Kaip veikia atsiskaitymų mokėjimo kortelėmis sistema?
Peržiūrėję šį vaizdo įrašą Jūs sužinosite apie:
- mokėjimo kortelių ekosistemą ir jos dalyvius;
- atsiskaitymo kortelėmis operacijų tipus ir atsiskaitymo etapus;
- kortelių turėtojų identifikavimo metodus.
Kaip pradėti priimti mokėjimus kortelėmis?
Šiame vaizdo įraše rasite informaciją apie:
- atsiskaitymų kortelėmis priėmimo techninius sprendimus ir kaip išsirinkti tinkamiausią;
- kaip įsigyti norimą kortelių skaitytuvą ir kaip sudaryti atsiskaitymų kortelėmis priėmimo paslaugos sutartį su banku;
- kur kreiptis, jei kils klausimų arba techninių nesklandumų.
Atsiskaitymų mokėjimo kortelėmis priėmimas internetu
Šiame vaizdo įraše sužinosite apie:
- tai, kaip veikia atsiskaitymai kortelėmis e. prekyboje;
- reikalavimus, kurių privaloma laikytis vykdant prekybą ar paslaugų teikimą internetu;
- atsiskaitymų kortelėmis e. prekyboje riziką ir kaip ją sumažinti.
Kas yra pretenzija dėl lėšų grąžinimo?
Peržiūrėję šį vaizdo įrašą suprasite dėl kokių priežasčių kyla ginčai dėl atsiskaitymų kortelėmis, koks jų nagrinėjimo procesas, atsakomybės, kada ir kaip privalu grąžinti lėšas pirkėjams bei kaip tokių atvejų išvengti.
Kas yra neteisėta operacija kortele?
Šiame vaizdo įraše sužinosite apie:
- kada atsiskaitymo kortele operacija yra laikoma neteisėta;
- ką reikėtų daryti, jei įtariate neteisėtą operaciją;
- kaip išvengti neteisėtų operacijų ir sumažinti jų keliamą riziką.
Kokių reikalavimų turi laikytis prekybininkai?
Šis vaizdo įrašas supažindins su:
- pagrindinėmis prekybininko, priimančio atsiskaitymus kortelėmis, pareigomis;
- kaip atitikti tarptautinių mokėjimo kortelių organizacijų ir banko keliamus reikalavimus.
Kas yra mokėjimo kortelių duomenų apsauga (PCI DSS)?
Šiame vaizdo įraše apžvelgiame:
- kas yra Mokėjimo kortelių duomenų apsaugos standartas;
- kaip neteisėtai gali būti pasisavinti mokėjimo kortelių duomenys;
- kokios yra PCI DSS reikalavimų nesilaikymo pasekmės;
- kaip atitikti PCI DSS reikalavimus ir užtikrinti kortelių duomenų saugumą.
Mokėjimo kortelių duomenų apsaugos tarybą (PCI SSC – angl. Payment Card Industry Security Standards Council) įkūrė pirmaujančios tarptautinės mokėjimo kortelių organizacijos: „Visa“, „Mastercard“, „Amex“, „Diners“, „Discovery“, „JCB“. PCI SSC parengė mokėjimo kortelių duomenų apsaugos standarto (PCI DSS – angl. Payment Card Industry Data Security Standard) taisykles ir dokumentus, reglamentuojančius ir apibrėžiančius kortelių saugumo principus bei politiką. Mokėjimo kortelių duomenų apsaugos standartu (PCI DSS) privalo vadovautis visi subjektai, kurie saugo, tvarko ar perduoda mokėjimo kortelių turėtojų duomenis, įskaitant neskelbtinus autentiškumo patvirtinimo duomenis, arba gali turėti įtakos kortelės savininko duomenų saugumui. Tai apima visus subjektus, dalyvaujančius mokėjimų vykdyme – prekybininkus, duomenų valdytojus, duomenų siuntėjus, duomenų gavėjus ir kitus paslaugų teikėjus. Šios taisyklės nustato techninius ir veiklos reikalavimus organizacijoms, priimančioms arba apdorojančioms mokėjimo operacijas.
