Jakie są standardy branżowe kart płatniczych?
Standardy branżowe kart płatniczych to standardy, które określają, w jaki sposób firmy obsługujące karty kredytowe i handlowcy, z którymi współpracują, przetwarzają dane kart kredytowych i przetwarzają płatności. Zasadniczo wszelkie standardy lub najlepsze praktyki powszechnie stosowane w branży kart kredytowych można nazwać standardami branży kart płatniczych. Jednak wyrażenie to jest najczęściej używane w połączeniu z uniwersalnym standardem bezpieczeństwa danych kart płatniczych, znanym również jako PCI DSS. PCI DSS to dokument opracowany przez pięć głównych firm zajmujących się kartami kredytowymi, który zawiera wskazówki dotyczące między innymi przechowywania numerów kart kredytowych i paragonów, zabezpieczania sieci komputerowych akceptantów oraz obsługi przetwarzania płatności zewnętrznych. Zgodność ze standardami branżowymi dotyczącymi kart płatniczych określonymi w PCI DSS jest technicznie dobrowolna, ale nieprzestrzeganie często ma negatywne konsekwencje dla firm i właścicieli sklepów.
Karty kredytowe są często używane do płacenia za wszystko, od dużych jednorazowych zakupów po codzienne potrzeby, takie jak artykuły spożywcze i gaz. Gdy klient przesuwa kartę kredytową, system komputerowy należący do akceptanta odczytuje informacje o karcie kredytowej, a następnie przesyła te informacje przez połączenie internetowe do komputera głównego firmy wydającej kartę kredytową w celu uwierzytelnienia. Chociaż ta transakcja zwykle zajmuje tylko kilka sekund, wymaga wielu bardzo poufnych informacji. Jeśli te informacje nie są odpowiednio chronione, mogą narazić zarówno właścicieli kart, jak i akceptantów na oszustwa. Standardy branżowe dotyczące kart płatniczych stosowane w głównym nurcie mają na celu zapobieganie lub przynajmniej zmniejszenie prawdopodobieństwa tego oszustwa.
Chociaż niektóre kraje ustanawiają jednolite standardy bezpieczeństwa danych dla transakcji finansowych, nie wszystkie tak robią. Nawet istniejące przepisy regulują ogólnie branżę finansową, co stanowi minimalny standard, który nie jest dostosowany do potrzeb branży kart kredytowych. Szeroko zakrojone przepisy branżowe dotyczące kart płatniczych po prostu nie istnieją. Przy wystarczającym zastosowaniu standardy branżowe dotyczące kart płatniczych mogą wypełnić tę lukę.
Jedną z głównych zalet standardów branżowych kart płatniczych jest to, że są one tworzone dla firm, które najczęściej korzystają z kart kredytowych i mają do nich dostęp. Z samej swojej definicji standardy są dobrowolne i żadne prawo nie zmusza firm do ich przyjęcia. Kiedy jednak wystarczająca liczba firm zaczyna wdrażać uzgodnione standardy kart płatniczych, standardy te często stają się powszechnie oczekiwane. Standardy takie jak PCI DSS mają na celu ujednolicenie środków bezpieczeństwa kart kredytowych na całym świecie.
PCI DSS został pierwotnie opracowany przez grupę znaną jako PCI Security Standards Council. Rada ta składa się z przedstawicieli pięciu największych firm kart kredytowych na świecie: American Express®, Discover®, JCB®, MasterCard® i Visa®. Wraz z opracowywaniem i aktualizacją standardów rada dąży do poprawy ogólnych standardów branżowych dotyczących kart kredytowych i przepisów branżowych. Rada kształci sektory prywatności i bezpieczeństwa w zakresie bezpieczeństwa danych kart kredytowych w ramach realizacji tego celu. Zapewnia również programy szkoleniowe i konferencje sponsorów mające na celu pomoc firmom w osiągnięciu zgodności.
Każda z firm wydających karty kredytowe, które mają udziały w Radzie Standardów Bezpieczeństwa PCI, wymaga od dostawców, którzy akceptują ich karty, zgodności ze standardami branżowymi kart płatniczych. Oznacza to, że dostawcy muszą przyjąć i monitorować sposób, w jaki ich systemy wdrażają specyfikacje branżowe kart płatniczych określone w standardach, jeśli chcą nadal akceptować karty kredytowe jako płatności. Firmy wydające karty kredytowe zwykle same corocznie kontrolują zgodność dużych firm. Małe firmy zazwyczaj mogą samodzielnie zgłaszać zgodność. Jeśli okaże się, że akceptant nie przestrzega zasad, kary mogą wahać się od grzywien do całkowitego odwołania usługi kart płatniczych, w zależności od wagi naruszenia.