A hitelkártyás fizetés egyre népszerűbb. Ahhoz azonban, hogy megnőjön az ügyfelek bizalma e fizetési mód iránt, szigorúbb biztonsági intézkedésekre van szükség a hitelkártya- és tranzakciós adatok vonatkozásában. Éppen ezért a hitelkártyacégek biztonsági szakemberei kifejlesztettek egy közös megoldást. Bármely olyan társaságnak, amely hitelkártyaadatokat dolgoz fel vagy továbbít, eleget kell tennie egy sor adatbiztonsági irányelvnek. A cél az, hogy minden olyan kereskedő, aki elfogadja e társaságok kártyáit, eleget tegyen a „Payment Card Industry – Data Security Standard” (PCI) szabványnak (korábbi nevén: „Cardholder Information Security Program” – CISP).

A szabvány jelenlegi verziójának kifejlesztése mindössze néhány évet vett igénybe. A VISA 2001-ben indította el a Cardholder Information Security Program (CISP) elnevezésű kezdeményezést. Ez volt az első ilyen jellegű program, amely megkövetelte a kereskedőktől és a szolgáltatóktól bizonyos meghatározott adatbiztonsági szabványok betartását. Néhány évvel később a VISA, a MasterCard, az American Express, a Discover, a Diners Club és a JCB társaságok összehangolták politikáikat, és bevezették a „Payment Card Industry Data Security Standard” (PCI-DSS) szabványt, a korábbi frissített és szélesebb körű változatát. Ez a szabvány 2005 júniusában vált kötelezővé minden kereskedőre és szolgáltatóra nézve. A 2006 szeptemberében ismét frissített szabvány jelenleg mintegy 160 követelményt tartalmaz, amelyek 2007 júniusában váltak kötelezővé. A megállapodás sokkal több puszta papírtigrisnél: csak 2006-ban a VISA 4,6 millió dollár értékben nyújtott be kereseteket azon kereskedők ellen, akik nem tettek eleget a szabvány előírásainak. Ez 35%-os növekedést jelent az előző évhez képest.

A jelenleg hatályos PCI-szabvány szigorú előírásokat tartalmaz a hitelkártyaadatok tárolásával és feldolgozásával kapcsolatban. A kereskedőknek eleget kell tenniük ezeknek a követelményeknek, ha fenn kívánják tartani partneri státuszukat a hitelkártya-társaságoknál, és el szeretnék kerülni a tetemes összegű bírságokat. Könnyen lehet, hogy az elmúlt hónapok során Önt is megkereste bankja a PCI-szabvánnyal és annak a hitelkártyacsalások megelőzésében játszott fontos szerepével kapcsolatos tájékoztatással.

Az idei év elején a VISA és a MasterCard hitelkártyacég közös szabványokról állapodott meg a biztonsági követelmények egységes alkalmazása érdekében. Ezek a „Payment Card Industry (PCI) Data Security Standards” szabványok a hitelkártya-iparág egészére érvényesek.

A PCI-előírások 12 megfelelőségi követelményt fogalmaznak meg, amelyeknek minden VISA kártyát elfogadó kereskedőnek és szolgáltatónak eleget kell tennie:

Biztonságos hálózat kialakítása és fenntartása
1. Tűzfal-konfigurációt kell kialakítani és fenntartani a kártyabirtokos adatainak védelme érdekében.
2. Tilos a szállító által adott alapértelmezett rendszerjelszavak és más biztonsági paraméterek használata.

A kártyabirtokos adatainak védelme
3. A kártyabirtokos adatainak védelmet kell biztosítani. Tilos a tárolni az olyan nem szükséges kártya- vagy tranzakcióadatokat, mint a teljes kártyaszám, a mágnescsík adatai, az ellenőrzőkód (CVV2) vagy a PIN-kód.
4. Nyílt, publikus hálózatokon történő továbbításkor a kártyatulajdonos adatait és az érzékeny információkat titkosítani kell.

Sérülékenységfelügyeleti program működtetése
5. Vírusvédelmi alkalmazást kell használni és rendszeresen frissíteni.
6. Biztonságos alkalmazásokat és rendszereket kell fejleszteni és üzemeltetni.

Hatékony hozzáférés-védelmi intézkedések alkalmazása
7. A kártyatulajdonosi adatokhoz csak olyan személyeknek szabad hozzáférniük, akiknek a munkájuk végzéséhez ez szükséges.
8. Minden személynek egyedi azonosítóval kell rendelkeznie az informatikai rendszerek eléréséhez.
9. Korlátozni kell a kártyatulajdonosi adatokhoz történő fizikai hozzáférést.

