A magyar vállalkozások nem arról híresek, hogy minden előírást maradéktalanul betartanak – különösen, ha nem is ismerik az adott szabályt. Pedig van egy olyan adatbiztonsági szabvány, amely minden, bankkártyákat kezelő cégre vonatkozik, ám a túlnyomó többség még csak nem is hallott róla.

Minden szervezet, amely bankkártya adatokat tárol, feldolgoz vagy továbbít, vagyis a kibocsátókkal kapcsolatban álló kártyafeldolgozó társaságok (Magyarországon az Euronet és Giro Bankkártya), a bankok, valamint a bankkártyás fizetést lehetővé tévő hagyományos és online boltok – mindezekre a vállalkozásokra vonatkozik a PCI DSS (Payment Card Industry Data Security Standard) szabvány.

A helyzet mégis az, hogy Magyarországon a kártyafeldolgozókon kívül a többiek nem különösebben foglalkoznak a szabvány előírásaival, amit jól mutat az is, hogy egy nemrégiben Budapesten megrendezett, de összeurópai szintű (és évente egyszer megtartott) oktatásra csak négy magyar résztvevő ment el – mondja Krasznay Csaba, a HP it-biztonsági tanácsadója.

A legnagyobb kártyakibocsátó társaságok (Visa, MasterCard, American Express, Discover, JCB) együttműködéséből megszületett PCI DSS elsődleges célja a bankkártyákkal való visszaélések számának csökkentése az elektronikus kereskedelemben, a kártyaelfogadóknál és a kereskedőknél. Ehhez nagyon jól használható, a legjobb gyakorlatokat összefoglaló, konkrét it-biztonsági követelményrendszert fogalmaz meg, amelynek teljesítése nagymértékben növeli egy szervezet adatbiztonsági szintjét. A követelmények kiterjednek a biztonságos hálózatok építésére és üzemeltetésére, a kártyabirtokosok adatainak védelmére, a sérülékenységkezelésre, a hozzáférés-védelmi megoldásokra, a hálózatok rendszeres monitorozására és tesztelésére, valamint az információbiztonsági szabályzat fenntartására.

Krasznay Csaba szerint az előírások olyannyira a valós életen alapulnak, hogy betartásuk iparágtól függetlenül minden cég számára előnnyel járna. A megfogalmazott 12 követelmény (amelyek mindegyikéhez részletes ajánlás is tartozik) olyan,　józan ésszel is belátható elvárásokat fogalmaz meg, mint például a tűzfalaknál ne az alapbeállítás szerinti jelszavakat használják vagy hogy a kártyabirtokos adataihoz csak az férhessen hozzá, akire az tartozik.

A PCI DSS betartása, bármennyire is kötelező lenne, azért ennyire esetleges, mert a kártyakibocsátók csak a velük kapcsolatban álló társaságokon kérik számon az előírásokat, és rájuk bízzák a láncban alattuk állók ellenőrzését (az értük viselt felelősséggel egyetemben), így szankcióktól a kereskedőknek egyelőre nem kell tartaniuk. Ha egy kereskedőtől bankkártya-adatok kerülnek ki, és kiderül, hogy nem felel meg a szabvány követelményeinek, a vele szerződött elfogadónak is minimum 100 ezer eurós büntetéssel kell számolnia.

Természetesen nem mindenkinek egyforma szigorú előírásoknak kell megfelelnie, de hazánkban számos olyan kereskedő lehet, amely évente 1-6 millió tranzakciót hajt végre: nekik például évente önfelmérő teszteket kellene végezniük, és negyedévente ellenőrizni kellene a hálózatuk biztonságát. (HP)

2010. május 6.