סליקה באינטרנט אבטחת מידע ומהו דף תשלום

סליקת כרטיסי אשראי

אחד הנושאים החמים בתחום סליקת כרטיסי אשראי ובפרט סליקה בכרטיס חסר, (תשלומים באינטרנט, מסחר אלקטרוני), היא ההסמכה של אתרי סחר אלקטרוני לעמידה בתקן PCI. תהליך הרכישה מאתר סחר אלקטרוני, בדומה לרכישה בחנות פיזית, כולל מספר שלבים:

1.      חיפוש ובחירת המוצר (השוואת מוצרים השוואת מחירים וכדומה עד לקבלת החלטה והוספתה לעגלת הקניות).

2.      מילוי פרטים בפרט למשלוח ולהתקשרות.

3.      ביצוע הרכישה בדף התשלום. (חיוב כרטיס אשראי)

לפי תקן PCI יש להתייחס לשלושה פרמטרים בתהליכי  סליקת כרטיסי אשראי

1.      הזנת/קליטת מספר כרטיס האשראי.

2.      הצפנת מספר כרטיס האשראי בתווך התקשורת.

3.      שמירת מספר כרטיס האשראי.

הזנת מספר כרטיס האשראי בדף התשלום לצורך סליקת כרטיס אשראי, הוא חלק רגיש בתהליך הרכישה. במידה והזנת הכרטיס נעשית באתר הסחר האלקטרוני עצמו, מערכת ה-Web, מערך השרתים מאחוריה וכו', כולם חייבים לעמוד בתקן PCI, על כל המשמעות המורכבת הנובעת מכך.

על מנת לא להיכנס לתהליך הסמכה מלא וארוך לתקן, אחת הדרכים הנפוצות להתמודד עם נושא זה היא שימוש בדף 'הפניה' או בלועזית – 'redirect' המפנה לדף תשלום חיצוני (Landing Page/Payment Page). דרך זו מומלצת גם ע"י תקן PCI עצמו למרבית הגופים אשר מספקים פתרונות באינטרנט אשר נדרשים לאפשר חיובכרטיסי אשראי וסליקת כרטיסי אשראי באינטרנט.

דף סליקה באינטרנט

במה מדובר?

דף סליקה באינטרנט הוא דף ההפניה לתשלום ב-Web המגיע מתוך שרת מרוחק הנמצא באתר של חברה המוסמכת לתקן PCI. במסגרת זו, גם הדף עצמו נבדק ועומד בתקן PCI, קרי בוצעו בדיקות שלא ניתן לפרוץ אליו ולקחת ממנו את פרטי כרטיס האשראי. ניתן להשתמש בדף בעיצוב מוגדר, אחיד וקיים מראש עם כתובת URL, (הכתובת האינטרנטית של הדף), שונה מזאת של האתר שכן היא ניתנת מאתר מרוחק.

 מודל זה אגב הוא גם המודל בו משתמשת חברת PayPal.

 ניתן גם במידת הצורך לעצב דף תשלום ע"י הלקוח שיראה כמו האתר עצמו, כשבפועל דף תשלום זה יושב על שרתי החברה המוסמכת לתקן PCI. דף התשלום מאובטח ומזוהה גם באמצעות תעודת SSL אשר ניתנת כחלק מהשירות של שימוש בדף שכזה, על ידי ספק שירותי סליקה באינטרנט.

היתרון הגדול של שימוש בדף הפניה (Redirect) הוא בחסכון המשמעותי שעל הגוף לבצע כחלק מהסכמת PCI. שימוש בדף סליקה באינטרנט בשילוב  עם פתרון טוקניזציה שהינו חלק מסל השירותים הקיים בחברת קרדיט גארד, מקל על הארגון בעמידה בתקן PCI בצורה מאוד משמעותית.

בנוסף, דף סליקה באינטרנט עובר בשוטף בדיקות אבטחת מידע ובדיקות חדירה (Penetration Tests) כחלק מהעמידה בתקן PCI. עובדה זאת נותנת לסוחר את השקט הנפשי שהוא פועל כמו שצריך מבחינת ההגנה על המידע – פרטי כרטיס האשראי של הלקוח.חשוב מאוד לשים לב שספק דף ההפניה אכן הסמיך את הדף עצמו לעמידה בתקן PCI ואיננו מנצל איזושהי הסמכה כללית. בבדיקה אקראית נראה כי מרבית החברות שמציאות שירות זה בישראל לא הסמיכו את הדף שלהן בנפרד ושבמאמץ קל יחסית ניתן לפרוץ לו. 

החיסרון של דף סליקה באינטרנט שלעיתים הוא דורש תהליך הטמעה מורכב יותר, בפרט שמדובר מדף שאכן הוסמך ועומד בדרישות התקן ולא בדף 'הפניה' לכאורה כפי שרבים טוענים שיש להם

איך בוחרים ספק?

1.      מבקשים אישור, אחריות מהספק שאכן דף 'הפניה' עצמו הוסמך בנפרד ולא מסתפקים בהסמכה כללית. לכאורה זאת אחריות של חברות כרטיסי האשראי אלא שעד כה הם לא לקחו זאת על עצמן.

2.      תתרשמו מקלות האינטגרציה, אם זה פשוט מדי כנראה שכך יהיה גם למי שמנסה לפרוץ...