A hálózatok folyamatos ellenőrzése és tesztelése
10. A hálózati erőforrásokhoz és a kártyatulajdonosi adatokhoz történő valamennyi hozzáférést nyomon kell követni, és ellenőrizni kell.
11. Rendszeresen ellenőrizni kell a biztonsági rendszert és a folyamatokat.

Információbiztonsági szabályzat fenntartása
12. Megfelelő szabályzatot kell fenntartani az információbiztonság vonatkozásában.

A 12 követelmény részletes ismertetése itt található.

A 12 pontos PCI adatbiztonsági program egyik legfontosabb eleme a teljes kártyaszám és a CVV-adatok bármilyen formában történő tárolásának tilalma a sikeres jóváhagyást követően. Ez azért alapvető jelentőségű, mert az ezen rendkívül érzékeny adatokhoz való hozzáférés lehetővé teszi a hitelkártyák hamisítását.

Ha egy ellenőrzés során kiderül, hogy Ön mint kereskedő hitelkártyaadatokat tárol az értékesítési ponton (a pénztárgépben), a PMS-rendszerben (ügyféltér) vagy a cége irodájában, nagyon valószínű, hogy a VISA megbírságolja a bankját, a bankja pedig szerződésszegés címén Önre hárítja a bírságot. A VISA pontosan tudja, hogy léteznek olyan POS- és PMS-termékek, amelyek tárolják a kártyaadatokat.

Ebben természetesen az Ön tranzakciós szolgáltatóján kívül az iparág egészének valamennyi információtechnológiai szolgáltatója érintett. Ezért tranzakciós szolgáltatójától is kérjen megerősítő nyilatkozatot a PCI-szabványnak való megfelelőségről.

A kereskedőknek és a szolgáltatóknak eleget kell tenniük a PCI adatbiztonsági szabványoknak a tranzakciós és hitelkártyaadatok feldolgozása során. Ez annyit jelent, hogy minősítést kell szerezniük a VISA és a MasterCard meghatalmazott képviselőjétől.

A MICROS-Fideliónál mi nagyon komolyan vesszük ezt a kezdeményezést. Amikor bejelentették az új szövetségi előírásokat, amelyek megtiltották a hitelkártyaadatok tárolásának korábban széles körben elterjedt gyakorlatát, minden szoftveralkalmazásunkban végrehajtottuk az új szabályoknak való megfeleléshez szükséges változtatásokat.

Azóta további módosításokat is végeztünk a maximális PCI-megfelelőség érdekében. MICROS-Fidelio termékeink PCI-szabványnak megfelelő változatait termékfrissítésként kínáljuk ügyfeleinknek. A kisebb frissítéseket és hibajavításokat elvégezheti a MICROS-Fidelio terméktámogatási részlege. Érdeklődjön a helyi terméktámogatási csapatnál, hogy rendelkezése áll-e hibajavítás az Ön termékéhez.

2006 óta a MICROS-Fidelio a fizetési alkalmazások tanúsított, a biztonsági szabványoknak megfelelő szoftvergyártója. A tanúsítvánnyal rendelkező szoftverszállítók és alkalmazásaik listáját megtalálhatja a VISA hivatalos amerikai webhelyén, illetve idekattintva is elérheti.

Javasoljuk, hogy ne csak a termékverziót ellenőrizze a PCI-megfelelőséggel kapcsolatban, hanem azt is, hogy a megfelelőséghez szükséges valamennyi telepítési opció beállítása helyes. Az összes PCI-tanúsítvánnyal rendelkező rendszer listáját itt találja.

Terméktámogatási osztályaink készek segítséget nyújtani a beállításokkal kapcsolatban. Terméktámogatási osztályunkat a szabványos terméktámogatási kapcsolattartási opcióknak megfelelően, munkaidőben érheti el. Amennyiben szoftverfrissítést igényel, segítséget nyújtunk a tervezéssel és ütemezéssel kapcsolatban.

Ha szeretné felvenni a kapcsolatot a helyi MICROS-Fidelio EAME Terméktámogatási Központtal, a részletekért kattintson ide.

Sem a MICROS-Fidelio, sem az Ön szolgáltatója nem vállal semmiféle felelősséget a nem megfelelő termékek használatából eredő károkért.

