Adriana Calomfirescu, Endava

Cand vine vorba de securitate online, PCI DSS este un termen de referinta. Este un certificat de securitate a carui obtinere permite unui integrator sau procesator de plati electronice sa asigure securitatea tranzactiilor. Pentru a explica pe intelesul tuturor si in detaliu despre PCI DSS, am stat de vorba, intr-un scurt interviu cu Adriana Calomfirescu, Business Unit Manager al Endava,  companie care este PCI DSS Qualified Security Assessor (QSA).

Cristina Vranceanu: Pe scurt, ce este standardul PCI DSS si de ce este necesar in industria platilor online?
Adriana Calomfirescu: PCI DSS este un standard de securitate, dezvoltat pornind de la ISO 27001, ca reactie la numarul tot mai mare de fraude realizate in procesul de plati cu carduri bancare. Standardul  PCI DSS a fost introdus de catre PCI Security Standards Council, o asociatie a companiilor de carduri de credit.

In industria platilor online, alinierea la standardul PCI DSS asigura un control sporit al proceselor si al infrastructurii utilizate,  ceea ce genereaza incredere in tranzactiile online efectuate pentru toate partile implicate – utilizatorii finali/ cei care platesc cu card, comercianti si bancile emitente.

Cristina: Care sunt cerintele standardului PCI DSS?
Adriana: Standardul PCI DSS contine un set de 12 cerinte care se refera atat la securitatea solutiilor de procesare a platilor, cat si la securitatea fizica si electronica a datelor, realizate prin diferite metode: criptarea datelor posesorilor de carduri, limitarea accesului uitilizatorilor la acestea si monitorizarea infrastructurii IT. Respectarea cerintelor PCI DSS contribuie la reducerea incidentelor de securitate, a fraudelor si a furtului de identitate.

“Magazinele online care folosesc o platforma certificata PCI DSS au siguranta ca integratorul de plati aplica cele mai bune practici din domeniu pentru protectia datele posesorilor de carduri”

Cristina: Ce trebuie sa faca o companie pentru a obtine aceasta certificare?
Adriana: Procesul de aliniere la cerintele PCI DSS este unul complex, care se desfasoara in trei faze:

• gap analysis
• implementarea recomandarilor conforme standardului
• un audit PCI DSS

Daca prima si ultima faza sunt mai usor cuantificabile, in functie de complexitatea infrastructurii si  a proceselor de business si a numarului de locatii, durata procesului de implementare este mai greu de estimat si depinde de timpul si resursele alocate pentru acest proiect.

In faza de gap analysis, unul dintre primii pasi importanti este determinarea domeniului de aplicare a PCI DSS, care cuprinde procesele de business, componentele IT si personalul care se afla sub incidenta acestui standard; iar ulterior va fi elaborat un plan detaliat de implementare.

Multe dintre organizatii aleg sa colaboreze cu companii Qualified Security Assessor (QSA) inca din prima faza a proiectului de implementare PCI DSS, astfel incat sa beneficieze de experienta acestor organizatii pentru monitorizarea implementarii PCI DSI si pentru a valida implementarea cerintelor standardului.

Cristina: Care este, din punctul vostru de vedere,  cea mai mare provocare in obtinerea certificarii PCI DSS, pentru o companie?

Adriana: Cele mai frecvente probleme in aderarea la PCI DSS si mentinerea conformitatii cu acest standard sunt legate de educarea angajatilor cu privire la manipularea datelor sensibile precum si monitorizarea permanenta a accesului la retele si la datele posesorilor de carduri.

Cristina: Care sunt avantajele magazinelor online care proceseaza platile online cu un integrator certificat PCI DSS?

Adriana: Magazinele online care proceseaza platile online prin intermediul unei platforme certificate PCI DSS au siguranta ca furnizorul/ integratorul de plati aplica cele mai bune practici din domeniu pentru protectia datele posesorilor de carduri si reducerea  riscurilor de frauda care ar putea afecta magazinele online si  clientii acestora.