Naujausią reikalavimų ir standartų versiją rasite čia.
Visi prekybininkai, saugantys, tvarkantys ar perduodantys kortelių turėtojų duomenis, įskaitant neskelbtinus autentiškumo patvirtinimo duomenis, privalo laikytis PCI DSS. Kai kurie PCI DSS reikalavimai galioja ir tiems subjektams, kurie nesaugo, netvarko ir neperduoda sąskaitų duomenų tiesiogiai, pavyzdžiui subjektai, kurie perka mokėjimo operacijų arba mokėjimo kortelių savininkų duomenų valdymo paslaugas iš išorinių tiekėjų.
| Duomenų elementas |
Saugoti leidžiama |
Užšifruoti saugomus duomenis |
| Kortelės numeris (Pirminis sąskaitos numeris PAN) |
Taip |
Taip Kortelės numeris privalo būti šifruojamas, t. y. neperskaitomas |
| Kortelės turėtojo vardas ir pavardė |
Taip |
Ne |
| Paslaugos kodas, skirtas atpažinti kortelės tipą |
Taip |
Ne |
| Kortelės galiojimo data |
Taip |
Ne |
| Išsamūs kortelės duomenys Išsamūs duomenys, įrašyti į magnetinę juostelę, lygiaverčiai duomenys iš lusto ar kt.) |
Ne |
Draudžiama |
| Saugos kodas CVV2 ar CVC2 Trijų ar keturių skaitmenų kodas, atspausdintas bet kurioje mokėjimo kortelės pusėje |
Ne |
Draudžiama |
| PIN ar PIN blokas Asmeninis identifikavimo numeris, kurį operacijos metu įveda kortelės turėtojas, ir (arba) užšifruotas PIN blokas, esantis operacijos žinutėje |
Ne |
Draudžiama |
Bankas kartą per metus informuoja prekybininkus, kokių veiksmų jie turi imtis, kad būtų laikomasi PCI DSS. Reikalavimai pateikiami lentelėje.
Prekybininkai skirstomi į 4 kategorijas pagal metinį operacijų skaičių to paties prekės ženklo (t. y. „Mastercard“, „Visa“, „American Express“ ir kt.) mokėjimo kortele. 1–3 lygmens prekybininkai privalo teikti periodinių patikrinimų rezultatus, o 4 lygmens prekybininkai privalo pildyti ir pateikti savęs vertinimo klausimyną (SAQ – angl. Supplementary Application Questionnaire) juos aptarnaujančiam bankui.
| Prekybininko lygmuo |
Prekybininko operacijų kriterijai |
Veiksmai, kurių turi imtis prekybininkas |
Dažnumas |
| 1 lygmuo |
Prekybininkas, kasmet turintis 6 mln. ir daugiau mokėjimo operacijų „Mastercard“ arba „Visa“ kortelėmis |
Išorinis saugumo auditas, kurį atlieka kvalifikuotas saugumo vertintojas (QSA – angl. Qualified Security Assessor) |
Kartą per metus |
| Tinklą nuskenuoja patvirtintas skenuotojas (ASV – angl. Approved Scanning Vendors) arba kvalifikuotas saugumo vertintojas (QSA) |
Kartą per ketvirtį |
| 2 lygmuo |
Prekybininkas, kasmet turintis nuo 1 iki 6 mln. mokėjimo operacijų „Mastercard“ arba „Visa“ kortelėmis |
