PCI DSS 3.1 + nye betalingskort som krever 3D Secure

[hansson]

Noen av dere som driver nettbutikker som kjører betaling inne på eget domene/sider? De nye PCI-reglene fra april 2015 har gjort at de som hoster hele betalingsskjemaet selv, slik vi gjør, nå etterhvert må gjennom en voldsom sikkerhetssjekk. Vi har funnet ut at dette koster en heftig årlig sum hos et tredjepartsselskap. Det virker som vi kan unngå dette hvis vi bytter til en annen leverandør som f.eks. Dibs eller Stripe. Kanskje dere har noen erfaringer.

Et annet problem er at det går rykter om nye kort i Norge (EU? Verden?) som ikke vil fungere uten at 3D Secure er slått på i betalingsløsningen. Igjen har jeg vanskelig for å tro at dette vil skje med f.eks. Stripe, som ikke bruker 3D Secure per i dag, men siden det bare er rykter så aner jeg ikke. Noen som har hørt noe om disse nye kortene?

 

[hansson]

Svar fra Braintree, som sannsynligvis er helt likt som Stripe:

I can assure you that you will never pay any type of audit fees. As a full stack solution we maintain a simple pricing structure and have created a transaction flow that passes the responsibility to remain PCI compliant to us and allows you to focus on your customers. Please feel free to review some of our Support Documents for further information.

In regards to 3D secure, if a 3D Secure supported credit card is used with a merchant that doesn’t have 3D Secure enabled, transaction results will vary. Some card types like EU Maestro cards will be hard declined without 3DSecure. Like all declines, it depends on the issuing bank.​

Ser ut som 3D Secure vil bli mer og mer uunngåelig ved at norske kort går mer og mer over til å kun funke hvis dette er påskrudd. Har også fått info fra innløseren Elavon i Norge i dag at de i motsetning til hva selgeren trodde var mulig konsekvent vil nekte å skru av 3D Secure for oss selv om vi ikke har hatt en eneste chargeback eller svindelforsøk på 6 år.

 

[Yngve Larsen]

Ryktene sier at Nordea allerde krever 3d secure eller egen sikkerhetsløsning.

Google ga meg dette : http://www.nordea.se/privat/vardagstjanster/kort/Internetkop.html
http://www.nordea.se/privat/vardagstjanster/kort/Internetkop.html

 

[hansson]

Takk for svar, Yngve. "Egen sikkerhetsløsning", er dette det samme som jeg nevner øverst om å betale for en ekstern sikkerhetssjekk? Vet du noe om hvordan de ulike betalingstjenestene dere bruker vil takle de nye reglene? Vil det ramme Mystore, eller har dere all betaling offsite for butikkene i systemet deres?

 

[kongen]

Noe nytt om dette PCI-greiern? Må man ha det hvis man skal ta imot betaling på eget domene med Stripe / 3D-secure?

 

[hansson]

Vi har gått over til Dibs og slik jeg tolker det må vi gjennom en tredjeparts-sikkerhetssjekk hvis vi skal få bruke vårt eget betalingsvindu. Bruker vi den hosta dibs-løsningen i iframe slipper vi sjekken. Stripe er som Braintree en full stack løsning som tar seg av sikkerheten for deg, men det koster ganske dyrt i form av langt høyere transaksjonsprosenter enn de skandinaviske løsningene. Siden vi syntes Paymill o.l. var for dyre og det var for mye mas med papirarbeid og stadige endringer i EU-kravene osv., gikk vi tilbake til Dibs som er suverent billig i forhold til Paymill.

 

[Tonny Kluften]

Hvor mye betaler dere for DIBS Hansson?

 

[hansson]

Jeg har ikke oversikten over dette, men mener det er en helt standard pakke med kr 1 per transaksjon osv. Det man kan spare på er vel å forhandle med innløseren, der tipper jeg det er litt marginer å finne.

 

[alterego]

Et annet problem er at det går rykter om nye kort i Norge (EU? Verden?) som ikke vil fungere uten at 3D Secure er slått på i betalingsløsningen. Igjen har jeg vanskelig for å tro at dette vil skje med f.eks. Stripe, som ikke bruker 3D Secure per i dag, men siden det bare er rykter så aner jeg ikke. Noen som har hørt noe om disse nye kortene?

Siden vi kjører nettbutikk uten 3D Secure (har fått dispensasjon fra kortinnløser), ble jeg litt urolig og sjekket derfor dette opp med vår leverandør av betalingsløsning. Svaret var kort og greit at dette bare gjelder nye kort som utstedes av Nordea i Sverige. Disse svenske Nordea-kundene kan likevel netthandle uten å bruke 3D Secure, men da må de først logge inn i nettbanken og åpne for dette og denne aktiveringen vil da være gyldig for kjøp de neste 60 minuttene.

