Ghid pentru securitatea tranzactiilor de pe card
Consiliul pentru standarde de securitate PCI (Payment Card Industry) a publicat un ghid menit să ajute organizațiile să dezvolte produse pentru tokenizare.
Tokenizarea este procesul prin care informațiile sensibile, cum ar fi datele unei tranzacții, sunt înlocuite cu un token generat în mod aleatoriu sau cu un simbol. Produsele de tokenizare, cum ar fi aplicațiile software, dispozitivele hardware sau serviciile, pot ajuta vânzătorii să reducă riscul de furt al informațiilor financiare deținute de clienți de către actori malițioși.
,,Tokenizarea este un mod prin carea organizațiile pot limita datele deținătorilor de card de credit. Un asemenea set de aplicații poate ajuta la îmbunătățirea sistemelor de securitate, care va duce la eforturi mai simple de conformare la standarde”, a spus Trou Leach, reprezentant PCI.
Există mai multe dificultăți în procesul de implementarea a tokenizării, însă deja există soluții potrivite prin care vânzătorii consideră că pot preveni fraudele economice și furtul de identitate. Ghidul de securitate pentru produsele de tokenizare lansat de Consiliul PCI a fost dezvoltat în colaborare cu mai mulți reprezentanți ai industriei.
Ghidul se concentrează pe generarea de tokenuri, utilizarea și stocarea acestora, dar și pe implementarea soluțiilor care se adresează vectorilor de atac potențiali îndreptați spre fiecare component al unui sistem. În ghid se arată și o clasificare a tokenurilor și a modurilor lor de utilizare.
Recomandările din ghid se adresează furnizorilor de produse de tokenizare, evaluatorilor acestora, dar și organizațiilor care vor să dezvolte, cumpere sau să folosească soluțiile respective.
,,Minimizarea stocării datelor de card este un pas critic în îmbunătățirea securității tranzacțiilor, iar tokenizarea face acest lucru. Cei din cadrul Consiliului sunt entuziasmați față de noul progres înregistrat în acest sector. Un obiectiv important pentru noi este să ajutăm vânzătorii să profite de avantajele oferite de tokenizare, criptare point-to-point (P2PE) și de tehnologiile de cip EMV (Europay, MasterCard, Visa), toate reprezentând o abordare de securitate stratificată”, a spus Stephen Orfei, reprezentant PCI.
Consiliul a precizat faptul că ghidul reprezintă informații suplimentare și nu înlocuiesc cerințele detaliate în standardul de securitate a datelor PCI (PCI DSS). PCI DSS 3.0 se concentrează mai mult pe securitate decât pe conformare și a intrat în vigoare începând cu 1 ianuarie 2015. Versiunea 3.1 a PCI DSS, care ar putea fi lansată în această lună, vorbește despre protocolul SSL (Secure Sockets Layer). Astfel, organizațiile trebuie să se asigure că furnizorii de servicii cu care colaborează folosesc cele mai noi versiuni ale protocolului.
Ghidul poate fi găsit în format PDF aici.
