Τα περιστατικά απάτης πιστωτικών καρτών λαμβάνουν διαστάσεις «επιδημίας» για αυτό και η συμμόρφωση με το πρότυπο ασφαλείας ‘Payment Card Industry Data Security Standard (PCI-DSS) από τις επιχειρήσεις θεωρείται επιτακτική ανάγκη. Τα περιστατικά απάτης πιστωτικών καρτών λαμβάνουν διαστάσεις ‘επιδημίας’ και αναδεικνύονται σε πραγματικό καθημερινό κίνδυνο για τους καταναλωτές.
Ένας μεγάλος αριθμός παραβιάσεων ασφάλειας τα τελευταία χρόνια, στον οποίο περιλαμβάνονται αρκετά περιστατικά υψηλού προφίλ και κινδύνου, εξέθεσαν μεγάλο όγκο στοιχείων πιστωτικών καρτών και άλλων προσωπικών δεδομένων σε εγκληματίες. Στην Ελλάδα, η αντίδραση στα αυξανόμενα περιστατικά κλοπής πιστωτικών καρτών και απάτης, έχει αποδειχτεί πιο αργή του αναμενόμενου.
Συγκεκριμένα, η συμμόρφωση με το πρότυπο ασφάλειας ‘Payment Card Industry Data Security Standard’ (PCI-DSS), το οποίο ανέπτυξαν οι μεγαλύτεροι Οργανισμοί πιστωτικών καρτών (VISA, MASTERCARD, AMEX, JCB, DISCOVER) με στόχο την ασφάλεια της εμπιστευτικότητας των δεδομένων των πιστωτικών καρτών στα περιβάλλοντα εμπορίου και υπηρεσιών, προωθείται σπασμωδικά, επιλεκτικά και με αργούς ρυθμούς.
Ως μέτρο πρόληψης, η Ελληνική Ένωση Τραπεζών (ΕΕΤ) έχει δημιουργήσει ειδική ομάδα εργασίας, με στόχο την αντιμετώπιση των αυξανόμενων περιστατικών απάτης σε πληρωμές με κάρτες, καθώς και την ενίσχυση της ασφάλειας των προσωπικών δεδομένων των κατόχων τους. Στο πλαίσιο αυτό, η ΕΕΤ θα διαχειριστεί τους έλεγχους συμβατότητας σύμφωνα με το πρότυπο ασφάλειας Payment Card Industry Data Security Standard (PCI-DSS), σε περισσότερες από 100 ελληνικές εμπορικές επιχειρήσεις. Τα σούπερ μάρκετ και οι εταιρείες κινητής τηλεφωνίας θεωρείται ότι θα είναι στην κορυφή της λίστας των ελέγχων συμμόρφωσης.
Το PCI-DSS περιλαμβάνει 12 βασικά σημεία που πρέπει να πληρούνται από τις επιχειρήσεις, οι οποίες αποδέχονται κάρτες πληρωμών στις συναλλαγές τους. Συγκεκριμένα, προτείνει:
- Την εγκατάσταση και διατήρηση ρυθμίσεων firewall για την προστασία δεδομένων.
- Την αποτροπή χρήσης κωδικών ή άλλων παραμέτρων προστασίας, που έχουν προεγκατασταθεί από τους προμηθευτές.
- Την προστασία των αποθηκευμένων δεδομένων.
- Την κρυπτογράφηση της μετάδοσης των δεδομένων και των ευαίσθητων πληροφοριών των κατόχων καρτών.
- Την τακτική χρήση και αναβάθμιση του λογισμικού αντιμετώπισης ιών.
- Την ασφαλή ανάπτυξη και διατήρηση των συστημάτων και εφαρμογών.
- Τον περιορισμό της πρόσβασης στα δεδομένα, μόνο από εξουσιοδοτημένα άτομα και επιχειρήσεις.
- Τον καθορισμό μοναδικού λογαριασμού σε κάθε άτομο που έχει πρόσβαση στα δεδομένα.
- Τον περιορισμό της φυσικής πρόσβασης στα δεδομένα των κατόχων καρτών.
- Τον εντοπισμό και παρακολούθηση της πρόσβασης σε δικτυακές πηγές και στα δεδομένα των κατόχων καρτών.
- Τον τακτικό έλεγχο των συστημάτων και των διαδικασιών ασφάλειας.
- Την εφαρμογή Πολιτικής Ασφάλειας.
Η μη συμμόρφωση με το πρότυπο ασφάλειας μπορεί να έχει επιπτώσεις σε μία επιχείρηση – όπως η υποβολή οικονομικών κυρώσεων και εξόδων επανόρθωσης, καθώς και πιθανή αρνητική δημοσιότητα σε περίπτωση σοβαρού περιστατικού παραβίασης ασφάλειας.
Η προετοιμασία είναι το κλειδί της επιτυχίας
Η PricewaterhouseCoopers πιστεύει ότι η ουσία της συμβατότητας με το πρότυπο βρίσκεται στην προετοιμασία και διατήρηση ενός προγράμματος ασφάλειας και όχι στην καθαυτή διενέργεια του έλεγχου ή στην επίτευξη της πιστοποίησης, καθώς αυτό μπορεί να δημιουργήσει λανθασμένη αίσθηση της ασφάλειας.
Τα βασικά θέματα που μπορούν να προκύψουν είναι:
- Η συμμόρφωση θεωρείται «μόνο πρόβλημα της Πληροφορικής»: Λόγω των πολυάριθμων τεχνικών ελέγχων στα πληροφοριακά συστήματα που περιέχονται στο πρότυπο, πολλές εταιρείες θεωρούν τη συμμόρφωση «πρόβλημα της Πληροφορικής» και αναζητούν τη λύση του μόνο στον τομέα αυτό.