QSA arba vidaus saugumo vertintojas (ISA – angl. Internal Security Assessor) 2 lygmens prekybininkas, pasirinkęs užpildyti metinį savarankiško įsivertinimo klausimyną, privalo užtikrinti, kad savarankišką įsivertinimą atliekantys darbuotojai išklausytų PCI SSC ISA vidaus saugumo vertintojų mokymus ir kasmet baigtų atitinkamą akreditavimo programą, kad galėtų ir toliau taikyti savarankiško įsivertinimo metodą, siekiant patvirtinti reikalavimų laikymąsi. Arba 2 lygmens prekybininkas gali savo nuožiūra pasirinkti kasmetinį patikrinimą vietoje, kurį atlieka PCI SSC patvirtintas kvalifikuotas saugumo vertintojas (QSA), vietoj kasmetinio savarankiško įsivertinimo klausimyno pildymo. |
Kartą per metus |
| Tinklą nuskenuoja patvirtintas skenuotojas (ASV) arba kvalifikuotas saugumo vertintojas (QSA) |
Kartą per ketvirtį |
| 3 lygmuo |
E. prekybos prekybininkas, kasmet turintis nuo 20 000 iki 1 mln. mokėjimo operacijų „Mastercard“ arba „Visa“ kortelėmis |
Atliekamas metinis įsivertinimas, užpildant banko pateiktą savęs vertinimo klausimyną (SAQ) |
Kartą per metus |
| Tinklą nuskenuoja patvirtintas skenuotojas (ASV) arba kvalifikuotas saugumo vertintojas (QSA) |
Kartą per ketvirtį |
| 4 lygmuo |
Visi kiti prekybininkai |
Atliekamas metinis įsivertinimas, prekybininko nuožiūra užpildant savęs vertinimo klausimyną (SAQ) |
Rekomenduojama kartą per ketvirtį |
| Prekybininko nuožiūra tinklą nuskenuoja patvirtintas skenuotojas (ASV) arba kvalifikuotas saugumo vertintojas (QSA) |
Rekomenduojama kartą per metus |
Nepamirškite, kad turėsite atlikti:
- saugumo auditą, kurį atlieka oficialioje PCI DSS interneto svetainėje nurodytų bendrovių atestuotas auditorius, veikiantis kaip kvalifikuotas saugumo vertintojas (QSA);
- tinklo skenavimą, kurį atlieka kvalifikuotas tinklo skenavimo tiekėjas, veikiantis kaip patvirtintas skenuotojas (ASV) arba kvalifikuotas saugumo vertintojas (QSA). Patvirtintas skenuotojas (ASV) gali atlikti fizinės ir e. parduotuvės tinklo skenavimą , bet neturi teisės atlikti audito;
- vidaus auditą, kurio metu reikia užpildyti savęs vertinimo klausimyną (SAQ). Klausimyno turinys priklauso nuo techninio sprendimo.
Lentelėje pateikti 12 reikalavimų ir tikslų padės jums įvertinti, kokius svarbius veiksmus reikia atlikti, siekiant laikytis PCI DSS taisyklių.
| Tikslai |
PCI DSS reikalavimai |
| Sukurti ir prižiūrėti saugų tinklą ir sistemą |
1. Įdiegti ir prižiūrėti užkardas (angl. firewall), apsaugančias kortelių turėtojų duomenis.
