Temat bezpieczeństwa transakcji z wykorzystaniem kart płatniczych jest niezwykle ważny, zarówno dla ich posiadaczy, jak i podmiotów umożliwiających tego typu płatności. Klienci coraz chętniej korzystają z możliwości zapłacenia kartą za towar w sklepach stacjonarnych czy internetowych, usługi czy określone treści. Chcą mieć jednak pewność, że ich dane oraz pieniądze na rachunkach bankowych są bezpieczne. Dlatego tak ważna jest rola certyfikatu PCI DSS, czyli Payment Card Industry Data Security Standard.
Czym jest PCI DSS?
PCI DSS to standard opracowany przez organizacje płatnicze. Ma na celu przede wszystkim wypracowanie odpowiedniego i spójnego poziomu bezpieczeństwa transakcji wszędzie tam, gdzie wykorzystywane są karty płatnicze.
Standard PCI DSS można nazwać normą, zawierającą wymagania wobec podmiotów, które przechowują, przesyłają oraz przetwarzają dane kartowe. Należy stwierdzić, że wymagania te są dosyć rygorystyczne, a ich przestrzeganie obowiązkowe. Wiedząc, że dana organizacja płatnicza implementowała standard PCI DSS, klienci mogą liczyć na wysoki poziom bezpieczeństwa płatności dokonywanych przy użyciu kart. To dla nich swego rodzaju gwarancja jakości i bezpieczeństwa usług.
Jakie organizacje muszą spełniać normę PCI DSS?
W opracowaniu standardu brały udział między innymi Visa, MaterCard, AmericanExpress, JCB oraz Diners Club. Dlatego spełnianie normy jest wymaganie przez te organizacje płatnicze. Kto musi podporządkować się rygorystycznym wymaganiom nakładanym przez normę PCI DSS? Przede wszystkim rozmaite sklepy i punkty usługowe, banki oraz operatorzy usług płatniczych. Zapewnienie zgodności ze standardem wcale nie jest proste. Wymaga zadbania o wiele obszarów bezpieczeństwa. Jednak to konieczność.
Niezgodność ze standardem może nieść za sobą poważne konsekwencje, nie tylko biznesowe, ale i finansowe. Podmiot, który nie dostosuje się do zasad musi liczyć się z wykluczeniem z uczestnictwa w obsłudze kart. Co za tym idzie, traci dobry wizerunek, wiarygodność oraz zaufanie klientów.
Wymogi PCI DSS
Standard obejmuje dwanaście wymogów, które zabezpieczają dane kart płatniczych na każdym etapie przetwarzania danych w sieci. Podstawową kwestią jest instalacja oraz utrzymanie zapory sieciowej. Podmioty posługujące się kartami powinny również ograniczyć dostęp do danych kartowych. Obowiązuje tutaj zasada „Informujemy tylko wtedy, gdy jest to konieczne”. W sieciach publicznych dane powinny być odpowiednio kodowane, a dostęp do zasobów sieci i danych raportowany i nadzorowany. Oczywistością jest zainstalowanie i regularne aktualizowanie oprogramowania antywirusowego. To tylko jedne z wielu warunków, jakie musi spełnić organizacja, która chce posługiwać się kartami płatniczymi.
Jakie korzyści przynosi firmom dostosowanie się do standardu? Firma spełniająca normę PCI DSS jest w stanie zapewnić bezpieczeństwo danych kart płatniczych klientów, co oznacza, że nie musi martwić się o wszelkie potencjalne luki w systemie. Unika także kar finansowych i negatywnych skutków wizerunkowych związanych z naruszeniem danych. Udowadnia, że przywiązuje dużą wagę do bezpieczeństwa. Zyskuje, zatem zaufanie klientów.
Każda większa i działająca od lat na polskim rynku organizacja płatnicza posiada certyfikat PCI DSS. Przykładem jest chociażby Dotpay przykładający ogromną wagę do bezpieczeństwa transakcji. Korzystanie z usług takich organizacji jest obciążone znacznie mniejszym ryzykiem.