Ασφάλεια Συναλλαγών

1. Πρωτόκολλο TLS Η ΕΤΑΙΡΕΙΑ αναγνωρίζει τη σημασία του θέματος της ασφαλείας των Προσωπικών Δεδομένων, καθώς και των ηλεκτρονικών συναλλαγών και έχει λάβει όλα τα απαραίτητα μέτρα, με τις πιο σύγχρονες και προηγμένες μεθόδους, ώστε να εξασφαλίζεται η μέγιστη δυνατή ασφάλεια.         Όλες οι πληροφορίες, οι οποίες σχετίζονται με τα προσωπικά στοιχεία των χρηστών, διασφαλίζονται ως απόρρητες. Το www.gameofmoney.gr (εφεξής το «Site») χρησιμοποιεί το πρωτόκολλο TLS, με κρυπτογράφηση 128-bit, για ασφαλείς online εμπορικές συναλλαγές. Με αυτόν τον τρόπο κρυπτογραφούνται όλες οι προσωπικές πληροφορίες του Χρήστη, συμπεριλαμβανομένου του αριθμού της πιστωτικής κάρτας, του ονόματος και της διεύθυνσης του Χρήστη, έτσι ώστε να μην μπορούν να αποκρυπτογραφηθούν ή να αλλαχθούν κατά την μεταφορά τους στο Internet. Το πρωτόκολλο TLS (Transport Sockets Layer), είναι ο διάδοχος του διαδεδομένου SSL και σήμερα είναι το παγκόσμιο standard στο διαδίκτυο για την διασφάλιση της σωστής κρυπτογραφημένης επικοινωνίας μεταξύ δικτυακών τόπων (web sites) και δικτυακών χρηστών, για την ασφαλή μεταφορά κρυπτογραφημένων στοιχείων μεταξύ των δικτυακών χρηστών και των δικτυακών εξυπηρετητών (web servers). Μία κρυπτογραφημένη TLS/SSL επικοινωνία απαιτεί όλες τις πληροφορίες που αποστέλλονται μεταξύ ενός Χρήστη και ενός εξυπηρετητή (server) να κρυπτογραφούνται από το λογισμικό αποστολής και να αποκρυπτογραφούνται από το λογισμικό αποδοχής σε συνεργασία με μια παγκόσμια αποδεκτή αρχή πιστοποιητικού, προστατεύοντας με αυτό τον τρόπο τις προσωπικές πληροφορίες κατά τη μεταφορά τους. Επιπλέον, όλες οι πληροφορίες που αποστέλλονται με τα πρωτόκολλα TLS/SSL, προστατεύονται από έναν μηχανισμό που αυτόματα εξακριβώνει εάν τα δεδομένα έχουν αλλαχτεί κατά την μεταφορά. Όλα τα άνωθεν περιλαμβάνονται στην διαδικασία διασφάλισης των πληροφοριών που τηρεί η ΕΤΑΙΡΕΙΑ η οποία είναι πιστοποιημένη κατά PCI DSS, ένα πρότυπο που απευθύνεται σε οργανισμούς οι οποίοι διαχειρίζονται ευαίσθητες πληροφορίες όπως στοιχεία πιστωτικών καρτών, στοιχεία Α.Τ. κλπ Σύμφωνα με αυτό το πρότυπο κατά το οποίο η ΕΤΑΙΡΕΙΑ καλείται να πιστοποιείται ετησίως, όλες οι ευαίσθητες πληροφορίες οφείλουν να διαχειρίζονται με γνώμονα την ασφάλεια των συναλλαγών τόσο στις διαδικασίες όσο και στα συστήματα πληροφορικής. Πιο συγκεκριμένα η διαδικασία απαιτεί σε γενικές γραμμές τα ακόλουθα:
Στόχοι Ελέγχου Απαιτήσεις Προτύπου PCI DSS
Ασφαλές Δίκτυο – Εφαρμογή τείχους προστασίας για την προστασία δεδομένων των χρηστών                 – Παραμετροποίηση και εφαρμογή κυλιόμενων κωδικών προσβάσεων
