Ponad 23 mln Polaków chociaż raz w życiu dokonało zakupów online, przy czym 9,5 mln skorzystało z usług PayU przy opłacaniu zamówienia. To ogromna baza bardzo wrażliwych danych. Jak w czasach, gdy z oszustwami internetowymi można się spotkać w każdej chwili, PayU udaje się skutecznie chronić takie dane?
PayU – standardy i certyfikaty bezpieczeństwa
Dowodem skuteczności działań PayU zapewniających użytkownikom bezpieczeństwo transakcji online są certyfikaty poświadczające zgodność z bardzo restrykcyjnymi przepisami regulującymi procesy finansowe.
- PCI DSS (Payment Card Industry Data Security Standard) to międzynarodowy standard bezpieczeństwa opracowany przez największe organizacje kartowe, który wymusza na operatorach płatniczych ponad 400 działań mających chronić dane kart płatniczych. PayU działa jako Service Provider poziomu 1 PCI DSS, co oznacza coroczny niezależny audyt potwierdzający spełnienie tych wymogów.
- Zgodność z PSD2/SCA (Strong Customer Authentication), czyli wymóg autoryzacji wieloskładnikowej). Regulacje PSD2 wymagają, aby wszystkie komunikacje między instytucjami płatniczymi i bankami a dostawcą usług zewnętrznych odbywały się przy użyciu certyfikatów zgodnych z eIDAS wydawanych przez Qualified Trust Service Provider (QTSP). Potwierdzają one m.in. wiarygodność serwisu oraz zawierają informacje na jego temat (takie jak numer licencji NCA i zakres działalności pod PSD2). Instytucje nadzorujące (EBA, krajowe NCA) regularnie monitorują dostawcę usług płatniczych (np. logi transakcji, stosowane metody uwierzytelniania i wykorzystywane filtry ryzyka). Za ich nieprzestrzeganie mogą nakładać kary sięgające nawet 100 000 dolarów miesięcznie.
- Licencja KNF (IP1/2012) oznacza, że PayU ma odpowiednie systemy bezpieczeństwa, środki kapitałowe i ubezpieczenia oraz działa zgodnie z wymogami prawa finansowego. Również i w tym przypadku instytucja jest objęta nadzorem finansowym i regulacyjnym (audytami, kontrolami bezpieczeństwa, raportowaniem transakcji), zaś brak spełnienia wymogów wiąże się dla niej z karami, a nawet cofnięciem licencji na świadczenie usług płatniczych na terenie Unii Europejskiej.
Mechanizmy PayU zapewniające bezpieczeństwo transakcji
PayU realizuje powyższe regulacje, wprowadzając najróżniejsze mechanizmy. Przykładowo rozwiązaniem dla zachowania standardów PCI, które stosuje PayU jest „tokenizacja”. Polega ona na tym, że gdy klient wpisuje w serwisie dane karty, system PayU zamienia je na otrzymany przez sieć karty unikalny token. Z tego powodu e-sklep nie zapisuje żadnych jej danych. Gdy następnym razem klient znowu dokona zakupu – serwis rozpozna jego token. Co więcej, dzięki temu, że tokeny wiążą transakcję z autoryzowanym źródłem (np. urządzeniem, aplikacją, wcześniejszym zachowaniem klienta) rośnie nie tylko jej bezpieczeństwo, ale też prawdopodobieństwo zaakceptowania przez bank wydający kartę, jako bezpiecznej płatności.
Kolejnym mechanizmem jest System Monitorowania Oszustw. Jest to inteligentny, zautomatyzowany system informatyczny, który w czasie rzeczywistym, na podstawie wielu zmiennych ocenia ryzyko oszustwa. W przypadku przekroczenia progów bezpieczeństwa podejmowane są odpowiednie działania, zmniejszające ryzyko oszustwa i ograniczające straty po stronie klienta lub sklepu internetowego.
Inne, raczej powszechnie znane rozwiązania, to:
- EV SSL / HTTPS. Protokół SSL szyfruje dane, które wpisuje użytkownik (np. numer karty) – nikt ich nie może przechwycić „po drodze” (świadczy o tym zielona kłódka przy pasku adresu na stronie). Z kolei EV (Extended Validation) potwierdza zarówno autentyczność strony, jak i wiarygodność danej firmy,
- 3-D Secure to system, który wymaga potwierdzenia transakcji dodatkową weryfikacją (np. kod SMS, aplikacja bankowa). PayU obsługuje także nowsze 3DS2, które umożliwia np. uwierzytelnienie odciskiem palca.
Bezpieczeństwo transakcji online z PayU – dodatkowe procedury
Bezpieczeństwo transakcji online z Payu to zasługa także rozbudowanej infrastruktury odpornej na ataki i awarie. Dane są przechowywane w dwóch niezależnych centrach, a ich regularne testy przeprowadzają niezależni eksperci IT.
Warto też wspomnieć, że PayU nigdy nie zażąda haseł, kodu CVV / CVC ani nie wyśle linków do płatności poprzez SMS/e-mail, a sama transakcje przebiega nie na stronie e-sklepu, lecz stronie przejściowej PayU, który automatycznie uzupełnia wszystkie niezbędne dane (Pay-By-Link). Wszystko to skutecznie chroni przed phishingiem. Dodatkowo, aby nie dochodziło do ryzykownych sytuacji, PayU przeprowadza dokładną weryfikację e-sklepu w celu sprawdzenia, czy jest to bezpieczne miejsce zakupów.
PayU dba o bezpieczeństwo trzech milionów transakcji dziennie
To nie wszystkie mechanizmy i procedury, które służą ochronie bezpieczeństwa transakcji online. Bramka płatności PayU przetwarza codziennie ponad 3 mln transakcji, ale jest w stanie obsługiwać ich ponad 10 mln. W tym celu ten operator płatniczy jest decydowany wdrażać nowe technologie i spełniać nowe standardy, aby zapewnić bezpieczeństwo danych, które powierzają mu klienci.
Źródła:
- https://www.appviewx.com/education-center/psd2-compliance
- https://en.wikipedia.org/wiki/Strong_customer_authentication
- https://digital-finance-platform.ec.europa.eu/observatory/eu-fintech-map/payu-sa
- https://gemius.com/documents/66/RAPORT_E-COMMERCE_2024.pdf
