Varnostna priporočila za spletna prodajna mesta...

Več informacij

Razpoložljivost

Sklepanje pogodb za spletno trgovino ponujajo naslednje banke članice sistema Activa:

Koristno

Spletni trgovci so pri poslovanju dolžni spoštovati določila in zahteve banke s katero imajo sklenjeno pogodbo za poslovanje s plačilnimi karticami. Večino zahtev regulatorne narave izhaja iz priporočil in določb, ki jih predpisujeta kartična sistema MasterCard in Visa.

V nadaljevanju smo predstavili dve pomembnejši in sicer pravila ki se nanašajo na nedovoljene agregacije in pravila Payment Card Industry Standardov.

Agregacija

Pri internetnem poslovanju se pojavljajo spletna prodajna mesta, ki se ukvarjajo s tako imenovanimi nedovoljenimi »agregacijami«.

Nekatere značilnosti »agregacij« v primerjavi s tako imenovanimi dovoljenimi oz. bona fide spletnimi prodajnimi mesti so naslednje:

Za bona fide spletna prodajna mesta je značilno, da opravi imetnik celotni nakup na isti spletni strani. Za agregacije je značilno, da imetnik opravi transakcijo na dveh različnih spletnih straneh. Ponavadi je na eni strani predstavljen izdelek-kvaliteta, barva, cena itd. Podatki o plačilu in dostavi navedenega blaga pa se nahajajo na drugi spletni strani.
Na bona fide spletnih prodajnih mestih je imetnik v vseh fazah opravljanja transakcij seznanjen z identiteto prodajnega mesta. Za agregacije je značilno, da je identiteta spletnega prodajnega mesta, ki pošlje transakcijo v procesiranje, imetniku neznana vse do trenutka, ko mora le-ta vnesti podatke namenjene plačilu blaga.
Bona fide spletna prodajna mesta so odgovorna za dostavo naročenega blaga. Za agregacije pa je značilno, da spletno prodajno mesto ni vpleteno v dostavo blaga. Navedena prodajna mesta ponavadi le zbirajo podatke o plačilu ter dostavi blaga.
Bona fide spletna prodajna mesta imajo na svoji spletni strani logotip kartic, s katerimi je na navedenih prodajnih mestih možno poslovati. Za agregacije je značilno, da logotipa nimajo, saj se plačilo izvede preko druge spletne strani.

Agregacije niso dovoljene. Za morebitne trgovce in banke, ki uporabljajo takšen način poslovanja so predvidene visoke kazni. Nadzor izvajajo mednarodne kartične institucije s svojimi sistemi za preprečevanje zlorab kartičnega poslovanja.

PCI (Payment Card Industry) standardi

PCI standardi, so standardi mednarodnih kartičnih sistemov (tudi MasterCarda in Vise), ki zagotavljajo varen prenos podatkov o karticah ter podatkov o transakcijah kakor tudi njihovo varno hranjenje. Skladno z navedenim je z izpolnjevanjem PCI standardov zagotovljena zaščita zaupnih podatkov, njihova razpoložljivost in integriteta.

V nadaljevanju je opisan kratek pregled ključnih vidikov PCI standardov:

Požarna pregrada in zaščite podatkov komunikacije

Obvladovanje požarne pregrade in zagotavljanje zaščite podatkov komunikacije

Požarne pregrade (ang. FireWall) so informacijska sredstva, ki preprečujejo nepooblaščeni dostop v informacijski sistem podjetij oz. spletnih trgovcev. Na tak način požarna pregrada ločuje omrežje na javno (nevarno), storitveno (varnostno obvladovana DMZ cona) in notranje (informacijski sistem podjetja). V ta namen mora podjetje vsaj:

Zagotoviti ustrezno rešitev požarne pregrade, ki varuje storitveno in notranje omrežje;
Vzpostaviti tako politiko požarne pregrade, ki preprečuje dostop neznanim in nezaupanja vrednim omrežjem oz. informacijskim sistemom;
Vzpostaviti tako politiko požarne pregrade, ki preprečuje dostop iz javnih informacijskih sistemov ali omrežij do informacijske opreme podjetja (notranje omrežje podjetja), na katerem se hranijo podatki o imetnikih kartic ali kupcih spletnih trgovin;
Zagotoviti »skrivanje« IP številk (NAT in PAT ) notranjega omrežja podjetja pred javnim omrežjem.