Προστασία Χρήστη – Προστασία των αποθηκευμένων δεδομένων των πελατών                 – Κρυπτογράφηση μετάδοσης δεδομένων των ευαίσθητων δεδομένων καθώς και των συναλλαγών κατά την επικοινωνία μέσω ανοιχτών δημόσιων δικτύων (internet)
Διατήρηση Διαδικασίας Ευπαθειών – Αυστηρή χρήση και Τακτική ενημέρωση των συστημάτων antivirus σε όλα τα ευπαθή συστήματα.                 – Ανάπτυξη και διαχείριση ασφαλών συστημάτων
Ισχυρά Μέτρα Ελέγχου Πρόσβασης – Περιορισμός πρόσβασης σε πληροφορίες πελατών μόνο σε αρμόδια στελέχη                 –    Παραχώρηση συγκεκριμένων δικαιωμάτων και αναγνωριστικών σε αρμόδια στελέχη                 –    Περιορισμός της πρόσβασης στα ευαίσθητα στοιχεία χρεώσεων του Χρήστη, σε φυσικό επίπεδο
Τακτικός Έλεγχος Δικτύου –    Έλεγχος και εντοπισμός όλων των προσβάσεων σε επίπεδο δικτύου                 –    Τακτικοί έλεγχοι ασφάλειας διαδικασιών & συστημάτων
Διατήρηση Πολιτικής Ασφάλειας Δεδομένων – Δημιουργία & Διατήρηση ενιαίας πολιτικής ασφάλειας δεδομένων τόσο στις διαδικασίες όσο και στα συστήματα
2.    Αναγνώριση Χρήστη Τα στοιχεία που χρησιμοποιούνται για την αναγνώρισή του Χρήστη είναι δύο: ο Κωδικός Εισόδου (Username) και ο Προσωπικός Μυστικός Κωδικός Ασφαλείας (Password).         Κάθε φορά που ο Χρήστης καταχωρεί τα στοιχεία του, του παρέχεται πρόσβαση στον προσωπικό του λογαριασμό. Η συγκεκριμένη διαδικασία επιτυγχάνεται με ασφάλεια τόσο λόγω της κρυπτογράφησης των στοιχείων         κατά την μεταφορά τους στο διαδίκτυο, όσο και της κρυπτογράφησης των στοιχείων στους εξυπηρετητές (servers) της ΕΤΑΙΡΕΙΑΣ. Κατά τα ίδια πρότυπα, δίνεται στον Χρήστη η δυνατότητα να μεταβάλλει         τον Προσωπικό Μυστικό Κωδικό Ασφαλείας (Password) όσο συχνά επιθυμεί. Μετά την καταχώρηση του επιθυμητού κωδικού, ο κωδικός κωδικοποιείται και αποθηκεύεται στα συστήματα της ΕΤΑΙΡΕΙΑΣ         για την επιτυχία της μέγιστης ασφάλειας. Για τον λόγο αυτό, ο μόνος που γνωρίζει τον κωδικό Χρήστη είναι ο ίδιος και είναι αποκλειστικά υπεύθυνος για την διατήρηση της μυστικότητάς         των κωδικών αυτών από τρίτα πρόσωπα. Η ΕΤΑΙΡΕΙΑ δεν είναι σε θέση να γνωρίζει τον μυστικό κωδικό Χρήστη/Χρήστη, παρά μόνο να τον επανατοποθετήσει (reset). Σε περίπτωση απώλειας του ή         διαρροής του εν λόγω κωδικού, ο Χρήστης θα πρέπει να προβεί στην άμεση ειδοποίηση της ΕΤΑΙΡΕΙΑΣ, αλλιώς η τελευταία δεν ευθύνεται για την χρήση του μυστικού κωδικού από μη εξουσιοδοτημένο πρόσωπο.         