Standard informacijske sigurnosti za financijsku industriju

Ugrožena kartica

Pri elektroničkom plaćanju opasnosti od zloupotrebe iziskuju stalno unapređenje sigurnosnih mjera kako bi kupci i dalje imali povjerenja u kompanije kojima povjeravaju svoj novac i svoje poslovanje.

PIŠE TIHOMIR KATULIĆ

Ne treba posebno naglašavati kako je u svijetu financijskih institucija, a osobito tvrtki koje se bave kartičnim poslovanjem, primarni uvjet uspješnog poslovanja - sigurnost. Fenomen tamnih brojki kompjutorskog kriminaliteta, odnosno broja počinjenih, a neotkrivenih i neprijavljenih djela cybercrimea već desetljećima ugrožava tranziciju tradicionalne u elektroničku trgovinu. Vjerojatno ne postoji kategorija kaznenih djela gdje je postotak neprijavljenih i neotkrivenih toliko visok kao u slučaju kibernetičkog kriminaliteta. Zašto?


PCI DSS razvijen je na temelju internih pravilnika velikih kartičarskih kuća

Javnost nije potpuno svjesna nesigurnosti koju za sobom povlači moderna informacijska tehnologija. Industrija se protiv različitih aspekata informacijske krađe bori standardima za održavanje prihvatljive razine informacijske sigurnosti. Ponajprije tu se ističe dobro poznati set ISO 27000 standarda na području informacijske sigurnosti. Te norme uređuju pitanja zaštite osobnih podataka, povjerljivosti informacija kao i razne tehničke aspekte po pitanju informacijske sigurnosti.
S druge strane, za specifične potrebe pojedinih industrijskih grana nužno je formirati strože, preciznije standarde koji će pobliže regulirati poželjne protokole poslovanja. Jedno od takvih područja su financijske institucije. PCI DSS - Payment Card Industry Data Security Standard je rezultat nekoliko neovisnih programa zaštite podataka koje su razvijale američke kartične kuće. Visa je tako imala Visa Card Information Security Program, MasterCard - Site Data Protection, a American Express - Data Security Operating Policy.

Mreže moraju biti zaštićene od nesigurnog prometa, ali to ne smije ograničavati legitiman promet ni uzrokovati zastoj u pružanju usluga.

Osim tih kartičnih kuća zaštitne su standarde razvijali i japanski JCB te nekadašnji Searsov kartični odjel, a danas samostalni Discover. Svi oni svojim su sigurnosnim politikama namjeravali slično - uspostaviti dodatnu sigurnosnu razinu izdavačima kreditnih kartica koji su od osamdesetih godina nadalje postajali sve izloženiji rastućem broju zloupotreba.
Kako bi smanjili svoj poslovni rizik, planirali su propisati minimalne sigurnosne uvjete koje trgovci moraju ispuniti pri obradi, pohrani i transmisiji podataka o kupcima i njihovim kreditnim karticama, bez čega ne bi mogli poslovati putem kartica.
Krajem 2004. godine, osniva se Vijeće za sigurnosne standarde industrije kartičnog plaćanja, odnosno Payment Card Industry Security Standards Council. Navedene kompanije postaju članovi te udruge objedinjujući svoje zasebne sigurnosne politike u novi, specijalni sigurnosni standard pod nazivom Payment Card Industry Data Security Standard koji je 2006. unaprijeđen u inačicu 1.1 te krajem 2008. godine u inačicu 1.2. Krajem 2010. godine usvojena je aktualna, druga inačica standarda koja se primjenjuje od početka 2012. godine.



