Poradenství 

Bezpečnostní standardy v oblasti karetních plateb: Jak ochránit platební data svých klientů v souladu s mezinárodními požadavky?

Platební karty jsou nedílnou součástí našeho každodenního života. Čím více je však používáme, tím více vystavujeme naše platební data riziku ztráty, krádeže a zneužití. A následky mohou být nedozírné. Společnosti, které platební systémy provozují či jiným způsobem s platebními daty svých klientů pracují, by proto patřičnému zabezpečení měly věnovat obzvlášť velkou pozornost. Jak vyhovět bezpečnostním standardům v oblasti karetních plateb (PCI DSS)? A jak zabezpečit citlivé informace?

Bezhotovostní platební styk je v současné době nejvíce využívaná forma platby, která stále více vytlačuje formu klasickou, hotovostní. Kartami platíme v kamenných obchodech i e-shopech. Dokonce samotné používání karet je stále jednodušší a pohodlnější, důkazem je kupříkladu trend bezkontaktních plateb, kdy není nutné vkládat kartu do platebních terminálů a v určitých případech ani zadávat PIN. S novými technologickými možnostmi však přichází ruku v ruce i nové způsoby, jak platební data ukrást a následně zneužít.

Co je to PCI DSS?

Jedná se o mezinárodní bezpečnostní standard (Payment Card Industry Data Security Standard), který má za cíl zamezit únikům, krádežím a následnému zneužití dat o držitelích platebních karet. Povinností firem (jichž se karetní platby a práce s klientskými daty nějakým způsobem týká) je požadavky tohoto standardu (kterých je v současné době 12) dodržovat, aby se vyvarovaly těm nejzákladnější a nejčastějším rizikům.

Tomu, zda společnosti skutečně dodržují PCI DSS, se věnují karetní asociace jako třeba Visa a MasterCard. Ty byly také u vzniku PCI Security Standards Councilu, speciální organizace sdružující auditory, kteří posuzují, zda a jak dobře společnosti aplikují povinnosti vyplývající z PCI standardů v praxi. Organizace udržuje, rozvíjí a distribuuje několik bezpečnostních standardů, přičemž každý z nich se věnuje kontrole specifické oblasti. Ve výsledku tak danou společnost kontroluje například kvalifikovaný hodnotitel bezpečnosti PCI DSS (Qualified Security Assessor, QSA), kvalifikovaný hodnotitel bezpečnosti vývoje platebních aplikací (Payment Application Qualified Security Assessor, PA-QSA) či schválený dodavatel sledování internetových služeb (Approved Scanning Vendor, ASV).

6 kroků, jak zabezpečit svou firmu v souladu s PCI DSS

Každá firma má svá specifika, proto i požadavky na ochranu platebních dat se mohou významným způsobem lišit. PCI DSS stanovuje všeobecná, univerzální pravidla, kterými se dotyčné firmy musí řídit, ale která musí aplikovat způsobem, který odpovídá jejich individuálním potřebám. Jak učinit svou firmu bezpečnou a vyhovět standardům PCI DSS? Stačí se držet šestice následujících kroků:

  1. Vybudujte bezpečnostní systém a udržujte jej aktuální.
  2. Patřičně chraňte data držitelů karet.
  3. Vybudujte a udržujte program pro řízení zranitelností softwaru a systému.
  4. Implementujte přísná opatření pro kontrolu přístupu.
  5. Často a pravidelně testujte systémy a procesy.
  6. Udržujte mezi zaměstnanci povědomí o bezpečnostních principech a pravidlech.

