Ευαίσθητα Δεδομένα, Πιστωτικές Κάρτες, PCI-DSS: Το Έγκλημα και η Προστασία στο Internet!

Ευαίσθητα Δεδομένα, Πιστωτικές Κάρτες, PCI-DSS

Γράφει ο Πάρις Κάσκας
Μηχανικός Ασφαλείας Πληροφορικής στην Symantec Hellas

Στην συνεχώς αυξανόμενη εγκληματικότητα στο διαδίκτυο, πόσο ασφαλή είναι τα προσωπικά μας δεδομένα στις ελληνικές τράπεζες; Υπάρχουν διαδικασίες που μας εξασφαλίζουν ότι οι «δικές μας» τράπεζες διαθέτουν το απαραίτητο λογισμικό για να μας προστατεύσουν; Ποιος ελέγχει εάν τηρούνται αυτές τις διαδικασίες;

Ερωτήματα

Είναι πολλά τα ερωτήματα που γεννιούνται συνεχώς στους απλούς πολίτες. Σερφάροντας στο διαδίκτυο διαπιστώνει κανείς πολύ εύκολα ότι αριθμοί καρτών «χάνονται» από τράπεζες και αναρτώνται σε διάφορα blogs ή χρησιμοποιούνται από “hackers” για αγορές στο διαδίκτυο.

Αποτέλεσμα;

Έρχεται ένας λογαριασμός «φουσκωμένος» από την κάρτα ή ο πολίτης δέχεται τηλέφωνο από την τράπεζα που συνεργάζεται για να ενημερωθεί απλά ότι ακυρώθηκε η πιστωτική του και θα εκδοθεί καινούρια με την απλή αιτιολογία ότι διαπιστώθηκε από το σύστημα «ύποπτη συναλλαγή».

Στην δεύτερη περίπτωση όλα είναι καλά γιατί το μόνο που αντιλαμβάνεται κάποιος είναι το τηλεφώνημα και η νέα πιστωτική που θα έρθει ταχυδρομικώς στο χώρο του.

Στην πρώτη περίπτωση όμως; Τι γίνεται όταν θα έρθει ο φουσκωμένος λογαριασμός της κάρτας;

Σίγουρα στα υποκαταστήματα των τραπεζών υπάρχει ειδικό έντυπο που συμπληρώνει ο κάθε ενδιαφερόμενος και η ανάλογη διαδικασία για να εμπλακεί η Δίωξη Ηλεκτρονικού Εγκλήματος, ώστε στο τέλος να σβηστεί η φουσκωμένη χρέωση, που έγινε εν αγνοία του κατόχου της κάρτας.

Αλλά τι γίνεται με τα πέντε χρόνια που θα χάσει από την ζωή του ο πολίτης όταν θα πάρει στα χέρια του τον φουσκωμένο λογαριασμό; Μην ξεχάσουμε και το πιθανό εγκεφαλικό ή έμφραγμα!

Η απάντηση

Εδώ έρχεται να δώσει απάντηση το κανονιστικό πλαίσιο PCI DSS ή αλλιώς Payment Card Industry Data Security Standards.

Το PCI-DSS είναι 12 απαιτήσεις που πρέπει να έχει ένας οργανισμός που διαχειρίζεται πιστωτικές κάρτες και φυσικά έχει αποθηκευμένα στους χώρους του τα προσωπικά δεδομένα των κατόχων.

Διαχείριση των πιστωτικών καρτών σημαίνει οποιαδήποτε συναλλαγή που γίνεται από τον πολίτη προς ένα «μαγαζί» -είτε φυσικό είτε ηλεκτρονικό- και τις διαδικασίες που ολοκληρώνουν αυτές μέσω τραπεζών και οικονομικών οργανισμών.

Εκτός από τις τράπεζες, που φυσικά είναι ο πρώτος «πελάτης» αυτού του κανονιστικού πλαισίου, είναι ακόμα οι ασφαλιστικοί φορείς και πολλοί ακόμα οργανισμοί.

Η παραβίαση

Οποιαδήποτε παραβίαση αυτών των 12 απαιτήσεων συνεπάγεται αυτόματα τη μη συμμόρφωση του οργανισμού στο πρότυπο αυτό και ακολουθούν τεράστια πρόστιμα από τους διεθνείς επόπτες καρτών, όπως Visa, Mastercard κλπ.

