Coraz częstsze w ostatnich latach przypadki kradzieży danych z kart kredytowych skłoniły operatorów tychże kart płatniczych do działań na rzecz zwiększenia bezpieczeństwa. Ich efektem jest standard PCI DSS, który nakłada na każdego sprzedawcę przetwarzającego, przesyłającego lub przechowującego informacje o kartach obowiązek spełnienia szeregu surowych wymagań.
„PCI co?”
PCI DSS czyli Payment Card Industry Data Security Standard to światowy standard ustalony przez największe organizacje emitujące karty kredytowej – American Express, Discover Financial Services, JCB, MasterCard i Visa – w celu podniesienia bezpieczeństwa transakcji plastikowym pieniądzem, a także mając na uwadze potrzebę wzmocnienia zaufania klientów (i jednocześnie ułatwienia sobie życia poprzez ujednolicenie kilku innych, istniejących dłużej, standardów bezpieczeństwa). Najnowsza aktualizacja PCI DSS o numerze 1.2 miała miejsce w bieżącym miesiącu, jednak prace nad jednolitym standardem trwają już od 2005, a sam dokument jest już wcielony w życie i obowiązuje.
Kogo to dotyczy?
Standard ten docelowo dotyczyć ma każdej jednostki przetwarzającej i przesyłającej dane z kart płatniczych, a jego wymagania należą do najważniejszych przepisów regulujących transakcje detaliczne w punktach sprzedaży i w Internecie. Wdrożenie PCI DSS wiąże się także z obowiązkowymi i regularnymi audytami zgodności, tak jak to ma miejsce w przypadku certyfikatów jakości ISO. W Polsce wciąż jednak PCI DSS raczkuje, a z jego wdrożeniem poradziły sobie dopiero nie tak dawno firmy dla których karta kredytowa jest tym czym turysta jest dla branży hotelarskiej, czyli np. Polcard i Dotpay.
„Ale czy dotyczy to MNIE?”
Tak, jeśli w ramach swojej działalności przechowujesz, procesujesz lub przesyłasz dane posiadaczy kart płatniczych. Nie owijając w bawełnę – PCI DSS dotyczy większości hotelarzy.
Co grozi za nieprzestrzeganie PCI DSS?
Wachlarz kar jest szeroki i różni się w zależności od operatora – inaczej na brak zbieżności ze standardem zapatruje się Visa, a inaczej np. Mastercard. W celu szybkiego określenia ryzyka odsyłam do umowy podpisanej między obiektem noclegowym a operatorem, jednak do najpopularniejszych kar stosowanych przez te organizacje zaliczyć można:
- wyższe opłaty za procesowanie transakcji,
- całkowite (tymczasowe) zawieszenie procesowania transakcji,
- grzywny (nawet do ponad pół miliona dolarów) za poważne naruszenia prawa.
„Mnie to nie dotyczy, ja mam SSL!”
Należy wyraźnie zaznaczyć, że PCI to coś więcej niż SSL (czyli protokół służący do bezpiecznej transmisji danych, np. szyfrowania numeru karty kredytowej w momencie podawania go przez stronę WWW, tak, aby nie został on „przechwycony” przez hakera). Zapewnienie zbieżności z PCI dotyczy bowiem także np. przesyłania danych kart kredytowych faksem, emailem lub przez telefon, a później ich przechowywania i jest obowiązkowe (chyba, że zdecydujesz się nie operować danymi kart kredytowych zlecając to firmom zewnętrznym).
Polskie realia…
Powyższa tematyka zaczyna szybko nabierać na znaczeniu na Zachodzie Europy, który oczywiście znacznie wyprzedza Polskę odnośnie zapewnienia bezpieczeństwa transakcji. Jednak i tam daleko jeszcze do doskonałości o czym przekonali się goście jednej z sieci hotelarskich (artykuł na ten temat ukazał się w The Sunday Herald tutaj; oficjalny komentarz przedstawiciela sieci jest dostępny tutaj). Bez wątpienia i w Polsce będzie o PCI DSS już wkrótce głośno (mam jednak nieodparte wrażenie, że na chwilę obecną mało kto zdaje sobie sprawę z tego, że duża część branży działa poza obowiązującym standardem bezpieczeństwa) … |
Kategorie
