torsdag, februar 23, 2012
Datainnbrudd PDF Skriv ut

Det var i 2008 flere datainnbrudd knyttet til kredittkort enn de fire foregående årene til sammen.

Angriperne finner stadig vekk nye veier for å trenge seg inn i systemer og det er svært viktig for alle brukersteder som behandler kortholderdata å ta sikkerhetsmessige forhåndsregler for å unngå en kompromittering av systemer. Alle brukersteder som behandler, prosesserer eller oppbevarer kortholderdata må påse at kravene i PCI DSS følges. 

Kontakt din innløser hvis du har spørsmål om sikker lagring av kortholderdata. 

Forum For Norske Kortinnløsere anbefaler også alle brukersteder som ikke har tilgang til kortdata om å ha generell fokus på sikkerhet og ikke tillate uvedkommende tilgang til betalingsterminalen og lignende.

 

Mistanke om kortdata på avveie? 
Mistanke må umiddelbart meldes til innløser slik at tiltak kan igangsettes. Det er svært viktig å få stoppet videre tapping av data på et tidlig tidspunkt. Alle risikoutsatte kortnumre sendes til kortutstedende banker for sperring. 

 
 - Ved fysisk betalingsterminal hvor data sendes kryptert er det viktig å sjekke terminalen for skimming utstyr. Ved integrerte løsninger, som for eksempel et hotell med flere betalingspunkter, kan man i en mellomperiode være nødt til å benytte en stand-alone terminal mens etterforskningen pågår for å kunne opprettholde normal drift. 

- Ved ikke-hosted netthandel kan man risikere å ikke kunne benytte betalingsløsningen før innbruddet er etterforsket og alle systemer er sikret


Økonomiske konsekvenser av datainnbrudd
Det er en rekke kostnader i tillegg til det reelle tapet som følge av et misbruk; kortutstedende banker må sperre og sende ut nye kort til sine kortholdere som har handlet hos brukerstedet hvor datainnbruddet har funnet sted, etterforskning tar ofte flere uker og er en ikke ubetydelig kostnad. 

For et lite brukersted kan et datainnbrudd bety slutten for virksomheten hvis kravene i PCI DSS ikke er fulgt. Så lenge kravene i PCI DSS overholdes, og rapportering er gjort til innløser, vil ikke brukerstedet stå økonomisk ansvarlig ved en kompromittering av systemer.