Sikkerhed i Quickpay

Quickpay betalingsløsningen benytter SSL-kryptering i kommunikationen med indløsere. Ligeledes benyttes SSL/TLS-kryptering i kommunikationen mellem kunderne og serveren, hvor Quickpay er placeret. Dette betyder, at alle oplysninger, der sendes over internet, er krypteret med et sikkerheds-certifikat.

PCI-certificering

Quickpay er certificeret efter seneste version af PCI DSS Level 1. Det er en omfattende proces, som blandt andet vedrører:

• En årlig “Report on Compliance” (ROC), der udføres af en “Qualified Security Assessor” (QSA)
• Kvartårlige scanninger af netværket, der udføres af en “Approved Scan Vendor” (ASV)
• En lang række regler og retningslinjer for vores arbejdsgange og behandling og opbevaring af data

Formålet med PCI-standarden er at have en fælles, international standard for, hvordan kreditkortdata skal håndteres. Standarden definerer en række krav til opbevaring, transmission og håndtering af kortdata - og til hvordan det skal kontrolleres, at kravene bliver overholdt.

Såvel forbrugere som e-handelsbutikker får gavn af de forstærkede sikkerhedskrav, der følger af den nye PCI-certificering. Ved at handle med leverandører, der har gennemgået PCI-certificeringen, reducerer man som e-handelsforretning risikoen for svindel og giver brugerne en større tryghed som kunde i forretningen.

VISA liste over PCI DSS Validated Services Providers

Mastercards oversigt over certificerede Service Providers (scroll ned for at finde et link til den seneste version)

Retention

Som et krav i PCI certificeringen skal gemte kortdata slettes efter en periode, afhængig af transaktionens status.

• Authorize: 5 år
• Capture: 365 dage
• Refund: 365 dage
• Subscription: 365 dage
• Rejected: 90 dage
• Cancel: 90 dage

Herudover:

• test-transaktioner: 180 dage
• transaktioner i initial: 180 dage

PCI-hosting

Mange merchants har et ønske om at kunne tilpasse selve betalingsvinduet og betalingsflowet 100% til egne ønsker og behov. Vi tilstræber naturligvis at lave vores generiske betalingsvindue så fleksibelt og bredt fungerende som muligt. Men vi har en forståelse for at ikke alle kan “indordne” sig under Quickpays betalingsvindue. Også selvom der er meget gode muligheder for at brande og designe det som man ønsker.

Typisk har det stillet merchants overfor et valg mellem selv at skulle gennemgå en fuld og omkostningstung PCI-certificering (og det har ingen lyst til) eller at gå en smule på kompromis med krav til design og fleksibilitet. Med PCI-hosting slipper man for den fulde certificering og opnår samtidig fuld fleksibilitet på sin løsning.

Kun for merchants med 5-cifret (eller mere) antal transaktioner hver måned

PCI-hosting er desværre ikke en ydelse vi kan tilbyde alle merchants. PCI-certificeringer er en uhyre tung proces, så det er desværre kun en facilitet vi kan tilbyde merchants med mange transaktioner hver månede. Man skal som minimum køre et 5-cifret antal transaktioner igennem Quickpay hver måned. Har man færre transaktioner må vi henvise til Quickpays brandede betalingsvindue.

Hvad er PCI-hosting?

PCI-hosting er populært sagt et “webhotel” fysisk placeret i vores PCI-certificerede miljø. Det opfylder således kravene til hvad Nets definerer som “hosted løsning”. Merchants som anvender en hosted løsning kan ikke selv få berøring med kortdata og er dermed fritaget fra selv at skulle blive compliant.

Grundtanken er at merchants har et sikkert sted at få hostet sit betalingsvindue. Man kan designe dette betalingsvindue præcis som man ønsker og så efter succesfuld “authorize” sende slutkunden tilbage til egen shop/server.

Hvad bliver vores URL / hostnavn ?

I kan vælge mellem at gøre brug af Quickpays domæne og SSL-certifikat og dermed få en URL ala: https://pay.quickpay.net/jeres_forretnings_navn/ eller I kan vælge et hostnavn efter eget valg. I skal i den forbindelse påregne ekstraomkostninger til årlig fornyelse af SSL-certifikat.

Tilgængelige resourcer

Som udgangspunkt skal man tænke indholdet på det PCI-hostede miljø så simpelt som muligt. Det er ikke tanken at hele jeres shop skal afvikles fra den hostede løsning. Det er kun selve betalingsvinduet som bør hostes af os - det vil sige kun selve authorize-delen af en transaktion. Alle øvrige transaktionsformer kan man fint udføre via Quickpays API fra sit eget hostingsetup.

Hvordan er udviklingsprocessen og hvordan kommer vi videre

Ønsker I at gøre brug af Quickpays tilbud om PCI-hosting anbefaler vi at I i første omgang kontakter os, således vi i samråd kan få talt mulighederne og den videre proces igennem.

Rent udviklingsmæssigt foregår det på den måde at I som merchant udvikler betalingsvinduet som I ønsker det i eget udviklingsmiljø. Jo mere færdigt og mere simpelt I laver det, jo billigere og hurtigere kan det blive implementeret. Når I har udviklet betalingsvinduet helt færdigt tager I kontakt til os for at få flyttet filerne til Quickpays PCI-hostede miljø. I får ikke adgang til dette miljø. Vi reviewer manuelt alle filer (da vi er ansvarlige for om kortdata kan kompromitteres) og kopierer herefter filerne til den allerede aftalte URL.