Trenutno je aktuelan slučaj ugrožavanja velikog broja kreditnih kartica, njihovog blokiranja i prilične konfuzije u vezi sa neposrednim uzrocima. Prema vestima u medijima, pretpostavlja se da su bezbednosne mere preduzete zbog upada hakera u sisteme pojedinih banaka kao preventivna mera, ali ta informacija još nije zvanično potvrđena. Sumnja se da je prevara izvršena u više zemalja istočne Evrope. Takođe se kaže da je evropska centrala kompanije Viza obavestila je da su podaci iz tih kartica ugroženi i da bi moglo da dođe do zloupotrebe. Pominju se i neki veliki trgovinski lanci i mogućnost da su podaci „iscurili ili provaljeni" u njihovim sistemima. Nadam se da ćemo uskoro saznati prave razloge i detalje događaja. Javnost treba da bude obaveštena o detaljima događaja i ima pravo da to traži, pogotovu što je u pitanju blokiranje velikog broja kartica. Ovaj tekst je o onome o čemu se nešto manje govori, a trebalo bi.
Na Internetu i u medijima se sada, a i ranije, našlo dosta preporuka o tome šta vlasnici kartica mogu i treba da urade, kako bi umanjili rizik da dovedu sebe, neopreznim rukovanjem karticama, PIN kodovima i slično, u povećan rizik od zloupotrebe i ugrožavanja sigurnosti kartica i svog novca. Ovo je nužno, kako bi ljudi koji nisu upućeni u materiju zaštite i bezbednosti, saznali što više o opasnostima i načinima da ih izbegnu.
Manje se govori o tome šta su obaveze trgovaca i davaoca usluga u oblasti poslovanja koje uključuje različite vrste kartica i rukovanje podacima vezanim za kartice i njihove korisnike. Ovo je veoma bitno i zbog očekivanog rasta Internet i uopšte elektronske trgovine. Zato ću se u ovom tekstu osvrnuti na jednu organizaciju i skup standarda relevantnih za tu oblast.
Kao odgovor na rastući broj zloupotreba (engl. fraud) u poslovanju na Internetu i u poslovanju kreditnim i sličnim karticama uopšte, pet vodećih svetskih brendova u oblasti kreditnih kartica: Visa, Master Card, American Express, Discover i JCB International, pre nekoliko godina su odlučili da donesu bezbednosni standard koji bi pomogao da se pronevere i zloupotrebe smanje. Time bi se smanjile i štete koje trpe vlasnici kartica, ali i trgovci, izdavaoci kartica, banke itd. To je standard: PCI DSS (Payment Card Industry Data Security Standard). Ovaj standard nadzire i razvija PCI Security Standards Council (PCI SSC) - nezavisno telo osnovano od stane pomenutih pet kartičnih brendova kao osnivača.
Pored PCI DSS standarda, ovo telo održava i razvija još dva standarda:
• PCI PTS - PCI PIN Transaction Security Standard (ranije PIN Entry Device standard)
• PCI PA-DSS Payment Application Data Security Standard
kao i prateću dokumentaciju.
PCI DSS standard je namenjen svakom entitetu koji čuva, procesira ili prenosi podatke o kreditnim karticama (engl. cardholder data). Standard pokriva sve komponente sistema koje su uključene ili povezane na sisteme koji barataju podacima o kreditnim karticama u trgovini ili okruženje davaoca usluga u oblasti rada sa podacima o karticama.
U suštini, kompanije koje posluju sa karticama, a koje prođu ovu sertifikaciju, imaju značajno povoljnije uslove u pogledu provizija i načina refundiranja transakcija koje su posledica pronevera i zloupotreba.Sa druge strane, provođenje svih zahtevanih mera, značajno povećava sigurnost tj. smanjuje rizik od nastanka zloupotreba i neželjenih događaja.
Svi trgovci (engl. merchants), davaoci usluga (engl. service providers), procesori plaćanja (engl. payment processors), ali i banke i druge finansijske ogranizacije bi trebali ozbiljno da povedu računa o usklađenosti (engl. compliance) sa ovim standardom.
PCI DSS standard obuhvata 12 zahteva svrstanih u 6 grupa. To su:
Pokušaj prevoda na srpski bi bio:
• Izgrađivanje i održavanje sigurne mreže
Zahtev 1: Instalacija i održavanje konfiguracije firewall-a radi zaštite podataka.
Zahtev 2: Ne koristiti podrazumevane (default) vrednosti za lozinke i druge sigurnosne parametre.
