Современные
информационные технологии/
Информационная
безопасность
Дубчак О. В., Ращенко Р.В.
Національний авіаційний університет, Україна
ОРГАНІЗАЦІЯ
ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ ВЛАСНИКІВ ПЛАТІЖНИХ КАРТОК
Вступ Зі стрімким впровадженням новітніх
технологій в еквайрингові мережі
банківських організацій зростають вимоги до рівня захисту конфіденційних даних
власників платіжних карток.
Payment Card Industry Data
Security Standard
(Стандарт захисту інформації в індустрії платіжних карток) — це набір вимог до безпеки
персональних даних власників карток, які передаються, зберігаються й обробляються в інформаційних
інфраструктурах банківських організацій, розроблений
міжнародними платіжними системами VISA International, MasterCard Worldwide,
American Express, JCB, Discover.
Мета розробки стандарту PCI DSS — підвищення захищеності
електронних торговельних і платіжних систем. Основну увагу в стандарті приділено забезпеченню
високого рівня безпеки інформаційних даних пластикових карток на всіх етапах
їхнього існування - зберігання, обробки й пересилання.
Актуальність Рішення про створення
даного єдиного стандарту було прийнято міжнародними платіжними системами у
зв'язку із зростанням числа повідомлень банківських установ про крадіжки або витік конфіденційної інформації відносно
рахунків їхніх клієнтів.
Постановка завдання Рішення проблеми інформаційної безпеки даних платіжних
карток вимагає комплексного підходу. Стандарт PCI DSS складається з 12 вимог,
кожна з яких охоплює певну область, пов'язану із забезпеченням захисту даних
про власників і самих платіжних пластикових карток. Вимоги використовують
світовий досвід в галузі захисту інформації й в основному регламентують доступ
і правила обробки відповідних даних. Пильна увага приділяється й організаційній
стороні безпеки, питанням обслуговування й керування елементами інформаційної
інфраструктури, які мають відношення до роботи із цими даними. [3]
Вимоги
безпеки стандарт PCI DSS визначає в наступних шістьох областях контролю:
Мета
даної роботи -
розглянути й проаналізувати вимогу стандарту PCI DSS Захист
даних власників карт.
Стандартна
банківська карта має вигляд прямокутної пластини, виготовленої зі стійкої до
термічних і механічних впливів пластмаси, розміром 54х86х0,76 мм.
Персоналізована банківська карта включає кілька елементів, що дозволяють
ідентифікувати її власника. На картці обов'язково вказується ім'я власника,
його особистий номер, номер банківської картки, шифр відділення банку,
найменування банку, символи міжнародної платіжної системи (VISA International,
MasterCard Worldwide, Аmerican Express,), термін дії. На зворотному боці
розташовується магнітна смуга, код CVC/CVV 2, а на спеціально відведеному полі
ставиться підпис власника. Це приклад традиційного способу персоналізації карт,
якого дотримуються багато банків.
Деякі
компанії з виробництва пластикових карток разом з міжнародними платіжними
системами пропонують додаткові способи персоналізації. Ступінь захисту
банківської картки підвищується шляхом
розміщення на ній: тексту або зображення, які видимі тільки в
ультрафіолетовому спектрі; мікротексту - шрифту висотою 0,40 мм, який можна
прочитати тільки за допомогою збільшувального скла; дифракційного елементу -
спеціального знаку, який змінює колір залежно від кута зору; спеціального
зображення з ліній різної товщини, яку неможливо скопіювати; голограми,
мікрорельєфної структури - зображення,
розрахованого за допомогою спеціального програмного забезпечення, й такого, що
змінюється залежно від кута зору.
Останнім
часом значне поширення одержали біометричні методи розпізнавання особистості. У
зв'язку із цим стали використовуватися пристрої ідентифікації власника картки
за формою кисті, відбитками пальців, долоні, тембром голосу, райдужною
оболонкою ока тощо. Однак при такій організації захисту інформаційних
даних необхідно враховувати
характеристики біометричних систем - точність,
стійкість до підробки, впливу зовнішніх факторів тощо. До того ж реалізація
такого інтеграційного проекту потребує серйозних фінансових вкладень: для
зберігання подібної інформації знадобиться великий обсяг пам'яті носія;
необхідно створити мережу пристроїв, здатних сприймати й обробляти інформацію
такого роду.
Однак,
незважаючи на всі складності, у Японії працюють автомати, що ідентифікують
користувача за райдужною оболонкою очей, а в торговельних мережах
функціонують пристрої HandKey, що розпізнають власника за
формою кисті.
Більш
реально сьогодні виглядає смарт - картка з мікрочипом. Перевага цієї картки
полягає у можливості збереження значного обсягу персональної інформації й у
високій стійкості до зломів. На ринку вже з'явилася більш удосконалена модель —
суперсмарт - картка. Наприклад,
багатоцільова картка системи Toshiba,
використовувана в міжнародній платіжній системі Visa
International, крім функцій мікропроцесорної картки має невеликий екран
і допоміжну клавіатуру для уведення даних. Ця картка поєднує в собі кредитні,
дебетову й передплатну картки, а також має ряд додаткових функцій, таких як:
годинник, калькулятор, календар, конвертація валют, записна книжка.
Отже, якщо
банки прагнуть звести обслуговування клієнтів до роботи в єдиному вікні, то при розробленні технічних засобів явно
спостерігається тенденція - все в одному пристрої. [1]
Висновок Додержання вимог стандарту PCI DSS є необхідною умовою надійного функціонування системи інформаційної
безпеки банківських установ. Невиконання вимог стандарту PCI DSS може призвести
до значних збитків у випадку виникнення витоку даних платіжних карток,
пов'язаним з відшкодуванням витрат на повторний випуск платіжних карток всіх
банків, клієнти яких постраждали або могли постраждати в результаті витоку.
Непроходження банківськими установами обов'язкової щорічної процедури аудита також
може призвести до небажаних наслідків - викликати штрафні санкції з боку
міжнародних платіжних систем.
Література:
1.
http://bankir.ru/technology
2.
http://ru.wikipedia.org
3.
http://stocksblog.ru