2. Nenaudoti standartinių nustatymų sistemų slaptažodžiams ir kitiems saugumo parametrams.
|
| Apsaugoti mokėjimo kortelių duomenis |
3. Apsaugoti kortelių turėtojų duomenis.
4. Užšifruoti kortelių turėtojų duomenis, siunčiamus per atvirus viešus tinklus.
|
| Vykdyti pažeidžiamų vietų valdymo procesus |
5. Naudoti antivirusinę programinę įrangą ir reguliariai ją atnaujinti.
6. Stiprinti ir prižiūrėti sistemų bei programinės įrangos saugumą.
|
| Vykdyti griežtą prieigos kontrolę |
7. Apriboti prieigą prie kortelių turėtojų duomenų, kad juos būtų galima pasiekti tik verslo vykdymo tikslais.
8. Prieigos prie sistemos komponentų turi būti autentifikuojamos ir patvirtinamos.
9. Apriboti fizinę prieigą prie kortelių turėtojų duomenų.
|
| Reguliariai stebėti ir tikrinti tinklus |
10. Sekti ir stebėti prieigą prie tinklo ir kortelių turėtojų duomenų.
11. Reguliariai tikrinti saugumo sistemas ir procesus.
|
| Vykdyti informacijos saugumo politiką |
12. Laikytis visų darbuotojų informacijos saugumo politikos. |
Daugiau informacijos rasite https://www.pcisecuritystandards.org/
Kortelių turėtojai turi teisę ginčyti operacijas, atliktas naudojantis „Mastercard“ ar „Visa“ kortelėmis. Mokėjimo kortelių turėtojų pretenzijos sprendžiamos remiantis nustatytomis tarptautinių mokėjimo kortelių organizacijų taisyklėmis. Gavus kortelės turėtojo pretenziją, prekybininkas privalo pateikti operacijos teisėtumą patvirtinančius dokumentus. Jeigu prekybininkas to nepadaro arba nepadaro laiku, jis finansiškai atsako už lėšų grąžinimą klientui, kuris pateikė pretenziją.
Priežastys, dėl kurių dažniausiai gaunamos pretenzijos:
- kortelės turėtojas neatliko operacijos (dažnai tai būna kortelės duomenų vagystės atveju);
- atšaukta periodinė operacija;
- prekės neatitiko aprašymo;
- prekės sugadintos arba su defektais;
- nepavyko užskaityti kupono.
Pretenzijos gali būti pateikiamos ir dėl kitų priežasčių, įskaitant negautas prekes ar nesuteiktas paslaugas.
Patarimai, kaip spręsti pretenzijas dėl lėšų grąžinimo:
- Norėdami išvengti skundų dėl nepristatytų prekių, naudokitės prekių pristatymo paslauga su pristatymo patvirtinimu.
- Norėdami išvengti skundų dėl sugadintų prekių siunčiant, visada įsigykite prekių gabenimo draudimą, jeigu jūsų prekės yra trapios. Aiškiai nurodykite terminą, per kurį tokie skundai bus nagrinėjami.
- Galimi du skundų dėl ne siuntimo metu sugadintų prekių nagrinėjimo būdai: klientas gali tiesiogiai susisiekti su gamintoju, jeigu prekei taikoma garantija, arba paprašykite kliento, kad jis grąžintų prekę jums. Užtikrinkite, kad jūsų prekių grąžinimo politikoje būtų labai aiškiai nurodytas grąžinimo terminas ir grąžintų prekių patvirtinimo procesas.
- Jeigu klientas teigia, kad neužsakė prekės, įsitikinkite, kad turite aiškią užsakymo informaciją ir dokumentus.
- Bendrauti e. paštu, kad turėtumėte tikslią visų susirašinėjimų istoriją.
- Interneto svetainėje, kurioje teikiamos internetinės paslaugos, aiškiai pateikite visas sąlygas. Vartotojų apsaugą reglamentuojančiuose teisės aktuose nustatyta, kokią informaciją privaloma pateikti klientams prieš sudarant sutartį. Šios taisyklės taikomos visiems, t.y. ir tiems, kurie tiekia prekes arba paslaugas pagal nuotoliniu būdu sudaromą sutartį, tad jų laikytis privaloma.
- Informacija privalo būti pateikta aiškiai ir suprantamai, nuotolinės komunikacijos priemonėms tinkama forma. Turite pateikti išsamią informaciją apie prekes ar paslaugas, jų kainą (įskaitant PVM ir kitus mokesčius) ir pristatymo mokesčius, taip pat informaciją apie klientų teises atšaukti operaciją. Taip pat turite nurodyti išsamius savo įmonės kontaktinius duomenis.
- Jei paaiškėtų, kad kliento užsakytų prekių ar paslaugų suteikti negalėsite, privalote informuoti klientą apie galimybę suteikti pakaitines lygiavertės kokybės ir kainos prekes ar paslaugas arba grąžinti sumokėtus pinigus.
Priimdami atsiskaitymus kortele prekybininkai susiduria su įvairiomis rizikomis. Ši informacija padės jums suprasti, su kokia rizika susiduriate ir kokių veiksmų imtis, kad sumažintumėte lėšų praradimo galimybę. Viena iš didžiausių rizikų yra neteisėtos operacijos. Kad apsisaugotumėte ir netaptumėte sukčių taikiniu, turite žinoti, kas yra autorizacija ir ką ji patvirtina.
