Ebaturvalised makseterminalid on ohuks nii kliendile kui ka kauplejale

Kui Leedus makstakse kaupade ja teenuste eest alla 30% ning Lätis umbes 50% juhul pangakaardiga, siis Eestis on see protsent 70. Eestis on inimesed harjunud eelistama kaardimakseid, mis omakorda paneb nii kaupmehed kui ka pangad tegema kõik endast oleneva, et tarbijatel oleks võimalikult mugav ja turvaline oma makseid teostada.

Täna enam Baltimaades magnetribal põhinevaid pangakaarte välja ei anta, sest nende magnetriba kopeerimisoht muutus liiga suureks probleemiks. Samal ajal kui näiteks USA ja mitmete Aasia riikide kaardimaksete infrastruktuur just magnetkaartidele üles ehitatud, eelistatakse meil turvalisuse pärast kiipkaardiga ja kontaktivabasid niinimetatud viipekaarte, millega saab makseid teha nii füüsilise kaardi kui ka mobiiltelefonis paikneva NFC-kaardiga. Turvalistele maksekaartidele üleminek teeb aga maksed turvaliseks vaid siis, kui ka makseterminal ning seal kasutatav rakendus on kõigile nõuetele vastavad.

Turvalisteks kaardimakseteks on kaardimakseorganisatsioonid eraldi ja ühiselt (VISA, Mastercard, JCB, American Express) välja töötanud standardid ja nõuded (PCI Payment Card Industry), mida kaardimakse vastuvõtu ja töötlusega seotud osapooled peavad järgima. Standardite väljatöötamiseks ja haldamiseks ning testimismeetodite väljatöötamiseks asutati 1999. aastal kaardiorganisatsioonide poolt ühtne organisatsioon EMVCo.

Peamised nõuded millele kaardimakseterminalid peavad vastama on:

A. PCI PTS (PIN Transaction Security) Tegemist on kaardimakseseadmele kaardiorganisatsioonide poolt kehtestatud nõuetega, mis sätestavad turvalisuse tagamise terminali ja sisestatud kaardi vahelises andmevahetuses, PIN-koodi sisestamises ja töötluses terminalis, kiip- ja viipekaartidega seotud toimingute teostamisel ning seadmes paiknevate andmete hoidmisel. Iseteeninduslikul seadmel on nõudeid märksa rohkem, näiteks peab olema tagatud, et selle eemaldamisel seadmest oleks terminal blokeeritud.

Kõik lahendused, mis võtavad kaarte vastu, peavad olema üleval EMVCo kodulehel (www.emvco.com). Kasutada lubatakse vähemalt PCI PTS 2.x nõuetele vastavaid terminale, kuid paigaldatavad uued terminalid peavad vastama PCI PTS 3.x nõuetele.

B. CI PA-DSS (Payment Application DataSecurity Standard) Terminal

Selle rakenduse puhul on kaardimaksega seotud sensitiivsed andmed eriti turvatud: side panga ja terminali vahel ning kõik terminalis talletatud andmed on krüpteeritud ja terminal ei väljasta kolmandatele lahendustele, sealhulgas kassasüsteemidele, sensitiivseid andmeid.

Hansabi poolt pakutavad Ingenico terminalide tarkvara on sertifitseertitud Rootsis paikneva ettevõtte Trustwave poolt, kusjuures iga kahe aasta tagant on oluline jätkusertifitseerimine. Kõik lahendused, mis võtavad kaarte vastu, peavad olema leitavad EMVCo kodulehelt.

C. PCI DSS (Data Security Standard)

Kaupmehe infosüsteem töötleb ja haldab kaardimakseid sellisel viisil, et kaardimaksete tegemine on turvaline. Sisaldab nõudeid kaardimaksete käitlemisele – kuidas turvaliselt kaardimaksetega seotud andmeid hoida, edastada, monitoorida ja logida. Samuti nõuded infrastruktuurile alates viirusetõrjetest ja tulemüüridest kuni andmete krüpteerimise ja süsteemile ligipääsuni. Samuti on omad nõuded organisatsioonile (et kaardimakseid teostatakse tõesti turvaliselt) ning lahenduste arendamisele ja tellimisele (PA-DSS Implementation Guide for customers, resellers, and integrators).

D. Kohalikud nõuded

Eesti Pangad ja kaardikeskus NETS on kehtestanud kohalikud nõuded, mis lähtuvad kaardiorganisatsioonide standarditest, kuid arvestavad ka kohalike erisustega. Kohalikud pangad esindavad kaardiorganisatsioone ja pakuvad kaartide vastuvõtuga seotud teenuseid, mistõttu on nad otseselt huvitatud, et nende süsteemide külge ühendatud kaardimakseid vastuvõtvad seadmed oleksid turvalised. Selleks teostatakse tihedas koostöös kaardimakselahenduste testimisi ja lahenduste kohapealset sertifitseerimist.

Integreeritud lahenduste nõuete puhul liidestatakse terminal või Pinpad kaupmehe poolt kasutatava finantssüsteemiga ning kontrollitakse nende omavahelist toimimist. Eriti oluline on see iseteeninduslike seadmetega, kus klient teeb kaardimakse iseseisvalt ja peab saama selle eest teenuse. Selleks, uute integreeritud lahenduse turuletoomine toimuks probleemivabalt konsulteerib Ellore arendajaid ja teostab sertifitseerimiseelse ülevaatuse. 

Lisaks on pankadel ka omad nõuded, aga need on kohandatud kohalikele oludele, et kogu terminali funktsionaalsus sealhulgas ekraaniteated ning kviitungid oleksid need kõigile kaardimakse osapooltele arusaadavad ja probleemide korral üheselt mõistetavad. 

Miks eelistada terminalide renti ostule?

Makseterminale võib nii osta kui ka rentida, kuid kindlasti on tootemüüjale ja teenusepakkujale mõttekam terminal rendile võtta. Miks? Sest sel juhul kuulub terminal selle rendile andjale, kes vastutab, et tegemist on kõigile nõuetele ja sertifikaatidele vastava tehnikaga ning kellel lasub kohustus uuendada tarkvara ning aidata erilahenduste või probleemide puhul. Kui kaupleja ei soovi terminali osta, vaid rentida, oleks kasulik rentida SLA-leping, et vastus oleks ikkagi terminali paigaldajal ja müüjal. Kindlasti hoolitsege, et teil oleks tagatud tarkvaratugi ka siis, kui olete terminalid endale ostnud või erilahendused lasknud välja töötada!

www.ellore.eu

Kaubanduse turvariskide maandamise sarja järgmine artikkel räägib turvaväravatest ning -elementidest.