A PCI DSS-megfelelőség sok szervezet számára komoly technikai és adminisztratív terhet jelent. Ugyanakkor az európai kereskedők és fizetési szolgáltatók többsége jelentősen csökkentheti megfelelőségi kötelezettségeit egy bevált megközelítéssel: a PCI Proxy alkalmazásával. Ez az útmutató pontosan elmagyarázza, mi a PCI Proxy, hogyan működik, és hogyan értékelhető, hogy szüksége van-e rá szervezetének.
Definíció: mi a PCI Proxy?
A PCI Proxy egy tanúsított PCI DSS közvetítő szolgáltatás, amely elfogja az érzékeny kártyaadatokat (PAN-számot, lejárati dátumot, CVV-t), mielőtt azok belépnének az Ön IT-környezetébe, biztonságosan tárolja azokat egy tanúsított vaultban, és visszaadja az alkalmazásának egy tokent – egy belső értékkel nem bíró azonosítót, amely felhasználható a következő tranzakciók kezdeményezéséhez.
A gyakorlatban, amikor az ügyfél kártyaadatait megadja az Ön oldalán vagy alkalmazásában, az adatok közvetlenül a PCI Proxy vaultba kerülnek, és nem érintik az Ön szervereit. Az alkalmazása kizárólag egy tokent kap, amelyet szabadon tárolhat az adatbázisban különleges biztonsági követelmények nélkül. A tanúsított vault tárolja a tényleges adatokat, és a megfelelő pillanatban biztonságos és megfelelő módon továbbítja azokat a PSP-hez.
Ezt a helyettesítési architektúrát a négy fő kártyahálózat (Visa, Mastercard, American Express, Discover) a CDE (kártyabirtokos-adatok környezete) hatókörének csökkentésére elfogadott módszerként ismeri el. A PCI DSS v4 irányelvei is kifejezetten szabályozzák a harmadik fél tanúsított tokenizációs megoldásait.
Hogyan csökkenti a PCI Proxy a CDE-t?
A CDE (kártyabirtokos-adatok környezete) azokat a rendszereket, hálózatokat és folyamatokat foglalja magában, amelyek kártyabirtokos-adatokat tárolnak, dolgoznak fel vagy továbbítanak. Minél szélesebb a CDE, annál nagyobb a PCI DSS értékelés hatóköre, annál több kontroll szükséges, és annál magasabb a megfelelőség költsége.
PCI Proxy nélkül egy PSP-vel való tipikus integráció azt jelenti, hogy a webszerverek fogadják a fizetési űrlapba beírt kártyaadatokat, és ezeket a backenden keresztül továbbítják a PSP-nek API-n. Ez az adatfolyam bevonja a teljes szerver- és backendinfrastruktúrát a CDE-be, az összes ebből következő követelménnyel: titkosítás átvitel közben és nyugalomban, szigorú hozzáférés-ellenőrzés, biztonsági eseménynaplózás, rendszeres behatolásvizsgálatok.
A PCI Proxy segítségével a kártyaadat-beviteli űrlapot közvetlenül a vault hostol ja (vagy biztonságos JavaScriptet használ, amely a vaultra mutat), teljes mértékben megkerülve az Ön szervereit. A környezet soha nem látja a kártyaadatokat nyílt formában – kizárólag tokenekkel dolgozik. Ez az adatfolyam-csökkentés az SAQ A vagy SAQ A-EP kérdőívekre való jogosultságot eredményezheti – a PCI DSS legegyszerűbb önértékelési kérdőíveire.
A PCI Proxy különböző típusai és alkalmazásaik
Az üzleti igényektől függően több PCI Proxy architektúra létezik. Az iframe vagy hosted fields modell az e-kereskedelmi integrációkban a legelterjedtebb: a fizetési űrlapot közvetlenül a PCI Proxy szolgáltatás szállítja, tanúsított domainjéről, és vizuálisan integrálva van az Ön felületébe iframe segítségével. Az ügyfél zökkenőmentes folyamatot tapasztal az Ön oldalán, de a kártyaadatok közvetlenül a tanúsított vault-környezetbe kerülnek.