Οι 12 απαιτήσεις

Δημιουργία και διατήρηση ενός ασφαλές δικτύου
1. Εγκατάσταση και διατήρηση παραμέτρων firewall για την προστασία δεδομένων των κατόχων πιστωτικών καρτών.
2. Μη χρησιμοποίηση προεπιλογών από προμηθευτές για τους κωδικούς πρόσβασης του συστήματος και άλλων παραμέτρων ασφαλείας.

Προστασία των δεδομένων πιστωτικών καρτών
3. Προστασία των αποθηκευμένων «ευαίσθητων δεδομένων» του κατόχου των πιστωτικών καρτών.
4. Κρυπτογράφηση όλων των δεδομένων των στοιχείων του κατόχου των πιστωτικών καρτών κατά την διάρκεια της μετάδοσης της πληροφορίας σε ανοιχτά ή δημόσια δίκτυα.

Διατήρηση σε ισχύ λογισμικού διαχείρισης ευπάθειας
5. Ενημέρωση σε τακτά χρονικά διαστήματα του antivirus λογισμικού.
6. Ανάπτυξη και διατήρηση συστημάτων και εφαρμογών με διαδικασίας ασφάλειας.

Εφαρμογή αυστηρών μέτρων ελέγχου πρόσβασης (Network Access Control)
7. Περιορισμός της πρόσβασης σε δεδομένα της τράπεζας από χρήστες εξουσιοδοτημένους.
8. Ταυτοποίηση (unique ID) κάθε χρήστη με πρόσβαση σε υπολογιστή της τράπεζας.
9. Φυσικός περιορισμός στα «ευαίσθητα δεδομένα» των κατόχων πιστωτικών καρτών.

Παρακολούθηση και δοκιμές σε τακτά χρονικά διαστήματα του δικτύου
10. Παρακολούθηση και έλεγχος σε όλους τους πόρους του δικτύου ως προς την πρόσβαση δεδομένων των κατόχων πιστωτικών καρτών.
11. Τακτικός έλεγχος των διαδικασιών και των συστημάτων ασφαλείας.

Πολιτικές Ασφάλειας Πληροφοριών
12. Δημιουργία και διατήρηση πολιτικής αντιμετώπισης της ασφάλειας της πληροφορίας.

Το κανονιστικό πλαίσιο PCI-DSS περιλαμβάνει ακόμα τα εξής σημεία:

  • Υπάλληλος λόγω λανθασμένης εξουσιοδότησης να εισέλθει σε λογισμικό και να «δει» αριθμούς λογαριασμών πιστωτικών καρτών.
  • Αποστολή με ηλεκτρονικό ταχυδρομείο ηχητικού αρχείου (με ή χωρίς εικόνα) ή εγγράφου με πληροφορίες πελατών που εμπεριέχουν αριθμούς λογαριασμών και PIN.
  • Χρήστης να σκανάρει εκτυπωμένα αρχεία με αριθμούς (πχ πιστωτικών καρτών) και να τα εισάγει σε μη ασφαλή βάση δεδομένων.

Ποια είναι όμως τα «ευαίσθητα δεδομένα» σύμφωνα με το πλαίσιο PCI-DSS;

Είναι όλα τα προσωπικά οικονομικά στοιχεία που σχετίζονται άμεσα με πιστωτικές και χρεωστικές συναλλαγές με κάρτα, συμπεριλαμβανομένων των στοιχείων κατόχου της, όπως:

  • Αριθμοί Λογαριασμών
  • Ονοματεπώνυμο κατόχου
  • Ημερομηνίες λήξης
  • Κωδικοί κάρτας

Ο οργανισμός που συναλλάσσεται ΔΕΝ επιτρέπεται να αποθηκεύει τα «ευαίσθητα δεδομένα» της πιστοποίησης συμπεριλαμβανομένων:

  • Δεδομένα μαγνητικής ταινίας
  • Προσωπικούς αριθμούς αναγνώρισης (PIN) και κωδικοποιημένα PIN
  • Τους αριθμούς επαλήθευσης της κάρτας (CVV2) ή τους κώδικες επικύρωσης της κάρτας (CVC2)

