, lai nodrošinātu atbilstību PCI DSS standartiem, un prasības apskatāmas tabulā.
Tirgotāji tiek iedalīti četros līmeņos atkarībā no viena karšu zīmola (t.i. MC, VISA, Amex u.tml.) karšu norēķinu darījumu skaita gadā. 1. līdz 3. līmeņa tirgotājiem par savu atbilstības statusu ir jāinformē sava karšu pieņemšanu apkalpojošā banka. 4. līmeņa tirgotājiem ir ļoti ieteicams aizpildīt Pašnovērtējuma anketu (SAQ) un nosūtīt to savai karšu pieņemšanu apkalpojošai bankai.
| Līmenis |
Tirgotāju darījumu kritēriji |
Veicamās darbības tirgotājam |
Biežums |
| 1. līmenis |
Tirgotāji, kuru kopējais MasterCard vai VISA darījumu skaits gadā sasniedz 6 milj. |
Ārējais drošības audits, ko veic Kvalificēts drošības eksperts (QSA) |
reizi gadā |
| Tīkla skenēšana, ko veic sertificēts tīkla skenēšanas pakalpojuma nodrošinātājs (ASV) vai kvalificēts drošības eksperts (QSA) |
reizi ceturksnī |
| 2. līmenis |
Tirgotāji, kuru kopējais MasterCard vai VISA darījumu skaits gadā ir no 1 līdz 6 milj. |
QSA vai ISA |
reizi gadā |
| Tīkla skenēšana, ko veic sertificēts tīkla skenēšanas pakalpojuma nodrošinātājs (ASV) vai kvalificēts drošības eksperts (QSA) |
reizi ceturksnī |
| 3. līmenis |
E-komercijas tirgotāji, kuru kopējais MasterCard vai VISA darījumu skaits gadā ir no 20 000 līdz 1 milj. |
Ikgadējā pašnovērtējuma anketa (SAQ) pēc tirgotāja izvēles |
reizi gadā |
| Tīkla skenēšana, ko veic sertificēts tīkla skenēšanas pakalpojumanodrošinātājs (ASV) vai kvalificēts drošības eksperts (QSA) |
reizi ceturksnī |
| 4. līmenis |
Visi citi tirgotāji |
Ikgadējā pašnovērtējuma anketa (SAQ) pēc tirgotāja izvēles |
reizi gadā - ieteicams |
| Tīkla skenēšana, ko veic sertificētss tīkla skenēšanas pakalpojuma nodrošinātājs (ASV) vai kvalificēts drošības eksperts (QSA) |
reizi gadā - ieteicams |
Svarīgi! Tirgotājiem ir nepieciešams veikt:
- Drošības auditu, ko veic sertificēts auditors, kas rīkojas kā kvalificēts drošības eksperts (QSA) pie pakalpojuma sniedzējiem, kas minēti PCI DSS oficiālajā Interneta vietnē.
- Tīkla skenēšanu, ko veic kvalificēts tīkla skenēšanas risinājumu nodrošinātājs, kurš rīkojas kā sertificēts tīkla skenēšanas pakalpojuma nodrošinātājs (ASV) vai kvalificēts drošības eksperts (QSA). Sertificēts tīkla skenēšanas pakalpojuma nodrošinātājs (ASV) var veikt skenēšanu tiešsaistes tirgotājiem un tirgotājiem ar fiziskām tirdzniecības vietām, bet tiem nav tiesību veikt ikgadējos auditus.
- Iekšējo auditu, kura ietvaros jāatbild uz pašnovērtējuma anketā (SAQ) iekļautajiem jautājumiem. Anketas saturs ir atkarīgs no tehniskā risinājuma.
PCI DSS prasības un mērķi
Zemāk tabulā redzamās 12 prasības un mērķi jums palīdzēs saprast, kādas svarīgas darbības ir jāveic, lai nodrošinātu atbilstību PCI DSS noteikumiem.
| Mērķi |
PCI DSS prasības |
| Jāizveido un jāuztur drošs tīkls un sistēma |
1. Jāuzstāda un jāuztur ugunsmūra konfigurācija karšu lietotāju datu aizsardzībai.
2. Nedrīkst izmantot aparatūras vai programmatūras piegādātāja uzstādītās noklusējuma sistēmas paroles un citus drošības parametrus.
|
| Jāaizsargā karšu lietotāju dati |
3. Jāaizsargā glabāšanā esošie karšu lietotāju dati.
4. Pārraidot karšu lietotāju datus atvērtos publiskos tīklos, tie ir jāšifrē.
|
| Jāīsteno drošības ievainojamības kontroles programma |
5. Visas sistēmas jāaizsargā pret ļaunprogrammatūru un regulāri jāatjaunina
6. Jāizstrādā un jāuztur drošības sistēmas un programmas.
|
| Jāievieš strikti piekļuves kontroles pasākumi |
7. Piekļuve karšu lietotāju datiem jāatļauj tikai tad, ja pastāv attiecīga ar biznesu saistīta nepieciešamība.
8. Jāidentificē un jāautorizē piekļuve sistēmas komponentēm.
9. Jāierobežo fiziska piekļuve karšu lietotāju datiem.
|
| Regulāri jāuzrauga un jāpārbauda tīkli |
10. Jāseko līdzi un jākontrolē visa piekļuve tīkla resursiem un karšu lietotāju datiem.
11. Regulāri jāpārbauda drošības sistēmas un procesi.
|
| Jāuztur informācijas drošības politika |
12. Jāuztur informācijas drošības politika, kas attiecas uz ikvienu darbinieku. |
Lai saņemtu plašāku informāciju, apmeklējiet https://www.pcisecuritystandards.org/
