Uvod

Payment Application Data Security Standard (PA-DSS) je standard izveden iz PCI DSS standarda, objašnjenog u mojim kolumnama na Orkisovu portalu iz svibnja i lipnja 2009. godine. Kreator ovoga standarda – Payment Card Industry Security Standards Council – smatrao je neophodnim dodati općem PCI DSS standardu i ovaj standard stoga što osnovni PCI DSS ne obvezuje izravno one ponuđače aplikacija za računalnu obradu transakcija plaćanja putem platežnih kartica koji sami ne pohranjuju, ne obrađuju ili ne prenose podatke o vlasnicima kartica (primjerice, proizvođače softverskih rješenja za kartično plaćanje ili za upravljanje računalnim mrežama putem kojih će se obavljati elektronička plaćanja karticama). No, budući da takve podatke njihovi klijenti (klijenti navedenih ponuđača aplikacija) pohranjuju, obrađuju i/ili prenose, sve aplikacije za računalnu obradu transakcija plaćanja putem platežnih kartica trebale bi biti oblikovane tako da budu sukladne s općim PCI DSS-om, odnosno da ne otežavaju ili ne priječe primjenu PCI DSS-a.

Za ilustraciju, navodimo samo nekoliko primjera načina na koje aplikacije kartičnog plaćanja mogu sprječavati ili otežavati primjenu PCI DSS-a:

• pohranjivanje podataka s magnetske vrpce (tzv. stripa) platežne kartice u računalima ili mrežama klijenta nakon njihove autorizacije,
• aplikacije koje zahtijevaju od klijenta blokiranje nekih računalnih funkcija koje PCI DSS izrijekom zahtijeva – primjerice, antivirusne zaštite ili zaštite putem tzv. vatrozida (engl. Firewall) – kako bi te aplikacije mogle ispravno funkcionirati, ili
• situacije u kojima ponuđači (pružatelji, prodavači) takvih aplikacija sami koriste nesigurne metode pružanja usluga ili isporuke svojih aplikacija klijentima.

Cilj standarda PA-DSS minimalizirati potencijalne sigurnosne rizike, prijevare i zloporabe u okruženju u kojemu se primjenjuje opći PCI DSS standard.

Mjesto PA-DSS standarda u cjelovitoj hijerarhiji standarda strateškog upravljanja informacijskim tehnologijama shematski je prikazan na slici.

Obuhvat PA-DSS standarda

PA-DSS se primjenjuje na ponuđače softvera i ostale subjekte koji razvijaju aplikacije kartičnog plaćanja koje pohranjuju, obrađuju ili prenose podatke o vlasniku kartice prilikom autorizacije ili likvidacije plaćanja, kada se te aplikacije prodaju, iznajmljuju, distribuiraju ili licenciraju trećim stranama.

Kada treba donijeti odluku ili ocijeniti treba li u konkretnoj situaciji primijeniti PA-PDS, valja se pridržavati sljedećih smjernica:

• PA-DSS se primjenjuje na aplikacije kartičnog plaćanja koje se tipično prodaju i instaliraju po principu „ključ u ruke“ bez većih prilagodbi posebnim zahtjevima korisnika koje bi trebao izvršiti njihov ponuđač (prodavač).
• PA-DSS se primjenjuje na aplikacije kartičnog plaćanja koje se nude u modulima, kada obično postoji „osnovni modul“ i ostali moduli specifični s obzirom na tip korisnika ili funkcija koje će se obavljati, kao i u slučaju kada korisnik zahtijeva veće prilagodbe izvornih aplikacija. PA-DSS može se primjenjivati samo na „osnovni modul“ ako je on jedini koji obavlja funkcije kartičnog plaćanja. Ako ostali moduli također obavljaju funkcije kartičnog plaćanja, PA-DSS treba primijeniti i na njih. Kreatorima i ponuđačima softvera se preporučuje da izoliraju funkcije kartičnog plaćanja u jednom ili u manjem broju „osnovnih modula“ svojih aplikacija, dok sve ostale (neplatežne) funkcije biti slobodno „raspršene“ po ostalim modulima.
• PA-DSS se ne odnosi na ponuđače aplikacija onda kada ih oni pružaju kao usluge (ukoliko se ne prodaju, ne licenciraju ili ne distribuiraju trećim stranama), i to zato što:
- je aplikacija usluga koja se nudi klijentima (tipično trgovcima) koji je ne mogu sami instalirati, upravljati i kontrolirati u svome okruženju,
- aplikaciju kao takvu ili kao uslugu nudi subjekt koji je i inače sam obvezan primjenjivati PCI DSS,
- se aplikacija ne prodaje, ne distribuira ili ne licencira trećim stranama.

