Poradenství 

Bezpečnostní standardy v oblasti karetních plateb: Jak ochránit platební data svých klientů v souladu s mezinárodními požadavky?

Platební karty jsou nedílnou součástí našeho každodenního života. Čím více je však používáme, tím více vystavujeme naše platební data riziku ztráty, krádeže a zneužití. A následky mohou být nedozírné. Společnosti, které platební systémy provozují či jiným způsobem s platebními daty svých klientů pracují, by proto patřičnému zabezpečení měly věnovat obzvlášť velkou pozornost. Jak vyhovět bezpečnostním standardům v oblasti karetních plateb (PCI DSS)? A jak zabezpečit citlivé informace?

Bezhotovostní platební styk je v současné době nejvíce využívaná forma platby, která stále více vytlačuje formu klasickou, hotovostní. Kartami platíme v kamenných obchodech i e-shopech. Dokonce samotné používání karet je stále jednodušší a pohodlnější, důkazem je kupříkladu trend bezkontaktních plateb, kdy není nutné vkládat kartu do platebních terminálů a v určitých případech ani zadávat PIN. S novými technologickými možnostmi však přichází ruku v ruce i nové způsoby, jak platební data ukrást a následně zneužít.

Co je to PCI DSS?

Jedná se o mezinárodní bezpečnostní standard (Payment Card Industry Data Security Standard), který má za cíl zamezit únikům, krádežím a následnému zneužití dat o držitelích platebních karet. Povinností firem (jichž se karetní platby a práce s klientskými daty nějakým způsobem týká) je požadavky tohoto standardu (kterých je v současné době 12) dodržovat, aby se vyvarovaly těm nejzákladnější a nejčastějším rizikům.

Tomu, zda společnosti skutečně dodržují PCI DSS, se věnují karetní asociace jako třeba Visa a MasterCard. Ty byly také u vzniku PCI Security Standards Councilu, speciální organizace sdružující auditory, kteří posuzují, zda a jak dobře společnosti aplikují povinnosti vyplývající z PCI standardů v praxi. Organizace udržuje, rozvíjí a distribuuje několik bezpečnostních standardů, přičemž každý z nich se věnuje kontrole specifické oblasti. Ve výsledku tak danou společnost kontroluje například kvalifikovaný hodnotitel bezpečnosti PCI DSS (Qualified Security Assessor, QSA), kvalifikovaný hodnotitel bezpečnosti vývoje platebních aplikací (Payment Application Qualified Security Assessor, PA-QSA) či schválený dodavatel sledování internetových služeb (Approved Scanning Vendor, ASV).

6 kroků, jak zabezpečit svou firmu v souladu s PCI DSS

Každá firma má svá specifika, proto i požadavky na ochranu platebních dat se mohou významným způsobem lišit. PCI DSS stanovuje všeobecná, univerzální pravidla, kterými se dotyčné firmy musí řídit, ale která musí aplikovat způsobem, který odpovídá jejich individuálním potřebám. Jak učinit svou firmu bezpečnou a vyhovět standardům PCI DSS? Stačí se držet šestice následujících kroků:

  1. Vybudujte bezpečnostní systém a udržujte jej aktuální.
  2. Patřičně chraňte data držitelů karet.
  3. Vybudujte a udržujte program pro řízení zranitelností softwaru a systému.
  4. Implementujte přísná opatření pro kontrolu přístupu.
  5. Často a pravidelně testujte systémy a procesy.
  6. Udržujte mezi zaměstnanci povědomí o bezpečnostních principech a pravidlech.

Cílem hackerů jsou banky, ale i fast foody či zdravotnická zařízení

Jak mohou zloději odcizit citlivá data z platebních karet? Způsobů existuje celá řada, mezi nejrozšířenější však v současné době patří tzv. skimming, phishing a využívání známých zranitelností. Skimming je metoda čistě technická, jedná se o okopírování údajů z magnetického proužku platební karty, když je fyzicky používána (např. v bankomatu, platebním terminálu apod.). Phishing je oproti tomu podvodná metoda z oblasti sociálního inženýrství, kdy pachatel (typicky skrze podvodné e-maily) získá přístupové údaje k internetovému bankovnictví či platební kartě oběti, která mu je sama nevědomky poskytne. V poslední době se také hojně šiří zneužívání zranitelností na stránkách společností a e-shopů, kde je možné zadat údaje z platebních karet k nákupu zboží a služeb.

Phishing a senioři

Phishing, scam, podvodné e-maily… Patrně každý, kdo má e-mailovou schránku, se někdy v životě stal terčem pokusu o podvod. Některé podvody rozpoznáme na první pohled, jiné mohou být o něco sofistikovanější a vyžadují naši ostražitost a kritické myšlení. Jedna skupina uživatelů, která je však tímto druhem digitálních podvodů obzvlášť ohrožena, jsou senioři. V Deloitte jsme si této skutečnosti moc dobře vědomi, a proto několikrát ročně pořádáme setkání klubu 3XO, kde pomáháme starším zorientovat se ve světě moderních technologií. Přečtěte si v našem článku, jak se senioři učili odhalovat phishingové praktiky a nenaletět internetovým podvodníkům!

Cílem pachatelů však nejsou pouze jednotlivci, v ohrožení jsou také společnosti, které s platebními údaji klientů pracují (data zpracovávají, přenášejí, ukládají…). Nejčastějšími cíli jsou typicky organizace bankovní či finanční, jinými slovy společnosti, které se věnují výhradně práci s penězi. Nebezpečí krádeže však hrozí i společnostem z oblasti zdravotní péče, stravování, služeb obecně a mnoha dalším.

Deloitte Academy

Dobrá znalost teorie je předpokladem pro kvalitní praxi. V rámci Deloitte Academy mají proto účastníci našich kurzů příležitost zjistit, jak ve své firmě správně nastavit PCI DSS od úplných základů. A nejen to! Máte chuť se vzdělávat? Chcete se učit od specialistů s mnohaletou praxí? Ať už se zajímáte o kybernetickou bezpečnost, projektové řízení nebo třeba HR analytiku, u nás si každé najde to pravé. Navštivte Deloitte Academy a rozšiřte si své obzory!

PCI DSS Deloitte Academy Phishing Platební transakce Kybernetická bezpečnost Kybernetický útok
Poradenství 

Novinky v oblasti zdravotnických prostředků: nový zákon míří do legislativního procesu

V pondělí 6. ledna 2020 schválila vláda návrh zákona, který reflektuje evropské nařízení o zdravotnických prostředcích – Medicinal Devices Regulation (“MDR”) , účinné od 26. května 2020, a částečně také evropské nařízení o diagnostických zdravotnických prostředcích in vitro , účinné od 26. května 2022, do národní legislativy. Součástí toho legislativního balíčku jsou dále zásadní změny v oblasti regulace reklamy na zdravotnické prostředky. 

8. 1. 2020
Poradenství 

Connected planning: jak na chytré finanční plánování a analýzy?

Žijeme ve světě, v němž technologie usnadňují každý náš krok. Jejich prostřednictvím objednáváme věci z e-shopů, odpovídáme na pracovní maily, sledujeme vývoj cen akcií na burze anebo se přihlašujeme do internetového bankovnictví. To v oblasti finančního plánování a analýzy (FP&A) to ale vypadá, jakoby se doba zastavila v 90. letech 20. století. Navzdory technologickému boomu ovlivňujícímu jiné sféry života je totiž stále patrné, že nejrozšířenějším a často jediným programem využívaným k práci s daty je Microsoft Excel. Jak zefektivnit finanční procesy a podnikové plánování? 

7. 1. 2020