Jak zabezpieczyć transakcje kartami
- 14.09.2010
VISA International ogłosiła nowy zestaw porad dla dostawców aplikacji płatniczych oraz integratorów rozwiązań płatności. Ogłoszono też wyniki prac nad nową wersją standardu PCI-DSS 2.0.
Porady opracowane przez Visa International mają na celu usunięcie ryzyka związanego z obecnością podatnych aplikacji w łańcuchu płatności bezgotówkowych. Błędy implementacyjne oraz niebezpiecznie napisane aplikacje mogą narażać system płatności kartami debetowymi i kredytowymi na ryzyko związane z nadużyciami, zatem zalecenia te są istotne dla twórców aplikacji oraz dla firm, które są integratorami rozwiązań w całym łańcuchu płatności.
Obecny standard bezpieczeństwa danych w aplikacjach płatniczych PA-DSS (Payment Application Data Security Standard) jest utrzymywany przez konsorcjum PCI Security Council. Aplikacje stosowane w systemie płatności muszą spełniać ustalone obostrzenia, na przykład nie mogą składować informacji o użytkowniku karty ani danych uwierzytelnienia, takich jak kod PIN.
Eduardo Perez, szef bezpieczeństwa globalnego systemu płatności w Visa International, mówi: "Chociaż założenia PA-DSS są słuszne i same aplikacje mogą być bezpiecznie napisane, istnieją luki spowodowane nieprawidłową konfiguracją lub innymi błędami implementacji. Zalecenia wydane przez Visa International rozszerzają ten standard i celują w usuwanie podatności związanych z implementacją i zarządzaniem".
Dobre rady, a potem standard
Zalecenia powstały we współpracy z instytutem SANS i dotyczą 10 różnych problemów, uwzględniają również porady związane z technologią i zarządzaniem procesami. Jedna z porad nakłada na deweloperów oraz integratorów systemów płatniczych obowiązek testów podatności systemów i aplikacji, w tym także audyt kodu źródłowego, w celu wykrycia popularnych błędów, które sprawiają, że oprogramowanie może być podatne na ataki.
Kolejne z zaleceń zakłada pracę nad wykrywaniem i eliminacją aplikacji, które przechowują dane uwierzytelnienia (takie jak PIN), a także informacje o posiadaczu karty płatniczej.
Porady te wychodzą poza standard PCI DSS, podobnie do poprzednich, dotyczących szyfrowania danych. Jednocześnie warto zauważyć, że porady i przewodniki publikowane przez Visa International zostały w późniejszym czasie przyjęte jako szkic standardu stosowanego w branży płatności. Nawet sam standard PA-DSS został początkowo opublikowany przez Visa jako zestaw porad, zatem można się spodziewać, że rozszerzone zalecenia znajdą później swoje odzwierciedlenie w nowym oficjalnym dokumencie.