- Οι χώροι αποθήκευσης και τα συστήματα επεξεργασίας δεδομένων καρτών, δεν είναι σαφώς προσδιορισμένα: Πολλές εμπορικές επιχειρήσεις δεν έχουν κατανοήσει πλήρως τον τρόπο με τον οποίο τα δεδομένα πληρωμής μέσω καρτών εισέρχονται στο περιβάλλον της επιχείρησης, καθώς και ποια είναι ακριβώς τα συστήματα επεξεργασίας και οι χώροι αποθήκευσης των δεδομένων αυτών.
- Η έκταση και η πολυπλοκότητα της διαδικασίας συμμόρφωσης, συνήθως υποτιμάται: Πολλές εταιρείες υποτιμούν την έκταση και την πολυπλοκότητα των προσπαθειών συμμόρφωσης, καθώς και τη διατήρηση ενός συνεχούς προγράμματος συμμόρφωσης. Συγκεκριμένα, απαιτείται σε πολλές περιπτώσεις η υλοποίηση χρονοβόρων και πολύπλοκων διαδικασιών και σημείων ελέγχου που σχετίζονται με τομείς όπως η λογική πρόσβαση των συστημάτων, η καταγραφή και παρακολούθηση συμβάντων, η κρυπτογράφηση δεδομένων, η διαχείριση υπηρεσιών από εμπλεκόμενες τρίτες εταιρείες (όπως προμηθευτές, εξωτερικοί συνεργάτες) κ.ά.
- Μπορεί να δημιουργηθεί λανθασμένη αίσθηση της ασφάλειας: Αν μία επιχείρηση βασίζεται αποκλειστικά στην εκτίμηση του ελεγκτή (QSA / ASV) και στο αποτέλεσμα της διαδικασίας του έλεγχου, μπορεί να έχει λανθασμένη εικόνα της ασφάλειάς της, θεωρώντας ότι ο κίνδυνος παραβίασης έχει μετριαστεί.
10 τρόποι με τους οποίους οι επιχειρήσεις μπορούν να επιτύχουν και να διατηρήσουν συμβατότητα με το πρότυπο PCI-DSS.
- Επιδιώξτε ισορροπία μεταξύ μίας προσέγγισης που βασίζεται στη διαχείριση του κίνδυνου και μίας που βασίζεται στην επίτευξη της συμμόρφωσης, δίνοντας πάντα προτεραιότητα σε περιοχές με υψηλό κίνδυνο.
- Η ομάδα που θα είναι υπεύθυνη για τη διαχείριση της διαδικασίας συμμόρφωσης με το πρότυπο, θα πρέπει να αποτελείται και από μέλη από διάφορες Επιχειρησιακές Μονάδες και Διευθύνσεις και επιπλέον να διαχειριστεί τη διαδικασία συμμόρφωσής με το πρότυπο, σαν ένα σημαντικό έργο.
- Κατανοήστε πού βρίσκονται τα δεδομένα σας. Αναγνωρίστε και καταγράψτε σε διαγράμματα τα σημεία εισόδου και τους χώρους αποθήκευσης των δεδομένων (ηλεκτρονικά και μη), λαμβάνοντας υπόψη και τα συστήματα των τρίτων συνεργαζόμενων εταιρειών.
- Διεξάγετε μία αρχική ανάλυση (Gap Analysis) με σκοπό να κατανοήσετε το “πόσο απέχετε” από τις απαιτήσεις του πρότυπου.
- Προσπαθήστε να μειώσετε στο ελάχιστο τον όγκο των δεδομένων που αποθηκεύετε, με το να διατηρείτε μόνο τα απαραίτητα / επιτρεπόμενα από το πρότυπο δεδομένα. Διαγράψτε, όπου είναι επιτρεπτό, τα δεδομένα μετά την ολοκλήρωση της συναλλαγής, καθώς και τα μη χρήσιμα δεδομένα που διατηρείτε μόνο για ιστορικούς λόγους.
- Διαχωρίστε το δίκτυό σας με σκοπό να απομονώσετε σε πιο ασφαλή μέρη του δικτύου τα συστήματα που διαχειρίζονται και αποθηκεύουν δεδομένα καρτών.
- Εκπαιδεύστε τους υπαλλήλους σας σε θέματα πρόσβασης και διαχείρισης δεδομένων καρτών.
- Διατηρήστε αποδεικτικά στοιχεία για να υποστηρίξετε – σε περίπτωση ελέγχου – τη συμβατότητά σας με τις απαιτήσεις του πρότυπου, ειδικά αν η επιχείρησή σας ανήκει στην κατηγορία 1, όπου οι απαιτήσεις είναι αυξημένες.
- Ενσωματώστε τη διαδικασία συμμόρφωσης με το πρότυπο PCI DSS στο ευρύτερο περιβάλλον εφαρμογής κανόνων ασφαλείας και συστήματος Εσωτερικού Έλεγχου, χρησιμοποιώντας κατάλληλα και τη Διεύθυνση Εσωτερικού Έλεγχου.
- Αναζητήστε βοήθεια από τρίτο ανεξάρτητο σύμβουλο, εξειδικευμένο σε θέματα συμμόρφωσης με το πρότυπο PCI DSS και όχι από τους ίδιους τους ελεγκτές, οι οποίοι πρέπει να διατηρήσουν την ανεξαρτησία τους.
Του Αστέριου Βουλανά,
Partner, PricewaterhouseCoopers S.A.