Γράφει ο Πάρις Κάσκας
Μηχανικός Ασφαλείας Πληροφορικής στην Symantec Hellas
Στην συνεχώς αυξανόμενη εγκληματικότητα στο διαδίκτυο, πόσο ασφαλή είναι τα προσωπικά μας δεδομένα στις ελληνικές τράπεζες; Υπάρχουν διαδικασίες που μας εξασφαλίζουν ότι οι «δικές μας» τράπεζες διαθέτουν το απαραίτητο λογισμικό για να μας προστατεύσουν; Ποιος ελέγχει εάν τηρούνται αυτές τις διαδικασίες;
Ερωτήματα
Είναι πολλά τα ερωτήματα που γεννιούνται συνεχώς στους απλούς πολίτες. Σερφάροντας στο διαδίκτυο διαπιστώνει κανείς πολύ εύκολα ότι αριθμοί καρτών «χάνονται» από τράπεζες και αναρτώνται σε διάφορα blogs ή χρησιμοποιούνται από “hackers” για αγορές στο διαδίκτυο.
Αποτέλεσμα;
Έρχεται ένας λογαριασμός «φουσκωμένος» από την κάρτα ή ο πολίτης δέχεται τηλέφωνο από την τράπεζα που συνεργάζεται για να ενημερωθεί απλά ότι ακυρώθηκε η πιστωτική του και θα εκδοθεί καινούρια με την απλή αιτιολογία ότι διαπιστώθηκε από το σύστημα «ύποπτη συναλλαγή».
Στην δεύτερη περίπτωση όλα είναι καλά γιατί το μόνο που αντιλαμβάνεται κάποιος είναι το τηλεφώνημα και η νέα πιστωτική που θα έρθει ταχυδρομικώς στο χώρο του.
Στην πρώτη περίπτωση όμως; Τι γίνεται όταν θα έρθει ο φουσκωμένος λογαριασμός της κάρτας;
Σίγουρα στα υποκαταστήματα των τραπεζών υπάρχει ειδικό έντυπο που συμπληρώνει ο κάθε ενδιαφερόμενος και η ανάλογη διαδικασία για να εμπλακεί η Δίωξη Ηλεκτρονικού Εγκλήματος, ώστε στο τέλος να σβηστεί η φουσκωμένη χρέωση, που έγινε εν αγνοία του κατόχου της κάρτας.
Αλλά τι γίνεται με τα πέντε χρόνια που θα χάσει από την ζωή του ο πολίτης όταν θα πάρει στα χέρια του τον φουσκωμένο λογαριασμό; Μην ξεχάσουμε και το πιθανό εγκεφαλικό ή έμφραγμα!
Η απάντηση
Εδώ έρχεται να δώσει απάντηση το κανονιστικό πλαίσιο PCI DSS ή αλλιώς Payment Card Industry Data Security Standards.
Το PCI-DSS είναι 12 απαιτήσεις που πρέπει να έχει ένας οργανισμός που διαχειρίζεται πιστωτικές κάρτες και φυσικά έχει αποθηκευμένα στους χώρους του τα προσωπικά δεδομένα των κατόχων.
Διαχείριση των πιστωτικών καρτών σημαίνει οποιαδήποτε συναλλαγή που γίνεται από τον πολίτη προς ένα «μαγαζί» -είτε φυσικό είτε ηλεκτρονικό- και τις διαδικασίες που ολοκληρώνουν αυτές μέσω τραπεζών και οικονομικών οργανισμών.
Εκτός από τις τράπεζες, που φυσικά είναι ο πρώτος «πελάτης» αυτού του κανονιστικού πλαισίου, είναι ακόμα οι ασφαλιστικοί φορείς και πολλοί ακόμα οργανισμοί.
Η παραβίαση
Οποιαδήποτε παραβίαση αυτών των 12 απαιτήσεων συνεπάγεται αυτόματα τη μη συμμόρφωση του οργανισμού στο πρότυπο αυτό και ακολουθούν τεράστια πρόστιμα από τους διεθνείς επόπτες καρτών, όπως Visa, Mastercard κλπ.
Οι 12 απαιτήσεις
Δημιουργία και διατήρηση ενός ασφαλές δικτύου
1. Εγκατάσταση και διατήρηση παραμέτρων firewall για την προστασία δεδομένων των κατόχων πιστωτικών καρτών.