Autorizacija - tai, kada:
- sąskaitos numeris galioja;
- apie kortelę nebuvo pranešta kaip apie pamestą ar pavogtą;
- operacijai atlikti pakanka lėšų.
Nors svarbu autorizuoti kiekvieną operaciją, vien autorizacija neapsaugo jūsų nuo sukčiavimo ar pretenzijų dėl lėšų grąžinimo atvejų. Autorizacija neužtikrina, kad kortelės duomenis nurodantis asmuo yra teisėtas jos savininkas. Išlieka rizika, kad kortelę ar jos duomenis asmuo pavogė arba gavo neteisėtai.
Dėl didelės vertės ir tinkamumo perparduoti sukčiai dažniausiai nusitaiko į e. parduotuves, prekiaujančias šiomis prekėmis:
- Elektronika
- Buitiniai prietaisai
- Papuošalai
- Kompiuteriai
- Baldai
- Prekės, kurias galima lengvai parduoti už grynuosius
Jeigu prekiaujate bet kuriomis iš šių prekių, būkite ypač atsargūs prieš pristatydami ar siųsdami prekes. Įsitikinkite, kad ėmėtės visų galimų veiksmų patvirtinti, kad pirkėjas yra tikrasis kortelės turėtojas.
Čia pateikiami galimai įtartinų operacijų požymiai. Sukčiavimą dažnai išduoda daugiau nei vienas požymis.
- Pirkėjas perka e-parduotuvėje pirmą kartą. Sukčiai visada ieško naujų prekybininkų, kuriuos galėtų apgauti.
- Didesni nei įprasta užsakymai, nes pavogtomis kortelėmis ir sąskaitų numeriais galima pasinaudoti tik ribotą laikotarpį.
- Užsakymai, apimantys kelias tos pačios prekės rūšis. Daugiau nei vienos tos pačios prekės turėjimas didina nusikaltėlių pelną.
- Reikalaujama skubių pristatymų. Sukčiai nori įsigytas prekes gauti kuo greičiau, kad galėtų greitai perparduoti, tad jiems pernelyg nerūpi papildomi pristatymo mokesčiai.
- Perkama ne prekybininko šalyje. Kartais sukčiaujant įsigytos prekės siunčiamos nusikaltėliams į kitą šalį.
- Užsakyme pateikta informacija, pavyzdžiui, skirtingi sąskaitos siuntimo ir prekių pristatymo adresai, telefonų numerių kodai su atitinkamais šalia esančiais pašto kodais, e. pašto adresai, kurie atrodo neegzistuojantys, ir nereguliarus užsakymų teikimo laikas.
- Kelios operacijos, atliktos su ta pačia kortele per trumpą laiką. Tai gali būti bandymas kuo greičiau „išnaudoti kortelę“, kol bus uždaryta sąskaita.
- Įvykdžius operacijas su skirtingomis kortelėmis, prekės pristatomos tuo pačiu adresu. Tai gali būti specialia programine įranga generuojamas sąskaitos numeris arba net kelios pavogtos kortelės.
- Kelios operacijos, atliktos ta pačia ar panašia kortele, nurodant tą patį sąskaitos siuntimo adresą, bet kelis prekių pristatymo adresus. Tai panašu į organizuotą veiką, o ne vieno nusikaltėlio veikimą.
- Atliekant operacijas internetu iš vieno IP (interneto protokolo) adreso naudojamasi keliomis kortelėmis. Daugiau nei viena ar dvi kortelės gali būti sukčiavimo schemos požymis.
- Užsakymai naudojantis nemokamomis e. pašto paskyromis, kai nėra teikiamos sąskaitos už naudojimąsi e. pašto paslaugomis, todėl paprastai nėra jokio patvirtinimo, kad paskyrą sukūrė teisėtas kortelės turėtojas.
