Čo je PCI DSS
Payment Card Industry Data Security Standard je metodika navrhnutá skupinou Visa, MasterCard a American Express. Framework vychádza z noriem rady ISO 27000. Cieľom PCI DSS je zvýšenie bezpečnosti platobných kariet, eliminácia podvodov, či zneužití.
Riziká PCI DSS
Nezdokumentovaný informačný systém
U mnohých našich klientov sme sa pri realizovaní auditu stretli so stavom, kedy v dôsledku toho, že rôzne časti systému historicky vznikali mnoho rokov a ich vývoj nebol riadne dokumentovaný, nám klient často ani nebol schopný vysvetliť, jaké konkrétne dáta rôznymi časťami informačného systému vlastne prechádzajú.
Ukladanie citlivých po autorizáciu platobných transakcií
Citlivé dáta (napríklad celé číslo karty) nesmú obchodníci po realizácii autorizácie platobnej transakcie za žiadnych okolností ukladať, napríklad v záznamoch udalostí (logy), zálohách alebo priamo v databáze.
Problémy s dodržiavaním pravidiel informačnej bezpečnosti
PCI DSS je norma z oblasti informačnej bezpečnosti a vyžaduje komplexné riešenie tejto problematiky v rámci organizácie. Avšak u našich klientov se často stretávame so stavom, kedy informačná bezpečnosť nie je dostatočne riešená. Typickými príkladmi môžu byť chýbajúce alebo nedostatočné zaznamenávanie udalostí (logovanie a monitorovanie), neexistencia procesu pre pravidelnú aktualizáciu bezpečnostných záplat, nedostatočná kontrola nad riadením zmien alebo nedostatočné povedomie o bezpečnosti medzi zamestnancami spoločnosti.
