Öryggi kortaupplýsinga
Í greiðslumiðlun nútímans fara greiðslukortaupplýsingar víða. Alþjóðleg net tengja saman kortafyrirtæki, seljendur og banka um allan heim og greiðslukortaupplýsingar flæða þar um. Möguleikar á misnotkun upplýsinganna hafa kostað tengda aðila umtalsverðar fjárhæðir.
Til að sporna við þessari þróun komu alþjóðlegu kortafélögin sér saman um að útbúa öryggisstaðal til þess að stuðla að því að greiðslukortaupplýsingar séu meðhöndlaðir á réttan hátt.
Staðall þessi er sérstaklega ætlaður seljendum og vinnsluaðilum, en líka bönkum og kortafyrirtækjum. Ítarlegar kröfur eru gerðar til meðhöndlunar greiðslukortaupplýsinga.
Eins og fram kemur í viðskiptaskilmálum Borgunar þurfa seljendur að hlíta PCI DSS staðlinum.
Fyrirtæki eru flokkuð eftir stærð, þar sem kröfur varðandi hlítingu staðals aukast eftir færslufjölda. Jafnframt eru færsluhirðar ábyrgir fyrir því að fylgjast með tengdum seljendum. Í því samhengi hefur verið búið til vefsvæði þar sem fyrirtæki geta framkvæmt sjálfsmat. Sjálfsmatið er að finna á vef Greiðsluveitunnar um
Kortaöryggi.
Auknar öryggiskröfur hafa tvímælalaust í för með sér aukinn kostnað, en ávinningur er líka talsverður, svo sem orðspor fyrirtækis, og tryggð og tiltrú viðskiptavina. Jafnframt má ekki gleyma ávinningnum sem felst í því að forðast áföll sem fylgja stuldi á kortupplýsingum. Þannig munu alþjóðlegu kortafélögin sekta seljendur sem uppfylla ekki PCI staðalinn ef að hægt er að rekja stuld á kortnúmerum til þeirra.
PCI DSS staðlinum er skipt í tólf meginkröfur sem hér segir:
- Innleiða og viðhalda öruggu neti
- Nota sterk lykilorð, sem innihaldi helst tölur, hástafi, lágstafi og tákn
- Vernda greiðslukortaupplýsingar
- Dulkóða greiðslukortaupplýsingar sem sendar eru um opin net
- Nota reglulega uppfærðan veiruvarnarhugbúnað
- Þróa örugg hugbúnaðarkerfi
- Takmarka aðgang að kortaupplýsingum eftir viðskiptaþörfum
- Úthluta öllum með tölvuaðgang einkvæmt auðkenni
- Takmarka aðgengi að stöðum þar sem kortaupplýsingar eru meðhöndlaðar
- Vakta og skrá uppflettingar á kortaupplýsingum
- Reglubundið eftirlit með öryggiskerfi og ferlum
- Viðhalda öryggisstefnu upplýsinga
Lykilatriði við innleiðingu PCI DSS er annars vegar að geyma ekki kortaupplýsingar nema brýn þörf sé á því og hins vegar að einangra þær upplýsingar sem þörf er á að geyma. Borgun býður seljendum upp á lausnir sem aðstoða þá við að uppfylla kröfur PCI DSS staðalsins.
Boðgreiðslur
Lausnirnar eru tvær:
- Utanumhald um boðgreiðslur á Seljandavef. Með þessum hætti geta smærri fyrirtæki m.a. haldið utan um upplýsingar og stillt af greiðslutíðni með einföldum hætti.
- Sýndarnúmerakerfi. Þessi lausn hentar stærri seljendum. Seljandi tekur við kortnúmeri frá korthafa sem sendir það til Borgunar. Borgun vistar kortnúmer og sendir seljanda sýndarnúmer í staðinn. Eftir það vinnur seljandi einungis með sýndarnúmer. Borgun sér um að lykla saman sýndarnúmer og kortnúmer eftir innsendingu á boðgreiðslum.
Greiðslusíða
Seljendur með vefverslanir geta nú einnig nýtt sér Greiðslusíðu. Greiðslusíðan er vistuð í öruggu tölvuumhverfi og meðhöndlar alla virkni í tengslum við framkvæmd greiðslu. Seljandi þarf því ekki að gera annað en að tengja eigin vefverslun við síðuna og losnar þar með við utanumhald á greiðslukortaupplýsingum.