A bankkártya-adatokkal kapcsolatos adatlopásokra és egyéb biztonsági incidensekre egyre gyakrabban derül fény. Az csupán látszat, hogy leginkább Amerikában történnek ilyen, nemkívánatos események. A helyzet ugyanis az, hogy az USA-ban mind a hatóságok, mind az állampolgárok keményen megkövetelik az adataikkal dolgozó szervezetektől, hogy egy esetleges incidens után értesítést kapjanak. Az egyes államokban ugyan eltérő szigorúságú jogszabályok vannak hatályban, de az események eltitkolását sehol sem nézik jó szemmel. Így aztán nem csoda, hogy az érzékeny személyes, pénzügyi és egészségügyi adatok biztonságát illetően elsősorban a megelőzés került középpontba.
Mivel napjainkban a bankkártya-adatok rendkívül kapósak a kiberbűnözés berkein belül, ezért a kártékony programok, az adathalászat, stb. révén megvalósuló biztonsági incidensek is egyre gyakrabban fordulnak elő. Természetesen a kártyatársaságok is felismerték, hogy valamit tenni kell, hiszen nekik sem éppen kellemes, ha a kártyahasználók adatait folyamatosan lopkodják. A HP Magyarország két előadás során prezentálta, hogy miként lehet fellépni szabványos keretek között a bankkártya-adatokkal való visszaélések és csalások ellen. A PCI-DSS-ről Krasznay Csaba, a HP IT-biztonsági tanácsadója, míg a HP megoldásairól Wollner László üzletágvezető beszélt.
Ésszerű szabályozás
A PCI-DSS kialakítása során a legfontosabb cél a kockázatok csökkentése valamint egy olyan egységes szabályozás kidolgozása volt, ami nem a földtől elrugaszkodott, azaz figyelembe veszi a gyakorlati élet sajátosságait. Ezért tulajdonképpen célokat fogalmaz meg az egyes követelményekkel kapcsolatban. Több konkrétumot tartalmaz, mint például az ISO 27001, ugyanakkor azért még mindig ad némi szabad kezet az alkalmazók számára, hogy a saját szervezetüknél fontosnak tartott védelmi preferenciákat mérlegeljék, és annak megfelelően alakítsák ki a teljes biztonsági rendszerüket. Sőt az egyes - természetesen nem a legégetőbb - követelményi elemek teljesítésére egy priorizálást követően időt is ad, pontosan azért, hogy a meghatározott célok megvalósulhassanak.
A PCI-DSS a kártyaadatok védelmét tekintve teljes körűségre törekszik, ami azt jelneti, hogy az IT-biztonság fontos és ritkában emlegetett területeit is nagymértékben lefedi. Ha ebből a szempontból az ISO 27001-gyel össze akarjuk vetni, akkor azt tapasztalhatjuk, hogy amíg például az ISO-nál találkozhatunk egy jogszabályi előírásoknak való megfelelőséget taglaló fejezettel, addig a PCI-DSS-ből mindez hiányzik. Van viszont benne fokozottabban megkövetelt alkalmazásbiztonság, ami a jövőben sem fog változni, hiszen a szabvány - várhatóan ősszel megjelenő - 1.3 verziója is nagy hangsúlyt fog fektetni minderre.
Valójában mit is fed le a PCI-DSS? Az előírások az alábbi hat főterületre (azon belül 12 alterületre és összesen több mint 350 további részterületre) bonthatók szét:
- hálózat
- adatvédelem
- sebezhetőségek-kezelése
- hozzáférés-védelem
- biztonsági monitorozás
- biztonsági szabályozás.
A HP szerint nincs olyan termék, amely egymaga képes lenne az összes feltételt kielégíteni. Viszont a cég biztonsági portfóliójának számos eleme alkalmas a PCI-DSS egyes alterületeinek lefedésére. Különösen igaz ez a detektív kontrollokra (például a kötelező naplózásra) és a hálózatbiztonságra.
Kiknek szól, kiknek kötelező?
Mivel a PCI-DSS alkotói az életszerűségre törekedtek, ezért a szabványt végül úgy sikerült összeállítaniuk, hogy az korántsem csak a kártyaadatokat kezelő szervezetek számára nyújthat segítséget az értékek megóvásában. Az előbbiekben említett biztonsági területek ugyanis minden vállalati, intézményi felhasználó számára kihívásokat tartogathatnak, amelyek kezeléséhez a PCI-DSS egy jó iránymutatást nyújt. Természetesen a kártyaadatok kezelői, feldolgozói esetében azért már nincs ekkora szabadság. A kártyatársaságok ugyanis a szabvány szerinti működést a kereskedőktől (elvileg még a bankkártyás fizetést biztosító webáruházaktól is), az elfogadóktól (bankoktól, kártyafeldolgozóktól) és a különböző szolgáltatóktól is megkövetelik. Az elvárások leginkább a tranzakciók számától és a forgalomtól függnek. Eszerint alapvetően négy szintet határozhatunk meg. Az úgynevezett Level 1-hez tartozó (a Visa esetében több mint hatmillió kártyatranzakciót végrehajtó) cégekkel szemben a legnagyobbak az elvárások. Meg kell jegyezni, hogy ebbe a szigorú csoportba kerülnek azok a szervezetek is, amelyek rendszeréből korábban bizonyítható módon adatok szivárogtak ki. A legmegengedőbb a Level 4 szint, ahol inkább csak ajánlásokkal lehet találkozni.