Cílem hackerů jsou banky, ale i fast foody či zdravotnická zařízení

Jak mohou zloději odcizit citlivá data z platebních karet? Způsobů existuje celá řada, mezi nejrozšířenější však v současné době patří tzv. skimming, phishing a využívání známých zranitelností. Skimming je metoda čistě technická, jedná se o okopírování údajů z magnetického proužku platební karty, když je fyzicky používána (např. v bankomatu, platebním terminálu apod.). Phishing je oproti tomu podvodná metoda z oblasti sociálního inženýrství, kdy pachatel (typicky skrze podvodné e-maily) získá přístupové údaje k internetovému bankovnictví či platební kartě oběti, která mu je sama nevědomky poskytne. V poslední době se také hojně šiří zneužívání zranitelností na stránkách společností a e-shopů, kde je možné zadat údaje z platebních karet k nákupu zboží a služeb.

Phishing a senioři

Phishing, scam, podvodné e-maily… Patrně každý, kdo má e-mailovou schránku, se někdy v životě stal terčem pokusu o podvod. Některé podvody rozpoznáme na první pohled, jiné mohou být o něco sofistikovanější a vyžadují naši ostražitost a kritické myšlení. Jedna skupina uživatelů, která je však tímto druhem digitálních podvodů obzvlášť ohrožena, jsou senioři. V Deloitte jsme si této skutečnosti moc dobře vědomi, a proto několikrát ročně pořádáme setkání klubu 3XO, kde pomáháme starším zorientovat se ve světě moderních technologií. Přečtěte si v našem článku, jak se senioři učili odhalovat phishingové praktiky a nenaletět internetovým podvodníkům!

Cílem pachatelů však nejsou pouze jednotlivci, v ohrožení jsou také společnosti, které s platebními údaji klientů pracují (data zpracovávají, přenášejí, ukládají…). Nejčastějšími cíli jsou typicky organizace bankovní či finanční, jinými slovy společnosti, které se věnují výhradně práci s penězi. Nebezpečí krádeže však hrozí i společnostem z oblasti zdravotní péče, stravování, služeb obecně a mnoha dalším.

Deloitte Academy

Dobrá znalost teorie je předpokladem pro kvalitní praxi. V rámci Deloitte Academy mají proto účastníci našich kurzů příležitost zjistit, jak ve své firmě správně nastavit PCI DSS od úplných základů. A nejen to! Máte chuť se vzdělávat? Chcete se učit od specialistů s mnohaletou praxí? Ať už se zajímáte o kybernetickou bezpečnost, projektové řízení nebo třeba HR analytiku, u nás si každé najde to pravé. Navštivte Deloitte Academy a rozšiřte si své obzory!

PCI DSS Deloitte Academy Phishing Platební transakce Kybernetická bezpečnost
COVID-19  Poradenství 

Krize má své vítěze i poražené, finančním ředitelům komplikuje další kroky přetrvávající nejistota

Opatrnost. To je teď klíčové slovo, pokud jde o další rozhodnutí. A finanční ředitelé to moc dobře ví. Jak ale řídit finance v době, kdy nevíte, jak se bude situace dále vyvíjet? Na jaké klíčové kroky je potřeba se zaměřit? Martin Buranský, seniorní poradce Deloitte pro CFO, říká, že finanční ředitelé teď musí začít řídit společnost od fundamentálních základů: „Už dnes je jasné, kdo jsou vítězové, a kdo jsou poražení, a kdo se pravděpodobně dostane z krize rychleji, či koho naopak čekají problémy. Na základě změn, které se teď dějí opravdu rychle, musí CFO začít upravovat finanční a obchodní strategii.“ 

30. 6. 2020
Poradenství 

Jak správně postupovat při výběrovém řízení dodavatele (nejen) CRM systémů a posunout business o krok dál?

Poslední dobou poměrně často slýcháme otázku: A jak byste tedy to výběrové řízení udělali vy? Je to pochopitelné. Výběr dodavatele CRM systému je v celém projektu implementace zásadní krok, jemuž předchází nemalé úsilí uvnitř vaší firmy. Jak se tedy na tender co nejlépe připravit? A na jaká kritéria brát největší zřetel? 

22. 4. 2020