Hoće li neki hrvatski payment gatewayi ostati bez posla?

Hoće li neki hrvatski payment gatewayi ostati bez posla?

Kartičari će s vremenom prekinuti suradnju s payment gatewayima koji ne uvedu PCI DSS certifikat, a najjasnije informacije takve vrste dolaze iz Erste Carda koji bi to mogao učiniti već sljedeće godine.

Prema našim informacijama (osim payment gatewaya samih banaka i kratičara) navedeni standard trenutno zadovoljavaju samo dva hrvatska payment gatewaya. Hoće li ostali ostati bez posla ako ne uvedu standard pokušali smo doznati od nekoliko banaka i kartičnih kuća koje smo upitali jesu li oni usklađeni s PCI DSS standardom i traže li to od payment gatewaya s kojima surađuju.

Erste Card Club: Payment gatewayi s kojima surađujemo obavezni imati certifikat tijekom 2011. godine

Najjasniji u odgovoru bio je Erste Card Club iz kojeg su poručili kako su veći dio svojeg poslovanja prilagodili PCI standardu, a s njegovom će prilagodbom nastaviti i tijekom sljedeće godine, tijekom koje će i payment gatewayi s kojima surađuju morati imati ovaj certifikat, ukoliko ga još nemaju.

U Ersteu su uveli PCI DSS standard budući da je detektirano kako u cjelokupnom procesu rada s kartičnim transakcijama, postoje područja koja je potrebno unaprijediti te standardizirati. Naime, globalni kartični brandovi rade s velikim brojem institucija (taj broj se mjeri u desecima tisuća financijskih institucija) i milijunima prodajnih mjesta što povećava određene rizike u upravljanju kartičnim poslovanjem. Stoga će uvođenje PCI DSS standarda sigurno imati utjecaja na smanjenja zlouporabe kartica u elektroničkom plaćanju, naročito kad takva vrsta plaćanja uhvati zamah u RH.

Zaba: Od pružatelja usluga procesiranja očekujemo usklađenost s PCI DSS standardom

Iz Zagrebačke banke koja je prva među hrvatskim bankama uvela PCI DSS rekli su kako od svih subjekata koji pohranjuju, procesiraju i/ili prenose kartične podatke (poput banaka, kartičnih kuća, pružatelja usluga procesiranja, nekih trgovaca) s kojima surađuje, Zagrebačka banka očekuje usklađenost s PCI DSS standardom.

"Naše očekivanje je kako će tržište (korisnici kartica, posrednici, trgovci) prepoznati one subjekte koji brinu o kartičnim podacima te ostvariti suradnju s njima. Banka kontinuirano implementira različite suvremene načine elektronske zaštite (poput 3D secure sustava za autentifikaciju na Internet dućanima koji rade sa e-commerce sustavom Zagrebačke banke) koje u tehničkom pogledu osiguravaju klijentu tajnost i sigurnost njihovih podataka" stoji u odgovoru.

RBA i PBZ bez konkretnog odgovora o mogućem prekidu suradnje s payment gatewayima

Iz RBA su samo kratko odgovorili kako je njihov Payment gateway usklađen s PCI DSS standardom, dok su iz PBZ Carda poručili kako su u zadnjoj fazi priprema za usklađivanje prema PCI DSS-u (Payment Card Industry Data Security Standard). Sukladno strateškom usmjerenju Intesa Sanpaolo Grupe, sa ciljem jačanja cjelokupnog kartičarskog poslovanja, procesiranje kartičnih transakcija u cijelosti je izdvojeno u tvrtku Intesa Sanpaolo Card, a koja je ujedno i certificirana prema navedenom standardu. Također, PBZ Card na prodajnim mjestima svojih partnera instalira infrastrukturu za implementaciju kartičnog poslovanja koja je u cijelosti certificirana prema PCI PTS (Payment Card Industry PIN Security Standard) propisima.

Nadalje, PBZ Card je već 2003., prvi na hrvatskome tržištu, uveo Internet Payment Gateway sustav (IPG), sofisticirani informatički sustav koji udovoljava najsuvremenijim sigurnosnim uvjetima online kupnje, jamči sigurnu i brzu transakciju, zaštitu podataka prodajnog mjesta, korisnika kartice i PBZ Carda. IPG sustav, koji je sada u domeni Intesa Sanpaolo Card-a, je također certificiran prema PCI DSS zahtjevima.

Ždrnja: Rokovi za uvođenje već nekoliko puta probijeni

Više informacija o PCI DSS standardu i njegovom uvođenju dao nam je Bojan Ždrnja, konzultant za računalnu sigurnost tvrtke Infigo IS.

PCI DSS standard propisuje čitav niz mjera sigurnosti kojih se moraju pridržavati svi trgovci, service provideri i slični koji procesiraju kreditne kartice. U ovisnosti o količini procesiranih kartica na godišnjoj razini te metodi procesiranja, postupak zadovoljavanja PCI DSS standarda može biti jednostavniji ili kompliciraniji te može, u pojedinim sustavima, zahtijevati značajna ulaganja u IT/Security infrastrukturu. PCI DSS je, za razliku od drugih sigurnosnih standarda, vrlo "tehnički" standard, što znači da se detaljno opisuje što pojedini trgovac mora implementirati. Npr. mora postojati IDS/IPS, moraju se centralizirano skupljati log zapisi s poslužitelja, moraju biti instalirati i ažurirani anti-virusni programi i slično.

Osim toga, PCI DSS (u ovisnosti o veličini trgovca odnosno procesora) traži i obavljanje penetracijskih testiranja koje može obaviti bilo koja tvrtka koja se time bavi te provođenje provjera ranjivosti, koja moraju obaviti tzv. ASV-ovi (Approved Scanning Vendor), koji je firma registrirana za to s PCI DSS-om.

Rokove uvođenja PCI DSS standarda određuju Visa i Mastercard - ovi su rokovi već nekoliko puta određivani i "probijeni" s tim da se nije desilo ništa, barem ne kod nas i u ovom dijelu Europe, dok je u SAD-u stvar drukčija i trgovci moraju itekako uvesti PCI DSS standard i potvrditi ga. Visa i Mastercard u tom slučaju trgovce koji nisu sukladni kažnjavaju novčanom kaznom koja se naplaćuje svaki mjesec sve dok trgovac ne bude sukladan (opet, detalji ovise o veličini trgovca, odnosno broju kartica koje isti procesira na godišnjoj razini).

U Hrvatskoj se stanje, što se tiče PCI DSS-a polako pomiče, no procesori koji su certificirani se još uvijek mogu nabrojati na prste (mislim da je riječ o 5-6 service providera/procesora, s tim da vjerojatno još niti jedan trgovac nije certificiran). Što se tiče payment gatewaya, neminovno je da će morati biti certificirani po PCI DSS-u, no ne vjerujem da će zbog toga ostati bez posla. Kao prvo, prije nego što se same banke usklade s PCI DSS-om nije za očekivati da će na isti postupak tjerati svoje korisnike.

Osim toga, PCI DSS ne treba gledati kao zlo - iako PCI DSS, naravno, ne garantira sigurnost, on ipak povećava sigurnost te zadovoljavanje ovog standarda postavlja IT sigurnost na određenu razinu koja danas, može se reći, čini osnovu koju bi svi trebali zadovoljiti.