A kártyatársaságok egyre szigorúbb követelményeket támasztanak az interneten kereskedők számára. A nagy kártyakibocsátók (Visa, Mastercard, American Express, Discover, JCB) 2004-ben határozták el, hogy kialakítanak és folyamatosan (kétévente) frissítenek egy olyan egységes követelményrendszert, mely megfelelő IT-biztonsági válaszokat adhat az online kereskedelem fizetési megoldásait veszélyeztető alvilági kihívásokra. A PCI DSS (PCI Data Security Standard) szabványkövetelmények, mert végül az összefogás eredménye mára egy komplett standard lett, tulajdonképpen minden olyan szervezetnek iránymutatásokat ad, amelyek bankkártyaadatokat fogadnak, kezelnek, továbbítanak vagy tárolnak. A hat évvel ezelőtti döntés a jelek szerint időszerű volt, mert a pénzszerzésre irányuló egyre növekvő virtuális veszélyek, a bűnözők fokozott aktivitása igazolja az összefogás és a szigorúbb követelmények szükségességét.
Röviden a szabványról
Az elektronikus kereskedelemben a bankkártyával kapcsolatba kerülő minden szervezetnek meg kell felelnie a lefektetett előírásoknak, bár eltérő mértékben. A legkomolyabb felelősség a kártyatársaságokkal (card company) szerződő elfogadóknál (acquirer) van, akik kapcsolatban állnak a kereskedőkkel (merchant) és a szolgáltatásnyújtókkal (service provider). Elfogadóból kevés van, kereskedőből sok. A kereskedők különböző méretűek, forgalmuk alapján négy szintre sorolják be őket, és különböző szinteken különböző vizsgálati követelmények vannak. A Visa Europe szabályai szerint az első követelményi szintre kerülnek azok, akik évente legalább 6 millió Visa-tranzakciót bonyolítanak le hagyományos (card present) és elektronikus (card-not-present) formában, illetve azok, akiktől kártyaadatokat loptak, míg a kisebb kereskedők, akik évente elektronikusan 20 ezernél vagy hagyományos Visa-tranzakció keretében 1 milliónál kevesebb tranzakciót hajtanak végre, a megengedőbb 4-es fokozatba kerülnek besorolásra. Érdekes, hogy a kereskedő és a kártyatársaság között ügyködő ún. elfogadó (acquirer) feladata, hogy a kártyatársaság szabályai alapján kikényszerítse a PCI DSS megfelelést a vele szerződésben álló kereskedőktől.
Hazai érdektelenség? Információhiány?
De vajon hol tart ma Magyarország ezen a területen, meg tudunk-e felelni a szigorú követelményeknek, milyen szinten vagyunk a régióban a PCI DSS szabványok bevezetésének folyamatában? Ezekre, valamint a technológiai kérdésekre is kitértek egy szaktájékoztatón a HP Magyarország IT-biztonsági szakemberei, Wollner László és Krasznay Csaba. A tájékoztató aktualitását az április végén hazánkban tartott, a Payment Card Industry Security Standards Council (PCI SSC) által szervezett esedékes európai PCI DSS oktatás volt, ahol a sok külföldi résztvevő mellett az itthoniaknak is lehetőségük volt tájékozódni. Szomorúan hallottuk, hogy összesen négyen voltak magyarok a tanfolyamon, ami azért elgondolkodtató. Magyarországon egyelőre elég kevés auditált szervezetről tudunk (pl.: Giro Bankkártya, Euronet), de ha figyeljük a trendeket, előbb-utóbb fejtörést fog okozni több cégnél a megfelelőség kérdése.
1. Tűzfal telepítése és üzemeltetése a kártyabirtokos adatainak védelmében
2. Nem szabad a gyártói alapértelmezett jelszavakat meghagyni
3. A tárolt kártyaadatok védelme
4. Átvitel során titkosítani kell az adatokat
5. Az érintett rendszereken friss vírusvédelmi eszközök használata
6. Biztonságos rendszereket és alkalmazásokat kell fejleszteni és üzemeltetni
7. Az adatokhoz csak az férjen hozzá, akinek erre szüksége és joga van
8. Minden felhasználónak egyedi azonosítóval kell rendelkeznie
9. A kártyaadatokhoz fizikai hozzáférést korlátozni kell
10. Minden hálózati és adathozzáférést nyomon kell követni
11. Rendszeres tesztelés
12. Információs biztonsági politika kidolgozása
Ez a szabvány a bankkártyák adatainak (cardholder data) biztonságát hivatott garantálni, mind elektronikusan, mind más formában is. Bankkártyaadatként a kártyán szerepelő összes információt megnevezhetjük: a száma, a tulajdonos neve, a lejárati dátum, a mágnescsík tartalma, a CVV2/CVC2-szám és minden olyan technikai információ, melyek birtoklása esélyt adhat számlákhoz való hozzáféréshez. Ezeket az adatokat előszeretettel lopják és másolják, ami nyilván nem tesz jót a technológiával szembeni bizalomnak. Figyelemre méltó statisztikát publikált az Identity Theft Resource Center 2010. április végén: csak az Egyesült Államokban 1,8 millió adat szivárgott ki pénzintézetektől, melyek túlnyomó többsége feltételezhetően bankkártyákhoz kapcsolódik.
A HP által szervezett tájékoztató alapján elmondható: fontos lenne minél hamarabb foglalkozni a hazai e-kereskedelem fejlődése érdekében az alapkövetelményeket meghatározó szabványokkal, elsősorban a fejlesztők és a leendő informatikai auditorok képzését kellene forszírozni és a finanszírozási hátteret megteremteni. Persze az e-boltokat üzemeltetők figyelmét sem árt felhívni arra, hogy rendszerük fejlesztésénél, tervezésénél már ma figyeljenek oda a PCI DSS megfelelőségre is.
A szabvány részletesen megismerhető a szerkesztést végző szervezet honlapján, ahol jól áttekinthető módon megtalálhatók a különböző munkaanyagok, és természetesen maga a szabvány is letölthető pdf-formátumban. Ezen kívül a budapesti tanfolyam tanulságairól is olvasható egy értékelés Krasznay Csaba (HP Magyarország) blogjában.