Despre Endava

Endava este o companie de servicii IT cu peste 600 de angajati , cu sediul central la Londra si operatiuni in Marea Britanie, USA, Romania si R. Moldova. Endava furnizeaza solutii IT de business si servicii IT pentru unele dintre cele mai mari companii din domeniile servicii financiare, media si telecomunicatii. Endava este PCI DSS Qualified Security Assessor (QSA) din 2007 si a realizat audite pentru certificari conform PCI DSS pentru diverse organizatii din Europa, inclusiv pentru doua companii din Romania: ePayment si Avangate.

Oana Solca, Sef Departament propuneri online & dezvoltare web, Romtelecom

Romtelecom, una dintre cele mai mari companii de comunicatii din Romania si lider pe piata de comunicatii fixe, a implementat plata online cu cardul prin intermediul platformei ePayment in februarie 2010.

Am invitat-o pe Oana Solca, Sef Departament propuneri online & dezvoltare web in cadrul Romtelecom sa ne vorbeasca despre piata de comert electronic din .ro, despre cumparatorii care platesc online cu cardul si despre importanta segmentului online in activitatea Romtelecom.

Cristina: Ce rol joaca segmentul online (si implicit vanzarea de produse si servicii online) in activitatea Romtelecom?

Oana Solca: Canalul de vanzari online Romtelecom este una dintre directiile strategice pentru companie. Pentru a sustine aceasta afirmatie pot spune ca, de exemplu, din totalul vanzarilor realizate de Romtelecom, circa 3,5% au deja loc pe Internet. De altfel, e important sa spunem ca am reusit sa crestem vanzarile pe online de 5 ori fata de 2009. In ceea ce priveste proiectele din aceasta zona, pana acum am deschis un eShop pe care il imbuntatim periodic, permitem utilizatorilor sa faca platile online sau sa primeasca facturile exclusiv online. Vom continua in aceeasi directie cu proiecte care le vor face viata mai usoara utilizatorilor online care ne sunt si clienti.

Cristina: Cum ai caracteriza piata de comert electronic si plata online cu cardul din .ro?

Oana Solca: Piata e-commerce romaneasca a crescut foarte mult in ultimii 2 ani si este in continuare in plina crestere. Din ce in ce mai multi oameni isi incep acum experienta de cumparare online. Pe de alta parte, procentul de vanzari efectuate cu cardul, online, pentru oricare dintre canalele de vanzari online din Romania ramane constant la5 – 7 % – lucrul acesta tine de experienta si increderea romanilor de a plati online, cu cardul.

Pe viitor ar trebui sa ne concentram pe cultivarea sigurantei platilor online

Cristina: Cat de obisnuiti sunt roman-ii sa plateasca online cu cardul?

Oana Solca: Cum spuneam, destul de putin obisnuiti. Desi majoritatea institutiilor bancare si multe companii mari au derulat campanii de educare in vederea efectuarii platilor online cu cardul, cei mai multi romani au o perceptie gresita despre felul in care acest proces se desfasoara online. Cei mai multi au impresia ca online-ul e nesigur, ca li se pot fura oricand si datele si banii de pe cardul cu care vor sa efectueze o plata online. Deci, e o asumare eronata a felului in care are loc procesul dupa ce clientul completeaza online datele cardului. Probabil ca pe viitor ar trebui sa ne concentram pe cultivarea sigurantei platilor online si pe comunicarea eficienta a beneficiilor acestui tip de plati.

Cristina: Care este profilul clientului Romtelecom care cumpara si plateste online?

Oana Solca: Este clientul tipic pentru oricare alt magazin online din Romania. Diferenta este ca respectivul utilizator este si cel care ia decizia de cumparare; vorbim aici despre achizitionarea unui serviciu pe termen lung. Clientul care cumpara online un serviciu Romtelecom nu plateste nimic cu cardul in momentul cumpararii – plata pentru serviciul achizitionat vine odata cu prima factura de servicii Romtelecom. In acelasi timp, Romtelecom a implementat plata online, cu cardul, pentru facturile de servicii Romtelecom, din My Account, precum si pentru serviciul Voce Online.

Cristina: Cum va incurajati voi clientii sa achizitioneze mai mult online?

