Βέλτιστες πρακτικές (ΒΠ) για την ασφάλεια πληρωμών μέσω διαδικτύου

Γενικό περιβάλλον ελέγχου και ασφάλειας (σχετ. Τίτλος II):

· Διακυβέρνηση (σχετ. Κεφάλαιο Α)

ΒΠ 1: Η πολιτική ασφάλειας μπορεί να καταγράφεται σε ειδικό έγγραφο.

· Έλεγχος και μείωση των κινδύνων (σχετ. Κεφάλαιο Δ)

ΒΠ 2: Οι ΠΥΠ μπορούν να παρέχουν εργαλεία ασφάλειας (π.χ. συσκευές ή/και ειδικά προσαρμοσμένα προγράμματα περιήγησης, που προστατεύονται δεόντως) για την προστασία της διεπαφής με τον πελάτη από παράνομη χρήση ή επιθέσεις (π.χ. επιθέσεις τύπου «man in the browser»).

· Ιχνηλασιμότητα

ΒΠ 3: Οι ΠΥΠ που προσφέρουν υπηρεσίες αποδοχής συναλλαγών με κάρτα μπορούν να απαιτούν βάσει σύμβασης από τις επιχειρήσεις ηλεκτρονικού εμπορίου που αποθηκεύουν πληροφορίες σχετικά με πληρωμές να εφαρμόζουν επαρκείς διαδικασίες για την υποστήριξη της ιχνηλασιμότητας.

Ειδικά μέτρα ελέγχου και ασφάλειας για τις πληρωμές μέσω διαδικτύου (σχετ. Τίτλος ΙΙΙ):

· Αρχική εξακρίβωση ταυτότητας πελάτη, ενημέρωση (σχετ. Κεφάλαιο Α)

ΒΠ 4: Ο πελάτης μπορεί να συνάπτει ειδική σύμβαση παροχής υπηρεσιών για την εκτέλεση πράξεων πληρωμής μέσω διαδικτύου, αντί να περιλαμβάνονται οι όροι για τις υπηρεσίες αυτές σε ευρύτερη σύμβαση παροχής γενικών υπηρεσιών που συνάπτεται με τον ΠΥΠ.

ΒΠ 5: Οι ΠΥΠ μπορούν επίσης να μεριμνούν για την παροχή στους πελάτες, σε συνεχή βάση ή, όπου εφαρμόζεται, κατά περίπτωση και με κατάλληλα μέσα (π.χ. φυλλάδια, ιστοσελίδες), σαφών και κατανοητών οδηγιών στο πλαίσιο των οποίων επεξηγούνται οι ευθύνες τους για την ασφαλή χρήση της υπηρεσίας.

· Ισχυρή ταυτοποίηση του πελάτη (σχετ. Κεφάλαιο Β)

ΒΠ 6: Για τις πράξεις πληρωμών με κάρτα οι επιχειρήσεις ηλεκτρονικού εμπορίου μπορούν να υποστηρίζουν την ισχυρή ταυτοποίηση του κατόχου της κάρτας από τον εκδότη σε συναλλαγές με κάρτα μέσω του διαδικτύου.

ΒΠ 7: Για τους σκοπούς της διευκόλυνσης των πελατών, οι ΠΥΠ μπορούν να εξετάσουν το ενδεχόμενο χρήσης ενός ενιαίου εργαλείου ισχυρής ταυτοποίησης του πελάτη για όλες τις υπηρεσίες πληρωμών μέσω διαδικτύου. Αυτό θα μπορούσε να αυξήσει την αποδοχή της λύσης από τους πελάτες και να διευκολύνει την ορθή χρήση.

ΒΠ 8: Η ισχυρή ταυτοποίηση του πελάτη μπορεί να περιλαμβάνει στοιχεία που συνδέουν την ταυτοποίηση με ένα συγκεκριμένο ποσό και έναν συγκεκριμένο δικαιούχο πληρωμής. Αυτό θα μπορούσε να παράσχει στους πελάτες αυξημένη βεβαιότητα κατά την έγκριση πληρωμών. Η τεχνολογική λύση που διευκολύνει τη σύνδεση των δεδομένων ισχυρής ταυτοποίησης με τα δεδομένα των συναλλαγών πρέπει να είναι ανθεκτική στην παραποίηση.

· Προστασία των ευαίσθητων δεδομένων πληρωμών (σχετ. Κεφάλαιο ΣΤ)

ΒΠ 9: Είναι επιθυμητό οι επιχειρήσεις ηλεκτρονικού εμπορίου που χειρίζονται ευαίσθητα δεδομένα πληρωμών να εκπαιδεύουν καταλλήλως το προσωπικό τους που είναι αρμόδιο για τη διαχείριση περιστατικών απάτης και να επικαιροποιούν την εκπαίδευση αυτή τακτικά, ώστε να διασφαλίζεται ότι το περιεχόμενο της ανταποκρίνεται σε ένα δυναμικό περιβάλλον ασφάλειας. Ευαισθητοποίηση, εκπαίδευση και επικοινωνία με τους πελάτες (σχετ. Τίτλος ΙV): Εκπαίδευση και επικοινωνία με τους πελάτες (σχετ. Κεφάλαιο Α)

ΒΠ 10: Είναι επιθυμητό οι ΠΥΠ που προσφέρουν υπηρεσίες αποδοχής συναλλαγών με κάρτα να διοργανώνουν εκπαιδευτικά προγράμματα προς τις συνεργαζόμενες επιχειρήσεις ηλεκτρονικού εμπορίου σχετικά με την πρόληψη της απάτης.

· Ειδοποιήσεις, καθορισμός ορίων (σχετ. Κεφάλαιο Β)

ΒΠ 11: Στο πλαίσιο των καθορισμένων ορίων δαπανών, οι ΠΥΠ μπορούν να παρέχουν στους πελάτες τους τη δυνατότητα να διαχειρίζονται τα όρια δαπανών των υπηρεσιών πληρωμών μέσω διαδικτύου σε ένα ασφαλές και αξιόπιστο περιβάλλον.

ΒΠ 12: Οι ΠΥΠ μπορούν να εφαρμόζουν διαδικασίες προειδοποίησης των πελατών, όπως μέσω τηλεφωνικής επικοινωνίας ή αποστολής γραπτού μηνύματος (SMS), για ύποπτες ή υψηλού κινδύνου πράξεις πληρωμών που βασίζονται στις εσωτερικές τους πολιτικές για τη διαχείριση κινδύνων.

ΒΠ 13: Οι ΠΥΠ μπορούν να παρέχουν στους πελάτες τη δυνατότητα να προσδιορίζουν γενικούς, εξατομικευμένους κανόνες ως παραμέτρους για τη συμπεριφορά τους όσον αφορά τις πληρωμές μέσω διαδικτύου και τις συναφείς υπηρεσίες (π.χ. ότι οι πελάτες μπορούν να δρομολογούν πληρωμές μόνο από κάποιες συγκεκριμένες χώρες και ότι οι πληρωμές που δρομολογούνται από άλλα σημεία θα τίθενται σε προσωρινή άρνηση, ή ότι μπορούν να συμπεριλαμβάνουν συγκεκριμένους δικαιούχους πληρωμής σε λευκές ή μαύρες λίστες).