PCI DSS kereskedőknek: mikor kell tanúsítvány az online fizetéshez?

PCI DSS kereskedőknek: mikor kell tanúsítvány az online fizetéshez?

Az online kártyaelfogadás az elmúlt évek során fokozatosan terjedt el a magyar kereskedők között – volt aki korábban, volt aki később ismerte fel a jelentőségét. Egy dologban azonban szinte kivétel nélkül azonos módon járt el mindenki: az úgynevezett “háromszereplős” fizetési modellt vezették be, azaz a tranzakcióban részt vesz a webáruház, a vásárló, és a kártyaelfogadó szolgáltató, amelynek a weboldalán (a látogatót oda-, majd a tranzakció után a webáruházba visszairányítva) megtörténik a kártyaadatok megadása.

Itthon az első kártyaelfogadók erre szocializálták a piacot, az “átirányítunk a bank biztonságos fizetőoldalára” volt a bevett kommunikáció. Külföldön, főleg tőlünk nyugatabbra ennek az ellenkezője a jellemző. Ilyen piacokra belépve könnyen tapasztalhatjuk azt, hogy a vásárlónak a külső oldalra átirányítás a furcsa és bizalmat megingató megoldás, hiszen ő a webshopban vásáról, abban a brandben bízik meg, nem akar harmadik szereplőnek (adott esetben számára ismeretlen nevű pénzügyi szolgáltatónak) kártyaadatokat megadni.

A harmadik fél kizárásának feltétele

A háromszereplős modellben a vásárló átirányítás után a kártyaelfogadó felületén adja meg az adatait, a kereskedő a kártyaszámmal és egyéb adatokkal semmilyen formában nem érintkezik (azokat nem kezeli, tárolja, vagy továbbítja), kizárólag a tranzakció sikerességére vonatkozó információkat kapja meg.

A kétszereplős modell esetén a vásárló közvetlenül a webáruház felületén halad végig a teljes vásárlási folyamaton, azután a kereskedő a háttérben továbbítja a kártyaadatokat az elfogadó felé a tranzakció lebonyolítása érdekében. Ilyenkor viszont a kereskedő az, aki az adatok biztonságáért felel, ehhez pedig megfelelő rendszerrel és minősítéssel kell rendelkeznie, amelyet a kártyatársaságok PCI DSS szabványa határoz meg.

Amennyiben a kereskedő megszerzi a PCI DSS tanúsítványt, a kártyaelfogadók egy része (de nem mindegyik) biztosít a számára kétszereplős terminált, amellyel a webáruház checkout folyamatának elhagyása, és külső oldalra irányítás nélkül lebonyolítható a tranzakció.

Ha a rendszer nem felel meg a követelményeknek, akkor webshop csak a háromszereplős modellben tud online fizetést bonyolítani, amelynél általában a fizetőfelületen feltüntethető a kereskedő logója, néhány szolgáltatónál a színvilág minimálisan testreszabható, de a teljes egyedi arculat használatára általában nincs lehetőség.

Fontos, hogy a PCI csak a bankkártyákra (betéti- és hitelkártyákra) vonatkozik, a SZÉP kártya, Cafeteria kártya, Erzsébet kártya, és az egészségpénztári kártyák nem tartoznak a hatálya alá.

Mit jelent a PCI DSS?

A Payment Card Industry Data Security Standard (PCI DSS) – azaz a kártyatársaságok adatbiztonsági szabványa – olyan követelmények gyűjteménye, amelyet a Payment Card Industry Security Standards Council dolgozott ki annak érdekében, hogy a kereskedők egyértelmű útmutatást kapjanak a kártyaadatok kezeléséhez szükséges biztonsági megoldásokról. Ezek a szabályok biztosítják azt, hogy az online tranzakciók biztonságosak legyenek, és a kártyaadatok ne kerülhessenek illetéktelen személyek kezébe.

PCI DSS logo

A követelmények egyértelműek, azonban a megfelelő rendszerek és folyamatok kialakítása, működtetése jelentős erőforrást igényelhet, főleg egy kisebb vállalkozás esetén. Az aktuális irányelvek publikusan elérhetőek a PCI Security Standards Council weboldalán.