Varna namestitev informacijskih sredstev

Varna namestitev strojne in komunikacijske opreme

Pogosto se pri vdorih v informacijski sistemu uporabljajo javno znane privzete nastavitve in gesla proizvajalcev ali ponudnikov informacijskih sredstev. Za obvladovanje tovrstnih tveganj mora podjetje vsaj:

Vedno zamenjati privzete nastavitve proizvajalcev ali ponudnikov informacijskih sredstev, preden le to preda v uporabo;
Vzpostaviti varnostne politike informacijskih sredstev, ki bodo temeljila na dobri praksi njenih proizvajalcev ali ponudnikov in bodo zajezila znana tveganja;
Zagotoviti varno komunikacijsko pot do informacijskih sredstev, pri izvajanju administrativnih ali drugih vzdrževalnih posegih preko omrežja.

Zaščita podatkov

Zaščita hranjenih podatkov

Potrebno je zagotoviti varnostne mehanizme za zaščito podatkov, s katerimi preprečimo njihov razkritje tudi v primeru vdorov v informacijski sistem. To najpogosteje dosežemo z kriptiranjem občutljivih podatkov. V ta namen mora podjetje vsaj:

Zagotoviti hrambo podatkov o imetnikih kartic toliko časa, kolikor je to potrebno za normalno poslovanje. Potrebno je vzpostaviti politiko zaščite in hrambe takih podatkov, pri čemer je potrebno zagotoviti čim krajši čas njihove hrambe;
Zagotoviti, da se po avtorizaciji transakcije ne hranijo podatki avtentikacije (CVC, CVC2…) stranke oz. imetnika kartice;
Zagotoviti, da so podatki o imetnikih plačilnih kartic zaščiteni z uporabo ustreznih kriptografskih rešitev;
Zagotoviti ustrezno zaščito kriptografskih ključev pred razkritjem in zlorabo;
Zagotoviti vzpostavitve in dokumentiranja procesa upravljanja s kriptografskimi ključi.

Podatki o imetnikih plačilnih kartic

Varna izmenjava podatkov o imetnikih plačilnih kartic

Za prenos podatkov o imetnikih plačilnih kartic preko javnega ali WAN omrežja je potrebno zagotoviti varno prenosno pot. V ta namen mora podjetje vsaj:

Vzpostaviti varno komunikacijsko pot z uporabo sodobne kriptografske tehnologije (SSL, IPSEC, VPN…);
Zagotoviti, da se podatki o imetnikih plačilnih kartic nikoli ne posredujejo preko javnega omrežja (elektronska pošta, prenosi podatkov preko interneta…) v izvorni obliki. Te podatke je potrebno predhodno kriptirati (zaščititi pred razkritjem).

Protivirusna zaščita

Zaščita pred zlonamerno programsko opremo

Podjetje mora zagotoviti vzpostavitev in vzdrževanja sodobne zaščite pred zlonamerno programsko opremo kot so: virusi, trojanski konji, spyware, addware...

Varnost informacijske podpore

Razvoj in vzdrževanje varnosti informacijske podpore

Varnostne ranljivosti informacijskih sredstev so najpogostejši vzvod izvedbe nepooblaščenih udorov v informacijske sisteme podjetij. Zaradi tega je potrebno zagotoviti ustrezno raven izvajanja in vzdrževanja varnostnih mehanizmov. V ta namen mora podjetje vsaj:

Zagotoviti, da se na informacijska sredstva nameščajo zadnji varnostni in drugi popravki, ki jih proizvajalec opreme pripravi;
Vzpostavitev protokola odkrivanja novih varnostnih tveganju informacijskega sistema;
Vzpostaviti in izvajati ustrezni nadzor sprememb informacijskih sredstev (aplikacije in oprema);
Upoštevati dobro prakso izdelave varne programske opreme.

Obvladovanje dostopov do podatkov

Obvladovanje dostopa do informacijskih sredstev

Podjetje mora zagotoviti, da je politika dostopa do informacijskih sredstev skladna s poslovnimi potrebami in da njeni zaposleni dostopajo do informacijskih virov, ki jih potrebujejo za normalno izvajanje vsakodnevnih poslovnih opravil.

Obvladovanje prijavnih računov informacijskega sistema

Obvladovanje prijavnih imen za dostop do informacijske podpore

Za obvladovanje tovrstnih tveganj mora podjetje vsaj:

Zagotoviti, da imajo vsi uporabniki informacijskega sistema enolično prijavno ime;
Zagotoviti, da se avtentikacija v informacijski sistem izvede na podlagi: gesla ali z uporabo t.i. »token« naprav kot so certifikati na USB ključkih ali pametnih karticah ali z uporabo generatorjev enkratnih gesel ali na podlagi biometričnih podatkov;
Vzpostaviti dvonivojske avtentikacije za oddaljen dostop do informacijskega sistema;
Zagotoviti, da so vsa gesla med prenosom in hranjenjem ustrezno kriptirana;
Zagotoviti ustrezno politiko gesel in obvladovanje prijav v informacijski sistem.