Call centerek és MOTO (Mail Order/Telephone Order) fizetések esetén a PCI Proxy DTMF (Dual-Tone Multi-Frequency) technológiát alkalmazó telefonos integrációval működhet. Amikor az ügyfél kártyaadatait megadja az ügynöknek, a telefonrendszer elfogja a billentyűhang-jeleket, és közvetlenül a PCI Proxy vaultba továbbítja azokat, az ügynök tudta nélkül az adatokról. Ez a megközelítés lehetővé teszi, hogy a call centerek telefonos fizetéseket kezeljenek anélkül, hogy a telekommunikációs infrastruktúra a PCI DSS hatókörébe kerülne.
Az API Proxy modell technikai integrációkhoz készült, ahol a kártyaadatok különböző csatornákból érkeznek (mobil alkalmazások, fizikai terminálok, partneri API-k). Ebben az esetben a PCI Proxy átlátható API-átjáróként működik: az API-hívásokat elfogja, az érzékeny adatokat kinyeri és tokenizálja, majd a módosított kérést az eredeti PSP-nek továbbítja a tényleges adatokkal.
Szüksége van PCI Proxyre? Értékelési szempontok
A válasz szinte biztosan igen, ha szervezete kártyás fizetéseket fogad el, és minimalizálni kívánja a PCI DSS-megfelelőségi terheket. A PCI Proxy különösen indokolt, ha ismétlődő fizetéseket vagy előfizetéseket kezel, amelyek card-on-file adatok tárolását igénylik; ha telefonos fizetéseket kezelő call centert üzemeltet; vagy ha szoftverfejlesztőként vagy SaaS-platformként fizetési funkciókat kínál ügyfeleinek.
Startupok és KKV-k számára Európában a PCI Proxy gyakran a leggazdaságosabb megoldást jelenti a PCI DSS-megfelelőséggel induló kártyaelfogadáshoz. A saját biztonságos infrastruktúrába való befektetés vagy informatikai biztonsági szakértők toborzása helyett a fizetésfeldolgozás legérzékenyebb részének kiszervezése egy specializált és tanúsított szolgáltatóhoz lehetővé teszi az erőforrások az alaptevékenységre való összpontosítását.
PCI Proxy vs. egyéb PCI DSS megfelelőségi megoldások
A PCI Proxyt meg kell különböztetni más megoldásoktól, amelyekkel gyakran összekeverik. Egy PSP, mint például a Stripe vagy az Adyen, hosted fizetési oldalakat kínál, amelyek szintén csökkentik a CDE hatókörét, de ezek a megoldások egyetlen szolgáltatóhoz kötik Önt, és nem teszik lehetővé a kártyaadatok más PSP-khez való hordozhatóságát. A PCI Proxy PSP-agnosztikus, és lehetővé teszi több acquirer egyidejű vagy szekvenciális használatát.
A Visa Token Service (VTS) vagy a Mastercard Digital Enablement Service (MDES) által kínált hálózati tokenizáció más szinten működik: a kártyahálózatokban biztonságossá teszi a tranzakciókat, eszköz- és kereskedő-specifikus tokennel helyettesítve a PAN-t minden egyes tranzakcióhoz. Nem kezeli a card-on-file adatok tárolását kereskedői szinten, és nem biztosít multi-PSP hordozhatóságot. A kereskedői szintű PCI Proxy és a hálózati tokenizáció kiegészíti egymást, és nem helyettesítik egymást.
PCI Proxy kiválasztása: mit kell ellenőrizni
A szolgáltató PCI DSS Level 1 tanúsítványa sine qua non kritérium. Ez garantálja, hogy a vault akkreditált QSA-auditoron ment keresztül, és a szabvány legigényesebb verziójának 300+ kontrolljának megfelel. Rendszeresen kérje a szolgáltató Attestation of Compliance (AOC) dokumentumát, amely részletezi a tanúsítás által lefedett szolgáltatásokat és komponenseket.
Az adatrezidencia szabályozási imperatívus a GDPR hatálya alá tartozó európai kereskedők számára. Az európai ügyfelek kártyaadatait az Európai Unióban található adatközpontokban kell tárolni. Az EU-n kívül hostolt vault személyes adatok határokon átnyúló továbbításával kapcsolatos komplikációknak teszi ki, különösen az EU Bíróságának Schrems II ítélete után. A PCI Proxy EU 99,9%-os rendelkezésre állást garantál Európában redundáns infrastruktúrával.
Készen áll a PCI DSS hatókörének csökkentésére?
Szakértőink segítenek felmérni jelenlegi architektúráját és bevezetni az igényeire és tranzakciós volumenére szabott PCI Proxyt.
Konzultáljon szakértőnkkel