Αυτό το άρθρο αφορά τους κατόχους των ηλεκτρονικών καταστημάτων (eshop) που διαθέτουν ως μέθοδο πληρωμής την πιστωτική/χρεωστική κάρτα.
Με μόνο λίγες ημέρες να απομένουν από την επίσημη παύση υποστήριξης του Magento 1, ήδη η Paypal και μεγάλες ελληνικές τράπεζες (με πιο πρόσφατη την Τράπεζα Πειραιώς) έχουν ενημερώσει τους κατόχους ηλεκτρονικών καταστημάτων σε Magento 1 για την ανάγκη να μεταβούν σε νεότερη έκδοση. Τι κρύβεται όμως πίσω από αυτή την ανακοίνωση και γιατί οι τράπεζες ενημερώνουν τους κατόχους ηλεκτρονικών καταστημάτων για την παύση υποστήριξης μίας πλατφόρμας;
Η σημασία ενός ηλεκτρονικού καταστήματος να είναι PCI DSS Compliant
Κατά την υπογραφή της σύμβασης του κατόχου ηλεκτρονικού καταστήματος με τη συνεργαζόμενη τράπεζα για τη χρέωση πιστωτικών και χρεωστικών καρτών, ο κάτοχος εγγυάται την ασφάλεια των ηλεκτρονικών συναλλαγών προσκομίζοντας στοιχεία τόσο για την πλατφόρμα που χρησιμοποιεί όσο και για τον διακομιστή (server) που φιλοξενεί το eshop.
Σύμφωνα με τα διεθνή πρότυπα ασφαλείας για τις συναλλαγές πιστωτικών/χρεωστικών καρτών, έχει θεσπιστεί το Payment Card Industry (PCI) Data Security Standard (DSS) το οποίο δεσμεύει τους κατόχους ηλεκτρονικών καταστημάτων σε μία σειρά από όρους που διασφαλίζουν την ασφάλεια των συναλλαγών.
Οι ενημερώσεις ασφαλείας της πλατφόρμας, απαραβίαστος όρος για συμβατότητα PCI DSS
Η ανακοίνωση για παύση υποστήριξης του Magento 1 από την Adobe, συνεπάγεται και την παύση ενημερώσεων ασφαλείας (security patches), ένα κομμάτι υψηλής σημασίας για την εξασφάλιση των ηλεκτρονικών συναλλαγών της πλατφόρμας. Αυτό φυσικά έχει ισχύ και για όλες τις υπόλοιπες πλατφόρμες όπου ο κάτοχος δεν είναι συνεπής στην εφαρμογή όλων βελτιώσεων ασφαλείας της πλατφόρμας και την εναρμόνιση αυτών με την τελευταία έκδοση.
Αγνοώντας τις ενημερώσεις ασφαλείας, ο κάτοχος του ηλεκτρονικού καταστήματος είναι υπόλογος για την ασφάλεια των ηλεκτρονικών συναλλαγών της πλατφόρμας και δεν είναι λίγες οι φορές που κάτοχοι έχουν κληθεί να καταβάλλουν μεγάλα και τσουχτερά πρόστιμα για μη τήρηση της προβλεπόμενης σύμβασης με την τράπεζα.
Η σημασία των εταιρειών πιστοποίησης συμβατότητας με το PCI DSS
Το κατά πόσο ένα ηλεκτρονικό κατάστημα είναι συμβατό με το PCI DSS το πιστοποιούν εξειδικευμένες εταιρείες σε αυτό τον κλάδο. Είτε με παρότρυνση του ιδιοκτήτη του ηλεκτρονικού καταστήματος, είτε με παρότρυνση ακόμη και της συνεργαζόμενης τράπεζας, είναι εφικτός ο έλεγχος τόσο του ηλεκτρονικού καταστήματος όσο και του διακομιστή (server) που το φιλοξενεί για το κατά πόσο υπάρχει συμβατότητα με το PCI DSS. Στην περίπτωση που δεν υπάρχει συμβατότητα ο ιδιοκτήτης του ηλεκτρονικού καταστήματος θα κληθεί άμεσα να συμμορφωθεί, εκτός και αν εκκρεμούν αμφισβητούμενες συναλλαγές όπου ακόμη και η ίδια η τράπεζα μπορεί να επιβάλλει κυρώσεις προς τον ιδιοκτήτη του ηλεκτρονικού καταστήματος.
Συμπεράσματα
Όπως εύκολα γίνεται αντιληπτό, η σημασία της τεχνικής υποστήριξης είναι καθοριστικής σημασίας για τη συντήρηση ενός ηλεκτρονικού καταστήματος. Στην περίπτωση όμως του Magento 1 κάτι τέτοιο δεν είναι εφικτό αφού δεν θα υπάρχουν από τέλη του μηνός ενημερώσεις ασφαλείας ώστε να συντηρούν την πλατφόρμα σύμφωνα με τα πρότυπα του PCI DSS.