Czołowa europejska organizacja płatnicza Visa Europe opublikowała najnowszą pozycję w serii poradników ochrony przed przestępstwami dokonywanymi w sferze systemów płatniczych.
Publikacja, zatytułowana “Device Skimming: Attacks and Defence” (Skimming urządzeń: atak i obrona), to skierowany do detalistów, branżowy zbiór wzorcowych reguł postępowania mających pomóc placówkom handlowo-usługowym w ochronie systemów obsługi płatności i ograniczyć prawdopodobieństwo, że staną się one ofiarami praktyk nielegalnego kopiowania danych kart płatniczych, określanych angielskim terminem „skimming”.
Ze skimmingiem mamy do czynienia wówczas, gdy przestępcy instalują na bankomatach, terminalach lub kasach obsługujących płatności w punkcie sprzedaży dodatkowe elementy zdolne do ”przechwytywania” danych kart płatniczych – a potencjalnie również kodu PIN klienta – w trakcie przetwarzania danych transakcji z użyciem karty.
Złodzieje kart są wszędzie. Jak zabezpieczyć przed nimi pieniądze?
Powodzenie działań prewencyjnych w znacznym stopniu zależy od dbałości o stan urządzeń płatniczych w punkcie sprzedaży oraz zachowania należytej czujności. Przestrzeganie prostych wskazówek, z których kilka zostało zacytowane poniżej, sprzyja zwiększeniu bezpieczeństwa systemów obsługi płatności. Organizacja Visa Europe zaleca stosowanie się do wszystkich tych porad po to, by najlepiej wykorzystywać „wielowarstwowy” system ochrony. Detaliści proszeni są o następujące działania:
- Regularną kontrolę urządzeń do akceptacji płatności w celu ustalenia, czy nie zostały podmienione bądź zmodyfikowane. Kontrola winna polegać na sprawdzeniu, czy nie brakuje pieczęci, tzw. „plomb”, śrubek, itd.; czy nie widać prowadzących na zewnątrz przewodów lub otworów w obudowie urządzeń; czy nie pojawiły się dodatkowe nakładki lub naklejki maskujące uszkodzenia.
- Obserwację otoczenia urządzeń i zwracanie uwagi na wszelkie dodatkowe lub nieznane elementy. Bywa, że przestępcy instalują w pobliżu tych urządzeń kamery, by rejestrować cyfry wprowadzanego kodu PIN. Detaliści mogą odstraszać od takich prób i zwiększać bezpieczeństwo urządzeń poprzez monitoring z użyciem kamer przemysłowych ustawionych tak, by „widziały” one urządzenia płatnicze, lecz nie mogły rejestrować cyfr kodu PIN.
- Zabezpieczenie wykorzystywanych urządzeń tak, by nie można było ich zamienić ani modyfikować. Zawsze, gdy tylko to możliwe, należy zabezpieczyć przewody prowadzące do terminali, umieszczając je w odpowiednich kanałach kablowych lub innej fizycznie zabezpieczonej strukturze lub topologii.
- Przestrzeganie zasady weryfikacji danych pracowników obsługujących urządzenia płatnicze. Należy również poinformować pracowników o odpowiedzialności za ochronę urządzeń płatniczych i o konieczności zachowania czujności.
- Opracowanie i przestrzeganie zasad i procedur szkolenia pracowników w zakresie ustalania tożsamości osób dokonujących naprawy urządzeń płatniczych oraz wszelkich innych podmiotów zamierzających zainstalować lub wymienić urządzenie płatnicze.
- Używanie jedynie takich urządzeń, które spełniają wymóg zgodności ze standardami bezpieczeństwa danych dla branży kart płatniczych (ang. Payment Card Industry Data Security Standard – PCI DSS).
Stanley Skoglund, wiceprezes Visa Europe ds. ryzyka systemów płatniczych, powiedział: „Skimming staje się coraz bardziej wyrafinowany. Oszuści działają w grupach szeroko rozproszonych po świecie i ich ataki są często trudne do wykrycia. Organizacja Visa Europe nie toleruje działań naruszających bezpieczeństwo systemu płatności, które osłabiają również zaufanie ze strony konsumentów. Przyjmując postawę czynną, w swoich wytycznych wskazujemy na dostępne detalistom działania, zapewniające bezpieczeństwo korzystania z kart płatniczych i zwiększające zaufanie kupujących.”
W ostatnich kilku latach organizacja Visa Europe publikowała wiele wytycznych dla detalistów, dotyczących m.in. nowych technologii kodowania danych czy tokenizacji, jak również branżowych raportów (tzw. „białych ksiąg”) ułatwiających lepsze zrozumienie wagi ochrony danych użytkowników kart przez uczestników łańcucha płatności; wytyczne Visa Europe zawierają także proste porady dla detalistów nt. obrony przed najczęstszymi atakami przestępczymi.
Źródło: Visa Europe
Wojciech Boczoń
