Marketplace PCI DSS-megfelelőség: platform, eladó és vevő felelőssége

Az online marketplace-ek különleges PCI DSS-kihívásokkal szembesülnek: a platform, az eladók és a vevők közötti pénzforgalomban a kártyaadatok kezelési felelőssége nem mindig egyértelmű. Ez a cikk feltérképezi a marketplace-specifikus PCI DSS-kötelezettségeket.

Ki felel a PCI DSS-ért egy marketplace-en?

A marketplace-eken a PCI DSS felelőssége a pénzforgalmi modell szerint alakul: ha a marketplace közvetlenül kezeli a fizetéseket (a vevő fizetése a platformnak, majd a platform kifizeti az eladókat), a marketplace a PCI DSS-kötelezett; ha az eladók közvetlenül fogadnak fizetést (a vevő az eladónak fizet, a platform csak közvetít), az eladók a PCI DSS-kötelezettjeik. A legtöbb modern marketplace az első modellt alkalmazza (platform-szintű fizetéskezelés), ami komplex PCI DSS-kötelezettségeket von maga után.

Split payment és tokenizáció marketplace-eknél

A marketplace-ek split payment mechanizmusa (vevő → platform → eladó kifizetés) tokenizációval a következőképpen valósítható meg biztonságosan: a vevő kártyaadata a PCI Proxy EU hosted fieldsen keresztül kerül bevitelre; a PCI Proxy EU tokent ad vissza, amellyel a platform kezdeményezi a tranzakciót; a tranzakció a PSP-n keresztül kerül elszámolásra; a platform az összegeket hagyományos banki átutalással osztja el az eladók között. Ez a folyamat eliminálija a platform rendszereiből a kártyaadatokat.

Alkereskedők PCI DSS-auditja: a marketplace felelőssége

Ha a marketplace-en az eladók saját fizetési oldalt üzemeltetnek (nem a platform checkout-ját használják), a marketplace acquirer-szerű felelőssége keletkezik az eladók PCI DSS-megfelelőségének monitorozásában. A best practice: standardizált checkout-platform ajánlása (saját marketplace checkout), amelyet a platform PCI-megfelelőként üzemeltet; az eladóknak tiltani a saját kártyaadat-kezelést (SAQ D-t igénylő megoldások); az alkereskedőkkel szerződésben rögzíteni a PCI DSS-megfelelőségi kötelezettséget.

---