|
|
 |
|
|
 |
|
|
Izdvajamo iz broja:
|
|
|
|
|
|
|
|
Marko Jertec
|
|
|
|
|
Danas više nego ikad sigurnosni izazovi u fokusu su svih sudionika kartičnih transakcija, a osobito je to izraženo kod trgovaca kao entiteta u neposrednom doticaju s krajnjim korisnicima i općenito platnim karticama i pripadajućim kartičnim podacima. Trgovci su vrlo atraktivne mete za krađu podataka, a poduzete protumjere često su nedostatne za učinkovitu zaštitu.
Još prije nekoliko godina javila se potreba za pokretanjem programa koji će ponuditi i omogućiti bankama prihvatiteljima (engl. acquirers) i njihovim trgovcima cjelovit pristup u zaštiti kartičnih transakcija kao i punu sukladnost sa zahtjevima PCI DSS-a uz istodobno minimalno ometanje njihovih primarnih poslovnih procesa.
PCI DSS (Payment Card Industry Data Security Standard)
Upravljanje informacijskom sigurnošću smatra se sastavnim dijelom odgovornog upravljanja svake tvrtke. Svijest o važnosti informacijske sigurnosti naročito je razvijena u onim sektorima industrije i u onim organizacijama koje su posebno osjetljive na narušavanje povjerljivosti, integriteta i raspoloživosti informacija (npr. financijske ustanove). S povećanjem osviještenosti o važnosti i značaju informacijske sigurnosti za poslovanje, pokreću se različite inicijative koje za cilj imaju definiranje okvira, preporuka i standarda za podizanje razine informacijske sigurnosti.
Jedna od takvih inicijativa je i formiranje Payment Card Industry Data Security Standarda (u nastavku: PCI DSS) posebno namijenjenog financijskom sektoru, odnosno svim sudionicima čitavog lanca kartičnih transakcija što uključuje i trgovce.
PCI DSS standard stvoren je s ciljem zaštite kartičnih podataka, odnosno kartičnog poslovanja uopće. Za razvoj i unapređenje standarda odgovorno je nezavisno tijelo pod nazivom Payment Card Industry Security Standards Council (u nastavku: PCI SSC) koje je formirano od strane vodećih svjetskih kartičnih kuća (American Express, MasterCard Worldwide, Visa International, Discover Financial Services i JCB) koje su ujedno i glavni pokretači i nositelji PCI DSS standarda.
|
Inicijativa oko osnivanja nezavisnog tijela je bila potaknuta sve većim brojem kartičnih prijevara i krađa identiteta. Kartične kuće su uvidjele da je nužno povećati razinu sigurnosti informacijskih sustava svojih članica kako bi se zaštitili kartični podaci korisnika i u konačnici umanjile štete koje nastaju njihovom zlouporabom.
Kartične kuće obvezuju banke zaprimatelje, davatelje usluga kao i trgovce koji pohranjuju, obrađuju ili prenose kartične podatke na obavezno usklađivanje s PCI DSS zahtjevima. Kartične kuće su predale odgovornost zaprimateljima (bankama) i davateljima usluga da osiguraju svoju usklađenost s PCI DSS standardom te nadgledaju proces usklađivanja svojih trgovaca. Neusklađenost sa standardom povlači financijske kazne kao i mogućnost potpunog isključenja iz sustava kartičnog poslovanja.
Merchant Compliance Programme (Program sukladnosti trgovaca)
Kao odgovor na potrebu postizanja sukladnosti i pojednostavljivanja kompleksnog problema kao što je PCI DSS za trgovce tvrtka Eurocomputer systems d.o.o. iz Zagreba razvila je Merchant Compliance Programme ili skraćeno MCP.
Program zapravo predstavlja pomoć trgovcima da u prvom redu uspostave sve zahtjeve PCI DSS-a, a zatim iste i održavaju na prihvatljivoj razini s obzirom da je sukladnost sa standardom potrebno dokazivati na godišnjoj razini.
To u praksi znači da trgovci jednom godišnje moraju bankama zaprimateljima dostavljati iscrpni izvještaj o stanju sigurnosti njihovog kartičnog poslovanja koje pak o tome obavještavaju globalne kartične kuće koje su pokretači PCI DSS standarda.
Konkretno program predstavlja kombinaciju savjetodavnih usluga i tehničkog rješenja kojim se prati sukladnost trgovca s PCI DSS-om i to u obliku one-stop-shopa gdje korisnik (u ovom slučaju trgovac) na jednom centralnom mjestu ima sve mogućnosti i alate potrebne za praćenje stupnja sukladnosti sa standardom.
Kasnije kada je potrebno bankama, kartičnim kućama ili nekim drugim revizorskim društvima dostaviti određena izvješća, alat pruža unaprijed definirane izvještaje koji su dostupni na nekoliko klikova mišem i mogu se lako dostaviti u trenutku kada je to potrebno.
Savjetodavne usluge koje su sastavni dio ovog programa predstavljaju pomoć od strane konzultanata specijaliziranih u području informacijske i kartične sigurnosti te mogu voditi trgovca tijekom cijelog njegovog puta prema punoj sukladnosti s PCI DSS-om.
|
Trgovcu je vidljiv je samo jedan dio MCP programa s obzirom da je drugi dio programa orijentiran na banku koja je nositelj tog programa i koja ga omogućuje za sve svoje trgovce. S te strane banka razvija svoj dio infrastrukture potrebne za provođenje programa sukladnosti sa svojim trgovcima.