Oana Solca: Pentru 2010 avem un target extrem de ambitios, si anume ca 5% din totalul vanzarilor Romtelecom sa fie efectuate online, iar pana acum suntem “la zi”. Ne-am incurajat clientii in special prin campaniile exclusiv online, prin care oferim produse cu tarife reduse sau gratuite la cumpararea de servicii, beneficii existente numai la cumpararea online a serviciilor sau servicii care pot fi cumparate numai din magazinul online Romtelecom. In plus, oferim continut exclusiv online pe www.dolce-sport.ro prin transmiterea si online a meciurilor din UEFA Champions League.

Daniel Nicolescu, Chief Product Officer ePayment

Anul trecut, la aniversarea a 5 ani de activitate a companiei noastre, Cristian Badea a povestit file din istoria ePayment. La sfarsitul articolului, era si promisiunea ca in “numerele viitoare” vom continua sa depanam povestea ePayment. O parte sunt lucruri pe care multi dintre voi deja le stiu, pentru ca le-ati trait alaturi de noi, altele le-ati aflat pe parcurs, de pe blog sau de la evenimentele noastre, altele urmeaza sa vi le spunem

Astazi, povestea ePayment este continuata de Daniel Nicolescu, Chief Product Officer al GECAD ePayment si unul dintre cei mai vechi membri ai echipei. L-am provocat pe Daniel intr-un scurt interviu sa ne povesteasca despre cei 6 ani petrecuti in industria ecommerce.

1. Care este cea mai importanta schimbare care s-a petrecut in comertul electonic in ultimii 6 ani?

Daniel Nicolescu: Cred ca unul dintre cele mai importante evenimente este intrarea in zona e-commerce a marilor jucatori din diverse industrii: operatorii de telefonie, operatorii de turism si marii retaileri. Acestia au fost capabili sa construiasca oferte foarte avantajoase, disponibile doar in mediul online, ceea ce a facut ca tot mai multi cumparatori sa isi indrepte atentia catre magazinele online.

2. Cum se facea ecommerce acum 6 ani si cum se face acum?

Daniel Nicolescu: In momentul in care am lansat solutia ePayment, pe piata romaneasca activau putine magazine care incercau sa faca e-commerce. Unul dintre cele mai cunoscute la vremea aceea era Emania, care se adresa clientilor din afara Romaniei care doreau sa ofere un cadou rudelor sau prietenilor din Romania. Plata se efectua online, insa cu un serviciu din afara tarii, prin care costurile de tranzactionare erau destul de mari. Practic, nu se facea e-commerce in adevaratul sens al cuvantului – clientii trimiteau comenzile pe email, comanda necesitand confirmare telefonica (deci costuri aditionale) si plata la livrare (cu riscurile aferente: refuz de plata, retururi, etc).

Acum totul se intampla mult mai elegant si putem afirma ca avem o piata de e-commerce. Tranzactiile au loc in medii securizate, iar clientii beneficiaza de o oferta foarte mare de produse si servicii.

3. Ai participat la discutii cu majoritatea clientilor ePayment. Ce s-a schimbat in abordarea si nevoile comerciantilor fata de acum 6 ani?

Daniel Nicolescu: Piata de e-commerce a cunoscut o maturizare destul de accentuata. Magazinele electronice sunt interesate din ce in ce mai mult de servicii integrate, de o diversificare a metodelor de plata si a posibilitatilor de automatizare, in vederea eficientizarii costurilor.

Companiile cu o politica puternica de customer service sunt din ce in ce mai atente la posibilitatile de personalizare a serviciilor, atat din punct de vedere al interfetei, cat si a suportului oferit pe e-mail sau telefon.

Am constatat in toti acesti ani o schimbare de strategie, de la cea orientata catre costul pe tranzactie la cea axata pe costul de achizitie a unui client; este exact strategia pe care aplicat-o si ePayment de la inceput, prin integrarea serviciilor de suport pentru clienti, inclusiv prin oferirea unui numar de hotline apelabil 24×7.