Αναπάντητη ερώτηση

Όπως βλέπουμε λοιπόν υπάρχουν οι διαδικασίες και το πλαίσιο για να προστατευτούν όλα τα «ευαίσθητα δεδομένα» του απλού πολίτη. Το θέμα είναι όμως πόσοι από τους ελληνικούς οργανισμούς έχουν αυτές τις πιστοποιήσεις; Πόσες από τις Ελληνικές Τράπεζες έχουν υιοθετήσει το κανονιστικό PCI-DSS πρότυπο;

7 Σχόλια
  • Avatar
    viper151

    Παρη επειδη εχω ασχοληθει με το θεμα PCI DSS και σε ελλαδα και σε εξωτερικο σε διαβεβαιω οτι αν καποια εταιρια δεν τηρει τις προυποθεσεις, δεν της δινεται η αδεια να χειριστει καρτες mastercard visa american express κτλ κτλ κτλ.

    Αυτο που δεν καταλαβαινει ο απλος ο κοσμος και το λεω παντου ειναι οτι ο μοναδικος τροπος να χαθούν στοιχεία ειναι απο trojans και keyloggers. Απο τραπεζα δεν υπαρχει περιπτωση πλεον να διαρευσουν τετοια δεδομενα.
    Επισης εναν απο τους πολλους ορους που δεν αναφερει τον αρθρο ειναι οι υπαλληλοι που θα δουλευουν για τον οργανισμο οι οποιοι πρεπει να πληρουν καποια συγκεκριμενα χαρακτηριστικα.,

  • Avatar
    Αλεξανδρος Καραβιτης

    Αλεξανδρε νομίζω πως είσαι υπερβολικά αυστηρός. Καλό ειναι να γνωρίζουμε για το πρότυπο PCI/DSS γιατί είναι πλέον υποχρεωτικό σε όποιον αποθηκεύει στοιχεία πιστωτικών καρτών, και πίστεψε με είναι πολλοί… το δικό μου σχόλιο ήταν απλά συμπληρωματικό…

  • Avatar
    Paris Kaskas

    Αγαπητέ Αλέξανδρε,

    δεν ήθελα να μπω σε τεχνικά σημεία του πρότυπου PCI-DSS αλλά εάν πρόσεξες τα σημεία 3, 4, 6 και 7 στις δώδεκα απαιτήσεις, οπότε θα σε παρότρυνα να διαβάσεις και το άρθρο για τα DLP (http://www.xblog.gr/data-loss-prevention), και εδώ θα το κλείσω γιατί θα μπερδέψουμε τον κόσμο που διαβάζει και δεν τον ενδιαφέρουν τεχνικές λεπτομέρειες.

    Θα ήθελα να σου πω ότι χαίρομαι που απαντάς στα σχόλια, γιατί δείχνει ότι είσαι πολύ σκεπτόμενος και αυστηρός πολύ, αλλά εάν έχει γίνει διαρροή ή όχι, εάν θα το μάθαιναν τα ΜΜΕ και εάν μετά θα το δημοσίευαν, άστο σε μένα να το γνωρίζω.

    Εάν τώρα το PCI-DSS δεν είναι για τράπεζες τότε γιατί τρέχουν όλες να πιστοποιηθούν; Περίεργο δεν είναι; Λες να φοβούνται μόνο τα τεράστια πρόστιμα;

    Δεν θέλω για κανέναν λόγω να σε κοντράρω αλλά δεν νομίζω ότι τρομοκρατώ κανέναν, απλώς λέω την γνώμη μου και τίποτα άλλο…. Σίγουρα σε κάποιους αρέσει και σε κάποιους όχι και σίγουρα σε σένα όχι 🙂

    Άλλωστε έτσι δεν είναι τα πράγματα και στην δουλειά μας και στην προσωπική μας ζωή;

    Να είσαι πάντα καλά και να μπαίνεις στο xblog.gr να λες πάντα την γνώμη σου 🙂

    Καλό σου βράδυ,
    Πάρις.