Az elvárások 6 kategóriába vannak besorolva, amelyek a következők:

Biztonságos hálózat kialakítása és üzemeltetése

  • 1. követelemény: a rendszer megfelelő tűzfal konfigurációt használ a kártyabirtokos adatainak védelmére
  • 2. követelmény: a rendszerben nincsenek érvényben alapértelmezett, a gyártó/szállító által meghatározott jelszavak, és egyéb biztonsági paraméterek

Kártyabirtokos adatainak védelme

  • 3. követelmény: a rendszer gondoskodik a kártyabirtokos adatainak védelméről
  • 4. követelmény: a rendszer a nyílt hálózatokon titkosított formában továbbítja a kártyaadatokat

Sebezhetőség megelőzése

  • 5. követelmény: a rendszer antivírus szoftvereket használ, amelyeket rendszeresen frissítenek
  • 6. követelmény: az alkalmazások biztonságosak, és a folyamatosan karbantartásuk biztosított

Szigorú jogosultságkezelés

  • 7. követelmény: a hozzáférések a kártyaadatokhoz korlátozva vannak úgy, hogy csak annak legyen hozzáférési jogosultsága, akinek az üzletmenet biztosítása érdekében valóban indokolt
  • 8. követelmény: a hozzáféréssel rendelkező személyek mindegyikének van egy egyedi azonosítója
  • 9. követelmény: a kártyadatokhoz való fizikai hozzáférés nem lehetséges

A hálózatok folyamatos ellenőrzése és tesztelése

  • 10. követelmény: a kártyaadatokhoz történő minden egyes hálózati hozzáférés naplózva és monitorozva van
  • 11. követelmény: a biztonsági rendszerek és folyamatok rendszeresen tesztelve vannak

Adatbiztonsági szabályzat

  • 12. követelmény: létezik az adatbiztonság kérdéseit kezelő szabályzat

A PCI teljes dokumentációja részletes útmutatást tartalmaz arra vonatkozóan, hogy a fenti követelmények részleteiben mit és hogyan várnak el.

PCI DSS tanúsítvány

Azoknak a szervezezeteknek, amelyek bankkártya adatot kezelnek, tárolnak vagy továbbítanak, meg kell felelniük a PCI DSS előírásainak, és meg kell szerezniük az ezt igazoló tanúsítványt.

A folyamat több lépésből áll:

  • Felkészülés: az aktuális állapot felmérése, hiányosságok feltárása, megoldások kidolgozása
  • Implementáció: szükséges átalakítások elvégzése, folyamatok és dokumentációk kialakítása, oktatás az érintett dolgozók számára
  • Vizsgálat: sérülékenységi-, behatolás-, és egyéb biztonsági vizsgálatok lefolytatása
  • Tanúsítás: hivatalos vizsgálat, és a tanúsítvány megszerzése

A dokumentáció gyakorlati értelmezése az ebben nem rutinos személyek számára nehézkes lehet, illetve a tanúsításhoz szükséges kb. 60 oldalas angol nyelvű “self-assesment-questionnaire (SAQ)” kérdőív kitöltése, illetve az elvárt minősítés szintje sem mindig triviális kérdés, így a bevezetéshez külső tanácsadók és szakértők bevonása is indokolt.

A sikeres  minősítés után a kialakított rendszer ismétlődő felülvizsgálata is szükséges, amely rendszeres ASV scannelést, penetrációs tesztelést, és további ellenőrzéseket jelent, ezeket pedig csak megfelelő licensszel rendelkező biztonsági cég végezheti.

A bevezetési folyamat tehát milliós tétel, de az éves fenntartás költsége is több százezer forinttól kezdődik.

Testreszabott fizetési folyamat PCI DSS nélkül?

A tanúsítvány megszerzése nélkül a valódi kétlépcsős fizetési modell nem alkalmazható, azoban a kereskedő súlyától (várható tranzakciós volumenétől) függően előfodulhat, hogy egyes kártyaelfogadók lehetővé teszik a harmadik szereplős fizetési oldal egyedi megjelenítését. Így a vásárló számára úgy tűnhet, hogy végig a webáruházban volt, miközben a tranzakciót lebonyolította, azonban ez az opció csak a piac néhány kiemelkedő szereplője számára érhető el.

A magyar piacon újszerű megoldásként elérhető egy olyan szolgáltatás, amelynél a fizetőoldal a CSS módosításával a kereskedő által szabadon szerkeszthető (bizonyos kötelező tartalmak megtartásával, pl. logók, mezők), így összhangba hozható webáruház designjával, saját brand arculatával. Ezután a fizetőoldal egy külső modulként iframe-be betölthető úgy a böngészőben az URL végig a kereskedő saját checkout folyamatának feleljen meg. Az átirányítás így elrejthető az ügyfelek elől anélkül, hogy a kártyabiztonsági auditot el kellene végeztetni.

A technikai megoldást a kereskedők számára a BIG FISH Payment Gateway, a kártyaelfogadó hátteret pedig a Borgun hazai képviselete biztosítja.

Schmidt Zoltán

A BIG FISH Internet-technológiai Kft. e-kereskedelmi szakértője, a Kosárérték magazin főszerkesztője.

Üzenet a szerzőnek

Kérdésed van?
Hozzászólnál?

Vedd fel a kapcsolatot a szerzővel, várjuk az üzenetedet!