Nowy standard regulujący bezpieczeństwo rozliczeń finansowych

PCI Security Standards Counsil opublikował standard PA-DSS, który reguluje procedury przetwarzania danych w aplikacjach przeznaczonych do rozliczeń finansowych.

Począwszy od jesieni 2008 r., PCI rozpocznie publikowanie listy odpowiedzialnych za transakcje aplikacji zgodnych z PA-DSS (Payment Application Data Security Standard).

Visa opublikowała też nowe regulacje, który zakładają, że do lipca 2010 r. wszystkie aplikacje, punkty sprzedaży oraz inne narzędzia związane z obsługą transakcji płatniczych muszą być zgodne z PABP. Ujęcie PABP jako standardu PCI sprawia, że obejmuje on swoim działaniem nie tylko Visa, ale także pozostałych operatorów kart kredytowych na świecie: MasterCard, American Express, Diners Club i JCB International.

Reguły PA-DSS, które będą wykorzystywane w programach różnych dostawców, zakładają szyfrowanie pewnych danych użytkownika karty płatniczej, przy jednoczesnym zakazaniu przechowywania innych informacji; kontrolę złożoności haseł; zabezpieczenie transakcji bezprzewodowych oraz logowanie aktywności związanej z transakcją.

Celem regulacji jest objęcie kontrolą aplikacji różnych dostawców, które pracują przy sprzedaży i innych transakcjach związanych z obsługą kart kredytowych. Wiele z nich jest dość starych i nie spełnia elementarnych zasad bezpieczeństwa. Przykładem mogą być rozwiązania, gdzie system przechowuje wszystkie dane posiadacza karty (co było zakazane w PABP), a jednocześnie nie rejestruje informacji o przeprowadzeniu samej transakcji (co z kolei było zalecane).

Standard PA-DSS wywodzi się z najlepszych praktyk dotyczących płatności PABP (Payment Application Best Practices) opracowanych przez Visa. Zestaw reguł proponowanych przez tę organizację, był podstawą do weryfikacji zgodności niektórych programów. Te, które przeszły testy organizowane przez Visę, znajdą się też na nowej liście PCI. Najlepsze praktyki realizacji transakcji związanych z obsługą kart kredytowych, które stały się standardem, wymuszą zaś na dostawcach modernizację systemów i aplikacji. Zmiana ta wpłynie pozytywnie na bezpieczeństwo transakcji płatniczych klientów.

Jednocześnie Visa opublikowała raport "Sklep Przyszłości 2012-15". Wbrew często pojawiającym się opiniom o rychłym triumfie handlu elektronicznego nad tradycyjnymi kanałami sprzedaży, wyniki badań przeprowadzonych wśród europejskich przedsiębiorców wskazują, że handel detaliczny nie upadnie, choć zmieni się, wykorzystując nowe rozwiązania technologiczne.

***

Więcej o bezpieczeństwie transakcji z użyciem kart oraz nowym standardzie PCI DSS (Payment Card Industry Data Security Standard) w rozmowie z Lechosławem Nowakiem, menedżerem Działu Zarządzania Ryzykiem w Deloitte.


TOP 200