A hitelkártyaadatok biztonságának megőrzése

Szerző:

A kiberbűnözők célkeresztjében gyakran szerepelnek a hitelkártyák, mivel jelentős pénzügyi hasznot kínálnak. A PCI Adatbiztonsági Szabvány (PCI DSS) célja, hogy biztosítsa a kártyabirtokosi adatok védelmét és csökkentse a vállalkozások számára az adatlopás kockázatát. Az egyre gyakoribbá váló adatlopási esetek miatt elengedhetetlen, hogy a vállalkozások megfeleljenek ezeknek a szabványoknak, és minimalizálják a veszélyeket.

A hitelkártyaadatok értékessége a kiberbűnözők számára

A hitelkártyák jelentős vonzerőt képviselnek a kiberbűnözők számára, hiszen komoly bevételi lehetőséget kínálnak számukra. Az iparág szabályozó szerve, a PCI Tanács (PCI Council), kidolgozta a PCI Adatbiztonsági Szabványt (PCI DSS), amely keretet biztosít a kártyabirtokosi adatok védelméhez. Az államilag támogatott adatlopási esetek számának növekedése – például a Snowden-akták által feltárt támadások révén – növelte a szabályozási követelményeket. Ilyen követelmény például az adatlopások bejelentése, különösen az Európai Általános Adatvédelmi Rendelet (GDPR) esetében.

A PCI szabvány megértéséhez szükséges terminológia

Ahhoz, hogy teljesen megértsük a PCI Adatbiztonsági Szabvány (PCI DSS) lényegét, fontos tisztában lenni az alapvető fogalmakkal. Az „kereskedő” bárki, aki hitel- vagy bankkártyát fogad el fizetési módként. A „szolgáltató” olyan szolgáltatásokat nyújt, amelyek kártyaadatok tárolását vagy feldolgozását teszik lehetővé. A „minősített biztonsági értékelő” (QSA) független, minősített szakember, aki ellenőrzi a PCI megfelelést, míg a „belső biztonsági értékelő” (ISA) ugyanezt végzi, de a kereskedő alkalmazásában áll. Az „adatlopás” olyan biztonsági incidens, amely kártyabirtokosi adatok elvesztéséhez vezet.

A kártyabirtokosi adatok a főszámlaszámot (PAN), a kártyabirtokos nevét, a lejárati dátumot és a szolgáltatási kódot tartalmazzák. Az érzékeny hitelesítési adatok (SAD) magukban foglalják a kártya mágnescsíkján vagy chipjén tárolt kódolt adatokat, a kártyaellenőrző értéket (CVV) és a személyes azonosító számot (PIN). Adatlopás esetén a kártyacég vizsgálatot indít a kiváltó ok kiderítésére. Ha a vállalkozás megfelel a PCI előírásoknak, akkor „biztonságos kikötés” védi; ha nem, akkor súlyos pénzbírságok és a hitelkártya-elfogadási jog elvesztése fenyegetheti.

A PCI DSS részletes biztonsági előírásai

A PCI DSS tizenkét követelményt tartalmaz, amelyek célja a kártyabirtokosi adatok védelme. Az alábbiakban áttekintjük az első hat követelményhez kapcsolódó kulcsfontosságú biztonsági ellenőrzéseket.