  • Avatar
    Αλέξανδρος

    Η περίπτωση ενός hacker να εισβάλει στο σύστημα μίας τράπεζας, δεν αλλάζει από το αν είναι συμβατή με το PCI πρωτόκολλο. Ο hacker μπορεί να εισβάλει ακόμη και αν είναι όχι μόνο PCI συμβατή αλλά και ότι άλλο standard, ανάλογα με το πόσο θα ασχοληθεί. Η περίπτωση του υπάλληλου είναι καθημερινό και πολύ πιο ουσιώδες.

    Όσο για τη διείσδυση εκ των έσω, πάλι μιλάμε για έναν κακόβουλο υπάλληλο, όπως θα μπορούσε να είναι ο ταμείας, η υπάλληλος εξυπηρέτησης πελατών, και χιλιάδες άτομα. Παρόμοια περιστατικά υπάρχουν με τράπεζες όπως με εκδόσεις δανείων που δεν είχαν βγάλει ποτέ οι άνθρωποι. Κακόβουλοι υπάλληλοι όπως και ένας από τη μηχανογράφηση.

    Όσο για το PCI πρωτόκολλο, δεν είναι για τράπεζες αλλά για εταιρείες ηλεκτρονικού εμπορίου (merchants) που δέχονται κάρτες στο δικό τους περιβάλλον, και εταιρείες διαχείρισης χρήματος (merchant providers) που είναι πιστωτικά ιδρύματα και τράπεζες.

    Για την 5ετία, δεν κατάλαβα τι θες να πεις. Εάν έχει γίνει συναλλαγή χωρίς τη συγκατάθεσή σου, αφαιρείται με μία ΑΠΛΗ ΑΙΤΗΣΗ και ΑΜΕΣΑ. Ούτε δίωξη ηλεκτρονικού εγκλήματος ούτε τίποτα (άλλοι άχρηστοι από εκεί). Στο εξωτερικό δε, γίνεται και μόνο με τηλέφωνο στη τράπεζα.

    Τέλος, ακόμη και να γίνει διαρροή και να πάρουν τα στοιχεία της κάρτας σου και οτιδήποτε άλλο, οι τράπεζες έχουν μηχανισμούς που αντιλαμβάνονται τη διαρροή και κανένας δεν έχασε χρήματα, αλλιώς θα είχε γίνει πρώτο θέμα στις ειδήσεις. Κανείς δεν έχει πληρώσει ποτέ υπέρογκες χρεώσεις από συναλλαγές μέσω ιντερνετ!.

    Όσο για το άρθρο σου, με συγχωρείς αλλά πιστεύω ότι απλά τρομοκρατεί το καταναλωτικό κοινό που χρησιμοποιεί τη κάρτα του μέσω Internet, και λυπάμαι να βλέπω τέτοια σχόλια από ανθρώπους του χώρου.

  • Avatar
    Paris Kaskas

    Αγαπητοί φίλοι,

    Χαίρομαι που γράφετε σχόλια γιατί δείχνει ότι ως Έλληνες είμαστε υγιείς και ανοιχτόμυαλοι…

    Ας τα πάρουμε όμως τα πράγματα απ’ την αρχή.

    Πράγματι όταν δώσεις την πιστωτική σου κάρτα σε ένα εστιατόριο, να πληρώσεις, μπορεί άνετα ένας σερβιτόρος να αντιγράψει το CVV2 ή το CVC2 – ανάλογα με την κάρτα – και μετά αυτός να σε χρεώσει «βάζοντας» την στο Internet και να κάνει αγορές.

    Πράγματι αφού σου έρθει ο λογαριασμός μπορείς να πας στην τράπεζα και να διαμαρτυρηθείς ώστε να διαγραφεί μετά από περίπου έναν μήνα και μετά από αίτηση στην Δίωξη Ηλεκτρονικού Εγκλήματος.

    Μην ξεχνάμε όμως την πενταετία που θα χάσουμε από την ζωή μας, εάν ο λογαριασμός είναι μερικές χιλιάδες ευρώ.

