Säkrare e-handel - hantera inte kortnummer!
De svenska inlösarna driver sedan 2007 ett program för att öka säker¬heten och skapa en marknad för enbart godkända kortbetalningsprodukter. Programmet bygger på säkerhetsstandarden PCI DSS. Inlösarna uppmanar betalväxlarna att säkerställa att e-butikernas befintliga lösningar som inte efterlever säkerhets-standarden flyttas över till betalväxlarnas egna certifierade lösningar senast den 31 december 2008.
Förutom e-butikerna gäller säkerhetsstandarden även leverantörer av e-butiksplattformar, webbhotell och bokningsmotorer om de hanterar kortnummer åt flera parter. De måste då genomföra en certifiering, vilket innebär att leverantören måste anlita en extern revisor som först genomför en granskning.
- Den säkraste lösningen och enklaste sättet för en e-butik att uppfylla säkerhetsstandarden är att använda sig av ett betalfönster hos en certifierad betalväxel. E-butiken behöver då inte oroa sig för att intrång sker i syfte att komma över kortdata. Konsumenten kan också känna sig trygg i och med att kortnumret bara hanteras i en säker och certifierad miljö. Cirka 70 % av alla e-butiker har redan flyttat sina lösningar säger Erik Nystrup, VD för Pan Nordic Card Association.
Alla parter behöver fundera över behovet av att hantera kortdata och i möjligaste mån överlåta hanteringen av kortdata. Senast vid årsskiftet måste alla e-butiker använda betalfönster hos en certifierad betalväxel alternativt att e-butiken kan säkerställa att hela kortbetalningskedjan uppfyl-ler säkerhetsstandarden.
Om en e-butik mot förmodan väljer att hantera kortinformation utan att använda ett certifierat betalfönster måste e-butiken säkerställa att deras betallösning uppfyller säkerhetsstandarden. E butiken måste kunna presentera en godkänd lösning för sin inlösande bank. Den årliga certifi-eringsprocessen innebär en omfattande och kostsam validering av hela kortbetalningskedjan in-klusive skanning av nätverket.
I de fall någon part i kortbetalningskedjan inte uppfyller kraven riskerar både leverantören och
e-butiken att förlora rätten att hantera kortbetalningar.
Mer information om PCI DSS (Payment Card Industry Data Security Standard) finns på: https://www.pcisecuritystandards.org/