Régóta vártam, hogy eljussak a Payment Card Industry Security Standards Council (PCI SSC) által szervezett PCI Data Security Standard (PCI DSS) oktatásra, melynek idei európai állomását Budapestre szervezték. A PCI DSS ugyanis napjaink egyik, ha nem a leginkább felkapott IT biztonsági követelményrendszere, melynek részeit vagy egészét elvileg minden bankkártyát elfogadó, feldolgozó és tároló cégnek be kéne tartania. Tim, a PCI SSC vezető oktatója mellett eljött Troy, a szabvány "főszerkesztője", és a QSA program koordinálásáért felelős hölgy, akinek a nevét nem jegyeztem meg.
Szóval tényleg első kézből kaptunk információkat. Magyarországon egyelőre elég kevés auditált szervezetről tudunk (ez idő szerint pl. a VISA-nál a Giro Bankkártya és az Euronet), de ha követjük az amerikai trendeket (ahogy egyébként szoktuk), előbb-utóbb Magyarországon is fejtörést fog okozni több cégnél a megfelelőség kérdése. Ehhez képest összesen négyen voltunk magyarok a tanfolyamon, ami azért elgondolkodtató... Éppen ezért próbálok egy rövid összefoglalót írni, melyben a legérdekesebb kérdéseket veszem sorra!
Első feladat a PCI DSS meghatározása. Ez tehát egy olyan szabvány, ami a bankkártyák adatainak (cardholder data) biztonságát hivatott garantálni, akár elektronikus, akár más formában. Bankkártya adat alatt értünk mindent, ami a kártyán szerepel: a számát, a tulajdonos nevét, a lejárati dátumot, a mágnescsík tartalmát, a CVV2/CVC2 számot, stb. Ezeket az adatokat előszeretettel lopják és másolják, ami nyilván nem tesz jót a technológiával szembeni bizalomnak. Érdekes statisztika, hogy az Identity Theft Resource Center szerint 2010. április végéig csak az USA-ban 1.815.103 adat szivárgott ki a pénzintézetektől, aminek túlnyomó többsége feltételezhetően bankkártyához kapcsolódik. A PCI SSC, melyet a kártyakibocsátó cégek (Visa, Mastercard, JBC, Discover, American Express) hoztak létre, a minél biztonságosabb adatkezelés érdekében ezért kétévente frissített formában kiadja a PCI DSS-t, ami jelenleg az 1.2-es verziónál tart. Októberben pedig jön az 1.3-as változat. A szabvány egyébként nagyon jól használható más területeken is, ugyanis nagyon hasonló az ISO 27002-höz, de attól eltérően egészen konkrét, az iparági gyakorlatokat gyűjti össze.
A bankkártyával kapcsolatba kerülő minden szervezetnek meg KELL felelni ennek, bár eltérő mértékben. A legkomolyabb felelősség a kártyatársaságokkal (card company) szerződő elfogadóknál (acquirer) van, akik kapcsolatban állnak a kereskedőkkel (merchant) és a szolgáltatásnyújtókkal (service provider). Elfogadóból kevés van, kereskedőből sok, a folyamatokat pedig az alábbi ábra mutatja be.
Forrás: http://www.napcp.org/resource/resmgr/p-card_introduction/figure_1_transaction_flow_ch.jpg
A kereskedők különböző méretűek, vannak, akik rengetek kártyával találkoznak, vannak, akik évente csak néhánnyal. Az elfogadó feladata, hogy a kártyatársaság szabályai alapján kikényszerítse a PCI DSS megfelelést a kereskedőitől. Az egyszerűség kedvéért a Visa Europe szabályai alapján mutatom be az elvárásokat.
A kereskedők forgalom alapján négy csoportba oszthatók, mely beosztás az elfogadó feladata:
- Level 1 merchant: Azok, akik évente legalább 6 millió Visa tranzakciót bonyolítanak le hagyományos (card present) és elektronikus (card-not-present) formában, illetve azok, akiktől kártyaadatokat loptak.
- Level 2 merchant: Az évente 1 és 6 millió VISA tranzakciószám közötti kereskedők.
- Level 3 merchant: Évente 20.000 és 1 millió közötti elektronikus (card-not-present) VISA tranzakciót végrehajtó kereskedők.
- Level 4 merchant: Azon kereskedők köre, akik évente kevesebb, mint 20.000 elektronikus vagy 1 milliónál kevesebb hagyományos VISA tranzakciót hajtanak végre.
