Birt á Moggablogginu 30.4.2008 - Efnisflokkur: Upplýsingaöryggi, netöryggi og persónuvernd
Mjög mörg fyrirtæki hér á landi þurfa að uppfylla kröfur gagnaöryggisstaðals greiðslukortafyrirtækjanna VISA og MasterCard eða Payment Card Industry (PCI) Data Security Standard (DSS). Í þessari grein verður farið yfir helstu atriði sem skipta máli.
Ásókn óprúttinna aðila í korthafaupplýsingar og kortafærslur hefur aukist mikið undanfarin ár. Er nú svo komið að í hverri viku koma upp mál, þar sem í ljós kemur að óviðkomandi hefur komist yfir slíkar upplýsingar og líklegast misnotað á einn eða annan hátt. Þetta hefur valdið bönkum, kortafyrirtækjum, söluaðilum og korthöfum margvíslegu tjóni. Alvarlegast er þegar brotist er inn í upplýsingakerfi, sem geyma korthafaupplýsingar, og er þá oftar en ekki stolið miklu magni upplýsinga, en algengast er að óheiðarlegir starfsmenn fyrirtækja afriti upplýsingar ýmist af segulrönd korta eða hreinlega útprentun söluaðila.
Til að reyna að sporna við þessu sameinuðust greiðslukortafyrirtækin VISA og MasterCard um gagnaöryggisstaðal, þ.e. Payment Card Industry Data Security Standard (PCI DSS), til að aðstoða fyrirtæki við að vernda viðskiptavini sína og verja orðspor sitt.
Ekki er ætlunin að fjalla um PCI DSS staðalinn sjálfan hér, en fyrir þá sem ekki þekkja til hans og vilja fá nánari fróðleik, er hægt að fá nánari upplýsingar hér og hér.
Nokkuð virðist hafa borið á því að fyrirtæki séu ekki með það á hreinu hverjir þurfa að uppfylla kröfur PCI DSS. Það er nokkuð einfalt: Undir kröfur PCI DSS falla allir sem taka við eða vinna með greiðslukort. VISA hefur gengið svo langt að allir meðlimabankar (e. member banks) skuli uppfylla PCI DSS. Svo kallaðir færsluhirðar (e. acquiring banks), t.d. VALITOR, Borgun og Kortaþjónustan, skulu síðan sjá til þess að allir söluaðilar sem eru í viðskiptum við færsluhirðinn uppfylli kröfurnar. Hvað hver aðili þarf að gera veltur á stærð hans og hvernig móttöku greiðsluheimilda er hátta. Aðili sem, t.d., vistar engar korthafaupplýsinga á upplýsingakerfum sínum, þá er það hlutverk þjónustuaðila viðkomandi að sýna fram á hlítingu við kröfurnar, en ábyrgðin er samt söluaðilans. Slíkir þjónustuaðilar geta verið smásalar, hugbúnaðarhús með sérhannaðan hugbúnað, færsluhirðir, aðili sem veitir greiðsluþjónustu, gagnamiðstöð, vefhýsingaraðili og hugbúnaðarsali með pakkalausnir. Allir framangreindra aðila þurfa því að innleiða ráðstafanir til að uppfylla kröfur PCI DSS.
Misjafnt er hvort fyrirtæki þurfa að fara í gegnum vottaðar úttektir, hvort þau þurfa að skila skýrslum eða eingöngu er mælt með því að aðili geri slíkt. Skipta má þessu kröfum í þrjá flokka eftir umfangi kortaviðskipta:
1. Stórir söluaðilar (e. merchants) sem eru með meira en 6.000.000 færslur á ári þurfa að:
a. Fara árlega í gegnum úttekt á staðnum (e. on-site audit)
b. Framkvæma ársfjórðungslega veikleika skönnun (e. vulnerability scan)
2.Vefsöluaðilar (e. e-commecre merchants) sem eru með færslufjölda milli 20.000 og 6.000.000 færslna og millistórir söluaðilar sem eru með milli 1.000.000 og 6.000.000 færslur á ári þurfa að:
a. Fara árlega í gegnum sjálfsmatsspurningar (e. Self-Assessment Questionnaire)
b. Framkvæma ársfjórðungslega veikleika skönnun (e. vulnerability scan)
3.Fyrir minni söluaðila, t.d. sem nota Posa, innhringingu eða tölvupóst, sem taka við innan við 1.000.000 færslna á ári, er mælt með því að þeir:
a. Fara árlega í gegnum sjálfsmatsspurningar (e. Self-Assessment Questionnaire)
b. Framkvæma ársfjórðungslega veikleikaskönnun (e. vulnerability scan)
Hér á landi fellur mjög stór hópur söluaðila undir lið 3, þ.e. eingöngu er mælt með því að þeir framkvæmi úttektir og fari í gegnum veikleikaskönnun. Færsluhirðar geta þó beðið um upplýsingar frá þeim hvenær sem er, enda þarf hann að vera viss um að söluaðilar, sem tengjast honum, séu traustverðugir og uppfylli kröfur PCI DSS. Fyrirtæki með margar verslanir eða dótturfyrirtæki telst vera einn söluaðili, ef færslumóttökunni er beint á einn stað. Ef færslumóttökunni er dreift á landfræðilega aðskilin upplýsingakerfi (þ.e. í mismunandi húsnæði) og uppgjör eru framkvæmd fyrir hvern færslusöfnunarstað fyrir sig, þá telst hver staður vera sjálfstæður söluaðili í samkvæmt kröfunum að ofan.
Betri ákvörðun ráðgjafaþjónusta Marinós G. Njálssonar veitir ráðgjöf til fyrirtækja sem þurfa að uppfylla kröfur PCI DSS. M.a. hefur verið tekið saman skjal þar sem kröfum PCI DSS er varpað yfir í upplýsingaöryggisstaðlana ISO 27001 og ISO 27002 (áður ISO 17799). Skjalið inniheldur einnig tillögur að orðalagi öryggis- og/eða verklagsreglna sem hægt er að hafa sem hluta af öryggishandbók, leiðbeiningum til starfsmanna eða starfsreglna sem fylgt er í tengslum við móttöku, vinnslu eða vörslu greiðslukorta upplýsinga. Hægt er að fá nánari upplýsingar um ráðgjöf fyrirtækisins og þessar varpanir með því að senda tölvupóst á oryggi@internet.is.