Card salvat la comercianți: Care sunt riscurile?

Atunci când facem o achiziție online suntem tot mai des încurajați să ne salvăm datele cardului în cont, astfel încât plățile viitoare să se proceseze mult mai rapid. În anumite situații, salvarea cardului în cont este singura opțiune oferită de comerciant, astfel că nu putem evita această procedură.

Principalul risc la care sunt expuși în astfel de situații este cel de fraudă. Sistemul IT al comerciantului poate fi compromis, astfel încât informațiile despre carduri să ajungă pe mână infractorilor.

Un astfel de caz a fost semnalat recent de către Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP), care a sancționat compania La Fântâna SRL cu o amendă de 10.000 euro. Operatorul a notificat că în urma unui atac informatic au fost afectate o serie de categorii de date cu caracter personal, precum nume, prenume, număr card bancar, dată expirare card și cod verificare card.

Investigația autorității a descoperit că operatorul nu avea implementate măsuri tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător riscului prezentat de prelucrarea informațiilor respective.

Prin urmare, nu ar trebui să ne salvăm datele cardului la orice comerciant care ne prezintă această opțiune, mizând pe faptul că acesta a luat măsurile de securitate necesare. Este recomandat să facem un minim de verificări în prealabil.

Cum ne asigurăm că măsurile de securitate sunt adecvate?

Cea mai simplă metodă este să verificăm daca website-ul comerciantului are certificarea PCI DSS. Acesta este un standard cu cerințe de securitate, întocmit de Security Standard Council (SSC), organizație fondată de rețelele internaționale de carduri (Visa, MasterCard, American Express).

Standardul PCI DSS are rolul de a asigura securitatea informațiilor cu privire la carduri la nivel global, cu scopul de a proteja deținătorii de carduri.

Standardul are 4 niveluri de certificări, de la nivelul 1 (cel mai strict) impus comercianților care procesează peste 6 milioane de tranzacții pe an, până la nivelul 4 (cel mai puțin strict), impus comercianților cu mai puțin de 20.000 de tranzacții cu cardul pe an.

Prin urmare, existența acestei certificări semnalează o platformă de încredere, unde datele cardului sunt păstrate în condiții adecvate de securitate. 

La noi, comercianții oferă în general, posibilitatea de a salva datele cardului în cont prin intermediul unui procesator de plăți, cum ar fi PayU, Netopia sau EuPlatesc, care de regulă dețin certificarea de nivel 1. Vei fi redirecționat pe platforma procesatorului pentru a completa datele cardului, iar comerciantul păstrează doar un token. 

Probleme speciale apar însă atunci când datele cardului sunt introduse într-un formular pe website-ul comerciantului. În acest caz, datele vor fi salvate în baza de date a magazinului respectiv, astfel că este important să verifici existența certificării.

Cum ne putem reduce riscurile?

În cazul în care vrei să faci o achiziție de la un comerciant care te forțează să salvezi cardul în cont, poți folosi un card virtual. Multe bănci oferă această opțiune gratuit. Avantajul acestui card este că îl poți anula imediat după ce ai făcut plata. Astfel, informațiile salvate de comerciant vor fi inutile în cazul în care datele ar fi compromise în urma unui atac informatic.

O altă variantă este să ai un card special doar pentru cumpărături de acest tip. Este foarte ușor să deschizi acum un cont bancar online, iar unele oferte vin fără comisioane de administrare. Grație plăților instant, banii ajung în câteva secunde de la o bancă la alta. Poți alimenta acest cont doar atunci când ai nevoie să faci o plată. În acest mod, nu vei avea ce pierde dacă platforma comerciantului unde ți-ai salvat cardul este ținta unui atac informatic.

O modalitate mult mai sigură pentru cumpărături online rapide o reprezintă soluția Click To Pay, dezvoltată de Visa și MasterCard. Datele cardului sunt salvate într-un profil digital, administrat chiar de organizațiile internaționale de carduri. Informațiile sunt criptate și se generează un card virtual unic pentru fiecare tranzacție.

Procesatorii de plăți din România oferă deja această soluție pentru comercianți, astfel că treptat Click To Pay va deveni extrem de întâlnită la plata coșului de cumpărături.