Tako se unaprijed definira sva potrebna dokumentacija za trgovce, provodi edukacija sudionika programa koji će ga s bančine strane voditi, prioritiziranje trgovaca prema rizičnosti odnosno kojim trgovcima će pristupiti ranije, uspostava marketinškog i komunikacijskog plana, izrada inicijalnih materijala za sudionike programa, uspostava plana izvještavanja te na kraju priprema tehničkog rješenja pomoću kojeg se program uspostave sukladnosti trgovaca s PCI DSS-om i provoditi.
Bez tehničke potpore ovako složeni proces bio bi neizvediv s obzirom da PCI DSS standard zahtijeva provođenje vanjskog skeniranja ranjivosti na svim javno dostupnim IP adresama trgovca putem kojih se prenose kartični podaci.
Tvrtka Trustwave koja je specijalizirana na području kartične sigurnosti i ima okvirno 50%-tni udio na globalnom tržištu u Hrvatskoj je prisutna kroz partnerski odnos s Eurocomputersystems d.o.o. i praktički predstavlja jedinu takvu tvrtku na našem tržištu koja je u mogućnosti pružiti usluge kartične sigurnosti ove vrste.
Njezino rješenje Trust-keeper služi kao tehnička potpora pri operativnoj provedbi programa sukladnosti s trgovcima i najlakše ga je opisati kao jednu vrstu web portala na kojem međusobno surađuju trgovci i banka. Svakom trgovcu dodijeljeno je korisničko ime i pripadajuća lozinka te mu se nakon registracije i unosa inicijalnih podataka pruža mogućnost početka i praćenja statusa uspostave sukladnosti s PCI DSS-om.
U Hrvatskoj već je aktualan jedan MCP koji se posljednjih godinu dana provodi u suradnji s jednim od najvećih i najeminentnijih banaka. Time je omogućeno trgovcima da se zaštite od mogućih tužbi, financijske uštede, umanjivanje rizika od gubitaka osjetljivih korisničkih i kartičnih podataka i što je najvažnije da zadrže povjerenje kod svojih klijenata.
|
ECS
ECS d.o.o. (EUROCOMPUTER SYS-TEMS d.o.o.) je utemeljen 1991. i od tada postiže značajne poslovne uspjehe koji tvrtku svrstavaju u vrh hrvatskih informatičkih tvrtki s obzirom na opseg usluga, kvalitetu, referentnu listu i ostala mjerila.
Sjedište tvrtke je u Zagrebu, a poslovnice se nalaze u Osijeku, Splitu i Rijeci. Teritorijalna pokrivenost pruža komparativnu prednost jer omogućuje lokalnu prisutnost i brzu reakciju, a time i sposobnost održavanja kritičnih sustava klijenata kakve danas nalazimo u svim granama industrije.
Tvrtka svoj rast i uspjeh duguje prije svega stručnom i kvalitetnom vođenju posla u čemu nema kompromisa. Stručnost potvrđuje i preko 300 međunarodno priznatih certifikata koje posjeduje naših 40 djelatnika.
ECS pruža usluge projektiranja, inženjeringa, konzaltinga, školovanja i izgradnje informacijskih sustava. Na projektnoj osnovi isporučuje cjelovita rješenja informacijsko komunikacijskih sustava i to od informacijske i mrežne infrastrukture do aplikativnih rješenja, kompleksnih i geografski distribuiranih sustava. Pri tome se oslanja na vrhunske informacijske tehnologije svjetski poznatih proizvođača.
Od 2007 se znanja i iskustva na području informacijske sigurnosti strukturiraju i nadopunjuju formalnim obrazovanjem. Odjel Poslovno Savjetovanje u Informatici (PSI) je do sada stekao certifikate, Certified Information System Security Professional (CISSP), Certified Information Security Manager (CISM) i Project Management Professional (PMP), a pruža savjetodavne usluge na području informacijske sigurnosti.
Vodeća znanja posjedujemo u području uspostave sustava upravljanja kontinui-tetom poslovanja (BCP/M) i usklađivanje s regulatornim zahtjevima i standardima (PCI DSS, Odluka HNB-a o primjerenom upravljanju informacijskim sustavom, te slična regulative zemalja u regiji). Uz to radimo na usklađenju sa ISO 27000 i unaprjeđenju sigurnosti informacijskih sustava.
Na području istraživanja i razvoja softvera tvrtka pruža usluge izrade aplikativnih rješenja po narudžbi korisnika, programske prilagodbe, izradu novih i inovativnih rješenja za podršku poslovanju u različitim industrijskim segmentima, izradu enterprise rješenja i rješenja za mobilne uređaje.
U cilju još boljeg ispunjenja zahtjeva naših klijenata i podizanja razine kvalitete naših usluga, tvrtka je uspostavila sustav upravljanja kvalitetom i od 2001. godine održava usklađenost sa certifikatom ISO 9001:2008 za kvalitetu.
|
|
 |
|
|
 |
|
|
|