Aplikacije na koje se odnose prethodno navedene smjernice u stručnoj se informatičkoj terminologiji nazivaju „softver kao usluga“ (engl. Software-as-a-Service). Neki praktični primjeri takvih rješenja su sljedeći:
- Usluge pružatelja aplikacijskih usluga (engl. Application Service Provider, ASP) koji „udomljuju“ aplikacije kartičnog plaćanja za potrebe svojih klijenata na svojim Web mjestima.
- Aplikacije koje koriste tzv. virtualne terminale na Web mjestu pružatelja usluga a koriste ih trgovci kakao bi putem njih pristupali softveru za obradu platežnih transakcija.
• PA-DSS se ne odnosi na neplatežne aplikacije koji se koriste u svezi s platežnim aplikacijama. Takve aplikacije (primjerice, monitoring, procjenjivanje rizika i otkrivanje prijevara) mogu, ali i ne moraju biti „pokrivene“ PA-DSS standardom. Međutim, ako su one dijelom platežnih aplikacija, onda obvezno potpadaju pod ingerenciju PA-DSS standarda.
• PA-DSS se ne odnosi na platežne aplikacije razvijene za potrebe i prodane samo jednom klijentu, jer će takve aplikacije biti već „pokrivene“ PCI DSS standardom.
• PA-DSS se ne odnosi na platežne aplikacije koje trgovci i pružatelji usluga razvijaju u vlastitoj režiji, isključivo za svoje potrebe, i nikome ih ne prodaju, ne distribuiraju i ne licenciraju, također zato što su već pod ingerencijom „normalnog“ PCI DSS standarda.

Zahtjevi PA-DSS standarda

Standard PA-DSS postavlja 14 osnovnih zahtjeva, koji se dalje raščlanjuju na pedesetak vrlo konkretnih podzahtjeva. Osnovni su zahtjevi sljedeći:

1. Osjetljivi, odnosno povjerljivi podaci o vlasniku kartice se nikada i nigdje ne smiju čuvati nezaštićeni. Među takve podatke spadaju podaci s magnetske vrpce na kartici (tzv. stripa), kodovi ili vrijednosti za validaciju kartice (CAV2, CID, CVC2, CVV2) i PIN-ovi.
2. Svi podaci o vlasniku kartice pohranjeni na računalnim memorijskim medijima moraju se štititi primjerenim metodama i sredstvima.
3. Pri obradi kartičnih plaćanja moraju se koristiti pouzdane metode, instrumenti i sustavi autentifikacije.
4. Neophodno je bilježiti (registrirati i evidentirati) doslovno sve aktivnosti koje poduzima aplikacija kartičnog plaćanja.
5. Zahtijeva se razvoj, testiranje, instaliranje i primjena isključivo sigurnih aplikacija kartičnog plaćanja.
6. Neophodno je štititi podatke i transakcije kartičnog plaćanja koji se prenose i koje se ostvaruju putem bežičnog prijenosa, odnosno bežičnih mreža.
7. Aplikacije kartičnog plaćanja treba podvrgavati rigoroznim provjerama, prema odgovarajućoj metodologiji testiranja, kako bi se otkrile i otklonile sve njihove eventualne ranjivosti.
8. Valja poticati implementaciju isključivo sigurnih mreža za prijenos kartičnih podataka na daljinu.
9. Podaci o vlasnicima kartica se nikada ne smiju pohranjivati na poslužiteljskim računalima (serverima) priključenima na Internet.
10. Valja osigurati pravovremeno ažuriranje i sistematično održavanje računalnog softvera za obradu kartičnih plaćanja.
11. Potrebno je osigurati i koristiti isključivo sigurne mogućnosti daljinskog pristupa aplikacijama kartičnog plaćanja.
12. Prilikom prijenosa kartičnih podataka i izvršavanja transakcija kartičnog plaćanja putem javne mreže obvezno je koristiti odgovarajući enkripcijski standard (primjerice, AES, koji je objašnjen u ovoj kolumni na Orkisovu portalu za mjesec rujan 2009. godine).
13. Sve operacije administratora plaćanja i administratora baza podataka korištenih u kartičnom plaćanju koje se ne obavljaju s njegove konzole treba također štititi enkripcijom.
14. Korisnicima, distributerima i integratorima sustava treba staviti na raspolaganje svu potrebnu sistemsku dokumentaciju te im po potrebi omogućiti pohađanje nužnih edukacijskih programa i treninga.

Detaljne informacije o PA-DSS standardu mogu se naći na internetskoj adresi:

https://www.pcisecuritystandards.org/pdfs/pci_pa_dss.pdf

Prof. dr. sc. Željko Panian