PCI-DSS

A Barion wikiből

Biztonságos bankkártya kezelés

Megszerezte a PCI DSS tanúsítványt a Barion, mely szükséges ahhoz, hogy az egyetlen engedélyezett magyarországi e-pénz szolgáltató bankkártyaadatokat is kezelhessen.

Pci-logo.jpg

Annak érdekében, hogy az e-pénz használata még egyszerűbb és kényelmesebb legyen, a Barion mögött álló Sense/Net Zrt. bankkártyás számlafeltöltést vezet be, "Turbó Feltöltés" néven. Ennek első lépcsőjeként a PCI DSS (Payment Card Industry Data Security Standards) tanúsítványt szerezte meg a cég, mely igazolja a szigorú biztonsági előírásoknak való megfelelést, és lehetővé teszi, hogy a Sense/Net bankkártya-elfogadóvá váljon, bankkártyaadatokat kezeljen és akár tároljon is.

A PCI DSS szabványt a Visa, a MasterCard, az Amex, a JCB és a Discover hozta létre, ezt a szabványt követi ma minden bankkártyapiaci szereplő. Az egy tucat szigorú előíráscsoport pontosan szabályozza, hogy ki és milyen módon férhet hozzá az kártyaadatokhoz, és azt is, hogy a kártyaadatokat hogyan kell megvédeni.

A Barion esetében a tanúsítvány megléte lehetővé teszi, hogy az e-pénz még több fizetési megoldásba épüljön be, emelheti az elfogadóhelyek számát és a szolgáltatás biztonságát is. A PCI DSS szabvány előírásainak betartását egy 80 oldalas, 12 kategóriából és több száz pontból álló óriás lista igazolja. A Barion tanúsításához szükséges biztonsági letapogatást (network scan) az amerikai Comodo HackerGuardian végezte, a cég elsőre megfelelt a 32 pontból álló ellenőrzés minden előírásának. Az ellenőrzést negyedévente újra el kell végezni. A PCI DSS szabvány betartása igazodik az e-pénz kibocsátói engedély megszerzéséhez kötelezően előírt COBIT alapú információbiztonsági szabályokhoz, amely alapján a cég működik.

Mivel a kártyaadatok védelme kulcsfontosságú, ezért olyan biztonsági rendszert fejlesztett a cég, amely nem csak az internetes kalózoktól (hackerektől), hanem a Barion saját munkatársaitól is megvédi az adatokat. Így például olyan titkosítást alkalmaznak, hogy a Barion egyetlen munkatársa sem tud egyedül hozzáférni ahhoz a titkos kulcshoz, amivel a kártyaadatokat vissza lehet fejteni.

Biztonsági intézkedések:

  • szerverhozzáféréshez egyszerre két ember kell, még a cég vezérigazgatója vagy a műszaki igazgató sem fér hozzá a kártyaadatokat tároló szerverhez egyedül, így az adatok még zsarolással vagy fenyegetéssel sem szedhetők ki a munkatársainkból.
  • folyamatosan figyelni kell, hogy nincs-e engedélyezetlen wifi valahol a gépeken,
  • ujjlenyomatos belépés még a rendszer fejlesztőinek a szobájába is,
  • az éles szerverekhez a fejlesztők nem is férhetnek hozzá,
  • a kártyaadatok egy titkosított adatbázisban tárolódnak, máshol sehol sem kerülnek rögzítésre, még a naplókba (log) sem kerülnek be,
  • a mobiltelefonon soha semmilyen kártyaadat nem kerül mentésre,
  • a szerverekhez való hozzáférés folyamán minden billentyűleütést és a képernyőt is rögzítjük,
  • a szervereket tűzfal védi
  • a szervereket és az egész barion hálózatot vírusirtó védi