Czy przechowywanie numerów kart płatniczych jest bezprawne?

Przeglądając ostatnio dyskusje na temat systemów płatności online natknęliśmy się na komentarz dotyczący kwestii przechowywania numerów kart płatniczych. Problem został podniesiony w odpowiedzi na pytanie dlaczego dostawcy bramek do płatności nie rozwijają usług związanych z płaceniem karta na stronach swoich klientów? Pierwszym wysuniętym argumentem była dyskusyjność takich usług w świetle naszego prawa. Jako, że sami oferujemy tą pożądaną funkcjonalność poczuliśmy się wywołani do tablicy.

Po pierwsze należy sobie powiedzieć, że polskie prawo w żaden sposób nie reguluje kwestii przechowywania danych kart płatniczych. Sama informacja o kontrahencie musi być oczywiście chroniona w związku z ochroną danych osobowych, jest to jednak zupełnie inna bajka. To, że temat ochrony informacji związanych z transakcjami istnieje w świadomości ludzi obcujących z e-commerce wynika z odpowiedzialności sprzedawców i konsekwencji jaka ciąży na nich w przypadku popełnienia przestępstwa. Bazując na wieloletnim doświadczeniu branży kart oferujemy rozwiązanie tego problemu.

dzień pracownika ochrony gotowe (godz. 14.49.42)

Każdy (chociaż jest ich bardzo niewielu) dostawca płatności kartą online jest partnerem instytucji obsługującej „plastik” poza światem wirtualnym, zwanej w branży „acquirerem. Nie są to  małe firmy – nasz blisko 40-milionowy kraj podzielony jest pomiędzy zaledwie kilku graczy procesujących miliony płatności dziennie. W naszym przypadku jest to Elavon. Acquirerzy odpowiadają z kolei przed wydawcami kart płatniczych, którzy chcąc zabezpieczyć płatności kartą, powołali do życia Radę Standardów Bezpieczeństwa Rynku Kart Płatniczych (Payment Card Industry Security Standards Council). I tutaj zaczynają się restrykcje.

Owa rada opracowała standardy bezpieczeństwa danych nazwane PCI DSS (Payment Card Industry Data Security Standard). Są one podzielone na cztery poziomy – od level 4 (najniższy), do Level 1 (najwyższy), który posiada Espago.  Różnią się ilością procesowanych w ramach certyfikatu transakcji, odpowiedzialnością za nie oraz, co za tym idzie warunków, które firma ubiegająca się o PCI DSS musi spełniać. Każdy certyfikat to określona ilość wytycznych i przepisów. Ich wdrożenie weryfikowane jest przez audytorów Rady, którzy sprawdzają najdrobniejszy szczegół. Z doświadczenia możemy powiedzieć, że drobiazgowość kontroli jest z gatunku „zajrzą pod każdy liść”. Naprawdę ogrom pracy! Co więcej, certyfikat odnawiany jest co roku. Wszystko to ma na celu zapewnienie klientom płacącym kartą w internecie maksymalny poziom bezpieczeństwa.

Wspominane „prawo”, które istnieje w świadomości ludzi, to tak naprawdę obwarowania umów, na które każdy po kolei musi się zgodzić. Stworzyła je Rada założona przez wydawców kart, kierują się nimi instytucje obsługujące ten środek płatniczy na rynkach krajowych, z kolei firmy chcące oferować klientom płatności kartą online muszą wyrobić certyfikat PCI DSS. Bez tego po prostu nie podpiszą umowy z acquirerem. Bardzo dużo zachodu, ale jak widać po znalezionej przez nas konwersacji na facebooku, tego typu rozwiązania są poszukiwane.

Napisaliśmy o zasadach, dopełniając temat rozwiniemy też kwestię techniczną związaną z danymi kart. Z ich przechowywaniem wiąże się ogromna odpowiedzialnością. Wyciek ich numerów może narazić sprzedającego na poważne konsekwencje, będzie on ponosił konsekwencje wszystkich strat spowodowanych utraceniem przez niego poufnych informacji. Sklep, który sprzedał komuś serek za 1.50 zł mógłby przyczynić się do zniknięcia z konta 10 tysięcy złotych. Pomnóżmy to przez liczbę klientów i jasnym jest, że indywidualne biznesy nie są w stanie przyjąć na siebie takiej odpowiedzialności. Wyjątkiem są wielkie firmy prowadzące interesy na skalę globalną. Dlatego sklepy fizyczne działają z acquirerami (w których terminale wkładane są wasze karty), a biznesy online z firmami takimi jak Espago. Chociaż w większości przypadków w internecie płaci się przelewami, to chcąc sprzedawać coś za granicę czy po prostu poszukując kompleksowej oferty, warto też zaopatrzyć swoją stronę w bramkę do kart. Wybór jest bardzo mały, ponieważ jak już wiecie, świadczenie takich usług do łatwych nie należy.

934659_473497746070801_1098833012_n

Regulacje PCI DSS (w szczególności Level 1) to nie tylko kwestie związane z otoczką taką jak polityka bezpieczeństwa informacji wewnątrz firmy ale przede wszystkim system informatyczny pozwalający zapewnić danym pełne bezpieczeństwo. Jest on stworzony tak, żeby całkowicie odciąć sprzedawcę od posiadania informacji o kartach jego klientów. Kiedy kupując coś w sklepie obsługiwanym przez Espago wprowadzasz numer karty jest on przekazywany bezpośrednio do naszego systemu. My zwracamy sprzedawcy kod, dzięki któremu może on ponownie wykorzystać wprowadzona kartę, nie przechowując jednocześnie wrażliwych informacji. Sprzedający jest więc zabezpieczony nie tylko przed kradzieżą danych, ale również przed nieuczciwym sprzedawcą. Współpraca z firma posiadającą PCI DSS jest więc czymś, czym można się pochwalić na stronie. Przechowywane u nas informacje są maksymalnie zabezpieczone, a posiadanie przez nas certyfikatu na poziomie Level 1 jest jednoznaczne z ubezpieczeniem obsługiwanych przez nas transakcji.

Mamy nadzieję, że rozjaśniliśmy nieco kwestię obwarowań w procesowaniu kart płatniczych przez internet i nie raz ktoś trafi na nasz artykuł szukając informacji na ten temat. Cieszymy się, że możemy napisać o tym reprezentując najwyższy poziom bezpieczeństwa, jaki stoi za posiadanym przez nas certyfikatem. Espago to nie tylko płatności kartą online. W naszej ofercie znajdziecie również najlepszy system przelewów na rynku, w którym płatność za pojedyncza transakcję to jedynie 50 groszy, a wszystkie płatności do 20 zł obsługujemy za darmo. Możecie obliczyć swój zysk odwiedzając stronę z naszym kalkulatorem kosztów obsługi płatności online.

Brak komentarzy.

Zostaw odpowiedź

Time limit is exhausted. Please reload the CAPTCHA.