BELLPRO, s.r.o. nezávislý konzultant pro problematiku akceptace platebních karet včetně jejích bezpečnostních aspektů spolupracující se Sdružením pro bankovní karty (sdružuje zejména všechny banky zajišťující akceptace platebních karet v ČR). Akceptace platebních karet je specifická činnost a v souvislosti s ní je třeba si z hlediska zájemce vyjasnit řadu otázek, např.: v rámci jakých prodejních kanálů/provozovnách platební karty akceptovat (kamenný, elektronický obchod, mobilní provozovna atd.), jaké jsou možnosti, omezení a souvislosti jaké platební karty akceptovat a proč, jaké jsou možnosti a podmínky jaké další doplňkové služby (dobíjení mobilních telefonů, cashback, věrnostní programy atd.) v souvislosti s akceptací platebních karet realizovat a proč, je to možné, jaké jsou souvislosti prostřednictvím koho realizovat autorizace a zúčtování karetních transakcí a proč, jaké jsou možnosti a omezení jaká SW a HW řešení využít a proč, jaké jsou možnosti, omezení a souvislosti způsoby přenášení transakcí (komunikace s autorizačními centry), dopady, souvislosti nakládání s daty souvisejícími s akceptací platebních karet, důvody, dopady, souvislosti Vzhledem k poslednímu vývoji v akceptaci platebních karet (růst počtu transakcí i objemů plateb, virtualizace, související kriminalita) se objevují a sílí bezpečnostní požadavky, které je nutné při akceptaci platebních karet zohledňovat a zajišťovat. Řada požadavků se týká výrobců a dodavatelů příslušného HW a SW, akceptačních bank, specializovaných autorizačních centrál, kde je problematika odpovídajícím způsobem sledována a požadavky zajišťovány. Řada požadavků se však týká i obchodníků a poskytovatelů služeb. Mezi aktuální požadavky patří PCI DSS. Podrobnosti na www.pcisecuritystandards.cz Ne na každého se standardy vztahují, a ne v každém případě v celé šíři. Nevyhnutelné je individuální posouzení konkrétního případu. PCI-DSS (Payment Card Industry Data Security Standard) mezinárodní bezpečnostní standardy (normy), jejichž cílem je zamezit únikům citlivých dat o držitelích platebních karet a karetním podvodům vyplývajícím ze zneužití těchto dat v podstatě se jedná o 12 požadavků určeny pro organizace, které zpracovávají, přenášejí nebo uchovávají data o držitelích platebních karet a kartových transakcích (zejména banky, autorizační centrály, obchodníci akceptující platební karty) konkrétní bezpečnostní doporučení, jak chránit údaje o platebních kartách
dodržování by mělo být a bude pravidelně prověřováno u všech subjektů zpracovávajících karetní data s tím, že úroveň prověření (použité nástroje) závisí na počtu a typu karetních transakcí za rok bezpečnost nakládání s karetními daty je v rámci bank a specializovaných organizací (autorizační centra) standardně zajišťována a prověřována za bezpečnost nakládání s karetními daty u obchodníků akceptujících platební karty primárně odpovídají banky zajišťující svým obchodníkům akceptace platebních karet banky musejí zajistit dodržování bezpečnostních pravidel svými obchodníky (v ČR je téměř 60 tis. obchodních míst akceptujících platební karty) Úrovně (kategorizace) obchodníků úroveň I - všichni obchodníci, kteří zpracovávají více než 6 miliónů transakcí za rok (bez ohledu na typ platebního kanálu) - všichni obchodníci, na které byl proveden úspěšný útok, který vyústil v kompromitaci dat držitelů karet - všichni obchodníci, o kterých VISA/MC na základě svého vyjádření rozhodne, že jsou obchodníky úrovně I za účelem minimalizace rizika kompromitace celého platebního systému úroveň II - všichni obchodníci, kteří zpracovávají 1 milión až 6 miliónů transakcí za rok úroveň III - všichni internetoví obchodníci, kteří zpracovávají 20 tisíc až 1 milion e-commerce transakcí za rok úroveň IV - všichni ostatní obchodníci nezařazení do předchozích úrovní Audit dodržování norem (shody s požadavky) - realizace a nástroje roční audit u obchodníka dle úrovní mohou vykonávat pouze externí certifikovaní auditoři/hodnotitelé QSA, nebo speciálně proškolení interní auditoři čtvrtletní externí testování zranitelnosti - mohou provádět pouze certifikované/odsouhlasené společnosti (ASV) certifikovaným SW (většinou poskytováno formou SaaS) vlastní sebehodnocení využitím definovaného dotazníku (SAQ) Audit dodržování norem povinnost realizace a užití daných nástrojů dle úrovně obchodníků (podle počtu transakcí)
