Upload
andris-soroka
View
176
Download
4
Embed Size (px)
Citation preview
Maksājumu karšu datu drošības incidents
un tā sekas
Gatis IlgažsE-komercijas Risku vadītājs
AS Baltikums Bank
Ievads
Payment Card Industry Data Security Council (PCI DSC)
◦Izveidota apvienojoties Mastercard, VISA, Discover, American Express un JCB
◦Galvenais mērķis – Izstrādāt drošības noteikumus maksājumu karšu datu uzglabāšanai un apstrādei – Data Security Standards (PCI DSS)
VISA un Mastercard kā galvenās Regulējošās iestādes un sankciju piemērotāji
Aizsargājamā informācija◦ Kartes Turētāja Dati
Pilns maksājumu kartes numurs◦ Kartes turētāja vārds◦ Kartes derīguma termiņš◦ Servisa kods
◦ Sensitīvie Autentifikācijas Dati◦ CVV vai CVC◦ Magnētiskā celiņa informācija vai Čipa informācija◦ PIN kodi
VISA un Mastercard šo sarakstu nenoslēdz un tajā var tikt iekļauti arī personu dati, piemēram Personas kods vai kontaktinformācija
Bankas ir atbildīgas par savu un savu tirgotāju sistēmu atbilstību drošības noteikumiem
Ko darīt ja ir noticis Incidents?
Izolēt inficēto sistēmu maksimāli saglabājot to neskartu pierādījumu saglabāšanas nolūkā
Paziņot VISA un Mastercard nekavējoties ja ir noticis, vai arī ir aizdomas par incidentu
48h pēc paziņošanas ◦ Mastercard jāiesniedz pirmā atskaite◦ VISA jāiesniedz dokumentācija par atbilstību PCI standartiem
72h pēc paziņošanas◦ VISA- jāiesniedz pirmā atskaite un seku likvidēšanas plāns. VISA lemj
vai piesaistīt PCI Izmeklētāju (Payment Forensic Investigator - PFI)◦ Mastercard- jāpiesaista sertificēts PF Izmeklētājs un jāreģistrē
potenciālais izmeklēšanas apjoms
Incidenta izmeklēšana
Ja VISA lūdz piesaistīt Sertificētu PF Izmeklētāju;
◦ Tas jāizdara 5 dienu laikā
◦ Ne vēlāk kā 10 darbadienu laikā jānoslēdz līgums
◦ Izmeklētājam jāsāk darbs 5 dienas pēc līguma parakstīšanas
◦ 5 dienas pēc Izmeklētāja darba uzsākšanas, iesniegt VISA pirmo atskaiti
◦ Ne vēlāk kā 10 dienas pēc PF Izmeklētāja pārbaudes pabeigšanas, iesniegt VISA galējo atskaiti ar pilnu un detalizētu incidenta pārskatu un seku likvidēšanas plānu
Mastercard
◦2 dienas pēc PF Izmeklētāja piesaistes, ziņot Mastercard par izmeklēšanas uzsākšanu.
◦3 dienas pēc PF Izmeklētāja darba uzsākšanas iesniegt Mastercard pirmo atskaiti
◦20 dienu laikā pēc PF Izmeklētāja darba uzsākšanas, iesniegt Mastercard pilnu Incidenta atskaiti ar detalizētu plānu seku likvidēšanai
Incidenta sekas
Datu drošības incidentam visizteiktākās ir divu veidu sekas;
◦Finansiālās sekas
◦Reputācijas sekas
Finansiālās sekas;
◦Soda naudas no VISA un Mastercard
Atkarīgas no Incidenta ilguma un apjoma◦Summas 5 000 – 500 000$ un augoša
VISA un Mastercard drošības noteikumu neatbilstības◦Summas no 10 000 – 200 000$ par katru neatbilstību
PCI noteikumu neatbilstības◦100 000$ par katru neatbilstību
Krāpniecisko darījumu un Klientu sūdzību finansiālās sekas
◦Summas nenosakāmas
PF Izmeklētāju un VISA/Mastercard auditoru izdevumi
◦Samaksa par apmeklējumu
◦Ceļojumu izmaksas
◦Uzturēšanās izmaksas
Reputācijas sekas
◦Imidža zaudēšana
◦Investoru uzticības zaudēšana
◦Klientu uzticības zaudēšana
Finansiālie zaudējumi- nenosakāmi
Jautājumi un atbildes
Paldies par uzmanību
Ar cieņu,Gatis Ilgažs