Bezpieczeństwo to podstawa wszystkich transakcji finansowych. Dlatego tak ważne jest podnoszenie standardów w tej materii. Mają tego świadomość dostawcy usług na rynku płatności bezgotówkowych, zapewniają więc coraz częściej najwyższe, światowe standardy bezpieczeństwa i skutecznie przeciwdziałają kradzieży danych kartowych przetwarzanych w procesie obsługi transakcji. Przykładem może myć spełnienie przez eService wymagań niezbędnych do uzyskania certyfikatu potwierdzającego zgodność dostarczanych rozwiązań płatniczych ze standardem PCI P2PE.
Justyna Szymańska
Zapewnienie bezpieczeństwa transakcji płatniczych to nie nowość. Troska o ten aspekt obecna jest tak w obszarze płatności gotówkowych, jak i bezgotówkowych. Zabezpieczenia banknotów powstały po to, żeby zagwarantować bezpieczny transfer środków z jednego punktu do drugiego. Jeszcze bardziej zaawansowane technologicznie zabezpieczenia dotyczą transferu pieniądza elektronicznego. – Jako dostawca rozwiązań płatniczych jesteśmy zobligowani do zachowania ściśle określonych standardów, ale mamy też poczucie odpowiedzialności, które nie wynika z prawnych aspektów, a po prostu naszego firmowego DNA. Chcemy, by pieniądze naszych klientów były w 100 proc. bezpieczne. Regularnie przeprowadzamy audyty i weryfikujemy procedury – mówi Piotr Wiśniewski dyrektor Departamentu Klienta Strategicznego i Partnerów Biznesowych CEE w eService – Współpracujące z nami firmy, przede wszystkim duże sieci handlowe, także mają obowiązek kontrolowania bezpieczeństwa transakcji bezgotówkowych u siebie. To ważne, ponieważ terminale płatnicze są u nich zintegrowane z systemami kasowymi, a to rodzi różne wyzwania – dodaje.
Zapewnienie bezpieczeństwa nie jest tanie. W wypadku dużych firm handlowych korzystających z systemów kasowych zintegrowanych z urządzeniami płatniczymi oznacza m.in. ponoszony co roku koszt obowiązkowego audytu. To nawet kilkaset tysięcy euro. To ogromne obciążenie finansowe, czasowe i operacyjne. Stosunkowo niedawno pojawiło się jednak pierwsze na polskim rynku certyfikowane rozwiązanie, które zdejmuje ten problem z barków przedsiębiorców. Co ważne zapewnia przy tym zachowanie najwyższych standardów bezpieczeństwa. Wdrożył je największy krajowy dostawca elektronicznych usług płatniczych. eService, jako pierwszy polski agent rozliczeniowy, spełnił wymagania niezbędne do uzyskania certyfikatu potwierdzającego zgodność ze standardem PCI P2PE i udostępnił działające rozwiązanie, które jest obecnie najlepiej rozwiniętym na rynku. Co to oznacza dla klientów eService? – Dla sprzedawców i usługodawców korzystających z rozwiązań mających certyfikat P2PE to uproszczenie procedur i spore oszczędności. Wynikają one przede wszystkim z eliminacji znacznej części kosztów związanych z zapewnieniem odpowiedniego – wymaganego poziomu bezpieczeństwa oraz jego cykliczną weryfikacją, czyli np. regularnego potwierdzania zgodności z PCI DSS, wymagającego obowiązkowych, zewnętrznych skanów podatności typu ASV (Approved Scanning Vendor). Możliwość uwolnienia się przez sprzedawców od części ciążących na nich obowiązków wiąże się z tym, że w rozwiązaniach P2PE, to my i nasze usługi stajemy się gwarantem bezpieczeństwa urządzeń wykorzystywanych przez klientów – mówi ekspert eService.
Ułatwić prowadzenie biznesu klientom
Rozwiązanie Point-to-Point Encryption (P2PE) ma zastosowanie w procesie akceptacji płatności kartowych. Obejmuje ono terminal POS wraz z zainstalowaną na nim aplikacją płatniczą, procesy autoryzacji transakcji płatniczych oraz wiele zaawansowanych mechanizmów kryptograficznych. W uproszczeniu – istota rozwiązania P2PE polega na tym, że dane karty płatniczej są szyfrowane już w chwili ich odczytu na terminalu, a następnie bezpiecznie przesyłane i deszyfrowane w specjalnym, chronionym środowisku informatycznym agenta rozliczeniowego obsługującego transakcję, czyli eService. – Naszą misją jest ułatwianie prowadzenia biznesu naszym klientom i bierzemy za to odpowiedzialność. Rozwiązanie Point-to-Point Encryption (P2PE) jest tego świetnym przykładem – podkreśla Piotr Wiśniewski.
Rozwiązania P2PE certyfikowane w eService dotyczą konkretnych modeli terminali, pinpadów, a także urządzeń płatniczych przeznaczonych dla szybko rozwijających się systemów sklepów i automatów samoobsługowych. Wśród nich znajduje się kilkanaście modeli urządzeń – terminali i pinpadów Ingenico, a także pierwsze urządzenia Verifon – np. P400. Prace nad rozszerzeniem listy urządzeń są nadal prowadzone i w niedługim czasie pojawi się na niej również bardzo popularny terminal mobilny PAX.
Jak podkreśla ekspert eService, aby proces płatności był rzeczywiście bezpieczny, wymagana jest weryfikacja każdego rodzaju urządzenia, który je obsługuje. – Musimy mieć pewność, że dane urządzenie spełnia normy, czy odpowiednio działają klucze szyfrujące. Dlatego dla każdego z urządzeń trzeba przejść taki proces niezależnie. To oczywiście zajmuje sporo czasu, niemniej jednak dbamy o to, żeby mieć odpowiednio szerokie portfolio certyfikowanych urządzeń. Jesteśmy w tej materii jednym z liderów na świecie, ale nie spoczywamy na laurach. Kolejne certyfikowane urządzenia pojawią się już niebawem na naszej liście – podsumowuje.
Certyfikat P2PE wystawiany jest przez Radę Standardów Bezpieczeństwa Branży Kart Płatniczych (Payment Card Industry Security Standards Council – PCI SSC). To międzynarodowa organizacja powołana w celu definiowania i rozwijania standardów bezpieczeństwa oraz zasobów niezbędnych dla zapewnienia bezpieczeństwa płatności na całym świecie. Rada została założona w 2006 roku przez pięć najważniejszych organizacji kartowych: American Express, Discover, JCB International oraz Mastercard i Visa.