A hitelkártya-adatok ellopásából származó jövedelem mértéke megközelíti az illegális drogkereskedelem bevételeit.

A kiberbűnözők legjövedelmezőbb üzletágává növi ki magát a hitelkártya-adatok illetéktelen megszerzése. Az ebből származó jövedelem mértéke megközelíti az illegális drogkereskedelem bevételeit - derül ki a PCI Community Meeting 2009 szakmai felméréséből. Bár nincs pontos adatunk arról, hogy évente mennyi hitelkártya-adat kerül illetéktelen kezekbe, következtethetünk rá a nyilvánosságra kerülő adatokból: az eddig ismert legnagyobb mértékű egyszeri adatvesztés során 94 millió hitelkártya-adatot tulajdonítottak el. Egy-egy ilyen adatot a kiberbűnözők 150 dollár körüli áron értékesítenek.

A hitelkártya-adat lopások visszaszorítására még 2006-ban a vezető kártyakibocsátók – MasterCard, Visa, JCB, Discover, AmEx – közösen kialakítottak egy átfogó biztonsági követelménylistát, a PCI DSS-t (Payment Card Industry Data Security Standards), a hitelkártyák adatait kezelő szervezetek számára. A PCI DSS audit ma Magyarországon még nem kötelező, de a hitelesített szervezeteknek akár versenyelőnyt is jelenthet, hogy a megfelelő biztonsággal kezelik ügyfeleik adatait. A Noreg Kft., mint független IT-biztonsági tanácsadó vállalat, az auditra való felkészítésben segíti ügyfeleit, többek között az IBM-ISS biztonsági megoldásainak és PCI szolgáltatásainak felhasználásával.

A PCI DSS szabvány betartásának fontosságát a Verizon üzleti kockázati csoport szakmai felmérése is alátámasztja, miszerint a kártyacsalások több mint 87 százaléka elkerülhető lett volna egy egyszerű vagy közepes szintű ellenőrzéssel. Az esetek 67 százalékában az adatkezelők (bankok, kereskedők, szolgáltatók) informatikai rendszerében történt hiba, és 64 százalékban okozta külső hackertámadás a kárt. Érdekes tény, hogy az adatlopás tényét az esetek 74 százalékában csak hetekkel az esemény után fedezték fel.

A PCI DSS szabvány már kötelező előírás például az Egyesült Államokban, ahol komoly büntetést von maga után azoknak be nem tartása: a bírság általában 25 000 dollár és 500 000 dollár között mozog, de ennél magasabb összeget is elérhet. A szabályok figyelmen kívül hagyása akár hússzor annyiba kerülhet, mint az előírásoknak való megfelelés biztosítása. Míg a PCI DSS előírásainak betartása évente körülbelül 3 dollárba kerül kártyánként, addig az adatvesztés költsége alkalmanként és adatonként 300 és 600 dollár közötti összeget jelent, nem is beszélve az adatokat hanyagul kezelő cég presztízsvesztéséről.

Kikre vonatkozik a PCI DSS szabvány?

Alapvetően minden kártya tranzakcióban érintett félnek meg kell felelnie (aki bankkártya-adatot tárol, kezel vagy továbbít), például a kereskedők (web áruházak, hagyományos áruházak), kártya elfogadók (bankok, kártyafeldolgozók, akik kapcsolatban állnak a kibocsátókkal), szolgáltatók (több web áruházat üzemeltetők, illetve akik bankkártya-adatokat gyűjtenek). A különbség csak az érvényesítés (külső-, belső audit, kérdőív) szintjében van, ami alapvetően a tranzakció számon alapul.

terminal.hu, 2009. november 9.

A bejegyzés trackback címe:

https://adatvedelem.blog.hu/api/trackback/id/tr311586300

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.