Drága audit, vagy végzetes adatvesztés?

A Noreg és az IBM közös sajtótájékoztatóján elhangzottak szerint a hivatalos auditálás díjának sokszorosa lehet a hackerek által okozott kár egy kártya-adatvesztésben. Így a cégeknek jobban megérné auditáltatni, mint rizikót vállalni.    

A bankkártyák (credit és debit) napjainkban már széles körben elterjedtek, emellett on-line fizetésre is egyre többen használják ezeket. Használatuk elterjedésével párhuzamosan azonban a hitelkártya csalások is egyenes arányban nőttek. A személyes adatok eltulajdonítása vagy kiszivárogtatása nap mint nap komoly anyagi és erkölcsi veszteségeket okoz mind az adatok tulajdonosainak, mind az adatok kezelőjének. A fizetőkártyák nagyszámú ellopásával vagy annak veszélyével járó esetek arra ösztönözték az iparágat, hogy szigorú lépéseket tegyen a fizetőkártyák adatbiztonságának érdekében. A biztonság erősítése céljából minden vállalat, amelyik bankkártya adatokat kezel, szigorú biztonsági szabványoknak kell megfeleljen. A piacvezető szereplők – MasterCard, Visa, JCB, Discover, AmEx – által közösen kialakított előírás a PCI DSS (Payment Card Industry Data Security Standards).

Ez a szabvány a bankkártya adatokat feldolgozó vállalatok biztonsági menedzsmentjével, szabályzati rendszerével, hálózati architektúrájával, adatkezelési folyamataival, szoftvereivel, alkalmazásaival és más védelmi megoldásaival kapcsolatban támaszt követelményeket. A szabályozás több mint 250 különböző, részletesen definiált, szigorú adatbiztonsági követelménynek való megfelelését és megfelelőségi jelentések elkészítésével történő rendszeres bizonyítását írja elő az érintett szervezetek számára. A szabályoknak való nem megfelelés komoly büntetéssel jár, amely 25 000 dollártól akár 500 000 dollárig is terjedhet. Emellett a szabályok figyelmen kívül hagyása akár hússzor annyiba kerülhet, mint ha megfelelnék az előírásoknak, mert míg a megfelelés körülbelül 3 dollárba kerül kártyánként, addig az adatvesztés költsége akár a 300-600 dollárt is elérheti adatonként.

A PCI DSS legújabb, 1.2 verziója 2008 októberében jelent meg. Ez egy olyan átfogó követelménylistát tartalmaz, amely az ügyfelek számla adatainak (account data) biztonságát hivatott megfelelő szintre hozni. Az 1.2-es verzió megszületése, az elődjéhez – az 1.1-es is – hasonlóan több vállalat és szakértő együttműködésének köszönhető.

A Noreg tőbb éves tapasztalatával - az IBM partnereként - mint független IT-biztonsági tanácsadójaként dolgozik a PCI-DSS audit szolgáltatások elterjesztésén.