A PCI DSS napjaink egyik, ha nem a leginkább felkapott IT biztonsági követelményrendszere. A megnevezés a Payment Card Industry (PCI) és a Data Security Standard (DSS) rövidítésekből alakult ki. A szabványt a nagy kártyakibocsátók (Visa, Mastercard, American Express, Discover, JCB) alkották meg 2004-ben, miután a Visa és a Mastercard még 2001-ben, egymástól függetlenül dolgoztak ki bankkártyákkal dolgozó e-boltokra vonatkozó szabványokat. A szabályozás maga igen bonyolult és szerteágazó, ám a célja egyszerű és világos: elősegíteni azt, hogy bankkártyák és azok tulajdonosainak adatai a lehető legnagyobb biztonságban legyenek.

...és mégis szivárog az adat | A szabvány egy több, mint háromszáz pontos direktíva-rendszert takar a bankkártya-elfogadók, bankkártyát használó kereskedők, szolgáltatók számára. Hogy miért van erre szükség egyáltalán? Itthon talán még keveset hallunk a banki adatok kiszivárgásáról, eladott bankkártya-adatokról, számlánként leemelt pár forintokból összegyűjtött milliókról, de nemzetközi szinten élő problémáról van szó. Csak az idei évben 1,8 millió adat szivárgott ki az Egyesült Államok pénzintézeteiből, és amint azt a HP IT-biztonsági tanácsadója, Krasznay Csaba elmondta, minden bizonnyal nálunk is előfordulnak már hasonló esetek, amelyeket azonban még sikerül "megóvni a nyilvánosságtól".

Ha egy ilyen adatszivárgás, adatlopás történik, elvben minden esetben a bankkártya-elfogadóké, bankkártyát kezelő szolgáltatóké a felelősség - a kibocsátó akár 100 ezer eurós büntetést is kiszabhat az elfogadóra, megfejelve 5 eurós kártyaadatonkénti "extrával". És ez még mind semmi a nyomozási, kártérítési költségekhez képest... Tehát amellett, hogy minden félnek jól felfogott érdeke biztonságban tudni a rendszerét, fontos tudni, hogy az elfogadó csak akkor mentesül a büntetés alól, ha a kereskedői megfelelnek a PCI DSS követelményeinek.

A PCI DSS tizenkét pontja | A háromszáz pontnyi szabályrendszert hat fő témakörbe és tizenkét fő követelménybe csoportosíthajtuk, melynek kivonata a következő:

Biztonságos hálózat építése és üzemeltetése
1: A kártyabirtokos adatainak védelméért tűzfalat kell telepíteni és üzemeltetni.
2: Nem szabad a gyártók által használt alapbeállítású rendszerjelszavakat és biztonsági paramétereket használni.

A kártyabirtokos adatainak védelme
3: Védeni kell a kártyabirtokos minden tárolt adatát.
4: A nyílt hálózatokon történő adatátvitel során a kártyabirtokosok adatait titkosítani kell.

Sérülékenység-kezelési program fenntartása
5: Vírusvédelmi megoldásokat kell használni és rendszeresen frissíteni.
6: Biztonságos rendszereket és alkalmazásokat kell fejleszteni és üzemeltetni.

Erős hozzáférés-védelmi megoldások alkalmazása
7: A kártyabirtokos adataihoz csak az férhessen hozzá, akire tartozik.
8: Minden olyan ember, aki hozzáfér a rendszerhez, egyedi azonosítóval rendelkezzen (a hibák és visszaélések későbbi pontos lekövetése érdekében).
9: A kártyabirtokos adataihoz való fizikai hozzáférést meg kell akadályozni (ide tartozik például a csatlakoztatott adatrögzítő eszközök, például keyloggerek elleni védelem).

A hálózatok rendszeres monitorozása és tesztelése
10: A hálózati erőforrásokhoz és a kártyabirtokos adataihoz való összes hozzáférést követni, monitorozni és logolni kell.
11: A biztonsági rendszereket folyamatosan tesztelni kell (például behatolás-tesztekkel, etikus hacking kísérletekkel).

Információbiztonsági szabályzat fenntartása
12: Minden esetben fenn kell tartani és be kell tartatni egy részletes információbiztonsági szabályzatot.

Magyarországon egyelőre elég kevés az auditált szervezet tudunk (a Visa esetében például a Giro Bankkártya és az Euronet), de ha követjük az amerikai trendeket, előbb-utóbb Magyarországon is fejtörést fog okozni több cégnél is a megfelelőség kérdése.