Hvað er PCI öryggi?

Í tengdri frétt er skýrt frá því að nýlega hafi Reiknistofa Bankanna hlotið svokallaða PCI vottun um öryggi greiðslukortaupplýsinga. Er þar sagt að Reiknistofan sé meðal fyrstu aðila hér á landi til að hljóta slíka vottun. Það sem er líklega það fréttnæmasta við þetta, en kemur hinsvegar hvergi fram í fréttinni, er spurningin: Hvers vegna er það ekki fyrr en í lok ársins 2011 sem RB, sjálfur miðpunktur greiðslukerfa á Íslandi hlýtur slíka vottun á öryggi kortaupplýsinga?

Starfa minna vegna hef ég í gegnum tíðina stundum komið nálægt útfærslu greiðslukerfa fyrir vefhugbúnað, og hef séð ýmis vinnubrögð sem viðgangast í þeim bransa sem við skulum bara segja að séu misjafnlega traustvekjandi. Á Íslandi hefur um árabil verið starfrækt fyrirtæki, Kortaþjónustan, sem sérhæfir sig í lausnum fyrir rafræn greiðslukerfi, og er nokkuð framarlega á því sviði. Af reynslu minni á þessu sviði get ég óhikað mælt með þeim lausnum sem þar bjóðast. Þar hefur verið unnið samkvæmt PCI stöðlum frá því að ég kom fyrst nálægt slíku fyrir mörgum árum síðan. Á vefsíðu fyrirtækisins er sértök undirsíða tileinkuð umfjöllun um PCI öryggisstaðla:

Staðallinn gerir kröfu um að öll fyrirtæki sem meðhöndla kortaupplýsingar fullnægi viðkomandi kröfum.  Á hverju ári þarf viðurkenndur úttektaraðili að framkvæma heildarúttekt til að votta að staðlinum sé fullnægt.  Auk þess eru gerðar óvæntar árásir minnst fjórum sinnum á ári til að kanna hvort á einhvern hátt sé hægt að komast inn í kerfi viðkomandi fyrirtækja.  Árásaraðilar notast ávallt við nýjustu þekktu aðferðir af FBI og SANS, sem eru helstu upplýsingaöryggisstofnanir heimsins.

Við þetta get ég bætt að meðal skilyrða sem sett eru og skipta miklu máli eru hlutir eins og aðgengismál, dulkóðun og auðkenning samskipta milli þeirra kerfa sem eiga í hlut. Eitt sem er algjört lykilatriði í þessum staðli er að þjónustuaðila er undir engum kringumstæðum heimilt að vista kortanúmer viðskiptavina. Þannig er útilokuð ein stærsta hættan sem steðjar að svona kerfum, það er að einhverjum takist að brjótast inn í kerfið og stela kortanúmerum viðskiptavina til þess að misnota þau.

Dæmi um árásir sem hefði mátt forðast, væri þessum skilyrðum fylgt, eru þegar hakkarahópurinn Anonymous braust inn í tölvukerfi Sony í fyrra og stal þaðan kortanúmerum viðskiptavina sem höfðu borgað fyrir þjónustu í gegnum PlayStation kerfið. Þetta hefði ekki verið hægt nema vegna þess að Sony virðist hafa vistað kortanúmerin á sínum eigin vefþjónum, en samkvæmt PCI staðlinum má aðeins útgefandi kortsins eða færsluhirðir á hans vegum vita númer kortsins. Þannig er veikleikinn fyrir innbrotum færður á miðlægan stað þar sem mun auðveldara að bregðast við innbrotum og fyrirbyggja tjón af völdum þeirra.

Nú hef ég engar forsendur til að draga öryggismál RB í efa. Hinsvegar er óhjákvæmilegt að velta því fyrir sér hvers vegna stofnun sem gegnir jafn veigamiklu hlutverki, hefur ekki haft þessa vottun frá upphafi? Alveg eins og með iðnaðarsaltið sem hefur verið í umræðu að undanförnu þá er ekki þar með sagt að neytendum hafi verið boðin lélegri vara þó vottunina hafi vantað. Vandamálið er bara að við höfum enga tryggingu fyrir því að svo sé. Það er enginn óháður aðili til frásagnar um hvernig örygginu hafi verið háttað fram að þessu, þó svo að eftir á sé gengið úr skugga um að í reynd hafi engin skaðsemi hlotist í þeim tilvikum sem þekkt eru.

Annað sem setja má í þetta samhengi er iðnaðarsílikon sem komið hefur í ljós að hefur verið notað sem ígræðsluefni. Í því tilfelli eru staðfest dæmi um að gallar hafi leitt af sér skaðsemi. Okkur myndi líklega ekki líða vel ef í ljós kæmi að fyrir löngu síðan hafi kortanúmerum Íslendinga verið stolið í massavís einfaldlega vegna þess að Reiknistofa Bankanna var mörgum árum á eftir í öryggismálum? Nú er ég alls ekki að gefa í skyn að svo sé, ég hef engar forsendur til að meta gæði öryggismála hjá reiknistofunni hingað til og býst við að að þar hafi verið reynt að passa upp á að hafa þetta í lagi.

En í þessu kristallast hinsvegar vandamálið sem birtist í þessu eins og ýmsu öðru, að sem neytandi hef ég engar forsendur til þess að leggja mat á þennan þátt í gæðum þjónustu eða vöru sem ég kaupi eða greiði fyrir. Þannig er mér gert erfitt fyrir að hegða mér sem ábyrgur neytandi, og beina viðskiptum mínum þangað sem ég vil að raunverulegur ávinningur hljótist af þeim.


mbl.is RB uppfyllir staðla
Tilkynna um óviðeigandi tengingu við frétt

« Síðasta færsla | Næsta færsla »

Bæta við athugasemd

Ekki er lengur hægt að skrifa athugasemdir við færsluna, þar sem tímamörk á athugasemdir eru liðin.

Innskráning

Ath. Vinsamlegast kveikið á Javascript til að hefja innskráningu.

Hafðu samband