A Buy Now Pay Later (BNPL – vásárolj most, fizess később) egy gyorsan növekvő fizetési modell, amely lehetővé teszi a fogyasztók számára, hogy részletekben fizessenek anélkül, hogy hagyományos hitelkártyát kellene használniuk. A BNPL-tranzakciók mögött azonban komplex felelősségi lánc húzódik a kártyaadatok kezelése tekintetében. Ez a cikk megvizsgálja, ki esik a PCI DSS hatálya alá a BNPL-ökoszisztémában.
Hogyan működik a BNPL kártyaadat-szempontból?
A BNPL-tranzakciók több szereplőt vonnak be: a kereskedőt (az áru vagy szolgáltatás eladója), a BNPL-szolgáltatót (pl. Klarna, Afterpay, Scalapay), a mögöttes finanszírozót (általában bank vagy pénzügyi intézmény) és a kártyahálózatokat (ha a BNPL-finanszírozás kártyán alapul). Amikor a fogyasztó kártyaadatokat ad meg a BNPL-folyamatban, ezeket általában a BNPL-szolgáltató tárolja – nem a kereskedő. Ez azonban nem jelenti azt, hogy a kereskedő automatikusan kikerül a PCI DSS hatóköréből.
Ki esik a PCI DSS hatálya alá a BNPL-ben?
A felelősségi lánc a következőképpen alakul: a BNPL-szolgáltató teljes PCI DSS Level 1 hatókörbe esik, mivel kártyaadatokat tárol és dolgoz fel; a kereskedő akkor esik a PCI DSS hatókörébe, ha a BNPL-integrációja során bármilyen módon érintkezik kártyaadatokkal – például ha az ügyfél a kereskedő oldalán adja meg adatait, mielőtt azok a BNPL-re kerülnének; az acquirer bank teljes PCI DSS-felelőssége megmarad a saját rendszerei vonatkozásában. Ha a kereskedő redirectet alkalmaz a BNPL-oldalra, és nem érintkezik kártyaadatokkal, kisebb SAQ-ra (pl. SAQ A) jogosulhat.
A BNPL és a card-on-file kötelezettségek
Sok BNPL-szolgáltatás card-on-file modellt alkalmaz: az ügyfél egyszer adja meg kártyaadatait, majd a BNPL-szolgáltató automatikusan terheli a kártyát a részletfizetések esedékességekor. Ez card-on-file tokenizációs kötelezettségeket vet fel a BNPL-szolgáltató részéről: a PAN-t tokenizálni kell a tárolás előtt, a tokeneket biztonságos PCI DSS-megfelelő vaultban kell tárolni, a törlesztési folyamatot biztonságos API-hívásokkal kell végrehajtani.
Hogyan egyszerűsíti a tokenizáció a BNPL-megfelelőséget?
A PCI Proxy EU tokenizációja lehetővé teszi a BNPL-szolgáltatók számára, hogy PAN helyett tokeneket tároljanak a törlesztési folyamathoz. Ez csökkenti a PCI DSS hatókörét és az incidensek esetén fennálló kártyaadat-kitettséget. A kereskedők számára a BNPL-re való redirect és a PCI Proxy EU hosted fields kombinációja biztosítja, hogy sem a BNPL-folyamatban, sem az e-kereskedelmi fizetésekben ne érintkezzenek PAN-adatokkal.
Értékelje BNPL-kötelezettségeit PCI DSS szempontból
Szakértőink segítenek megérteni, hol esik Ön a PCI DSS hatálya alá a BNPL-ökoszisztémában, és hogyan csökkenthető a hatókör.
Konzultáljon szakértőnkkel