O bezpieczeństwie w transakcjach elektronicznych z wykorzystaniem kart płatniczych rozmawiamy z Lechosławem Nowakiem, menedżerem Działu Zarządzania Ryzykiem w Deloitte, członkiem zarządu organizacji ISACA.

Na wstępie przypomnijmy, jak wygląda przykładowa transakcja realizowana z użyciem karty kredytowej w sklepie internetowym...

Klient, kiedy już wybrał w sklepie określony produkt i chce dokonać transakcji, w ramach jej realizacji musi podać dane identyfikujące. Numer karty, dane posiadacza, datę ważności oraz numer kontrolny CVV, który pozwala na autoryzację transakcji, a jednocześnie jest potwierdzeniem tego, że karta znajduje się fizycznie przy osobie realizującej zlecenie internetowe. Po właściwym autoryzowaniu karty zlecenie - poprzez jednostkę e-commerce - przekazywane jest do agenta rozliczeniowego, który w dalszym etapie komunikuje się - poprzez sieć emitenta karty - z bankiem klienta. Tam następuje obciążenie rachunku, a informacja wraca z potwierdzeniem do klienta. Ten rodzaj transakcji ma jednak pewną wadę. Wystarczy wejść w posiadanie karty płatniczej, aby dokonać za jej pomocą zakupów w sieci. W tej chwili na rynku funkcjonują już rozwiązania pozwalające na zabezpieczenie transakcji dodatkowym hasłem. Przykładem jest technologia 3D Secure.

Karta płatnicza to "coś co masz". Takie rozwiązania, jak 3D Secure - wprowadzające do systemu autoryzacji element "coś co wiesz" - umożliwiają istotny wzrost bezpieczeństwa transakcji. Dlaczego więc tego typu zabezpieczenia nie są standardem? Wzmocnienie zaufania do płatności elektronicznych jest przecież w interesie wszystkich...

Rynek usług e-commerce cały czas ewoluuje. Powstają nowe rozwiązania minimalizujące zagrożenia. Dzisiaj jednym z największych zagrożeń jest nieautoryzowane wykorzystanie danych z kart do przeprowadzania elektronicznych transakcji internetowych. Techniki ich pozyskania mogą być różne, np. phishing lub skimming - nielegalne skopiowanie zawartości paska magnetycznego. Powoli wprowadzane są np. technologie kart bezdotykowych. Metody zabezpieczeń transakcji i przesyłania danych będą się rozwijały, ale to proces wymagający czasu.

Czy upowszechnienie standardu PCI DSS sprawi, że zapomnimy o problemach bezpieczeństwa transakcji z użyciem kart?

Standard Payment Card Industry Data Security Standard, obecnie w wersji 1.1, powstał w 2005 r. w wyniku współpracy głównych emitentów kart - American Express, Discover Financial Services, JCB, MasterCard i Visa. Potrzeba jego stworzenia wynikała z tego, że każdy z tych emitentów miał różny program certyfikacji ośrodków uczestniczących w procesie realizacji transakcji kartami płatniczymi. Centrum, które miało podpisaną umowę z trzema różnymi emitentami, musiało spełniać trzy różne standardy. PCI DSS powstał, aby uporządkować rynek, ułatwić życie jednostkom rozliczeniowym, a jednocześnie zapewnić zgodność z najlepszymi praktykami, minimalizującymi zagrożenie związane z nieautoryzowanym wykorzystaniem kart.

Co obejmuje PCI DSS?

PCI DSS obejmuje sześć obszarów - począwszy od sposobów budowy bezpiecznej sieci, poprzez elementy związane z rozwojem bezpiecznego oprogramowania, kończąc na polityce bezpieczeństwa informacji. Standard ten docelowo dotyczyć ma każdej jednostki przetwarzającej i przesyłającej dane z kart płatniczych. Wdrożenie PCI DSS wiąże się z obowiązkowymi i regularnymi audytami zgodności. Szczegółowe wymagania uzależnione są od ilości realizowanych transakcji.

Ale nie jest on obligatoryjny dla wszystkich partnerów emitentów kart?

Tak. Pamiętajmy jednak, że ten standard dopiero wchodzi do użytku i dotyczy każdej jednostki, która przetwarza, przesyła lub przechowuje dane kart płatniczych. Jeśli chodzi o polski rynek, certyfikat PCI DSS uzyskał już Polcard. To poświadczenie, że ten agent spełnia określone wymagania i stosuje praktyki pozwalające zminimalizować ryzyka związane z nieautoryzowanym użyciem numerów kart płatniczych. Niezastosowanie się do wymogów standardu, powodując jednocześnie realizacje nieautoryzowanych transakcji, wiąże się z wysokimi karami.

Więcej niebezpieczeństw czyha na właściciela karty w Internecie czy w tradycyjnych sklepach?

Trudno jednoznacznie odpowiedzieć na to pytanie. Zagrożenie jest największe tam, gdzie jest najsłabsze ogniwo. W całym łańcuchu rozliczeniowym będą to zapewne końcowe jednostki przetwarzające karty - czyli sklepy i punkty usługowe. Takie prognozy przedstawia także Gartner. Domyślnie można przyjąć, że same centra przetwarzające dane z kart są - przynajmniej teoretycznie - odpowiednio zabezpieczone. Jednak nie będziemy mieli takiej pewności, dopóki wymogi standardu nie będą spełnione i potwierdzone poprzez certyfikat PCI DSS.

Co można jeszcze zrobić, aby zwiększyć bezpieczeństwo przetwarzania danych w sektorze finansowym? To pytanie w kontekście niedawnych incydentów związanych z wypłatami gotówki za pomocą kart Visa Electron...

Wiele problemów wynika ze sposobu implementacji aplikacji, zwłaszcza internetowych. Błędy implementacyjne są czasami bardzo proste. Konieczny jest więc okresowy przegląd bezpieczeństwa kodów źródłowych. W organizacjach przetwarzających dane niezbędne jest także prowadzenie testów penetracyjnych, ale nie tylko takich realizowanych z zewnątrz. Firmy pamiętają, aby zabezpieczać się szczelnie w punkcie styku Internetu z własną siecią lokalną. Nie możemy jednak zapominać o bardzo dużym zagrożeniu - pomysłowości użytkowników wewnętrznych. Należy również pamiętać o podstawach, czyli polityce bezpieczeństwa informacji i zbudowaniu świadomości w tym zakresie. Data Security Standard narzuca rozwiązania ograniczające nie tylko zakres przetwarzania danych z kart płatniczych, ale i dostęp do takich informacji w ramach konkretnych organizacji.