PCI DSS e-kereskedelemnek: praktikus útmutató online áruházaknak

Az e-kereskedelem dinamikusan fejlődő szektora sajátos PCI DSS-kihívásokat tartogat: a checkout-élmény és a biztonság között kell egyensúlyt teremteni, miközben a hatókör minimalizálása csökkenti az auditköltségeket és az incidens-kockázatot.

E-kereskedelem PCI DSS-hatóköre: a három modell

Az e-kereskedők három fő checkout-modell között választhatnak, mindegyik más PCI DSS-hatókört jelent: teljes kiszervezés (redirect): a vevő a PSP oldalára kerül fizetéskor – a kereskedő rendszere soha nem érintkezik kártyaadattal, SAQ A alkalmazható; hosted fields (iframe/JS): a kereskedő saját checkout-oldala van, de a kártyabeviteli mezők a PSP/PCI Proxy EU hosztján futnak – SAQ A-EP alkalmazható; saját kártyaadat-feldolgozás: a kereskedő maga dolgozza fel a kártyaadatokat – SAQ D (329 kérdés) szükséges, ez a legköltségesebb megfelelőségi út.

Hosted fields: az egyensúlyi megoldás

A hosted fields (beágyazott mezők) megoldás a legtöbb e-kereskedő számára ideális: a kereskedő testreszabott checkout-oldalt tarthat fenn (saját dizájn, márkaépítés); a kártyabeviteli mezők biztonságos iframe-ként futnak a PCI Proxy EU infrastruktúráján; a kereskedő backend-kódja soha nem érintkezik PAN-nal; a PCI DSS-hatókör SAQ A-EP szintre csökkenthető. A PCI Proxy EU hosted fields REST API-val integrálható minden modern e-kereskedelmi platformba (Shopify, WooCommerce, Magento stb.).

3DS2 és PCI DSS e-kereskedelemben

Az EMV 3DS2 (3D Secure 2) a PSD2 SCA (Strong Customer Authentication) követelményeinek teljesítéséhez szükséges. PCI DSS szempontból a 3DS2 nem változtat a hatókörön, de: növeli a tranzakciók elfogadási arányát (approval rate); csökkenti a kereskedő chargeback-kockázatát (liability shift); az acquirer/kibocsátó viseli a felelősséget sikeres 3DS2-hitelesítés esetén. A PCI Proxy EU tokenizáció és a 3DS2 kombinálható – a token alapján kezdeményezhető 3DS2 hitelesítés anélkül, hogy a kereskedő érintkezne a PAN-nal.

---