Manapság egyre nagyobb kihívás a bankkártya piac résztvevői számára a kártyacsalásokkal szembeni küzdelem, hiszen a kártyatársaságok a kártyacsalásokból származó kockázatot jellemzően a piac szereplőire hárítják. A PCI szabályok betartásának ellenőrzését csak hivatalosan akkreditált auditorok - Qualified Security Assessor (QSA) - végezhetik. Elsőként Magyarországon 2010. áprilisában a Clarity Consulting megszerezte ezt a minősítést, így PCI DSS felkészülésben és auditban már hazai partner is rendelkezésre áll az érintett cégek számára.
Több fizetési kártyával, bankkártyával és az iparággal kapcsolatos statisztika alapján elmondhatjuk, hogy napjainkban egyre inkább növekszik a "card not present" visszaélések száma, tehát ahol a kártyabirtokosnak fizikailag nem kell bemutatnia a kártyáját a vásárlásnál (pl. internetes fizetések) bár Kelet-Európában még mindig a kártyahamisítás áll a csalási statisztikák élén. A nemzetközi trend igazolja, hogy napjainkban egyre inkább előtérbe kerül a tömeges adatlopás, adatvesztés, mint a rendszer gyenge pontja; az információkkal visszaélő bűnözői körök számára ez a leginkább költséghatékony módszer tevékenységük folytatásához.
A PCI DSS szabályozás ennek igyekszik gátat vetni, amely igen részletes és szigorú elvárásokat fogalmaz meg minden a bankkártya elfogadásban érintett szervezettel szemben (kereskedők, pénzintézetek, stb.)
A PCI DSS hátteréről a további részletek közt olvashatnak.
További részletek:
A kártyatársaságok (MasterCard, Visa stb.) létrehoztak egy közös intézményt a PCI Biztonsági Standard Tanácsot (PCI SSC) annak érdekében, hogy az segítsen szinkronban tartani a magasabb biztonsági szint elérését segítő törekvéseiket, harmonizálja az egyes kártyatársaságok különálló biztonsági szabályait és ezekhez egy közös és egységes szabályozó és ellenőrző fórumot adjon.
A PCI SSC ennek megfelelően bevezettette PCI Adatbiztonsági Standard-ot (PCI DSS) amelyben foglaltaknak minden egyes bankkártya piaci szereplőnek meg kell felelnie, és ami így egy 'de facto' iparági követelménnyé válik. A PCI DSS szabványainak való megfelelés így csaknem kötelezettség minden bankkártya-piaci szereplő számára.
Az előírás a kártyaelfogadásban érintett kereskedőket és szolgáltatókat az éves tranzakciószámtól függően sorolja be, egy szint felett kötelező a hivatalosan akkreditált QSA szakértők által végzett éves audit.
A sikeres megfelelés alábbi tevékenységeihez erősen ajánlott szakértő bevonása: Egy előzetes PCI megfelelés felmérése során a szakértő cég áttekinti az adott vállalat környezetét és körvonalazza a lehetséges PCI DSS audit szkópot. Az előzetes felmérés során szükséges megfogalmazni minden egyes területtel kapcsolatban a számon kérhető és teljesítendő követelményeket, Gap analízis segítségével megállapítják a hiányosságokat, majd akciótervet dolgoznak ki a feltárt hiányosságok pótlására.
Nem minden piaci szereplő kötelezett arra, hogy éves szintű és teljes körű PCI DSS auditot hajtson végre, viszont minden piaci szereplő számára biztosított az a lehetőség, hogy önmagát értékelje a PCI DSS szabványaival szemben. Az "önértékelők" számára egyetlen kötelező elv az az, hogy az önértékelésüknek megfelelően kell működniük, aminek biztosításához szakértő segítség bevonása szintén ajánlott.
A felkészülés sikeres elvégzése után történhet meg a kötelező éves PCI DSS audit végrehajtása. A PCI DSS szabályozása szerint a felkészülésben esetlegesen közreműködő cég maga is elvégezheti az auditot, feltéve, hogy rendelkezik QSA minősítéssel. Ez csak szigorú szakmai és egyéb akkreditálási folyamat után nyerhető el, és így a QSA cégek tudják a legprofesszionálisabb előkészítő tevékenységet is nyújtani.
A QSA minősítést most elnyert Clarity Consulting hivatalos és regisztrált QSA-ként lefolytathatja a magyar cégeknél a PCI DSS auditot, mely során meghatározásra kerülnek a PCI DSS hatókörébe tartozó rendszerek, üzleti és informatikai folyamatok, biztonsági előírások, alkalmazások és intézkedések. Az audit során értékelésre és áttekintésre kerülnek az üzleti év folyamán elvégzett egyéb kötelező, rendszerszintű tesztek eredményei. Az audit végén minden esetben kibocsátásra kerül az AOC - Attestation of compliance - melyben a vizsgálati eredmények és a minősítés kerülnek rögzítésre.
További információk az alábbi webcímen kaphatók:
www.clarity.hu/site/hu/actual/article.php?id=139
On-line kártyaigénylés
ikonra.