Vad har ni hört om PCI-certifiering?

Jag har nu suttit i telefon med vår inlösande bank samt Dibs. Vi överväger att byta till Dibs från vår nuvarande betalväxel eftersom denna fungerat miserabelt.

Vi använder idag en api-lösning. Det innebär att kunden aldrig lämnar vår webbsida. Dibs menade dock att en PCI-certifiering kommer att bli nödvändig för att använda denna lösning i framtiden. Numera kräver bankerna (Mastercard och Visa) att man använder en hostad lösning (där kunden flyttas till betalväxelns webbsida - i det här fallet Dibs).

Vad har ni andra hört om detta? Dibs menade att de flesta inlösarna redan idag kräver antingen en hostad lösning eller en PCI-certifiering. Jag har inte fått någon information om detta vare sig från vår inlösare eller från företaget som tillhandahåller betalväxeln. Det kom därför som en blixt från klar himmel.

Min första tanke var att implementera den hostade lösningen i en iframe. Dibs säljare kunde inte svara på om detta var möjligt, utan bad om att få återkomma.

Hur gör ni andra? Kör ni api-lösningar utan PCI-certifiering och låtsas som om det regnar, eller accepterar ni att era kunder flyttas till betalväxelns server för att genomföra köpet? Jag har MYCKET svårt att acceptera att våra kunder ska skickas vidare till en annan webbsida.

Vi körde DIBS under en kortare stund, men fick problem rent juridiskt med våran affärsidé.
Hur som helst så var det aldrig tal på att PCI-certifiering, hos DIBS, men jag har stött på det mycket.
Det handlar i grund och botten att du får en certifiering att din sida är säker mot intrång och klassiska fel, som dessutom testas automatiskt 4 gånger om dagen via företaget som utfärdar dessa PCI-certifieringar.

Om jag dessutom inte minns helt fel, så kostar certifieringen 150 euro per år och då kan du "knyta" oändligt med webbshoppar osv (dock inom samma företag) till ditt konto.

Eftersom jag har dåliga erfarenheter av den senaste kortbetalningsleveratören som kräver PCI-ceritifiering, så tänker jag inte heller skriva ut adressen till dem här.

Läsvärt:
PCI DSS
PCI Compliance Guide

Lycka till.

PCI kommer mer och mer, kommer troligen att bli standard.
I USA är det ett måste, och eftersom det är de stora drakarna (VISA, MasterCard) som sätter reglerna så tror jag att det kommer att komma till lilla Sverige.

Vad det handlar om är att kortkod och CSV2 kod ska hanteras på olika sätt, dvs CSV2 koden får inte sparas någonstans i något system, görs det ändå så måste man ha säkra rutiner mm för att det ska bli godkänt.

Enklast löser man detta genom att köra en hostad lösning.

Det stämmer kanske inte till 100% men det är vad jag har hört att det handlar om.

Det är standard inom betting-branschen.

Har gjort en hostad lösning åt en kund. Vi använde då DIBS eftersom det är dom som levererar till ett antal kortbetalnings siter idag (Payer, CertiTrade mfl).

Dibs har fördelen att man själv kan anpassa layouten.

Att göra en PCI certifiering kostar i runda slängar 800.000-1.500.000 :-. (Detta är vad jag fick höra när jag ringde runt till dom olika bolagen och hörde mig för.).
Man får ha en rätt bra omsättning för att klara av detta.

Tack för svaren. Både banken och Dibs gav mig ganska ingående förklaringar till vad PCI-certifieringen innebär, så jag har koll på den biten. Vad som förvånar mig är att jag inte har hört något om detta tidigare och att inga e-handlare har reagerat då certifieringen innebär en försämring för butikerna. Att trassla med certifiering verkar inte särskilt kul. Men att skicka vidare kunden till en för denna okänd webbsida hos Dibs, precis i det kritiska betalningsmomentet, känns minst lika illa.

Finns det någon som har en bra lösning på en hostad betalväxel att visa upp här på WN kanske? Dvs en hostad lösning där kunden skickas vidare till betalväxelns webbsida, utan att det framgår allt för tydligt. Det borde som sagt gå att integrera betalväxelns webbsida i sin egen shop med hjälp av iframes eller en passande design. Då skulle nackdelarna med en hostad lösning vara överkomliga.

Edit: hnn - Kan du ge mig en länk till butiken med Dibs betalväxel som hostad lösning?

Det som sker är väl "Sida" => DIBS => "Sida - Kvitto", sedan om man väljer att skicka upp en popup när detta sker eller inte är upp till sidans ägare.

Eller detta förbjuder DIBS avtal?

Det är endast ett måste i USA om man har har mer än 20 000 transaktioner/år


Några punkter på sånt som måste följas för att klara PCI standarden i USA:

1. Förvara inte fullständiga uppgifter från kortets magnetremsa.

2. Förvara ALDRIG kortets CVV kod.

3. Förvara alla kortinnehavares uppgifter i en säker miljö med
kontrollerad tillgång till personal.

4. Rensa alla transaktionshistorik på regelbunden basis från
dina in-house-system så att det aldrig kan läsas ellerhämtas av obehörig personal.

5. Förstör alla kopior av kortinnehavarens uppgifter
efter två år.

o.s.v.

Japp, jag har kört med Iframes, funkar bra.

Men jag har även gjort en annan variant där jag anpassade den hostade betalsidan så att den ser ut att tillhöra orginalsidan utseendemässigt, på URL ser man dock att man befinner sig nån annanstans.

Har gjort ovanstående med Samport.

Var det inte en artikel i internetworld kring detta? Jag såg den och tänkte i mitt stilla sinne att det är ingen idé att reagera utan bara att gilla läget trots försämringen. Vi har inte heller fått någon info av vår betalväxel, men det lär nog komma framöver eftersom vi inte kör deras hostade lösning.