PCI DSS a Barionnak
Megszerezte a PCI DSS tanúsítványt a Barion, mely szükséges ahhoz, hogy az egyetlen engedélyezett magyarországi e-pénz szolgáltató bankkártyaadatokat is kezelhessen.
Annak érdekében, hogy az e-pénz használata még egyszerűbb és kényelmesebb legyen, a Barion mögött álló Sense/Net Zrt. a közeljövőben tervezi a bankkártyás számlafeltöltés bevezetését. Ennek első lépcsőjeként a PCI DSS (Payment Card Industry Data Security Standards) tanúsítványt szerezte meg a cég, mely igazolja a szigorú biztonsági előírásoknak való megfelelést, és lehetővé teszi, hogy a Sense/Net bankkártya-elfogadóvá váljon, bankkártyaadatokat kezeljen és akár tároljon is.
A PCI DSS szabványt a Visa, a MasterCard, az Amex, a JCB és a Discover hozta létre, ezt a szabványt követi ma minden bankkártyapiaci szereplő. Az egy tucat szigorú előíráscsoport pontosan szabályozza, hogy ki és milyen módon férhet hozzá az kártyaadatokhoz, és azt is, hogy a kártyaadatokat hogyan kell megvédeni.
A Barion esetében a tanúsítvány megléte lehetővé teszi, hogy az e-pénz még több fizetési megoldásba épüljön be, emelheti az elfogadóhelyek számát és a szolgáltatás biztonságát is. A PCI DSS szabvány előírásainak betartását egy 80 oldalas, 12 kategóriából és több száz pontból álló óriás lista igazolja. A Barion tanúsításához szükséges biztonsági letapogatást (network scan) az amerikai Comodo HackerGuardian végezte, a cég elsőre megfelelt a 32 pontból álló ellenőrzés minden előírásának. Az ellenőrzést negyedévente újra el kell végezni. A PCI DSS szabvány betartása igazodik az e-pénz kibocsátói engedély megszerzéséhez kötelezően előírt COBIT alapú információbiztonsági szabályokhoz, amely alapján a cég működik.
Mivel a kártyaadatok védelme kulcsfontosságú, ezért olyan biztonsági rendszert fejlesztett a cég, amely nem csak az internetes kalózoktól (hackerektől), hanem a Barion saját munkatársaitól is megvédi az adatokat. Így például olyan titkosítást alkalmaznak, hogy a Barion egyetlen munkatársa sem tud egyedül hozzáférni ahhoz a titkos kulcshoz, amivel a kártyaadatokat vissza lehet fejteni.
„Még a cég vezérigazgatója vagy a műszaki igazgató sem fér hozzá a kártyaadatokat tároló szerverhez egyedül, így az adatok még zsarolással vagy fenyegetéssel sem szedhetők ki a munkatársainkból" – emelte ki Bíró Tamás, a Barion egyik alapítója.
Egyéb érdekességek:
- szerverhozzáféréshez egyszerre két ember kell,
- folyamatosan figyelni kell, hogy nincs-e engedélyezetlen wifi valahol a gépeken,
- ujjlenyomatos belépés még a rendszer fejlesztőinek a szobájába is,
- az éles szerverekhez a fejlesztők nem is férhetnek hozzá,
- a kártyaadatok egy titkosított adatbázisban tárolódnak, máshol sehol sem kerülnek rögzítésre, még a naplókba (log) sem kerülnek be,
- a mobiltelefonon soha semmilyen kártyaadat nem kerül mentésre,
- a szerverekhez való hozzáférés folyamán minden billentyűleütést és a képernyőt is rögzítjük.