4. Daca ar fi sa o iei de la capat, ce ai face diferit in acest business?

Daniel Nicolescu: Sa o iau de la capat? Nici macar nu imi pot imagina asa ceva! Glumesc

Partile cele mai dificile in acest business le reprezinta serviciile de detectare a fraudelor si costurile de tranzactionare cu cardurile bancare (comisioanele). Daca am reusit de la inceput sa dezvoltam servicii anti-frauda foarte eficiente, startul a fost ingreunat datorita comisioanelor bancare – imi aduc aminte ca pentru noi costurile de operare erau undeva in zona 4%-5%. Daca as face ceva diferit de la inceput, ar fi incheierea mai rapida a unui parteneriat cu o banca puternica, alaturi de care sa fim capabili sa oferim cele mai bune servicii la costuri foarte bune. Dupa un timp, am pornit parteneriatul cu BRD, impreuna cu care am reusit sa implementam o strategie pe mai multi ani de zile, care nu a intarziat sa isi arate rezultatele.

5. Privind in urma, poti spune ca lucrurile s-au intamplat asa cum ti-ai imaginat?

Daniel Nicolescu: Daca imi amintesc cum priveam acest business la inceputurile lui, scopul principal era sa construim o platforma capabila sa administreze un numar mare de tranzactii intr-un mod cat mai automatizat. Pe masura ce dezvoltam platforma insa si intelegeam din ce in ce mai bine nevoile partenerilor nostri, am inceput sa realizam adevarata complexitate a afacerii.

Daca la inceput o tranzactie era reprezentata de “mutarea” unui mesaj de autorizare de la o banca catre contul bancar al partenerului, acum suntem capabili sa tranzactionam in 3 monezi (RON, EUR si USD), sa administram riscul de schimb valutar, sa decontam in mai multe conturi bancare la perioade dinamice, sa oferim o interfata de comanda in 6 limbi si sa operam un modul de detectare a fraudelor care include zeci de filtre inteligente.

6. Ce te atrage la industria de comert electronic?

Daniel Nicolescu: Dupa parerea, mea e-commerce-ul are acel mare avantaj de care beneficiaza orice industrie prezenta pe Internet: ai acces la informatii in timp real, poti analiza ce se intampla pe alte piete, care sunt tendintele si poti apoi sa aplici principiile care ti se par eficiente si in business-ul pe care il conduci.  De aceea, pentru mine este foarte important sa fiu conectat tot timpul la piata internationala de e-commerce, sa urmaresc marii jucatori si sa incerc sa intuiesc directia pe care o va avea si piata locala (si evident sa o implementez in produs) – cred ca asta este ceea ce ma atrage cel mai mult.

Cristian Badea (Black) - CIO ePayment

Cristian Badea este cunoscut in ePayment sub numele de Black. Sau, mai degraba, in acte, Black se numeste Cristian Badea. Il cunoasteti de pe blogul nostru. De curand, a fost inclus in clasamentul realizat de Business Magazin – 100 Tineri Manageri de Top.

M-am gandit, asadar, ca ati vrea sa stiti mai multe despre el, asa ca l-am “descusut” intr-un interviu-fulger de 9 intrebari. A zecea intrebare va apartine.

Ce stiati (probabil) deja:

Cristian Badea este Chief Information Officer (CIO) al GECAD ePayment, are 34 de ani si practic a crescut o data cu firma. A facut parte din echipa care a dezvoltat antivirusul RAV si ulterior s-a implicat in platforma ePayment.

Ce nu stiati asa de bine:

1. Cine a fost prima persoana care a aflat ca ai fost inclus in topul 100 Tineri manageri?

Cristian Badea: A fost o surpriza pana in ultimul moment. Am ajuns la Gala fara sa am idee despre ce se intampla. Nu mi-am sunat sotia, nu mi-am sunat mama, am sunat HR manager-ul pentru a discuta despre un interviu de acum cateva zile.

2. Ce face un tanar manager de top in timpul liber?

Cristian Badea: Nu mare lucru, timpul liber este extrem de limitat. Totul se invarte in jurul copilului, care are nevoie de toata atentia. Doua ore in fiecare seara si weekend-ul complet ii sint dedicate. Apoi calculatorul si doar din cand in cand cate o tura cu bicicleta.

3. Ce face un CIO la birou?

Cristian Badea: As reformula, pentru a nu avea o lista prea lunga: ce nu face? Nu face vanzari, nu face marketing, nu face contabilitate. In rest, face din toate cate putin, de la raspunsul la email-uri pana la treburile mai complexe: review-uri de release-uri in platforma impreuna cu echipa de dev, verificari ale procedurilor de securitate, implementari de noi filtre de monitorizare antifrauda impreuna cu echipa de risc.

