Maksājumu karšu datu drošības incidents

un tā sekas

Gatis IlgažsE-komercijas Risku vadītājs

AS Baltikums Bank

Ievads

Payment Card Industry Data Security Council (PCI DSC)

◦Izveidota apvienojoties Mastercard, VISA, Discover, American Express un JCB

◦Galvenais mērķis – Izstrādāt drošības noteikumus maksājumu karšu datu uzglabāšanai un apstrādei – Data Security Standards (PCI DSS)

VISA un Mastercard kā galvenās Regulējošās iestādes un sankciju piemērotāji

Aizsargājamā informācija◦ Kartes Turētāja Dati

Pilns maksājumu kartes numurs◦ Kartes turētāja vārds◦ Kartes derīguma termiņš◦ Servisa kods

◦ Sensitīvie Autentifikācijas Dati◦ CVV vai CVC◦ Magnētiskā celiņa informācija vai Čipa informācija◦ PIN kodi

VISA un Mastercard šo sarakstu nenoslēdz un tajā var tikt iekļauti arī personu dati, piemēram Personas kods vai kontaktinformācija

Bankas ir atbildīgas par savu un savu tirgotāju sistēmu atbilstību drošības noteikumiem

Ko darīt ja ir noticis Incidents?

Izolēt inficēto sistēmu maksimāli saglabājot to neskartu pierādījumu saglabāšanas nolūkā

Paziņot VISA un Mastercard nekavējoties ja ir noticis, vai arī ir aizdomas par incidentu

48h pēc paziņošanas ◦ Mastercard jāiesniedz pirmā atskaite◦ VISA jāiesniedz dokumentācija par atbilstību PCI standartiem

72h pēc paziņošanas◦ VISA- jāiesniedz pirmā atskaite un seku likvidēšanas plāns. VISA lemj

vai piesaistīt PCI Izmeklētāju (Payment Forensic Investigator - PFI)◦ Mastercard- jāpiesaista sertificēts PF Izmeklētājs un jāreģistrē

potenciālais izmeklēšanas apjoms

Incidenta izmeklēšana

Ja VISA lūdz piesaistīt Sertificētu PF Izmeklētāju;

◦ Tas jāizdara 5 dienu laikā

◦ Ne vēlāk kā 10 darbadienu laikā jānoslēdz līgums

◦ Izmeklētājam jāsāk darbs 5 dienas pēc līguma parakstīšanas

◦ 5 dienas pēc Izmeklētāja darba uzsākšanas, iesniegt VISA pirmo atskaiti

◦ Ne vēlāk kā 10 dienas pēc PF Izmeklētāja pārbaudes pabeigšanas, iesniegt VISA galējo atskaiti ar pilnu un detalizētu incidenta pārskatu un seku likvidēšanas plānu

Mastercard

◦2 dienas pēc PF Izmeklētāja piesaistes, ziņot Mastercard par izmeklēšanas uzsākšanu.

◦3 dienas pēc PF Izmeklētāja darba uzsākšanas iesniegt Mastercard pirmo atskaiti

◦20 dienu laikā pēc PF Izmeklētāja darba uzsākšanas, iesniegt Mastercard pilnu Incidenta atskaiti ar detalizētu plānu seku likvidēšanai

Incidenta sekas

Datu drošības incidentam visizteiktākās ir divu veidu sekas;

◦Finansiālās sekas

◦Reputācijas sekas

Finansiālās sekas;

◦Soda naudas no VISA un Mastercard

Atkarīgas no Incidenta ilguma un apjoma◦Summas 5 000 – 500 000$ un augoša

VISA un Mastercard drošības noteikumu neatbilstības◦Summas no 10 000 – 200 000$ par katru neatbilstību

PCI noteikumu neatbilstības◦100 000$ par katru neatbilstību

Krāpniecisko darījumu un Klientu sūdzību finansiālās sekas

◦Summas nenosakāmas

PF Izmeklētāju un VISA/Mastercard auditoru izdevumi

◦Samaksa par apmeklējumu

◦Ceļojumu izmaksas

◦Uzturēšanās izmaksas

Reputācijas sekas

◦Imidža zaudēšana

◦Investoru uzticības zaudēšana

◦Klientu uzticības zaudēšana

Finansiālie zaudējumi- nenosakāmi

Jautājumi un atbildes

Paldies par uzmanību

Ar cieņu,Gatis Ilgažs