Kereskedők megoszlása az USA-ban, forrás: http://usa.visa.com/download/merchants/cisp_pcidss_compliancestats.pdf
Különböző szinteken különböző vizsgálati követelmények vannak. Ehhez tisztázni kell a vizsgálati köröket. A legkomolyabb ellenőrzéseket a Qualified Security Assessor (QSA) végzi, mely olyan cég, melynek szakemberei klasszikus IT biztonsági auditot folytatnak a vizsgált szervezet telephelyén. Az Approved Scanning Vendor (ASV) olyan cég, mely távolról végez sebezhetőségvizsgálatot a célcég informatikai rendszereire nézve. A QSA és az ASV is külsős cég, de bizonyos pl. a Mastercard megengedi belső ellenőrök működését is, akik az idén induló képzést elvégzik. Fontos fogalom még a Self-Assessment Questionnaire (SAQ), mely egy kérdőív, amire később még visszatérek, valamint az Attestation of Complaince (AoC), ami a cég nyilatkozata a megfelelőségről. A fenti tranzakciószámok szerinti csoportoknak a VISA szerint a következő vizsgálatokat kell elvégeztetnie:
- Level 1 merchant: Évente QSA vizsgálat, negyedévente ASV vizsgálat, AoC kitöltése.
- Level 2 merchant: Évente SAQ kitöltése, negyedévente ASV vizsgálat, AoC kitöltése.
- Level 3 merchant: Évente SAQ kitöltése, negyedévente ASV vizsgálat.
- Level 4 merchant: Évente SAQ javasolt, negyedévente ASV javasolt, de a konkrét követelményeket az elfogadó határozza meg.
Vegyük elő újra a SAQ kérdését! A PCI SSC 5 csoportba osztja a kártyával kapcsolatba kerülő kereskedőket, akiknek négy különböző típusú SAQ-ot dolgoztak ki:
1. Card-not-present kereskedők(internetes boltok, telefonos értékesítők), akiknél minden kártyafunkió ki van szervezve. Magyarországon tipikusan ilyen az összes internetes kereskedő, akiknél a fizetés mondjuk az OTP oldalán történik. Övék a SAQ A.
2. Kézi lehúzokat (imprinter) alkalmazó kereskedők, akik állítólag nagyon kevesen vannak (ha vannak egyáltalán) Magyarországon. Én nem is ismertem ezt a technikát korábban. SAQ B-t kell kitölteniük.
3. Egyedi terminálokat üzemeltető kereskedők, akikből a legtöbb van az országban. Gyakorlatilag minden kis bolt, ahol van egy POS terminál, ami telefonon kapcsolódik az elfogadóhoz. Ők is a SAQ B alá tartoznak.
4. Azok a kereskedők, akik saját POS rendszereket használnak, amik az interneten kapcsolódnak az elfogadóhoz, de kártyaadatokat nem tárolnak. Feltételezésem szerint a nagy boltláncok sok POS terminállal lehetnek ezek. SAQ C-t kell kitölteniük.
5. Minden más kereskedő és szolgáltatásnyújtó. Rájuk szabták a SAQ D-t.
Például az a kereskedő, aki interneten keresztül ad el mobiltelefonos feltöltőkártyát vagy autópályamatricát, esetleg koncertjegyet, számításaim szerint Level 2 vagy Level 3 kereskedők, tehát évente ki kell tölteniük a SAQ A-t, valamint ASV vizsgálatot kell rendelniük. A kiskereskedelmi boltláncoknak, akik szerintem Level 2 kereskedők lehetnek, és gondolom, hogy POS rendszereket használnak, évente SAQ C kitöltésére lennének kötelezettek, szintén éves ASV vizsgálattal. Persze mindez az elfogadótól függ, az ő felelőssége a szerződött kereskedőktől behajtani a vizsgálatot, és az elvárt formában kommunikálni ezt a kártyatársaságok felé. Az elfogadónak pedig megéri ezt kommunikálni, hiszen a kártyatársaságok csinos büntetéseket tudnak kiróni, ha egy kereskedőtől bankkártyaadatokat lopnak. Plusz a nyomozási költség, a jogászok, az új kártyák kiállítása, stb.
A szabvány részleteibe nem megyek most bele, hiszen szabadon letölthető, én is tartottam már róla előadást, ráadásul a HOPET Kft. május végén tart oktatást is a témában. A finomságokat persze ezekből a forrásokból nem lehet megszerezni, de az érdeklődőknek jó kiindulópontot jelenthetnek.
