16.06.2020
За останні кілька років набула популярності технологія випуску віртуальних платіжних карток. Зазвичай, ці картки призначені для оплати в мережі Інтернет, і вони не мають фізичного носія - пластика.
Що таке віртуальна картка? Це індивідуальні дані:● Номер картки;● Строк дії картки;● Код авторизації СVV2.
Цих даних достатньо для того, щоб використовувати таку карту в інтернеті, мобільних додатках і навіть у реальних магазинах за допомогою технологій Google Pay та Apple Pay.
Віртуальні карти стають усе популярнішими, тому що вони надають цілий ряд зручностей і переваг:● Швидкість отримання картки;● Немає потреби їхати до банку для отримання картки;● Внесення та зняття грошей дуже спрощено;● Віртуальні карти дозволяють захистити основний банківський рахунок від шахраїв, які можуть викрасти дані в інтернеті;● На віртуальних картах встановлений дуже низький ліміт за розміром операцій і в них дуже невеликий термін життя – від кількох місяців до року.
У всьому світі набирає популярності новий формат роздрібного банкінгу – онлайн-банкінг. Це банки, які не мають відділень, надають доступ клієнтам до своїх послуг лише через інтернет та випускають переважно віртуальні картки. Приклад в Україні – це Monobank.
Великі системні банки, що мають величезну мережу відділень, також розвивають свій портфель додатків із використання віртуальних карт.
Під час такого стрімкого розвитку нових технологій у представників банків та їх клієнтів постає питання: які вимоги стандарту PCI DSS необхідно виконувати, щоб користування віртуальними картками було безпечним?
При побудові бізнес-процесу з випуску, передачі та знищення віртуальних карт, перш за все, необхідно подбати про захист даних від витоку чи крадіжки.
Для цього необхідно виконати декілька умов:● Номер картки при зберіганні в банківських системах та мобільних додатках має бути зашифрований;● При відображенні номера картки на екранах клієнта, касира, операторів банку, а також при друкуванні на чеках та квитанціях його необхідно маскувати. Це означає, що символи номерів із 7 по 12 повинні бути замінені зірочками, хрестиками або іншими знаками, що приховують цей номер;● Перевірочний код СVV2 заборонено зберігати в будь-яких банківських системах чи додатках. Після створення коду СVV2, зазвичай це відбувається в момент випуску карти, його потрібно передати клієнту. Після цього інформація про СVV2 із систем банку має бути видалена. Клієнт сам повинен подбати про надійне зберігання чи запам'ятовування цього номера;● Для обміну даними карт між банком, клієнтом та торговцем повинні використовуватися лише шифровані з'єднання. Наприклад, забороняється надсилати номер картки або СVV2 через SMS.
Це основні вимоги, які стосуються віртуальних карт та захищають від витоку чи крадіжки даних. Важливо пам'ятати, що виконання всіх вимог не дає 100% гарантії безпеки.
PCI DSS – це комплексний стандарт безпеки. Крім вимог до технологій обробки, передачі та зберігання даних, він висуває вимоги до бізнес-процесів банку, а також добору та навчання персоналу. Стандарт приділяє особливу увагу впровадженню корпоративних правил, політик та процедур. Вимог досить багато, і для різного сектора та масштабу бізнесу вони різні.
Найпростіший і найбезпечніший шлях для всіх, хто планує використовувати віртуальні платіжні картки - звернутися за консультацією до експертів у сфері сертифікації за стандартом PCI DSS. Швидка та інформативна консультація дасть відповіді на всі питання та стане базою для складання плану дій.
Компанія IT Specialist проводить для своїх клієнтів безкоштовне навчання за всіма вимогами стандарту PCI DSS та допомагає виконати всі вимоги для успішної сертифікації за цим стандартом.
Зв'яжіться з нашими консультантами прямо зараз і отримайте повну інформацію щодо безпечного використання віртуальних платіжних карток.