2. Μη χρησιμοποίηση προεπιλογών από προμηθευτές για τους κωδικούς πρόσβασης του συστήματος και άλλων παραμέτρων ασφαλείας.
Προστασία των δεδομένων πιστωτικών καρτών
3. Προστασία των αποθηκευμένων «ευαίσθητων δεδομένων» του κατόχου των πιστωτικών καρτών.
4. Κρυπτογράφηση όλων των δεδομένων των στοιχείων του κατόχου των πιστωτικών καρτών κατά την διάρκεια της μετάδοσης της πληροφορίας σε ανοιχτά ή δημόσια δίκτυα.
Διατήρηση σε ισχύ λογισμικού διαχείρισης ευπάθειας
5. Ενημέρωση σε τακτά χρονικά διαστήματα του antivirus λογισμικού.
6. Ανάπτυξη και διατήρηση συστημάτων και εφαρμογών με διαδικασίας ασφάλειας.
Εφαρμογή αυστηρών μέτρων ελέγχου πρόσβασης (Network Access Control)
7. Περιορισμός της πρόσβασης σε δεδομένα της τράπεζας από χρήστες εξουσιοδοτημένους.
8. Ταυτοποίηση (unique ID) κάθε χρήστη με πρόσβαση σε υπολογιστή της τράπεζας.
9. Φυσικός περιορισμός στα «ευαίσθητα δεδομένα» των κατόχων πιστωτικών καρτών.
Παρακολούθηση και δοκιμές σε τακτά χρονικά διαστήματα του δικτύου
10. Παρακολούθηση και έλεγχος σε όλους τους πόρους του δικτύου ως προς την πρόσβαση δεδομένων των κατόχων πιστωτικών καρτών.
11. Τακτικός έλεγχος των διαδικασιών και των συστημάτων ασφαλείας.
Πολιτικές Ασφάλειας Πληροφοριών
12. Δημιουργία και διατήρηση πολιτικής αντιμετώπισης της ασφάλειας της πληροφορίας.
Το κανονιστικό πλαίσιο PCI-DSS περιλαμβάνει ακόμα τα εξής σημεία:
- Υπάλληλος λόγω λανθασμένης εξουσιοδότησης να εισέλθει σε λογισμικό και να «δει» αριθμούς λογαριασμών πιστωτικών καρτών.
- Αποστολή με ηλεκτρονικό ταχυδρομείο ηχητικού αρχείου (με ή χωρίς εικόνα) ή εγγράφου με πληροφορίες πελατών που εμπεριέχουν αριθμούς λογαριασμών και PIN.
- Χρήστης να σκανάρει εκτυπωμένα αρχεία με αριθμούς (πχ πιστωτικών καρτών) και να τα εισάγει σε μη ασφαλή βάση δεδομένων.
Ποια είναι όμως τα «ευαίσθητα δεδομένα» σύμφωνα με το πλαίσιο PCI-DSS;
Είναι όλα τα προσωπικά οικονομικά στοιχεία που σχετίζονται άμεσα με πιστωτικές και χρεωστικές συναλλαγές με κάρτα, συμπεριλαμβανομένων των στοιχείων κατόχου της, όπως:
- Αριθμοί Λογαριασμών
- Ονοματεπώνυμο κατόχου
- Ημερομηνίες λήξης
- Κωδικοί κάρτας
Ο οργανισμός που συναλλάσσεται ΔΕΝ επιτρέπεται να αποθηκεύει τα «ευαίσθητα δεδομένα» της πιστοποίησης συμπεριλαμβανομένων:
- Δεδομένα μαγνητικής ταινίας
- Προσωπικούς αριθμούς αναγνώρισης (PIN) και κωδικοποιημένα PIN
- Τους αριθμούς επαλήθευσης της κάρτας (CVV2) ή τους κώδικες επικύρωσης της κάρτας (CVC2)
Αναπάντητη ερώτηση
Όπως βλέπουμε λοιπόν υπάρχουν οι διαδικασίες και το πλαίσιο για να προστατευτούν όλα τα «ευαίσθητα δεδομένα» του απλού πολίτη. Το θέμα είναι όμως πόσοι από τους ελληνικούς οργανισμούς έχουν αυτές τις πιστοποιήσεις; Πόσες από τις Ελληνικές Τράπεζες έχουν υιοθετήσει το κανονιστικό PCI-DSS πρότυπο;