Osnovni ciljevi PCI DSS standarda
PCI DSS se sastoji od dvanaest analiziranih uvjeta grupiranih u šest glavnih kontrolnih ciljeva koje treba ostvariti kako bi se elektroničko poslovanje smatralo sigurnim. Ti su ciljevi općeg karaktera, no pobliže su razrađeni u samom standardu s preko dvije stotine zahtjeva koje treba ispuniti u postupku certifikacije.
1 Za obavljanje kartičnih elektroničkih transakcija osnovni je uvjet održavanje odgovarajuće razine sigurnosti računalnih mreža.
2 Nadalje, podaci o korisnicima kreditnih kartica trebaju biti odgovarajuće zaštićeni, bez obzira na to gdje se pohranjuju podaci uz primjenu odgovarajućih tehnologija protiv neovlaštenog pristupa. Kad se osobni podaci korisnika prenose mrežnim putem komunikacija treba biti efikasno kriptirana. Podaci moraju biti i odgovarajuće fizički zaštićeni, a suvišnu i dupliciranu dokumentaciju treba uništiti pod nadzorom.
3 Standard traži sustavnu antimalware zaštitu, redovitu dogradnju antivirusnog softvera i šire korištene aplikacijske baze uključujući i operativne sustave kako bi se što je više moguće suzio prostor za iskorištavanje sigurnosnih ranjivosti za koje postoji dostupna zakrpa.
4 Četvrti uvjet je ograničenje pristupa podacima i sustavima, tako da korisnici ne moraju davati nikakve dodatne podatke osim onih nužnih za sigurnu transakciju. Standard traži da svaka osoba koja koristi zaštićeni informacijski sustav mora imati jedinstveni tajni identifikacijski broj ili oznaku. Osim što podatkovne mreže moraju biti zaštićene odgovarajućim uređajima i softverom njihovo funkcioniranje treba stalno nadgledati i provjeravati da se osiguraju sve zaštitne procedure.

Područje primjene PCI DSS standarda

Na što se odnosi PCI DSS? Payment Card Industry Data Security Standard primjenjuje se na sve slučajeve kad se obrađuju, pohranjuju ili prenose podaci o korisničkom računu. Tu se ubrajaju osobni podaci korisnika kartice, osjetljivi autentikacijski podaci poput broja računa (Primary Account Number - PAN), rok trajanja kartice, servisni kodovi, podaci s magnetne trake ili čipa, PIN itd.
Upravljanje primarnim brojem računa (PAN) je definirajući faktor kod primjene Payment Card Industry Data Security Standarda. Standard se primjenjuje ako se PAN pohranjuje, obrađuje ili prenosi. Ako se tijekom transakcije PAN ne pohranjuje, obrađuje niti prenosi, nije potrebna primjena PCI DSS standarda.
PCI DSS predstavlja minimalan set sigurnosnih protokola koji se mogu pojačati ili razraditi lokalnim zakonima. Kod nas je zaštita osobnih podataka detaljno regulirana Zakonom o zaštiti osobnih podataka čiju primjenu i usvajanje povezanih provedbenih propisa provodi i nadgleda Agencija za zaštitu osobnih podataka.

5 Konačno, posljednji uvjet je uspostavljanje formalne informacijsko-sigurnosne politike koju treba definirati tako da je mogu i moraju pratiti svi sudionici transakcije, a prema potrebi osiguranje treba provesti kroz interne kontrole i penalni sustav.
Iako je industrija u velikoj mjeri prihvatila taj standard, u proteklih nekoliko godina mogla su se čuti i mišljenja kako je njegova implementacija preskupa i zahtjevna. S druge strane, imajući u vidu globalni razvoj zakonskih okvira za elektroničku trgovinu, zaštitu osobnih podataka i borbu protiv kompjutorskog kriminaliteta, mnoge su tvrtke prihvatile obveze koje standard nameće kao dobru poslovnu praksu što tjera one koji donose odluke da ozbiljnije shvate važnost sigurnosti poslovanja.
Među tvrtkama koje su prihvatile PCI DSS standard su i razni pružatelji usluga u cloudu koji u svom poslovnom modelu vide prednosti za manje kompanije kojima ta investicija u osiguravanje vlastite infrastrukture nije isplativa.
Kao i uvijek pri razmatranju standarda i certifikacije, postavlja se pitanje isplati li se implementirati PCI DSS. Standard propisuje dobru poslovnu praksu koje bi se ionako trebali pridržavati svi sudionici u elektroničkom poslovanju pa njegova primjena ne može škoditi. Usvajanje novih propisa u nacionalnim zakonodavstvima, što je primjetan trend koji prati razvoj elektroničke trgovine i usluga u informacijskom društvu, sigurno je razlog više u korist certifikacije. Konačna ocjena ovisi o obujmu posla, cost-benefit analizi i poslovnim partnerima koji mogu inzistirati na certifikaciji.