PCI DSS - pozadina
Počevši od 1. siječnja 2008, sve tvrtke koje se bave kartičnim poslovanjem u CEMEA regiji – bez obzira na njihovu veličinu – moraju biti usaglašene sa strogim sigurnosnim standardima koje su stvorile velike svjetske kartičarske kuće. Ovo kretanje ka strožim sigurnosnim mjerama je posljedica sve većeg broja tvrtki koje su izvjestile o gubitku ili krađi kartičnih podataka. U ovom tekstu vršimo pregled zahtjeva PCI DSS standarda, posljedica neusaglašenosti te efikasnih načina da se postigne usaglašenost.
Pozadina standarda
Kreditne kartice su u širokoj upotrebi, a njihovo korištenje za plaćanja preko Interneta raste dramatičnom brzinom. Prošle godine je zabilježeno preko 3 milijarde vlasnika kreditnih kartica. Prodaja putem Interneta je u zadnjem kvartalu 2006 iznosila $33,9 milijarde dolara, što predstavlja povećanje od 25% u odnosu na isti kvartal 2005.
No, uz ovaj veliki porast prodaje preko Interneta pojavio se i problem prijevare i krađe. Fraud putem kreditne kartice (tj. krađa putem neovlaštenog korištenja tuđe kreditne kartice) je u 2005 bila najčešći oblik krađe identiteta sa udjelom od 26% u ukupnom broju slučajeva. Imajući u vidu da su financijske institucije globalno pretrpile gubitak od više od $48 milijardi zbog krađe identiteta te iste godine, te gubitak od $5 milijardi koji su pretrpile privatne osobe, može se slobodno reći da je fraud putem kreditne kartice duboko posegao u svačiji džep.
Fraud putem plaćanja Internetom također raste po broju slučajeva, dosežući iznos od $3 milijarde u 2006, što je porast od 7% u odnosu na 2005. U ovom tekstu ćemo ispitati posljedice krađe kartičnih podataka i odgovoriti na slijedeća ključna pitanja:
- Što je PCI standard?
- Zašto je važno biti usaglašen?
- Koje su posljedice neusaglašenosti?
- Koja rješenja postoje za PCI standard?
- Kako se možete pripremiti za PCI reviziju?
Krađa kartičnih podataka i prijevare – stvarni primjeri
18. veljače 2005. – Bank of America je potvrdila da je izgubila više od 1,2 milijuna bilješki o korisnicima, iako je rečeno da ne postoje dokazi da su podaci pali u ruke kriminalcima.
16. lipnja 2005. – Card Systems, pružatelja usluga plaćanja trgovcima, su tužili mnogi klijenti u nizu slučajeva u kojima se tvrdilo da Card Systems nije zaštitio osobne podatke svojih 40 milijuna korisnika na adekvatan način. VISA i American Express su u kratkom roku prekinuli suradnju sa firmom te joj dalje zabranili procesiranja njihovih kartica. Card Systems je nakon toga bankrotirao i otkupila ga je druga tvrtka.
31. siječnja 2006. – Boston Globe i The Worcester Telegram and Gazette novinske kuće su nehotice otkrile 240,000 bilješki o kreditnim i debitnim karticama skupa sa tzv. routing informacijama za čekove, štampano na recikliranom papiru koji je korišten za omot novina za distribuciju.
9. veljače 2006. – Procjenjuje se da su nepoznati trgovci na Internetu objavili oko 200,000 korisničkih računa vlasnika debitnih kartica. Među osumnjičenim trgovcima se nalazio OfficeMax trgovački lanac i drugi. Objavljeni korisnički računi su se odnosili na klijente banaka i štednih udruga kao što su Citibank i Wells Fargo.
12. siječnja 2007. – MoneyGram, pružatelj usluga elektroničkog plaćanja, je prijavio neovlašteni pristup na servere tvrtke preko Interneta tokom prethodnog mjeseca. Serveri su sadržavali informacije o oko 79,000 mušterija platnog sustava, uključujući imena, adrese, brojeve telefone te u nekim slučajevima brojeve bankovnih računa.
17. siječnja 2007. – TJX Companies Inc. je javno objavio da je tvrtka pretrpila neovlašteni upad u njihov sustav za procesiranje plaćanja kreditnim i debitnim karticama. Brojevi kreditnih i debitnih kartica od nekih 45,700,000 korisnika kao i oko 455,000 bilješki o povratu robe (koje sadrže imena korisnika te brojeve njihovih vozačkih dozvola) su ukradeni iz tvrtkinog IT sustava. Ovaj incident se smatra najvećom krađom kartičnih podataka do danas.
PCI DSS zahtjevi
Usaglašavanje sa ovim zahtjevima se može sažeti u tri glavne faze:
- Prikupljanje i spremanje – sigurno prikupljanje i spremanje svih podataka u obliku koji nije podložan manipulaciji kao ni krađi.
- Izvještavanje – biti u stanju dokazati usaglašenost u svakom trenutku ako se pojavi revizija, te predstaviti kontrole koje štite podatke.
- Nadzor i uzbunjivanje – imati sustave za automatsko uzbunjivanje, kako bi se pomoglo administratorima da imaju stalan nadzor nad pristupom i korištenjem podataka. Administratori moraju biti odmah obavješteni o mogućim problemima i mogu ih onda rješiti.
Ove sustave treba primjeniti na podatke iz log-a – moraju postojati dokazi da se ti podaci također prikupljaju i spremaju.
