TigerTeam - suomalainen tietoturvablogi

Payment Card Industry Security Standards Council (PCI SSC) on julkaissut dokumentin “Skimming Prevention – Best Practices for Merchants”. Tiedosto on saatavissa sekä PDF-muodossa että pakatussa ZIP-muodossa (sisältää 27-sivuisen .doc-tiedoston).

Kyse on maksukorttien kopioinnin estämiseen ja sen riskin arvioimiseen ohjeistavasta dokumentista, jonka on tuottanut PCI SSC PIN Transaction Security Working Group. Dokumentissa kuvataan parhaita käytäntöjä, joilla kopiointia voi vaikeuttaa tai kopiointi voidaan estää. Lisäksi pisteytystaulukon avulla kauppias voi määritellä kuinka suuri riski kopiointi kauppiaalle on.

Dokumentti sisältää listan tietoturvasuosituksista, joiden avulla kauppias voi:

• tiedostaa kopiointiin liittyvät riskit

• tiedostaa maksupäätteiden- ja terminaalien käyttöön sisältyvistä uhkat

• tiedostaa uhkat, jotka liittyvät asiakkaiden maksukortteja suoraan käsittelevään henkilökuntaan

• estää tai vaikeuttaa rikollisten hyökkäyksiä maksupääte- ja terminaalilaitteita tai maksuinfrastruktuuria kohtaan

• tunnistaa mahdollisimman nopeasti muokatun (compromized) laitteen ja pienentää onnistuneen hyökkäyksen vaikutusta

Dokumentissa on myös kuvia kopiointiin käytettävistä laitteista ja esimerkkejä tapahtuneista rikoksista. Näiden esimerkkien avulla pyritään auttamaan kauppiasta hyökkäyksien tunnistamisessa ja kasvattamaan tietoisuutta rikollisten käyttämistä tavoista.