תשלום מאובטח

1. חשיבות תקן  PCI DSS באתר סחר  

א. משמעות תקן PCI

  • PCI DSS (Payment Card Industry Data Security Standard) הוא תקן שנוצר על ידי 5 חברות כרטיסי האשראי הגדולות (ויזה, מסטרקארד, Discover, JCB ואמריקן אקספרס) כדי להבטיח הגנה על נתוני כרטיסי אשראי בכל סביבה בה הם מאוחסנים, מועברים או מעובדים.

  • התקן כולל דרישות שונות ליישום בקרות אבטחת מידע במטרה ליישם הגנה בארגונים המטפלים בפרטי כרטיסי אשראי באמצעים שונים כגון קופה רושמת, ארנקים אלקטרוניים, אתרי אינטרנט, מכונות ממכר אוטומטיות וכספומטים.

ב. מועצת PCI  

  • מועצת PCI הוקמה במטרה לייצר תקנים וחומרים תומכים להגברת בטיחות התשלומים בכרטיסי אשראי. אלה כוללים כלים, מדדים ומשאבים שנועדו לסייע לארגונים להבטיח טיפול בטוח יותר בפרטי המשלמים בכל שלב בדרך.

  • הבסיס לפעילות המועצה הוא סטנדרט PCI Data Security Standard, או בקיצור PCI DSS, המספק מסגרת פעולה לפיתוח תהליכי תשלום באשראי אמינים ובטוחים – כולל מניעה, זיהוי ותגובה מתאימה לבעיות אבטחת מידע.

ג. תקן PCI באתר GEMS

  • שירות סליקת כרטיסי אשראי ותשלומים באתר מבוצעים באמצעות חברת PAYME. 

  • יישום אבטחת מידע אמור להיות חלק מרכזי בפעילות העסק. עמידה בדרישות התקן מהווה מצד אחד הגנה לבית העסק בפני קנסות ותביעות מצד חברות האשראי הבינלאומיות במקרה של חדירת גורם עוין למערכות החברה וזליגת מידע (נתוני כרטיסי אשראי).

  • נכון לעדכון דף זה בחודש יוני 2022, מערכת סליקה PAYME מחזיקה בתעודות הסמכה לתקן אבטחה PCI DSS.

תעודת הסמכה לתקן PCI DSS level-1 לשנים 2022/2023.

תעודת הסמכה לתקן PCI DSS level-1 לשנים 2021/2022.

2. עסקה ב-3DSecure

א. מה זה 3DSecure?

  • סטנדרט שהקימו חברות האשראי הבינלאומיות במטרה לצמצם את הכחשות העסקה ב - "עסקאות במסמך חסר". שירות זה מגן על כרטיסי האשראי נגד הונאות בעת קניות באינטרנט ולמעשה  מאפשר למחזיקי הכרטיס לבצע אימות לעסקה טרם הושלמה, על ידי בקשה קוד אישי חד פעמי שנשלח לטלפון סלולרי של הקונה

  • שירות 3DS מספק יכולת לבתי עסק לסלוק עסקאות מסוג "עסקאות במסמך חסר" לעסקאות מאובטחות ולא ניתן להכחיש אותם למעט "כשל תמורה". ראה בסרטון הבא סימולציה לביצוע עסקה דרך 3DS.

ב. השירות 3DS באתר GEMS

  • הרוכש מזין את פרטי התשלום בדף התשלום ולוחץ " תשלום ".

  • הרוכש מועבר לדף נוסף שנקרא דף אימות שבו הוא מתבקש להזין קוד עם 6 ספרות. במקביל, חברת האשראי של מחזיק הכרטיס שולחת סמס אשר מכיל את הקוד אותו הרוכש צריך להזין.

  • במידה והוזן קוד שגוי, הרוכש מתבקש להזין קוד תקין.

  • במידה והוזן קוד תקין, מתבצע ניסיון השלמת עסקה עד להצלחה/ כישלון (בדיקה אם יתרה מספקת להשלמת  עסקה, CVV ותעודת זהות תקינים וכו'. ראה דוגמאות הבאות:

1. דוגמא לסמס אימות כרטיס אשראי שנשלח ע"י חברת אשראי

2. דוגמא לדפי אימות תשלום נקבעים עפ"י חברת האשראי של מחזיק הכרטיס "המנפיק"

ויזה כאל

לאומיקארד/MAX

ישראכרט

שיתוף:
מס' מדרגים: 3  ממוצע: 5