Prekybininkai gali sumažinti sukčiavimo ir pretenzijų dėl lėšų grąžinimo atvejus, imdamiesi atitinkamų atsargumo priemonių:
- paprašyti nurodyti kortelės turėtojo banko pavadinimą – nusikaltėliai, kurie neteisėtai gavo duomenis, šios informacijos neturės. Jeigu pirkėjas delsia nurodyti banko pavadinimą, derėtų būti atsargiems;
- įvertinti prekių negavimo riziką siunčiant prekes į pašto skyriuje esančią gavėjo pašto dėžutę;
- gauti kortelės turėtojo pasirašytą prekių gavimo patvirtinimo kvitą;
- jei užsakomas didelis kiekis skirtingų prekių, pateikus užsakymą paskambinkite pirkėjui, kad jis patvirtintų užsakymą. Taip pat paprašykite jo garsiai perskaityti visą užsakymo informaciją. Dažnai, kai užsakymas yra neteisėtas, pirkėjas negali patvirtinti šios informacijos, nes užsakinėjo atsitiktinai ir nefiksavo savo užsakytų prekių;
- įtariai vertinkite atvejus, kai vieno pirkimo metu naudojamasi keliomis kortelėmis;
- nebetęskite autorizacijos, jei ji atmetama;
- būkite ypač atsargūs su prekių užsakymais į užsienį – dideli užsakymai visais atvejais neturi būti siunčiami tol, kol neįsitikinote, kad pirkimo operacija yra teisėta.
Naudojimasis „3-D Secure“ autentifikavimo paslauga, daugeliu atvejų prekybininkui garantuoja pretenzijų dėl lėšų grąžinimo apsaugą, nes kortelės turėtojas yra identifikuojamas kortelės leidėjo. Kitu atveju lėšos turėtų būti grąžintos kortelės turėtojui pateikus pretenziją, kurioje užtenka nurodyti, kad klientas iš tiesų nedalyvavo atliekant operaciją. Dėl šios paslaugos klientų, prekybininkų ir bankų atsiskaitymai kortele internetu yra saugesni.
Mokėjimo kortelių duomenų apsaugos tarybą (PCI SSC – angl. Payment Card Industry Security Standards Council) įkūrė pirmaujančios tarptautinės mokėjimo kortelių organizacijos: „Visa“, „Mastercard“, „Amex“, „Diners“, „Discovery“, „JCB“. PCI SSC parengė mokėjimo kortelių duomenų apsaugos standarto (PCI DSS – angl. Payment Card Industry Data Security Standard) taisykles ir dokumentus, reglamentuojančius ir apibrėžiančius kortelių saugumo principus bei politiką. Mokėjimo kortelių duomenų apsaugos standartu (PCI DSS) privalo vadovautis visi subjektai, kurie saugo, tvarko ar perduoda mokėjimo kortelių turėtojų duomenis, įskaitant neskelbtinus autentiškumo patvirtinimo duomenis, arba gali turėti įtakos kortelės savininko duomenų saugumui. Tai apima visus subjektus, dalyvaujančius mokėjimų vykdyme – prekybininkus, duomenų valdytojus, duomenų siuntėjus, duomenų gavėjus ir kitus paslaugų teikėjus. Šios taisyklės nustato techninius ir veiklos reikalavimus organizacijoms, priimančioms arba apdorojančioms mokėjimo operacijas.
Naujausią reikalavimų ir standartų versiją rasite čia.
Visi prekybininkai, saugantys, tvarkantys ar perduodantys kortelių turėtojų duomenis, įskaitant neskelbtinus autentiškumo patvirtinimo duomenis, privalo laikytis PCI DSS. Kai kurie PCI DSS reikalavimai galioja ir tiems subjektams, kurie nesaugo, netvarko ir neperduoda sąskaitų duomenų tiesiogiai, pavyzdžiui subjektai, kurie perka mokėjimo operacijų arba mokėjimo kortelių savininkų duomenų valdymo paslaugas iš išorinių tiekėjų.