• Zaštita podataka vlasnika platnih kartica
Zahtev 3: Zaštita uskladištenih podataka.
Zahtev 4: Šifrovanje podataka o karticama i drugih osetljivih informacija koje se prenose preko javnih mreža.
• Održavanje programa za rukovanje ranjivostima
Zahtev 5: Korišćenje i redovno ažuriranje antivirusnog softvera.
Zahtev 6: Razvoj i održavanje sigurnih sistema i aplikacija.
• Implementacija strogih mera kontrole pristupa
Zahtev 7: Ograničenje pristupa podacima po poslovnom principu "treba da zna".
Zahtev 8: Dodela jedinstvene identifikacije svakom licu koje ima pristup računaru.
Zahtev 9: Ograničavanje fizičkog pristupa podacima o vlasnicima kartica.
• Redovni nadzor i ispitivanje mreže
Zahtev 10: Praćenje i nadgledanje svih pristupa mrežnim resursima i podacima o vlasnicima kartica.
Zahtev 11: Redovno proveravanje sigurnosnih sistema i procesa.
• Održavanje politike sigurnosti informacija
Zahtev 12: Održavanje politike i polisa koje se odnose na sigurnost informacija.
Navedeni zahtevi su dalje detaljno opisani i razrađeni u standardu u dodatnim tačkama, a prateći dokumenti vrlo detaljno objašnjavaju namere i duh standarda, daju preporuke kojim načinima, merama, aktivnostima, sredstvima i procesima mogu da se implementiraju i ispune zahtevi.
Trenutno važeća verzija standarda je 2.0, koja je doneta u oktobru 2010. Većina dokumenata je raspoloživa za slobodno preuzimanje sa Web sajta PCI DSS.
Doneti su i programi i definisane procedure sertifikacije kompanija koje se bave trgovinom (bilo klasičnom ili preko Interneta) korišćenjem kreditnih kartica. Brendovi kreditnih kartica su definisali klasifikaciju nivoa za trgovce i davaoce usluga, koji prvenstveno zavise od godišnjeg obima transakcija (ali i od nekih drugih parametara, uključujući i istoriju i eventualne prethodne zloupotrebe), kao i zahteve i procedure za sertifikaciju.
Zavisno od nivoa, postupak sertifikacije može obuhvatiti samocenjivanje ili ocenjivanje od strane kvalifikovanog ocenjivača uz skeniranje (proveru sigurnosti) od strane kvalifikovanog davaoca ove vrste usluga.
Standard je vrlo detaljan i definiše neke stvari do najsitnijh detalja. Takođe, u procedurama za testiranje i sertifikaciju, preporuke ocenjivačima su vrlo jasno specificirane, tako da nema previše mesta za improvizaciju i gledanje kroz prste. Procesi sertifikovanja ocenjivača, održavanja statusa i slično, su takođe veoma striktni i jasni.
Postoji nekoliko zvanja u ovom procesu, od kojih su verovatno najvažniji:
• PCI kvalifikovani ocenjivač sigurnosti - PCI Qualified Security Assessor (PCI QSA)
• PCI interni ocenjivač sigurnosti- PCI Internal Security Assessor (PCI ISA)
• PCI kvalifikovani ocenjivači za aplikacije - Payment Application Qualified Security Assessor (PA-QSA)
• PCI ovlašteni davalac usluge skeniranja - Approved Scanning Vendor (PCI ASV)
Procesi i detalji dobijanja ovih zvanja su detaljno opisani na web sajtu PCI SSC.
Ne znam kakvo je stanje usaglašenosti sa PCI DSS i drugim standardima iz ove oblasti u Srbiji i uopšteno u regionu jugoistočne Evrope. Zaista, bilo bi interesantno znati kako stvari stoje kod trgovaca i davaoca usluga, kao i onih koji razvijaju aplikacije koje rade sa podacima sa kartica. Koliko njih je prošlo PCI DSS ili PA-DSS procenu?
Aktuelni događaji govore da se o tome ne brine koliko treba. Jedna od stvari koju o kojoj treba misliti u vreme razvoja Internet i elektronske trgovine je i ova tema.
O ovome se može mnogo više reći, ali za sada toliko.
Napomena - autor ovog teksta je:
• PCI ISA (Payment Card Industry Internal Security Assessor) sertifikovan od strane PCI Security Standards Council
• Certified ISMS Lead Auditor - ISO / IEC 27001 Information Security Management System