Το ηλεκτρονικό κατάστημα gameofmoney.gr της ΕΤΑΙΡΕΙΑΣ με κανέναν τρόπο δεν αποκαλύπτει ή δημοσιοποιεί τα προσωπικά δεδομένα και τις πληροφορίες των Χρηστών. Τα προσωπικά δεδομένα χρησιμοποιούνται         αποκλειστικά για την καλή εκτέλεση των συναλλαγών. Όλες οι πληροφορίες κρυπτογραφούνται και φυλάσσονται με απόλυτη ασφάλεια. Προστασία Προσωπικών Δεδομένων Όταν ο Χρήστης επισκέπτεται το Site ή όταν ο Χρήστης προβαίνει σε αγορές, είναι απαραίτητο να παρέχει ορισμένες πληροφορίες (όνομα, επάγγελμα, ηλεκτρονική διεύθυνση, διεύθυνση κατοικίας, σταθερό τηλέφωνο, κινητό τηλέφωνο κλπ.) που σχετίζονται με Προσωπικά Δεδομένα, οι οποίες θα τύχουν επεξεργασίας αυτομάτως και θα ενσωματωθούν σε αυτοματοποιημένα αρχεία, τα οποία προηγουμένως έχουν γνωστοποιηθεί στην αρμόδια Αρχή και για τα οποία η ΕΤΑΙΡΕΙΑ τυγχάνει Υπεύθυνος Επεξεργασίας σύμφωνα με το Ν. 2472/1997. Ο Χρήστης εγγυάται και φέρει την ευθύνη για την αλήθεια, ακρίβεια, εγκυρότητα, γνησιότητα, συνάφεια και προσφορότητα των Προσωπικών Δεδομένων που γνωστοποιεί στην ΕΤΑΙΡΕΙΑ. H ΕΤΑΙΡΕΙΑ έχει αναπτύξει νόμιμα μέτρα προστασίας στις εγκαταστάσεις, τα συστήματα και τα αρχεία της και εγγυάται την εμπιστευτικότητα των Προσωπικών Δεδομένων, ωστόσο δύναται να αποκαλύψει στις αρμόδιες Δημόσιες Αρχές Προσωπικά Δεδομένα ή οποιεσδήποτε άλλες πληροφορίες που κατέχει ή είναι προσβάσιμες μέσω των συστημάτων της, εφόσον αυτό υπαγορεύεται από κάποια εφαρμοστέα διάταξη νόμου. Επιπλέον, η ΕΤΑΙΡΕΙΑ επιφυλάσσεται του δικαιώματος της να ενημερώνει τους προμηθευτές της με στατιστικές καταστάσεις πωλήσεων, οι οποίες όμως σε καμία περίπτωση δεν θα περιέχουν προσωπικά στοιχεία που μπορεί να οδηγήσουν σε αναγνώριση ατόμων. Σκοπός: Η συλλογή και η αυτοματοποιημένη επεξεργασία των Προσωπικών Δεδομένων έχει ως σκοπό την καταγραφή της συμβατικής σχέσης με την ΕΤΑΙΡΕΙΑ, τον έλεγχο, βελτίωση και προσαρμογή σε προτιμήσεις και επιλογές σχετικά με προϊόντα και υπηρεσίες και την αποστολή με ηλεκτρονικά ή παραδοσιακά μέσα διοικητικών, τεχνολογικών, οργανωτικών και / ή εμπορικών πληροφοριών για προϊόντα και υπηρεσίες της ΕΤΑΙΡΕΙΑΣ. Συγκατάθεση Χρήστη: Ο Χρήστης συναινεί και αποδέχεται την επικείμενη επεξεργασία των στοιχείων των προσωπικών του δεδομένων για τις ανάγκες της ομαλής και ευχερούς μεταξύ των μερών συναλλαγής και έτσι παρέχει την ρητή συγκατάθεσή του στην συλλογή και επεξεργασία Προσωπικών Δεδομένων, όπως περιγράφεται παραπάνω. Η ΕΤΑΙΡΕΙΑ μπορεί επίσης να μεταβιβάζει Προσωπικά Δεδομένα σε εταιρείες ή ατομικές επιχειρήσεις εγκατεστημένες στην Ελλάδα ή σε άλλες χώρες της Ευρωπαϊκής Ένωσης προκειμένου οι τελευταίες να παράσχουν στην ΕΤΑΙΡΕΙΑ οποιεσδήποτε υπηρεσίες σε σχέση με τους παραπάνω σκοπούς, συμπεριλαμβανομένων χωρίς περιορισμό υπηρεσιών άμεσης εμπορίας ή διαφήμισης. Ο Χρήστης παρέχει τη ρητή συγκατάθεσή του και στη διαβίβαση ή γνωστοποίηση των δεδομένων που περιλαμβάνονται στα αρχεία προς τους παραπάνω αναφερόμενους αποδέκτες. Σε κάθε περίπτωση η ΕΤΑΙΡΕΙΑ εγγυάται την εμπιστευτικότητα και ασφάλεια των Προσωπικών Δεδομένων