PwC: Συμμόρφωση με το διεθνές πρότυπο ασφαλείας PCI-DSS για προστασία από τις πιστωτικές κάρτες

Στην κατάλληλη προετοιμασία για να αποφύγουν περιστατικά απάτης σε πληρωμές μέσω καρτών (πιστωτικές / χρεωστικές) και στη συμμόρφωσή τους με το διεθνές πρότυπο ασφαλείας PCI-DSS, βοηθά η PricewaterhouseCoopers τις εμπορικές επιχειρήσεις.

Ηδη η Ελληνική Ένωση Τραπεζών (ΕΕΤ) έχει δημιουργήσει ειδική ομάδα εργασίας με στόχο την αντιμετώπιση των αυξανόμενων περιστατικών απάτης σε πληρωμές με κάρτες, καθώς και την ενίσχυση της ασφάλειας των προσωπικών δεδομένων των κατόχων τους.

Στο πλαίσιο αυτό, η ΕΕΤ θα διαχειριστεί τους ελέγχους συμβατότητας σύμφωνα με το πρότυπο ασφαλείας Payment Card Industry Data Security Standard (PCI-DSS), σε περισσότερες από 100 ελληνικές εμπορικές επιχειρήσεις, μέσα στο 2009. Τα σούπερ μάρκετ και οι εταιρείες κινητής τηλεφωνίας θεωρείται ότι θα είναι στην κορυφή της λίστας των ελέγχων συμμόρφωσης.

Το πρότυπο ασφαλείας πληρωμών με κάρτα PCI DSS , περιλαμβάνει 12 βασικά σημεία που πρέπει να πληρούνται από τις επιχειρήσεις οι οποίες αποδέχονται κάρτες πληρωμών στις συναλλαγές τους.

Συγκεκριμένα προτείνει:

1. Την εγκατάσταση και διατήρηση ρυθμίσεων firewall για την προστασία δεδομένων
2. Την αποτροπή χρήσης κωδικών ή άλλων παραμέτρων προστασίας που έχουν προεγκατασταθεί από τους προμηθευτές
3. Την προστασία των αποθηκευμένων δεδομένων
4. Την κρυπτογράφηση της μετάδοσης των δεδομένων και των ευαίσθητων πληροφοριών των κατόχων καρτών
5. Την τακτική χρήση και αναβάθμιση του λογισμικού αντιμετώπισης ιών
6. Την ασφαλή ανάπτυξη και διατήρηση των συστημάτων και εφαρμογών
7. Τον περιορισμό της πρόσβασης στα δεδομένα μόνον από εξουσιοδοτημένα άτομα και επιχειρήσεις
8. Τον καθορισμό μοναδικού λογαριασμού σε κάθε άτομο που έχει πρόσβαση στα δεδομένα
9. Τον περιορισμό της φυσική πρόσβασης στα δεδομένα του κατόχων καρτών
10. Τον εντοπισμό και παρακολούθηση της πρόσβασης σε δικτυακές πηγές και στα δεδομένα των κατόχων καρτών
11. Τον τακτικό έλεγχο των συστημάτων και των διαδικασιών ασφαλείας
12. Την εφαρμογή Πολιτικής Ασφαλείας 

Οπως σημειώνει η PwC μη-συμμόρφωση με το πρότυπο ασφαλείας μπορεί να έχει επιπτώσεις σε μία επιχείρηση, όπως η υποβολή οικονομικών κυρώσεων και εξόδων επανόρθωσης, καθώς και πιθανή αρνητική δημοσιότητα σε περίπτωση σοβαρού περιστατικού παραβίασης ασφαλείας.

Eκτιμά επίσης ότι η ουσία της συμβατότητας με το πρότυπο βρίσκεται στην προετοιμασία και διατήρηση ενός προγράμματος ασφάλειας και όχι στην καθαυτή διενέργεια του ελέγχου ή στην επίτευξη της πιστοποίησης, καθώς αυτό μπορεί να δημιουργήσει λανθασμένη αίσθηση της ασφάλειας.

Ο κ. Αστέριος Βουλανάς, Partner επικεφαλής της ομάδας ασφάλειας της PwC στην Ελλάδα που παρέχει υπηρεσίες προετοιμασίας για τη συμμόρφωση των επιχειρήσεων σύμφωνα με το διεθνές πρότυπο ασφάλειας PCI DSS, συνοψίζει τα βασικά θέματα που μπορούν να προκύψουν:

· Η συμμόρφωση θεωρείται "μόνο πρόβλημα της Πληροφορικής": Λόγω των πολυάριθμων τεχνικών ελέγχων στα πληροφοριακά συστήματα που περιέχονται στο πρότυπο, πολλές εταιρείες θεωρούν τη συμμόρφωση "πρόβλημα της Πληροφορικής" και αναζητούν τη λύση του μόνο στον τομέα αυτό.

