Większe bezpieczeństwo transakcji finansowych

Payment Card Industry Security Standards Council (PCI SSC) opublikował nowy standard PA-DSS (Payment Application Data Security Standard), który określa wymagania dotyczące bezpiecznych procedur przetwarzania danych w aplikacjach obsługujących transakcje finansowe. Począwszy od jesieni 2008 r., organizacja PCI SSC rozpocznie publikowanie listy aplikacji do obsługi transakcji finansowych, które są zgodne z PA-DSS.

Payment Card Industry Security Standards Council (PCI SSC) opublikował nowy standard PA-DSS (Payment Application Data Security Standard), który określa wymagania dotyczące bezpiecznych procedur przetwarzania danych w aplikacjach obsługujących transakcje finansowe. Począwszy od jesieni 2008 r., organizacja PCI SSC rozpocznie publikowanie listy aplikacji do obsługi transakcji finansowych, które są zgodne z PA-DSS.

Z kolei Visa opublikowała specyfikację wymagań, które zakładają, że do lipca 2010 r. wszystkie aplikacje, punkty sprzedaży i inne narzędzia związane z obsługą transakcji płatniczych za pośrednictwem jej systemu muszą być zgodne z opracowanymi przez nią zaleceniami PABP (Payment Application Best Practices). PABP zostało zaakceptowane jako standard PCI, a więc są to wymagania obejmujące nie tylko system Visa, ale także pozostałych operatorów kart kredytowych na świecie, jak MasterCard, American Express, Diners Club i JCB International.

Reguły PA-DSS wymagają szyfrowania danych użytkownika karty płatniczej, zakazują przechowywania innych informacji w terminalu; wprowadzają mechanizmy kontroli złożoności haseł; zabezpieczenia transakcji bezprzewodowych oraz zapis aktywności związanej z transakcją w logach systemowych. Celem tej regulacji jest zwiększenie bezpieczeństwa przez objęcie kontrolą aplikacji związanych z obsługą kart kredytowych. Wiele z nich jest dość starych i nie spełnia elementarnych zasad bezpieczeństwa. Przykładem mogą być rozwiązania, gdzie system przechowuje wszystkie dane posiadacza karty, a jednocześnie nie rejestruje informacji o przeprowadzeniu samej transakcji.

Standard PA-DSS wywodzi się właśnie z zestawu najlepszych praktyk PABP, które były dotąd podstawą do weryfikacji zgodności programów z zasadami bezpieczeństwa. Aplikacje, które wcześniej przeszły testy, znajdą się więc na nowej liście PCI. Standard ma wymusić modernizację systemów i aplikacji, która wpłynie pozytywnie na bezpieczeństwo transakcji płatniczych.