  1. Tűzfal konfigurációk
    A tűzfalbeállítási szabványokat meg kell határozni, minden változtatást tesztelni kell, és a szabálykészleteket hat havonta felül kell vizsgálni. Tartson fenn egy hálózati diagramot minden olyan hálózati szegmensről, amely kártyaadatokat kezel. Biztosítsa, hogy a nem kártyabirtokosi adatforgalmat blokkolja, és általában egy elkülönített PCI zónát hozzon létre. Mobil eszközöknél a tűzfal szoftvert úgy kell konfigurálni, hogy azt az alkalmazottak ne változtathassák meg, különösen a saját eszközök használatára vonatkozó (BYOD) környezetekben.
  2. Alapértelmezett jelszavak megváltoztatása
    Az összes alapértelmezett jelszót és nem biztonságos konfigurációs beállítást meg kell változtatni. Biztonsági konfigurációs szabványokat kell létrehozni minden eszközhöz és rendszerösszetevőhöz a hatékony megerősítés érdekében. Csak minimális mennyiségű kártyabirtokosi adatot tároljon, és soha ne tároljon érzékeny hitelesítési adatokat az engedélyezés után, még titkosított formában sem. A számlaszámoknak csak részben láthatóknak kell lenniük, és erős titkosítással vagy egyirányú hash-kódolással kell őket védeni tároláskor.
  3. Az adatátvitel titkosítása
    Az átvitt kártyabirtokosi adatokat, különösen nyílt hálózatokon, mint az internet vagy a védtelen vezeték nélküli hálózatok, titkosítani kell. Az ügyfélszámítógépek, például az e-mail és az üzenetküldő rendszerek, soha nem továbbíthatnak védtelen számlaszámokat. Hatékony titkosítási sémákat használjon, és tartsa naprakészen. Például a Secure Sockets Layer (SSL) sérülékenynek bizonyult a 2013-as Heartbleed sebezhetőség után.
  4. Vírusvédelmi rendszerek
    Telepítsen vírusvédelmi szoftvert a kártyabirtokosi adatokat feldolgozó rendszerekre. Frissítse rendszeresen a vírusvédelmi definíciókat, és végezzen szisztematikus víruskereséseket. Figyelje a fenyegetéseket és sérülékenységeket gyártói értesítések és fenyegetésfelderítési hírforrások használatával. Telepítse a kritikus biztonsági javításokat egy hónapon belül. A rendszerek üzembe helyezése előtt távolítsa el a fejlesztési és tesztelési fiókokat, és győződjön meg arról, hogy az egyéni fejlesztések forráskód-ellenőrzéseken esnek át.
  5. Fizikai hozzáférés korlátozása
    A fizikai hozzáférés korlátozása ugyanolyan fontos. A kártyákat olvasó eszközök, mint például a bankautomaták és a benzinkutak beépített olvasói, gyakori célpontjai a bűnözőknek. Például 2015-ben egy floridai benzinkút-ellenőrzés során 81 skimmert találtak 6000 töltőállomáson. Ezek az eszközök akár évi 3 milliárd dolláros illegális bevételt generálhatnak az Egyesült Államokban.

Az adatlopások üzleti következményei

Az adatlopás súlyos esemény, amely széleskörű hatással lehet a vállalatokra. Egy jelentős adatlopás történt 2021 májusában az Air India esetében, ahol hitelkártya-adatok is veszélybe kerültek. A bűnözők az ellopott adatokat kihasználhatják, ami súlyos költségekkel járhat, ha a visszaélések miatt valós vásárlások történnek. Az érintett cégekre vizsgálatok, súlyos pénzbírságok és helyreállítási költségek, például kártyacserék és ügyfél-kártérítések várnak, ha a PCI DSS előírásoknak nem feleltek meg.

A PCI DSS megvalósítása

A PCI DSS olyan ellenőrzési eljárásokat és tesztelési módszereket határoz meg, amelyek szükséges lépéseket jelentenek a megfelelés eléréséhez. A szabvány 3.2 verziója tizenkét magas szintű követelményt és közel 200 ellenőrzést tartalmaz. Tekintsük át gyorsan ezeket a szabványokat, hogy vállalkozása PCI-kompatibilis legyen és védelmet élvezzen a kiberfenyegetésekkel szemben.

Összegzés

A kártyabirtokosi adatok védelme kritikus fontosságú a digitális korban. A PCI Adatbiztonsági Szabvány követése hozzájárul a kártyaadatok védelméhez, biztosítja az ügyfelek bizalmát, és csökkenti a súlyos pénzbírságok és működési zavarok kockázatát. Ezeknek az irányelveknek a megértése és alkalmazása alapvető fontosságú minden olyan vállalkozás számára, amely hitelkártyás fizetéseket dolgoz fel.