Mokėjimo duomenų (kortelės duomenų ir neskelbtinų autentiškumo patvirtinimo duomenų) elementai:
|
Duomenų elementai |
Saugojimo apribojimai |
Reikalaujama užšifruoti saugomus duomenis |
|
Kortelės numeris (Pirminis sąskaitos numeris PAN) |
Minimalus saugojimas duomenys neturėtų būti saugomi, nebent tai būtina verslo poreikiams tenkinti. |
Taip Kortelės numeris privalo būti šifruojamas, t. y. neperskaitomas. |
|
Kortelės turėtojo vardas ir pavardė |
Minimalus saugojimas duomenys neturėtų būti saugomi, nebent tai būtina verslo poreikiams tenkinti. |
Ne |
|
Paslaugos kodas, skirtas atpažinti kortelės tipą |
Minimalus saugojimas duomenys neturėtų būti saugomi, nebent tai būtina verslo poreikiams tenkinti. |
Ne |
|
Kortelės galiojimo data |
Minimalus saugojimas |
Ne |
|
Išsamūs kortelės duomenys Išsamūs duomenys, įrašyti į magnetinę juostelę, lygiaverčiai duomenys iš lusto ar kt.). |
Negalimas saugojimas po autentiškumo patvirtinimo |
Taip, duomenys iki autentiškumo patvirtinimo turi būti apsaugoti sudėtingu kriptografiniu kodu |
|
Kortelės saugos kodas Trijų ar keturių skaitmenų kodas, atspausdintas bet kurioje mokėjimo kortelės pusėje |
Negalimas saugojimas po autentiškumo patvirtinimo |
Taip, duomenys iki autentiškumo patvirtinimo turi būti apsaugoti sudėtingu kriptografiniu kodu |
|
PIN ar PIN blokas Asmeninis identifikavimo numeris, kurį operacijos metu įveda kortelės turėtojas, ir (arba) užšifruotas PIN blokas, esantis operacijos žinutėje. |
Negalimas saugojimas po autentiškumo patvirtinimo |
Taip, duomenys iki autentiškumo patvirtinimo turi būti apsaugoti sudėtingu kriptografiniu kodu |
Kaip įsitikinti, ar laikomasi PCI DSS reikalavimų?
Kartą per metus informuojame prekybininkus, kokių veiksmų jie turi imtis, kad būtų laikomasi PCI DSS. Reikalavimai pateikiami lentelėje.
Prekybininkai skirstomi į 4 kategorijas pagal metinį operacijų skaičių to paties prekės ženklo (t. y. „Mastercard“, „Visa“, „American Express“ ir kt.) mokėjimo kortele. 1–3 lygmens prekybininkai privalo teikti periodinių patikrinimų rezultatus, o 4 lygmens prekybininkai privalo pildyti ir pateikti savęs vertinimo klausimyną (SAQ – angl. Supplementary Application Questionnaire) juos aptarnaujančiam bankui.
| Prekybininko lygmuo |
Prekybininko operacijų kriterijai |
Veiksmai, kurių turi imtis prekybininkas |
Dažnumas |
| 1 lygmuo |
Prekybininkas, kuris „Mastercard“ arba „Visa“ kortelėmis kasmet sugeneruoja 6 mln. ir daugiau mokėjimo operacijų |
Išorinis saugumo auditas, kurį atlieka kvalifikuotas saugumo vertintojas (QSA – angl. Qualified Security Assessor) |
Kartą per metus |
| Tinklą nuskenuoja patvirtintas skenuotojas
(ASV – angl. Approved Scanning Vendors) arba kvalifikuotas saugumo vertintojas (QSA) |
Kartą per ketvirtį |
| Kvalifikuotas saugumo vertintojas (QSA) arba vidaus saugumo vertintojas (ISA – angl. Internal Security Assessor)1 |
Kartą per ketvirtį |
| 2 lygmuo |
Prekybininkas, kuris „Mastercard“ arba „Visa“ kortelėmis kasmet sugeneruoja nuo 1 iki 6 mln. Mokėjimo operacijų |
1 Prekybininkai, užpildę SAQ A, A-EP ar D klausimynus turi atlikti kasmetinį QSA ar ISA atitikties įvertinimą.
Prekybininkai, užpildę SAQ B, B-IP, C-VT, C ar P2PE klausimynus, gali atlikti savo įsivertinimą patys, nenaudojant QSA ar ISA atitikties vertinimo.
