Wyzwania informatyki bankowej 2016
wyzwania_informatyki_bankowej_0
wyzwania_informatyki_bankowej_0
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
w krótkim czasie. Dla niektórych procesorów płatności oznaczałoby to bowiem<br />
potrzebę np. wymiany praktycznie od razu istotnego procenta terminali<br />
POS 2 . Do tego należy uwzględnić także wiele pomocniczych systemów<br />
IT, które mogą nie wspierać zalecanych protokołów. Kolejnym problemem są<br />
konfiguracje systemów zgodnie z PA DSS – jeśli klient otrzyma system z taką<br />
konfiguracją, raczej próbuje jej nie zmieniać, aby zapewnić sobie zgodność<br />
z PCI DSS. Oznacza to, że potencjalnie niebezpieczne ustawienia systemu<br />
bądź aplikacji mogą być utrzymywane do momentu ponownej certyfikacji<br />
właściwej konfiguracji przez dostawcę.<br />
Innym problemem może być separacja systemów i środowisk przetwarzające<br />
dane kartowe od tych nie zawierających takich informacji. W przeszłości<br />
PCI nie był jednoznaczny jeśli chodzi o stosowanie wirtualizacji, bo standard<br />
bazował na założeniu galwanicznej separacji systemów. Dzisiaj podobna sytuacja<br />
występuje w przypadku kolejnej warstwy abstrakcji wirtualizacji jaką<br />
są kontenery. Np. bardzo popularny Docker – tak jak wspomniano w podrozdziale<br />
CaaS – jest oparty o implementację lxc w przypadku systemów linuksowych.<br />
Ta implementacja nie musi być uznana za pełną separację.<br />
Oto kilka istotnych zmian jakie zostaną wprowadzone w wersji 3.2 PCI DSS:<br />
• położono większy nacisk na two-factor authentication,<br />
• zasady maskowania PAN zostaną lepiej wyjaśnione,<br />
• zaostrzenie wymagań wobec niektórych podmiotów podlegających pod<br />
PCI DSS poprzez dodatkowe procedury weryfikacji codziennych procesów,<br />
co ma pomóc w upewnieniu się, że organizacja spełnia wymogi PCI<br />
DSS podczas normalnego, codziennego funkcjonowania.<br />
Najnowsza wersja standardu uwzględnia także docelowe daty migracji<br />
SSL i TLS, które były już opublikowane wcześniej w formie suplementów.<br />
Podsumowanie<br />
W powyższym artykule – ze względu na ograniczenia techniczne – nie poruszyłem<br />
jednej, lecz niezwykle ważnej dla bezpieczeństwa kwestii: zagadnień<br />
legislacyjnych. Niewątpliwie legislacja, podobnie jak standardy, nie nadąża za<br />
dynamicznie zmieniającymi się metodami ataku.<br />
2 Warto w tym miejscu zauważyć, ze statystyki z ostatnich lat pokazują ciągły wzrost liczby ataków<br />
i infekcji terminali POS.<br />
178 Aleksander P. Czarnowski, AVET