Őszintén sajnáljuk, hogy a piac ilyen óriási nyomást gyakorol a hitelkártyákat elfogadó bankokra és kereskedőkre. Mindazonáltal úgy hisszük, kötelességünk tájékoztatást nyújtani a kérdéssel kapcsolatban.

A lehetőségeinken belül készek vagyunk minden segítséget megadni.

A PCI DSS (Payment Card Industry Data Security Standard) szabvány minden olyan kereskedőt/céget érint, amely elfogad hitelkártyás fizetéseket, és hitelkártyaadatokat tárol.

A PCI-szabvány előírásainak teljesítéséhez megfelelő szoftververzióra van szükség. Kompatibilitási listánkon megtalálja a szabványnak megfelelő verziókat.

Ha Ön hitelkártyaadatokat kezel vagy tárol, a régebbi szoftververziók frissíthetők a szabványnak megfelelő verzióra.

A szükséges frissítés terjedelme az Ön jelenlegi szoftverének verziójától függ. Terméktámogatási és értékesítési részlegeink készek segítséget nyújtani.

Kérjük, ne feledkezzen meg a hálózati biztonságról sem, és győződjön meg arról, hogy hálózatában nincsenek védelem/titkosítás nélküli biztonsági másolatok vagy képzési rendszerek.

Kérjük, ilyen módosításokat csak akkor végezzen, ha a Terméktámogatás erre utasítja. Segítséget nyújtunk annak megállapításához, hogy szükség van-e a telepítés vagy a konfiguráció módosítására.

A verziószám a szoftver indításakor és futtatásakor rendszerint megjelenik a képernyőn. Ha nem találja a verziószámot, forduljon segítségért a Terméktámogatáshoz.

Ha élő karbantartási szerződéssel rendelkezik, a frissítésekhez szükséges licencek ingyenesek.

A terméktől függően a frissítést gyakran távolról is elvégezheti a megfelelő terméktámogatási osztály.

Abban az esetben, ha az Ön verziója nagyon régi, előfordulhat, hogy a frissítést a helyszínen lehet csak elvégezni. A helyszíni kiszállás, telepítés térítésköteles. A frissítés terjedelmétől függően előfordulhat egyéb díjak alkalmazása (pl. új hardverelemek esetén).

A biztonsági követelmények értelmében tilos hitelkártyaadatokat tárolni vagy bevinni, a rendszert pedig olyan verzióra kell frissíteni, amely megfelel a PCI-szabványnak.

A frissítések összehangolása érdekében forduljon társasága központi információtechnológiai vezetőségéhez.

Egyedi tanúsítványok nem adhatók ki. Minden olyan szoftverszállító, amelynek termékei tanúsítvánnyal rendelkeznek, szerepel a VISA hivatalos webhelyén található listán („List of certified software providers”) a megfelelő szoftververziók megnevezésével együtt. Azok a társaságok, amelyek nem szerepelnek a listán, nem rendelkeznek hivatalos tanúsítással, és nem tesznek eleget a PCI szigorú követelményeinek. A listát a VISA rendszeresen frissíti.

A válasz erre a kérdésre a szoftver verziójától függ. Terméktámogatási csapatunk részletes információkkal szolgálhat az Önnél működő verzió státuszáról. Előfordulhat továbbá, hogy az Ön kérésére az adatbázist/felhasználói felületet egyedi vagy cégspecifikus mezőkkel egészítettük ki, amelyek kitöltése manuálisan zajlik.

Ha semmilyen hitelkártyaadatot nem visz be és nem tárol a rendszerben vagy a hálózaton, akkor cége megfelel a PCI-szabványnak. Ilyen esetben nincs szükség semmilyen szoftverfrissítésre vagy a telepítés módosítására.
Hitelkártya-terminálunkat a MICROS-Fidelión keresztül szereztük be. Ez azt jelenti, hogy megfelel a PCI-szabványnak?
A MICROS-Fidelio nem értékesít hitelkártya-terminálokat. További információért, kérjük, forduljon tranzakciós szolgáltatójához (pl. a Concardishoz vagy az Elavonhoz).

A MICROS-Fidelio nem értékesít hitelkártya-terminálokat. További információért, kérjük, forduljon tranzakciós szolgáltatójához (pl. a Concardishoz vagy az Elavonhoz).

Igen, mindaddig, amíg nem visznek be manuálisan hitelkártyaadatokat a Front Office rendszerbe. További részleteket a hivatalos PCI-DSS dokumentációban talál.