4. Esti mai degraba genul de manager in costum cu cravata sau in blugi si conversi?

Cristian Badea: Blugi si pantofi sport. Si din cand in cand si camasa sport. Prefer echipamentul lejer si neprotocolar, nu urasc costumele, insa prefer sa ma imbrac simplu, ca pentru 12 ore de munca.

5. Ai un manager preferat?

Cristian Badea: Nu am un role-model, dar, in decursul timpului am lucrat cu anumiti oameni cu care as lucra si in continuare, pe care-i respect si cu care am miscat lucrurile spre bine. Nu dau nume, sunt printre noi.

6. Ce faceai acum 5 ani pe vremea asta?

Cristian Badea: In 2005 eram la inceputul ePayment. In perioada aceea toti din firma faceam de toate: programare, antifrauda, suport telefonic, vanzari, marketing. Piata platilor online era ceva nou si excitant, magazinele online visau la un comert pe Internet ca in State. A fost si anul in care am pregatit Avangate pentru lansarea din toamna, pornind de la platforma ePayment care deja functiona, cu rezultate care incepusera sa apara.

7. Dar acum 10 ani?

Cristian Badea: In 2000 programam. C-ul era de baza in echipa RAV Antivirus. A fost anul in care am terminat facultatea, deci aveam timp berechet sa programez zi si noapte. Pe atunci buchiseam la un plugin pentru Netscape si altul pentru Word si Excel. Veneam la birou cu bicicleta, o parcam pe balcon (firma avea sediu in mai multe apartamente pe langa Piata Muncii).

8. Ai idee ce-o sa faci peste inca 10 ani?

Cristian Badea: 10 ani reprezinta atat de putin timp daca te gandesti la cum trece vremea… Niciodata nu poti sti ce vei face luna viitoare, viata te surprinde in fiecare zi. Sper ca voi face tot lucruri interesante, ca ma voi simti la fel de bine cu echipa de atunci, poate nu voi mai lucra in IT (asa mi-am “jurat” la un moment dat). Orice ar fi, trebuie sa fie un job din care pot invata ceva nou, ceva care sa ma faca mandru. Nu sint genul de antreprenor care sa-si faca o afacere a lui, dar nu poti sti niciodata…

9. Daca ai avea ocazia s-o iei de la capat din punct de vedere profesional, ai face ceva diferit?

Cristian Badea: Timpul a trecut atat de repede si vremurile in care programam zi si noapte par sa apuna (nu mai programez decat noaptea ), dar, daca ar fi ca de maine sa o iau de la inceput, tot pe programare as miza. Poate pentru ca este un domeniu care-ti asigura ziua de maine mai bine decat altele si in care propriul efort si putere de invatare iti aduc atat satisfactii zilnice, cat si competivitate pe termen lung.

Bogdan Manolea

Cea mai mare problema a legislatiei comertului online in Romania este faptul ca nu prea se aplica

Bogdan Manolea este autorul site-ului www.legi-internet.ro – un site de referinta in informarea despre legislatia si practica judiciara pe Internet, inclusiv in comertul electronic. Este, de asemenea, editor la EDRi-gram, un newsletter european pe teme de drepturi civile digitale si scrie pentru publicatii precum Link2eCommerce.

L-am invitat pe Bogdan sa raspunda intrebarilor noastre referitoare la legislatia comertului online in Romania.

Cristina: In disputele dintre comerciantii online si cumparatori, putem spune ca legislatia favorizeaza vreuna din parti?

Bogdan Manolea: Sigur – majoritatea dispozitiilor privitoare la comertul electronic sustin drepturile consumatorilor. Pe de alta parte, e un lucru normal, daca ne gandim ca de fapt contractul este creat si impus (daca vrei sa cumperi de acolo, evident) de comerciant. Fiind un contract de adeziune, cumparatorii nu au prea mult de ales, nu pot sa il negocieze. Trebuie insa sa tinem cont ca nu toti cumparatorii sunt consumatori (adica persoane fizice), deci putem concluziona ca legislatia favorizeaza doar consumatorii.