Средствата на потребителите се съхраняват в специални сегрегационни сметки, които се намират в традиционни банки
В днешно време голяма част от живота ни преминава в онлайн пространството и гарантирането сигурността на нашата самоличност и идентичност там е също толкова важно, колкото и в реалния свят. Хакерски кампании стават все по-актуални в интернет заради появата на отворени към интернет пространството и облачните технологии банкови услуги.
Затова е важно клиентите да се уверят, че избраното от тях решение има мултифакторна автентикация при достъп и наличие на сертификати за сигурност - чрез парола за достъп, биометрично разпознаване на самоличността и др.
Такъв е PCI-DSS, въведен от 2006 г. Макар много малко банки да го притежават, ако искат да се включат към системата на Mastercard и VISA, стартъп компаниите от финтех сектора трябва изначално да съответстват на този стандарт. За тях това е условието за вход на този пазар. Тоест те влизат в обхвата на механизмите за контрол на големите картови оператори, дава своята гледна точка по темата Павел Камински, експерт по картовите разплащания в Seven Security Group, първата българска компания с PCI QSA лиценз.
Той дава възможност за оценяване и сертифициране на картовите бизнеси на
организации, работещи с петте най-големи картови бранда - Mastercard, Visa, Diners Club, JCB, American Express.
Сред обичайните заплахи, пред които е изправен финансовият сектор, са няколко вида хакерски кампании. “Първата от тях е свързана с атака за отказ на услугата. Тук мотивацията е пряко свързана с финансова облага - дали посредством изнудване на атакуваната компания или посредством подбуда от конкурентна компания на пазара. В тази хипотеза рисковете пред компаниите са пряко свързани с неработещи услуги, директни оперативни загуби, загуба на имидж и загуба на клиенти”, обяснява Тодор Кунев, мениджър отдел “Информационна сигурност” в iCard.
Българският дигитален портфейл също е притежател на стандарта за сигурност и
подлежи на ежегодна сертификация. Средствата на потребителите му се съхраняват в специални сегрегационни сметки, които се намират в традиционни банки. Екипът на Тодор Кунев поддържат потока от информацията на мобилните приложения, която е криптирана, а освен това независими експерти редовно извършват ръчно тестване на приложенията, инфраструктурата и мрежата на iCard.
Те следят 24/7 всички съобщения и операции и ако бъде забелязана необичайна активност, служителите незабавно задействат мерки за сигурност и се свързват с клиентите. Достъпът до приложението и извършването на трансакция изисква “двуфакторна автентикация” - клиентите се идентифицират с уникален персонален код и допълнително ръчно да верифицират изпълнението на финансови операции с еднократен уникален код, който получават в реално време от iCard. При извършване на мобилно плащане пък също се изисква код за достъп или пръстов отпечатък.
Виртуалните карти могат да се заключват, отключват и да им се поставят лимити. iCard поддържа и 3D сигурност технология при плащания онлайн.
Всичко това е задължително за компанията, тъй като последната версия на стандарта включва 360 изисквания и засяга всички аспекти на информационната сигурност - от изграждането на сигурни мрежи, сигурни системи, защита на картовите данни по времето на тяхното съхранение и предаването им, наличие на процеси и програми в организациите, които гарантират непрекъсваеми процеси по тестване на системите за уязвимости.
Освен това стандартът задължава компаниите да правят постоянен мониторинг и
одит на системите, като от въпросните 360 изисквания 12 са със статут на основни и две от тях се грижат точно за това. И макар че с напредването на технологиите се развиват и опасностите, е важно да се отбележи, че от 13 години насам няма нито една организация, станала жертва на хакерска атака, която преди това да е била сертифицирана по този стандарт.