κατά τη διαδικασία διαβίβασης και μεταφοράς τους που μπορεί να λάβει χώρα. Δικαίωμα πρόσβασης/εναντίωσης: Σε οποιαδήποτε στιγμή ο Χρήστης έχει το δικαίωμα πρόσβασης στο αρχείο, διόρθωσης, διαγραφής και προβολής αντιρρήσεων οποτεδήποτε σχετικά με την επεξεργασία δεδομένων που τον αφορούν. Εξάλλου, η συγκατάθεση του Χρήστη μπορεί να ανακληθεί σε οποιαδήποτε στιγμή. Χρήση Προσωπικών Δεδομένων για προωθητικές ενέργειες: Η ΕΤΑΙΡΕΙΑ παρέχει τη δυνατότητα στους χρήστες και σε όσους διενεργούν αγορές μέσω του Site να επιλέξουν την πληροφόρησή τους για τα νέα προϊόντα που διαθέτει στην αγορά και για άλλες τυχόν προσφορές, διακανονισμούς πληρωμής κλπ με την αποστολή διαφημιστικών – ενημερωτικών μηνυμάτων στην ηλεκτρονική ή ταχυδρομική τους διεύθυνση ή δια του τηλεφώνου. Η ΕΤΑΙΡΕΙΑ δεν θα χρησιμοποιήσει καταχρηστικά την παραπάνω υπηρεσία. Δίδεται δε πάντοτε στους χρήστες η δυνατότητα διακοπής της λήψης διαφημιστικών μηνυμάτων.Επιπλέον, η ΕΤΑΙΡΕΙΑ δύναται να χρησιμοποιήσει το ιστορικό πλοήγησης του Χρήστη στο Site της για προωθητικές ενέργειες σε άλλους ιστότοπους εκτός του Site της. «Αναγνωρίζοντας τη σημασία της ασφάλειας των ηλεκτρονικών πληρωμών, η EveryPay είναι αδειοδοτημένο Ίδρυμα Πληρωμών από την Τράπεζα της Ελλάδος (αρ. απόφασης 280/3/23-7-2018 ΦΕΚ Β 3010/25-7-2018), και διαχειρίζεται με ασφάλεια στοιχεία συναλλαγών πληρωμών με κάρτες, σύμφωνα με το κανονιστικό πλαίσιο του προτύπου διαχείρισης ασφάλειας συναλλαγών με κάρτες. Η Everypay είναι πιστοποιημένη σύμφωνα με το πρότυπο διασφάλισης ασφάλειας διαχείρισης συναλλαγών με κάρτες (PCIDSS). Όλες οι υπηρεσίες της Everypay γίνονται μέσα από ασφαλείς συνδέσεις με πιστοποιητικά 256 bit SSL. Η EveryPay υποστηρίζει επίσης τη δυνατότητα χρήσης της υπηρεσίας 3D Secure, μία επιπρόσθετη δικλίδα ασφαλείας για κάρτες VISA, MasterCard & American Express. Ο Πληρωτής τότε θα πρέπει να πληκτρολογήσει τον προσωπικό του μυστικό κωδικό, για να ολοκληρώσει με επιτυχία την συναλλαγή» “Recognizing the importance of electronic payment security, EveryPay is a licensed Payment Institution by the Bank of Greece (Decision No. 280/3 / 23-7-2018 GG B 3010 / 25-7-2018), and manages securely card payment transactions, in accordance with the regulatory framework of the card transaction security management standard. Everypay is certified in accordance with the PCI DSS compliance standards. All Everypay services are made through secure connections with 256bit SSL certificates. EveryPay also supports the ability to use the 3D Secure service, an additional security token for VISA, MasterCard & American Express. The Payer then has to enter his personal secret code to complete the transaction successfully”.