úroveň I - nutný pravidelný roční audit přímo u obchodníka - provádí nezávislý certifikovaný auditor (QSA) - nutné pravidelné čtvrtletní externí testování zranitelnosti (provádí certifikovaná nezávislá společnost - ASV certifikovaným SW) úroveň II+III - vyplnění SAQ dotazníku vlastní sebehodnocení (vyplňuje obchodník), pro úroveň II se požadavky zpřísňují nově nutný audit speciálně proškoleným interním auditorem nebo QSA - nutné pravidelné čtvrtletní externí testování zranitelnosti (provádí certifikovaná nezávislá společnost - ASV certifikovaným SW) úroveň IV - vyplnění SAQ dotazníku vlastní sebehodnocení (vyplňuje obchodník) DOPORUČENO - pravidelné čtvrtletní externí testování zranitelnosti (provádí certifikovaná nezávislá společnost - ASV certifikovaným SW) DOPORUČENO Dotazník vlastního sebehodnocení (Self-Assessment Questionnaire - SAQ) nástroj, jehož smyslem je pomáhat obchodníkům a poskytovatelům služeb v sebehodnocení souladu s požadavky/pravidly PCI DSS určen obchodníkům a poskytovatelům služeb úrovně II a III (resp. IV), kteří nemusí podstoupit pravidelný roční audit QSA přímo u obchodníka slouží k ověření shody obchodníka s požadavky/pravidly PCI DSS obchodník odešle dotazník po jeho vyplnění zpracovatelské bance (acquirerovi), která je tento dotazník povinna předložit na vyžádání kartové společnosti (Visa, MasterCard, ) 4 typy dotazníků SAQ (typ A až D) dle kategorií obchodníků (kategorizace dle způsobu práce s kartami bez přítomnosti karty, mechanické či elektronické sejmutí dat a dle způsobu komunikace resp. nakládání s údaji sejmutými z karty), smyslem je nalézt resp. dosáhnout shody s požadavky (jejich naplněním) Požadavky (pravidla) PCI DSS 1. Instalovat a udržovat konfiguraci firewallů k ochraně dat držitelů karet 2. Nepoužívat pro systémová hesla a jiné bezpečnostní parametry výchozí nastavení od dodavatele 3. Chránit uchovávaná data držitelů karet 4. Zakódovat přenos dat držitelů karet po otevřených veřejných sítích 5. Používat a pravidelně aktualizovat antivirový software nebo programy 6. Vyvíjet a udržovat bezpečné systémy a aplikace 7. Omezit přístup k datům držitelů karet jen podle potřeby 8. Přidělit jedinečné ID každé osobě s přístupem k počítači
9. Omezit fyzický přístup k datům držitelů karet 10. Sledovat a monitorovat všechny přístupy k síťovým zdrojům a datům držitelů karet 11. Pravidelně testovat bezpečnostní systémy a procesy 12. Udržovat pravidla zaměřená na bezpečnost informací pro zaměstnance a dodavatele Požadavky (pravidla) PCI DSS - zajištění pro otestování shody s každým požadavkem je nutné odpovědět na řadu otázek a podotázek shoda musí být bezvýhradní v případě, kdy shoda není, přijímá se akční plán k nalezení shody nebo dostatečná kompenzace ne všichni obchodníci musí splňovat a dodržovat všech 12 požadavků (pravidel), vše závisí na způsobu zpracování příp. uchovávání a předávání karetních dat požadavky resp. pravidla PCI DSS se uplatňuji v případě, kdy se pracuje s číslem karty (PAN), není-li PAN uchováváno, zpracováváno nebo přenášeno, požadavky PCI DSS se neuplatní Aktuální požadavky a termíny Obchodníci s počtem transakcí nad 6 mil./rok (úroveň I) by v současnosti již měli mít shodu s PCI DSS ověřenu. K 31.12.2010 společnost MasterCard (MC) a VISA požadovaly, aby všichni obchodníci s počtem karetních transakcí nad 1 mil. (tedy i úroveň II) měli ověřenou svou shodu s požadavky PCI DSS, společnost MC tento termín posunula s ohledem na zpřísnění použití nástrojů ověření shody na 30.6.2011. MC i VISA požadují po obchodnících z obou úrovní v rámci vyhodnocování shody provádění čtvrtletních prověrek resp. testů zranitelnosti třetí stranou - ASV. Tyto prověrky mohou být prováděny on-line po internetu ze vzdáleného místa (formou SaaS). V současnosti je certifikováno na světě kolem 200 QSA auditorů a řada ASV resp. SW pro testy zranitelnosti. Nabídka společnosti BELLPRO pro individuální obchodníky a poskytovatele služeb, řetězce, provozovatele internetových řešení, řešitele pokladních aplikací a další zájemce konzultace a doporučení řešení akceptace platebních karet pro konkrétní účel a aktivity s popsáním a zdůvodněním doporučení včetně rámcového popsání (definování) souvisejících bezpečnostních aspektů kamenné /mobilní provozovny, internetové obchody bezpečnostní školení akceptace platebních karet (pro konkrétní pracovníky obchodníka realizujících platby platebními kartami obsluha přepážek, platebních terminálů atd.) konzultace a obecná školení k seznámení se s problematikou PCI DSS
konzultace a doporučení ošetření akceptace platebních karet takovým způsobem, aby byly minimalizovány povinnosti certifikací a auditů rámcová posouzení konkrétních řešení akceptace platebních karet s cílem napomoci provozovatelům k zjištění nutnosti a rozsahu uplatnění a zajištění standardů PCI DSS seznámení s problematikou PCI DSS, posouzení možnosti optimalizace řešení vedoucích k minimalizaci povinností certifikací a auditů podrobnější posouzení konkrétních řešení s ohledem na jednotlivé prvky architektury infrastruktury pro akceptace platebních karet obchodníka s ohledem na zpracovávání a přenášení příp. uchovávání dat z hlediska PCI DSS, předběžné definování oblastí spadajících pod PCI DSS s hrubým popsáním důsledků a orientačním doporučením řešení orientační předaudit (příprava na audit certifikovaným auditorem QSA) hrubá analýza souladu systémů obchodníka s 12 požadavky standardu PCI DSS zajištění realizace externích testů zranitelnosti ICT systémů certifikovanou společností (ASV) resp. certifikovaným SW s výslednou zprávou pro akceptační banku ve standardizované podobě pomoc při zpracovávání samohodnotících dotazníků (SAQ) vyžadovaných v rámci PCI DSS