PCI DSS kiskereskedelemnek: fizikai bolt, online shop és omnichannel

A kiskereskedelmi szektor az egyik legösszetettebb PCI DSS-környezettel rendelkezik: fizikai POS-terminálok, online webshop, ügyfélhűség-programok card-on-file tokenizációval és telefonos rendelésfelvétel is jelen lehet. Az omnichannel stratégia sajátos PCI DSS-kihívásokat jelent.

Fizikai bolt PCI DSS-kötelezettségei

A fizikai kiskereskedelmi egységek (bolt, bevásárlóközpont) PCI DSS-kötelezettségei: POS-terminálok (P2PE-tanúsított terminálok alkalmazása esetén a CDE minimalizálható); POS-terminálok negyedéves vizuális ellenőrzése tamper és skimmer eszközök ellen; a kasszás munkatársak kiképzése gyanús terminál-módosítások felismerésére; hálózati szegmentáció a POS-hálózat és az irodai/management-hálózat között; rendszeres ASV-szkennelés az internet-felőli POS-hálózati belépési pontokra.

Webshop PCI DSS-kötelezettségei

Az online kiskereskedelmi egységek (webshop) PCI DSS-kötelezettségei a hosted fields vs. saját kártyabeviteli megoldástól függenek: hosted fields (PCI Proxy EU): SAQ A-EP alkalmazható, a PCI DSS-hatókör minimális; saját kártyabevitel (pl. JavaScript-alapú): SAQ D kötelező, teljes audit szükséges. Az ajánlott megközelítés: a fizikai bolti termékek online értékesítéséhez hosted fields alkalmazása, card-on-file tokenizáció a visszatérő vásárlóknak.

Omnichannel: közös vevői adatok és tokenizáció

Az omnichannel kiskereskedelem legösszetettebb PCI DSS-kihívása: ugyanaz a vevő fizethet a boltban, a webshopban és telefonon is. Ha minden csatornán tokenizáció van: az online vásárlásnál tokenizált kártya felhasználható telefonos megrendelésnél is (MOTO-tranzakció tokennel); a bolti vásárlásnál rögzített kártyaadat tokenizálva menthetők a card-on-file-ba; a vevői hűségprogram kártya-összekapcsoló funkciójában mindig csak a token szerepel. A PCI Proxy EU tokenizáció multi-channel és cross-channel fizetési adatkezelést tesz lehetővé.

---