    Αλλά σε αυτή την περίπτωση το πρόβλημα δεν είναι η ίδια η πιστωτική κάρτα ή οι διαδικασίες που αναφέρω στο άρθρο αλλά ο κακόβουλος υπάλληλος του εν λόγω εστιατορίου που μας κλέβει.
    Στο άρθρο αναφέρεται ότι οι τράπεζες, οι οργανισμοί και γενικά οι εταιρίες που χρησιμοποιούν το ηλεκτρονικό εμπόριο (e-commerce, e-shopping) ΠΡΕΠΕΙ να τηρούν αυτές τις διαδικασίες, όπως σε αυτήν την περίπτωση του κανονιστικού πλαισίου PCI-DSS, ώστε να διασφαλίσουν στους κατόχους των πιστωτικών καρτών την μη διαρροή των «ευαίσθητων» προσωπικών τους δεδομένων στο Internet.

    Γι’ αυτό τα πρόστιμα που βάζουν οι οργανισμοί μέσω των εποπτών τους, όπως είναι η VISA, Mastercard και άλλοι, είναι της τάξης των εκατομμυρίων δολαρίων.

    Δυστυχώς, αγαπητοί φίλοι, παρατηρήθηκε ότι έγινε διαρροή και μάλιστα μέσα στην χρονιά 2010, χωρίς να ειπωθεί τίποτα από τον ΤΥΠΟ γραπτό ή ηλεκτρονικό (blogs), πιστωτικών καρτών, χρεωστικών, CVV2 καθώς και τα PIN από τράπεζες και οι κάτοχοι απλά λάμβαναν ένα τηλεφώνημα (help desk) με την απλή ενημέρωση ότι ακυρώθηκε η πιστωτική/χρεωστική τους κάρτα και ότι θα τους σταλεί καινούργια.

    Η διείσδυση αυτή ΕΓΙΝΕ από hacker μέσα από την κεντρική μηχανογράφηση των εν λόγω τραπεζών. Η τιμή για πώληση αριθμών πιστωτικών/χρεωστικών καρτών ανέρχεται στο ποσό των δύο (2) ευρώ έκαστος στο black-market. Κάντε υπολογισμό πόσα χρήματα βγάζουν οι cybercriminals!

    Εάν λοιπόν υπήρχαν αυτές οι διαδικασίες PCI-DSS καθώς και τα συστήματα Data Loss Prevention (http://www.xblog.gr/data-loss-prevention), τότε και μόνο τότε θα μπορούσα να παραδεχτώ ότι είμαστε κατά 99% ασφαλείς στο Internet.

    Οπότε επαναλαμβάνω την ερώτηση του άρθρου: Πόσες Ελληνικές τράπεζες, μέχρι σήμερα, είναι πιστοποιημένες στο κανονιστικό πρότυπο PCI-DSS;

    Αναρωτηθείτε…

  • Avatar
    Αλέξανδρος

    Κάτι τέτοια χαζά άρθρα κάνουν το κόσμο να φοβάται και το Internet να πηγαίνει χρόνια πίσω! Συμφωνώ με τον Αλέξανδρο. Είναι πιο ασφαλές να πληρώσεις με κάρτα, παρά με μετρητά. Οσο για τις τράπεζες, είναι μια χαρά προστατευμένα τα δεδομένα, αφού οι απαιτήσεις του PCS DSS είναι για websites! ΕΛΕΟΣ!

  • Avatar
    Αλέξανδρος Καραβίτης

    Οι έλληνες έχουμε μια εγγενή φοβία στην χρήση της πιστωτικής μας κάρτας στο Internet. Δυστυχώς δεν καταλαβαίνουμε ότι είναι πολύ πιο εύκολο να σημειώσει τον αριθμό και το CVV ο σερβιτόρος στο εστιατόριο, παρά όταν την δίνουμε σε ένα website.

    Αυτό που επίσης δεν γνωρίζει ο πολύς κόσμος, είναι ότι ανα πάσα στιγμή μπορούμε να αμφισβιτήσουμε οποιαδήποτε συναλλαγή στην κάρτα μας για την οποία δεν υπάρχει η υπογραφή μας, και η τράπεζα να μας επιστρέψει τα χρήματα.

    Μην φοβάστε να δώσετε την κάρτα σας στο Internet. Είναι πιο ασφαλές από το να την δώσετε οπουδήποτε αλλού στον φυσικό κόσμο!

Τα σχόλια είναι απενεργοποιημένα

Δωρεάν newsletter

Γίνε συνδρομητής στο newsletter μας και κέρδισε πλούσια δώρα στους διαγωνισμούς μας!