Dünaamilises veebitehingute maailmas on makseandmete kaitsmine möödapääsmatu. Payment Card Industry Data Security Standard (PCI DSS) on keskne raamistik tundlike andmete turvalisuse tagamiseks ja võimalike andmeleketega seotud riskide ennetamiseks. Hiljuti avaldas PCI Security Standards Council PCI DSS versiooni 4.0, mis tõi kaasa märkimisväärseid uuendusi vastavusnõuetes.
Iga kaupmees peab kaitsma makseandmeid
Kuigi teie makselahendus on juba PCI DSS-iga kooskõlas (meie vastavustase on PCI DSS tase 1 – kõrgeim tase), peate te kaupmehena või teenusepakkujana tagama, et ka teie süsteemid oleksid turvalised, et kaitsta kaardiomanike andmeid. Kvalifitseeritud kaupmehed ja teenusepakkujad peavad läbima PCI DSS enesehindamise, kasutades selleks isetäidetavat küsimustikku (SAQ). SAQ-sid on mitmeid versioone ning iga organisatsioon peab kindlaks tegema, milline neist sobib kõige paremini nende keskkonnaga.
Erinevate stsenaariumite määratlused ja lisakirjeldused on toodud dokumendis “SAQ juhised ja suunised” (“SAQ Instructions and Guidelines”). Tavaliselt peavad tavapärased e-kaubanduse kaupmehed täitma kas SAQ-A või SAQ A-EP vormi.
SAQ – A: Kaardita tehinguid teostavad kaupmehed (e-kaubandus või posti-/telefonitellimused), kes delegeerivad kõik kontoteabe funktsioonid täielikult PCI DSS-i valideeritud ja nõuetele vastavatele kolmandatele osapooltele. Nende süsteemides või ruumides ei toimu kontoteabe elektroonilist salvestamist, töötlemist ega edastamist.
SAQ A-EP: E-kaubanduse kaupmehed, kes osaliselt delegeerivad maksetöötluse PCI DSS-i valideeritud ja nõuetele vastavatele kolmandatele osapooltele ning kelle veebileht(ed) ise ei kogu kontoteavet, kuid mõjutavad maksetehingu turvalisust ja/või lehekülje terviklikkust, kuhu klient sisestab oma kontoteabe. Kontoteavet ei salvestata, töödelda ega edastata kaupmehe süsteemides ega ruumides.
Kogu dokumentatsioon (sealhulgas SAQ vormid) on kättesaadav PCI DSS isetäidetavate küsimustike teegis.
Meie „Payment Elements“ integratsioon on vastavuses SAQ A nõuetega
Seda põhjusel, et kogu makseprotsess on täielikult meie kontrolli all ja meie poolt hostitud.
Payment Elements lahendus kvalifitseerub SAQ A alla, kuna:
Makselahendus (payment form) edastatakse ja majutatakse täielikult meie serveritest. Kaupleja veebileht ainult kuvab ja manustab seda vormi ega oma selle üle kontrolli
Kauplejal puudub ligipääs maksevormi funktsionaalsusele või kaardiandmete töötlemisele ning tal puudub kontroll nende üle. Kaupleja võib rakendada piiratud ulatuses CSS-stiile visuaalse kohandamise eesmärgil, kuid ei saa muuta aluskoode, skripte ega andmevälju, mida kasutatakse kaardiandmete kogumiseks või töötlemiseks
Kaardiandmed edastatakse otse kliendi brauserist meie PCI DSS nõuetele vastavatesse serveritesse ega läbi kunagi kaupleja süsteeme
Kuidas kvalifitseeruda SAQ A nõuetele LHV teenuseid kasutades
Meie lahendused on loodud selleks, et kaupmehed kvalifitseeruksid SAQ A küsimustikule, mis on e-kaubanduse jaoks lihtsaim PCI DSS-i valideerimise tüüp. See kehtib kogu meie integratsioonide valiku kohta, sealhulgas Open Banking, krediitkaardimaksed ja meie makseelementide (Payment Elements) plugina lahendused.
Enamiku meie integratsioonide puhul suunavad kaupmehed oma kliendid makselehele, mis on täielikult LHV poolt majutatud ja turvatud. See tagab, et tundlikud kaardiandmed ei puutu kunagi kokku kaupmehe enda süsteemidega.
Meie SAQ A nõuetele vastavad lahendused hõlmavad järgmist:
Makse algatamine: Kaupmehed saavad makse algatamist pakkuda kas kliendi suunamisega LHV makselehele või kasutades meie turvalist pluginat omaenda lehel, mis samuti isoleerib makseprotsessi nende keskkonnast
Täielikult majutatud pluginad: Meie makselinkide (Payment Links) ja krediitkaardi (Credit Card) pluginad on loodud täielikult majutatud lahendustena
API-põhine ümbersuunamine: Tüüpilise API-voo puhul paigutab kaupmees oma lehele nupu "Maksa", mis suunab kliendi LHV majutatud makselehele, et valida maksemeetod ja viia tehing lõpule
Kõigil neil juhtudel haldab LHV täielikult makselehte, sealhulgas kogu CSS-i ja JavaScripti. See tähendab, et ükski neid meetodeid kasutav kaupmees ei võta vastu ega töötle kaardiandmeid, mis vähendab oluliselt nende PCI DSS-i skoopi.
❗Oluline erand: SAQ A-EP
Kui olete aga kaupmees, kes kasutab meie SDK-d (tarkvaraarenduskomplekti), kuulub teie integratsioon SAQ A-EP alla. Põhjus on selles, et SDK võimaldab teil maksekogemust kohandada, näiteks muutes kujunduse CSS-i. Kuna teie veebileht edastab maksevormi kliendile – isegi kui andmed saadetakse otse LHV-le –, kuulub teie veebileht ise PCI DSS-i skoopi, mis nõuab põhjalikumat SAQ A-EP valideerimist.
PCI DSS v4 SAQ uuendused
PCI DSS v4.0 standard kehtib alates 1. aprillist 2024.
Lisateabe saamiseks külastage PCI DSS v4 teaberessursside keskust (Resource Hub) ja PCI DSS blogi.