Obvladovanje fizičnega dostopa do informacijskih sredstev

Obvladovanje fizičnega dostopa do podatkov o imetnikih plačilnih kartic

Vsak fizični dostop do informacijskih virov, ki hranijo podatke o imetnikih plačilnih kartic lahko spodbudi nepooblaščen poseg in vdor v informacijski sistem. V ta namen je potrebno dostop do teh sredstev ustrezno zaščititi. Za obvladovanje tovrstnih tveganj mora podjetje vsaj:

Zagotoviti ustrezno pristopno kontrolo in elemente tehničnega varovanja (protivlomna zaščita, video nadzor…) za zaščito informacijskega sistema;
Zagotoviti varnostni mehanizem, s katerim je možno enostavno ločiti zaposlene od obiskovalcev ali zunanjih izvajalcev, ki dostopajo do informacijskega sistema;
Vzpostaviti sistem obvladovanja obiskovalcev in zunanjih izvajalcev, ki dostopajo do informacijskega sistema. Proces obvladovanja mora zagotovit vsaj najavo in sledenje gibanja obiskovalcev ali zunanjih izvajalcev;
Zagotoviti ustrezno revizijsko sled obiskovalcev in zunanjih izvajalcev;
Zagotoviti hrambo zaščite podatkov na oddaljeni lokaciji;
Zagotoviti ustrezno fizično zaščito vseh medijev s podatki imetnikov plačilnih kartic;
Zagotoviti nadzor nad notranjo in zunanjo distribucijo medijev s podatki imetnikov plačilnih kartic;
Zagotoviti, da vodstvo odobri vsak premik medijev s podatki imetnikov plačilnih kartic, iz varnih hrambenih prostorov;
Zagotoviti nadzor nad hrambo medijev s podatki o imetnikih plačilnih kartic;
Zagotoviti ustrezno uničenje medijev s podatki o imetnikih plačilnih kartic, ko slednji niso več potrebni za poslovanje podjetja.

Nadziranje varnosti informacijskih sredstev

Nadzor dostopa do podatkov o imetnikih plačilnih kartic

Revizijska sled informacijskih sredstev omogoča boljše nadziranje aktivnosti in odzivanja informacijskega sistema, poleg tega pa omogoča lažje odkrivanje varnostnih incidentov. Za obvladovanje tovrstnih tveganj mora podjetje vsaj:

Vzpostaviti bazo pravic uporabnikov informacijskega sistema;
Omogočiti samodejno izvajanje revizijskih sledi informacijskih sredstev. Revizijska sled mora vsebovati vsaj sledeče podatke: naziv uporabnika, vrsto dogodka, datum in uro dogodka, stanje dogodka (uspešen ali neuspešen), vzrok dogodka, naziv informacijskega sredstva ali vira;
Zagotoviti sinhronizacijo sistemskega časa;
Zagotoviti varovanje revizijskih dnevnikov pred nepooblaščenim spreminjanjem;
Zagotoviti redno preverjanje obratovalnih dnevnikov;
Zagotoviti ustrezno politiko hrambe in zaščite revizijskih dnevnikov.

Preverjanje varnosti informacijskih sredstev

Testiranje varnosti informacijske podpore in procesov

Nove varnostne ranljivosti informacijskih sredstev se dnevno odkrivajo in izkoriščajo za izvedbo nepooblaščenih vdorov v informacijske sisteme. Za obvladovanje tovrstnih tveganj mora podjetje vsaj:

Zagotoviti periodično preverjanje varnostnih kontrol, nastavitev in politika na informacijskih sredstvih;
Izvajati redne varnostne preglede ranljivosti informacijskega sistema;
Izvajati redna zunanja preverjanja stanja varnosti informacijskega sistema;
Zagotovit uporabo sodobnih orodij za spremljanje in zaščito komunikacije v notranjem omrežju.

Vzdrževanje varnostne politike

Vzpostavitev in vzdrževanje varnostne politike

Varnostna politika informacijskih sredstev v podjetju zagotavlja temelj varnosti v organizaciji. V sklopu varnostne politike je potrebno zagotoviti jasna pravila in delegacijo odgovornosti, pristojnosti in zahtev do zaposlenih. Varnostno politiko je potrebno redno vzdrževati in jo uskladiti z novimi tehničnimi in poslovnimi zahtevami.

Opomba: Podrobnejši opis PCI standardov si lahko pogledate na spletni strani https://sdp.mastercardintl.com.

Za več informacij se obrnite na info@activa.si ali na svojo banko, ki vas bo povezala s procesnim centrom Activa.

Varnostna priporočila za poslovanje spletnih trgovcev