Bezhotovostní platební styk je v současné době nejvíce využívaná forma platby, která stále více vytlačuje formu klasickou, hotovostní. Kartami platíme v kamenných obchodech i e-shopech. Dokonce samotné používání karet je stále jednodušší a pohodlnější, důkazem je kupříkladu trend bezkontaktních plateb, kdy není nutné vkládat kartu do platebních terminálů a v určitých případech ani zadávat PIN. S novými technologickými možnostmi však přichází ruku v ruce i nové způsoby, jak platební data ukrást a následně zneužít.

Co je to PCI DSS?

Jedná se o mezinárodní bezpečnostní standard (Payment Card Industry Data Security Standard), který má za cíl zamezit únikům, krádežím a následnému zneužití dat o držitelích platebních karet. Povinností firem (jichž se karetní platby a práce s klientskými daty nějakým způsobem týká) je požadavky tohoto standardu (kterých je v současné době 12) dodržovat, aby se vyvarovaly těm nejzákladnější a nejčastějším rizikům.

Tomu, zda společnosti skutečně dodržují PCI DSS, se věnují karetní asociace jako třeba Visa a MasterCard. Ty byly také u vzniku PCI Security Standards Councilu, speciální organizace sdružující auditory, kteří posuzují, zda a jak dobře společnosti aplikují povinnosti vyplývající z PCI standardů v praxi. Organizace udržuje, rozvíjí a distribuuje několik bezpečnostních standardů, přičemž každý z nich se věnuje kontrole specifické oblasti. Ve výsledku tak danou společnost kontroluje například kvalifikovaný hodnotitel bezpečnosti PCI DSS (Qualified Security Assessor, QSA), kvalifikovaný hodnotitel bezpečnosti vývoje platebních aplikací (Payment Application Qualified Security Assessor, PA-QSA) či schválený dodavatel sledování internetových služeb (Approved Scanning Vendor, ASV).

6 kroků, jak zabezpečit svou firmu v souladu s PCI DSS

Každá firma má svá specifika, proto i požadavky na ochranu platebních dat se mohou významným způsobem lišit. PCI DSS stanovuje všeobecná, univerzální pravidla, kterými se dotyčné firmy musí řídit, ale která musí aplikovat způsobem, který odpovídá jejich individuálním potřebám. Jak učinit svou firmu bezpečnou a vyhovět standardům PCI DSS? Stačí se držet šestice následujících kroků:

1. Vybudujte bezpečnostní systém a udržujte jej aktuální.
2. Patřičně chraňte data držitelů karet.
3. Vybudujte a udržujte program pro řízení zranitelností softwaru a systému.
4. Implementujte přísná opatření pro kontrolu přístupu.
5. Často a pravidelně testujte systémy a procesy.
6. Udržujte mezi zaměstnanci povědomí o bezpečnostních principech a pravidlech.

Cílem hackerů jsou banky, ale i fast foody či zdravotnická zařízení

Jak mohou zloději odcizit citlivá data z platebních karet? Způsobů existuje celá řada, mezi nejrozšířenější však v současné době patří tzv. skimming, phishing a využívání známých zranitelností. Skimming je metoda čistě technická, jedná se o okopírování údajů z magnetického proužku platební karty, když je fyzicky používána (např. v bankomatu, platebním terminálu apod.). Phishing je oproti tomu podvodná metoda z oblasti sociálního inženýrství, kdy pachatel (typicky skrze podvodné e-maily) získá přístupové údaje k internetovému bankovnictví či platební kartě oběti, která mu je sama nevědomky poskytne. V poslední době se také hojně šiří zneužívání zranitelností na stránkách společností a e-shopů, kde je možné zadat údaje z platebních karet k nákupu zboží a služeb.

Phishing a senioři

Phishing, scam, podvodné e-maily… Patrně každý, kdo má e-mailovou schránku, se někdy v životě stal terčem pokusu o podvod. Některé podvody rozpoznáme na první pohled, jiné mohou být o něco sofistikovanější a vyžadují naši ostražitost a kritické myšlení. Jedna skupina uživatelů, která je však tímto druhem digitálních podvodů obzvlášť ohrožena, jsou senioři. V Deloitte jsme si této skutečnosti moc dobře vědomi, a proto několikrát ročně pořádáme setkání klubu 3XO, kde pomáháme starším zorientovat se ve světě moderních technologií. Přečtěte si v našem článku, jak se senioři učili odhalovat phishingové praktiky a nenaletět internetovým podvodníkům!

Cílem pachatelů však nejsou pouze jednotlivci, v ohrožení jsou také společnosti, které s platebními údaji klientů pracují (data zpracovávají, přenášejí, ukládají…). Nejčastějšími cíli jsou typicky organizace bankovní či finanční, jinými slovy společnosti, které se věnují výhradně práci s penězi. Nebezpečí krádeže však hrozí i společnostem z oblasti zdravotní péče, stravování, služeb obecně a mnoha dalším.

Deloitte Academy

Dobrá znalost teorie je předpokladem pro kvalitní praxi. V rámci Deloitte Academy mají proto účastníci našich kurzů příležitost zjistit, jak ve své firmě správně nastavit PCI DSS od úplných základů. A nejen to! Máte chuť se vzdělávat? Chcete se učit od specialistů s mnohaletou praxí? Ať už se zajímáte o kybernetickou bezpečnost, projektové řízení nebo třeba HR analytiku, u nás si každé najde to pravé. Navštivte Deloitte Academy a rozšiřte si své obzory!