· Οι χώροι αποθήκευσης και τα συστήματα επεξεργασίας δεδομένων καρτών δεν είναι σαφώς προσδιορισμένα: Πολλές εμπορικές επιχειρήσεις δεν έχουν κατανοήσει πλήρως τον τρόπο με τον οποίο τα δεδομένα πληρωμής μέσω καρτών εισέρχονται στο περιβάλλον της επιχείρησης, καθώς και ποια είναι ακριβώς τα συστήματα επεξεργασίας και οι χώροι αποθήκευσής των δεδομένων αυτών.

· Η έκταση και η πολυπλοκότητα της διαδικασίας συμμόρφωσης συνήθως υποτιμάται: Πολλές εταιρείες υποτιμούν την έκταση και την πολυπλοκότητα των προσπαθειών συμμόρφωσης καθώς και τη διατήρηση ενός συνεχούς προγράμματος συμμόρφωσης. Συγκεκριμένα, απαιτείται σε πολλές περιπτώσεις η υλοποίηση χρονοβόρων και πολύπλοκων διαδικασιών και σημείων ελέγχου που σχετίζονται με τομείς όπως η λογική πρόσβαση των συστημάτων, η καταγραφή και παρακολούθηση συμβάντων, η κρυπτογράφηση δεδομένων, διαχείριση υπηρεσιών από εμπλεκόμενες τρίτες εταιρείες (όπως προμηθευτές, εξωτερικοί συνεργάτες).

· Μπορεί να δημιουργηθεί λανθασμένη αίσθηση της ασφάλειας: Αν μία επιχείρηση βασίζεται αποκλειστικά στην εκτίμηση του ελεγκτή (QSA / ASV ) και στο αποτέλεσμα της διαδικασίας του ελέγχου, μπορεί να έχει λανθασμένη εικόνα της ασφάλειάς της, θεωρώντας ότι ο κίνδυνος παραβίασης έχει μετριαστεί.


10 τρόποι διατήρησης της συμβατότητας με το πρότυπο PCI-DSS

1. Επιδίωξη της ισορροπίας μεταξύ μίας προσέγγισης που βασίζεται στην διαχείριση του κίνδυνου και μίας που βασίζεται στην επίτευξη της συμμόρφωσης, δίνοντας πάντα προτεραιότητα σε περιοχές με υψηλό κίνδυνο.

2. Η ομάδα που θα είναι υπεύθυνη για τη διαχείριση της διαδικασίας συμμόρφωσης με το πρότυπο θα πρέπει να αποτελείται και από μέλη από διάφορες Επιχειρησιακές Μονάδες και Διευθύνσεις και να διαχειριστεί τη διαδικασία συμμόρφωσής με το πρότυπο σαν ένα σημαντικό έργο.

3. Αναγνώριση και καταγραφή σε διαγράμματα των σημείων εισόδου και των χώρων αποθήκευσης των δεδομένων (ηλεκτρονικά και μη), λαμβάνοντας υπόψη και τα συστήματα των τρίτων συνεργαζόμενων εταιριών.

4. Διεξαγωγή αρχικής ανάλυσης (Gap Analysis) με σκοπό την κατανόηση της απόστασης από τις απαιτήσεις του προτύπου.

5. Προσπάθεια μείωσης στο ελάχιστο τον όγκο των δεδομένων που αποθηκεύετε με το να διατηρείτε μόνο τα απαραίτητα / επιτρεπόμενα από το πρότυπο δεδομένα. Διαγράψτε, όπου είναι επιτρεπτό, τα δεδομένα μετά την ολοκλήρωση της συναλλαγής καθώς και τα μη χρήσιμα δεδομένα που διατηρείτε μόνο για ιστορικούς λόγους.

6. Διαχωρισμό του δικτύου με σκοπό να απομονώσετε σε πιο ασφαλή μέρη του δικτύου τα συστήματα που διαχειρίζονται και αποθηκεύουν δεδομένα καρτών.

7. Εκπαίδευση των υπαλληλων σε θέματα πρόσβασης και διαχείρισης δεδομένων καρτών.

8. Διατήρηση αποδεικτικών στοιχείων για να υποστηρίξετε σε περίπτωση ελέγχου την συμβατότητα σας με τις απαιτήσεις του προτύπου, ειδικά αν η Επιχείρηση σας ανήκει στην κατηγορία 1όπου οι απαιτήσεις είναι αυξημένες.

9. Ενσωμάτωση της διαδικασίας συμμόρφωσης με το πρότυπο PCI DSS, στο ευρύτερο περιβάλλον εφαρμογής κανόνων ασφαλείας και συστήματος Εσωτερικού Ελέγχου, χρησιμοποιώντας κατάλληλα και την Διεύθυνση Εσωτερικού Ελέγχου.

10. Αναζήτηση βοήθειας από τρίτο ανεξάρτητό σύμβουλο εξειδικευμένο σε θέματα συμμόρφωσης με το πρότυπο PCI DSS και όχι από τους ίδιους τους ελεγκτές οι οποίοι πρέπει να διατηρήσουν την ανεξαρτησία τους.


Κέρδος