Auditálás
A PCI-DSS-nek való megfelelőség a Level 1 esetében helyszíni vizsgálatot, belső és független auditot ír elő. A második két szint igazolása önfelmérő tesztek révén valósul meg. A Level 1-3 szinteken negyedévente kell végrehajtani hálózatbiztonsági ellenőrzéseket, ami természetesen a négyes szinten is ajánlott, de nem kötelező. Nyilvánvalóan a PCI-DSS tanúsítást sem végezheti bárki. A helyszíni ellenőrzést úgynevezett Qualified Security Accessor-ok folytatják le. Ahhoz, hogy valaki ilyen minősítést kapjon, komoly feltételek teljesítése szükséges (CISA, éves oktatások, vizsgák és nagy összegű felelősségbiztosítás). Hazánkban először - 2010 áprilisában - a Clarity Consulting szerezte meg ezt a minősítést.
Miért érdemes élni a PCI-DSS lehetőségeivel?
Amikor egy előírás betartására kerül sor, akkor mindjárt az azokkal kapcsolatos büntetési tételek sejlenek fel. Nos, igen ez esetben is van büntetés, hiszen amennyiben egy szervezettől kiszivárognak adatok, és az nem tudja igazolni a PCI-DSS - incidens időpontjában meglévő - megfelelőségét, akkor akár 100 ezer euróra is rúghat a büntetés, ami elveszett kártyaadatonként még 5 euróval megtoldható. A tapasztalatok azonban azt mutatják, hogy nem ez a büntetés az igazi „tétel", hanem amit egy ilyen incidens maga után von: nyomozati költségek, kártérítések, a hírnéven esett csorba, stb.
Megregulázott alkalmazásfejlesztés
Korábban már említettük, hogy a PCI-DSS az alkalmazásbiztonságra nagy hangsúlyt helyez. Ennek megfelelően a fejlesztőknek is fel kell kötniük azt a bizonyost. Nyilvánvalóan a PCI-DSS nem nézi jó szemmel az XSS (cross-site scripting), az SQL injection, stb. sebezhetőségeket, ezért a sérülékenységek vizsgálatára, a tikosításra, a szerepkörök kezelésére, a biztonságos kommunikációra különösen nagy figyelmet kell fordítani. Krasznay Csaba szerint a fejlesztőknek célszerű alaposan áttanulmányozniuk az OWASP (Open Web Application Security Project) intelmeit, tanácsait.
Hol kezdjük?
A cikkben korábban elhangzott, hogy a PCI-DSS a kártyaadatok kezelőit széles körben érinti, ezért felmerül a kérdés, hogy akkor mit is kell tenni? Azon kisebb cégek esetében, amelyek banki szolgáltatásokon keresztül fogadnak el bankkártyás fizetést, azok számára vagy írt elő valamilyen követelményt a kártyafeldolgozó, illetve a pénzintézetük, vagy sem. Viszont minden esetben érdemes törekedni arra, hogy a PCI-DSS-ben szereplő előírások akkor is megfontolásra kerüljenek, ha azok betartását látszólag senki sem kéri. Ez ugyanis mindenkinek az érdekét szolgálja. A bankkártya-adatokkal dolgozó nagyobb vállalatoknak pedig elvileg nem igen lenne választásuk a PCI-DSS compliance kapcsán, azonban hazánkban mégis háttérbe szorul mindez. A HP szakemberei elmondták, hogy a nemrégen Budapesten megtartott, PCI-DSS konferencián összesen négy magyar szakértő vett részt, azaz az érdeklődés hazai részről roppant kismértékű volt. Érdekes tendencia, hogy napjainkban Európában a légitársaságok foglalkoznak a legtöbbet a bankkártya-adatokat védő szabvánnyal, amit az is jól bizonyít, hogy számos légitársaság képviseltette magát a konferencián.
Összefoglalásképpen elmondható, hogy a PCI-DSS-t az életszerűségre törekvő, folyamatosságot megkövetelő előírások közé sorolhatjuk, amely korántsem csak a bankkártya-adatokat kezelő szervezetek számára lehet hasznos, hanem tulajdonképpen bármely iparágban megállja a helyét, és képes segíteni a védelem egységesítését, illetve zárttá tételét. A szabvánnyal kapcsolatban rengeteg, szabadon letölthető dokumentum található a PCI-DSS weboldalán, érdemes átböngészni ezeket.