 

[Kim Steinhaug]

Sist jeg sjekket PCI reglene var vel 3 år siden men hadde inntrykk at dette var innført allerede da, er jo derfor man har avtale med PSP (eks. nets). Det største problemet her man som leverandør skal tenke på er risikoen du får om dere skulle bli hacket, vil deres firma overleve å bli hacket for kortdata? Ikke mange vil.

Jeg anbefaler deg å bruke nets - dem har klart best terminal med en herlig oversikt over debugging informasjon. Men - det er nå min mening farget av funksjonalitet og ikke kroner!

 

[hansson]

De aller færreste lagrer kortdata hos seg selv, og det er ikke det PCI-godkjenningen går inn på, slik jeg oppfatter det. API-er hos betalingsløsningen tillater at vi som leverandører kan lagre kortdata hos betalingsløsningsleverandøren. Så hvis noen skulle være interessante å hacke må det være disse, ikke vi som enkeltleverandører. Å betale så mye penger flere ganger for en PCI-scan når det ikke ligger noen data hos oss virker derfor litt absurd.

 

[Kim Steinhaug]

Når dere har betalingsskjemaet på egen side - så kan du i teorien lagre kortdata om du vil - det er faktisk bare den hos dere som leverer løsningen som vet om dere gjør. Derfor er det naturlig at dem da pålegger dere PCI-sertifisering.

Husker selv dette virket om et "smutthull" noen år tilbake med BBS integrasjonen for jeg unngikk selv PCI-sertifisering selv om jeg pr definisjon håndterte kortdataene et lite sekund. Det kan høres ut som dem nå vil tette igjen disse hullene som er "her og der" i systemene å slikt sett premiere dem som er PSP. Men det hadde vært fint om PSP løsningene kunne gå ned til 99,- pr mnd å ikke ligge på 299,- som jeg syntes er litt mye for tjenesten.

Jeg tror ikke du kommer forruten å kjøre nets/dibs/payex om du skal ha kortdata innad i deres egen side. Nå er muligheten for branding mer på plass også, så kanskje ikke så galt.

 

[hansson]

"Jeg tror ikke du kommer forruten å kjøre nets/dibs/payex om du skal ha kortdata innad i deres egen side. Nå er muligheten for branding mer på plass også, så kanskje ikke så galt."

Mener du at det blir uforholdsmessig dyrt å bygge inn skjemaer i egne sider, som så krever PCI-sertifisering? Eller hva tenker du på? Mulighetene for branding som du nevner høres ut som de eksterne betalingsvinduene, der betalingen foregår på serveren hos f.eks. Dibs eller Nets og der brukeren så blir sendt tilbake til oss etter betaling?

 

[Kim Steinhaug]

Ordla meg kanskje litt didust der. Om det er så at dere må PCI sertifiseres fordi dere har betalingsvinduet på egen server så vil jeg tro at kostnadene forbundet med dette er urimelig store i forhold til bare å tegne en avtale med eks. nets. Husker jeg regnet på det en gang å kom på +100.000 kroner, å det var 5 år siden.

Personlig syntes jeg nets løsningen er veldig god - mye debugging muligheter og generellt et flott API å arbeide mot. Smaken er vel som baken - men om dere får skriv fra innløser om at dere må ha PCI sertifisering (skjer vel ikke noe før dere får påpakkning om dette) så er vel løpet kjørt vil jeg tro. Å bytte over til eks nets burde dere ikke trenge mer en en uke å utvikling å testing (fikse avtale og det på forhånd) - så er det vel bare å kjøre løsningen dere har idag frem til dem begynner å "true" med krav på sertifiseringen. Fra April 2015 så må det jo være noe "difust" hvem som skal håndheves på dette.

Men høres ut som dere burde starte å sikte på en PSP å legge betalingsvinduet bort fra siden.

 

[hansson]

Da er jeg med. Vi har allerede gått over til Dibs pga. pris, vi kunne nok fortsatt litt til med Paymill før det ble påkrevd med sertifisering. Hvis jeg ikke husker feil var det snakk om at prisen nå ville være ca. 40k per år. Det spanderer vi nok i fremtiden for å kunne bygge inn vår eget betalingsvindu, men foreløpig bruker vi bare det (ekstremt stygge) betalingsvinduet til Dibs. At de ikke har oppdatert layouten siden 2009 eller så er helt utrolig, og her er jo Nets mye bedre.