|
Kartą per ketvirtį |
| Tinklą nuskenuoja patvirtintas skenuotojas (ASV) arba kvalifikuotas saugumo vertintojas (QSA) |
Kartą per ketvirtį |
| 3 lygmuo |
E. prekybos prekybininkas, kuris „Mastercard“ arba „Visa“ kortelėmis kasmet sugeneruoja nuo 20 000 iki 1 mln. Mokėjimo operacijų |
Atliekamas metinis įsivertinimas, užpildant banko pateiktą savęs vertinimo klausimyną (SAQ) |
Kartą per metus |
| Tinklą nuskenuoja patvirtintas skenuotojas (ASV) arba kvalifikuotas saugumo vertintojas (QSA) |
Kartą per ketvirtį |
| 4 lygmuo |
Visi kiti prekybininkai |
Atliekamas metinis įsivertinimas, prekybininko nuožiūra užpildant savęs vertinimo klausimyną (SAQ) |
Rekomenduojama kartą per ketvirtį |
| Prekybininko nuožiūra tinklą nuskenuoja patvirtintas skenuotojas (ASV) arba kvalifikuotas saugumo vertintojas (QSA) |
Rekomenduojama kartą per metus |
Nepamirškite, kad turėsite atlikti:
- saugumo auditą, kurį atlieka oficialioje PCI DSS interneto svetainėje nurodytų bendrovių atestuotas auditorius, veikiantis kaip kvalifikuotas saugumo vertintojas (QSA);
- tinklo skenavimą, kurį atlieka kvalifikuotas tinklo skenavimo tiekėjas, veikiantis kaip patvirtintas skenuotojas (ASV) arba kvalifikuotas saugumo vertintojas (QSA). Patvirtintas skenuotojas (ASV) gali atlikti fizinės ir e. parduotuvės tinklo skenavimą , bet neturi teisės atlikti audito;
- vidaus auditą, kurio metu reikia užpildyti savęs vertinimo klausimyną (SAQ). Klausimyno turinys priklauso nuo techninio sprendimo.
PCI DSS reikalavimai ir tikslai
Lentelėje pateikti 12 reikalavimų ir tikslų padės jums įvertinti, kokius svarbius veiksmus reikia atlikti, siekiant laikytis PCI DSS taisyklių.
| Tikslai |
PCI DSS reikalavimai |
| Sukurti ir prižiūrėti saugų tinklą ir sistemą |
1. Įdiegti ir atlikti tinklo saugumo kontrolę.
2. Taikyti saugumo konfigūracijas visiems sistemos komponentams.
|
| Apsaugoti mokėjimo kortelių duomenis |
3. Apsaugoti turimus mokėjimo duomenis.
4. Apsaugoti kortelių turėtojų duomenis sudėtingu kriptografiniu kodu perdavimo per atvirą, viešą tinklą metu.
|
| Vykdyti pažeidžiamų vietų valdymo procesus |
5. Apsaugoti visas sistemas ir tinklus nuo kenkėjiškos programinės įrangos.
6. Vystyti ir prižiūrėti sistemų bei programinės įrangos saugumą.
|
| Vykdyti griežtą prieigos kontrolę |
7. Apriboti prieigą prie sistemos komponentų ir kortelės turėtojų duomenų, kuriuos būtų galima pasiekti tik verslo vykdymo tikslais.
8. Naudotojų prieigos prie sistemos komponentų turi būti autentifikuojamos ir patvirtinamos.
9. Apriboti fizinę prieigą prie kortelių turėtojų duomenų.
|
| Reguliariai stebėti ir tikrinti tinklus |
10. Registruoti ir stebėti visas prieigas prie sistemos komponentų ir kortelių turėtojų duomenų.
11. Reguliariai tikrinti saugumo sistemas ir tinklus.
|
| Vykdyti informacijos saugumo politiką |
12. Išlaikyti informacijos saugumą vadovaujantis organizacijos saugumo politika. |
Daugiau informacijos rasite PCI interneto svetainėje.
Susisiekite su mumis telefonu +370 5 268 4422, jei norite pasikonsultuoti arba pranešti apie sukčiavimo atvejį. Daugiau informacijos apie saugų naudojimąsi banko paslaugomis rasite čia.
