1. A gdje ste ono ostavili broj kreditne
kartice?
Marko Jertec, ECS
marko.jertec@ecs.hr
Igor Gregurec, ECS
igor.gregurec@ecs.hr

2. Ukratko
 Globalni trendovi u kartičnoj sigurnosti
 Motivi pokretanja napada na kartične podatke
 Koje su najčešće mete napada?
 Nije sve izgubljeno – PCI DSS
 Ciljevi standarda
 Zašto biti sukladan?
 Stanje u Hrvatskoj
2

3. Globalni trendovi u kartičnoj sigurnosti

5. Globalni trendovi
 u 2010. obavljeno više od 2.5 bilijuna
transakcija kreditnim karticama
 Svake sekunde obavi se oko 10.000
transakcija nekom vrstom platnih kartica
 u razdoblju od 2003 – 2010 prevareno je
oko 11.1 milijun ljudi (USA)
 u opticaju je oko 609 milijuna kreditnih
kartica (USA)
Izvor: www.creditcards.com

6. Globalni rizici
 u 89 % slučajeva cilj upada je kraĎa
korisničkih podataka (brojevi kreditnih
kartica, osobni podaci, poslovne tajne).
 Najrizičnija poslovanja: ugostiteljstva,
restorani, hoteli, maloprodaja.
 Premještanje fokusa s bankarskog sektora
na “mekanije” mete.
 “Password1” i dalje je najčešća lozinka!!
 Neosviještenost o važnosti sigurnosti i dalje
je primarni povod povećanju broja kraĎa
podataka.
Izvor: Trustwave Global Security Report 2012, Verizon Data Breaches Report 2011

7. Što žele?
Kako dolaze do toga što žele?

8. Najrizičnije vrste podataka
85%
8%
3%2%
2%
Kartični podaci
Osobni podaci
Poslovne tajne
Podaci za prijavu u
sustav
Podaci o klijentima
 Izvor: Trustwave, 2011
 Cijena jednog broja kreditne kartice na crnom tržištu ~ $10

9. Najčešće metode upada
 Izvor: Trustwave, 2011

10. Anatomija napada
Identificiranje ranjivih
web stranica putem
tražilice
Pronalazak ranjivih
web stranica pomoću
specijaliziranih alata
Iskorištavanje poznatih
ranjivosti ili upload
malicioznog “koda”.
Kartični podaci nisu
pohranjeni?
Modificiranje forme za
unos podataka.
Kartični podaci
pohranjeni? Pristup
bazi podataka s
kartičnim podacima.
“Otvaranje” stalnog
pristupa web stranici.
ILI
Pretraga sustava za
ostalim vrijednim
podacima.

11. Nije sve izgubljeno – PCI DSS

12. Što je PCI DSS
• PCI DSS predstavlja najbolje od VISA i MasterCard pravila (iznimno
tehnički standard)
• Trenutno u verziji 2.0 (peta po redu iteracija).
• Stupio na snagu 14.prosinca 2004. godine.
• 2012. dolaze novi (čitaj: teži i opširniji) zahtjevi.
• Prihvaćen i od strane Amex-a, JCB-a, Discover-a

13. Kartični podaci
Broj kartice Čip Datum isteka valjanosti
Magnetski zapis Broj kreditne kartice i verifikacijski broj
sastoji se od “Track 1” Card Verification Value 2 (CVV2) zapisani su
i Track 2” podataka na poleđini kartice
Track i CVV2 ne smiju se pohranjivati ni nakon autorizacije!

14. Zašto se to mora učiniti?
Zdrav razum

15. Kome je namijenjen PCI DSS?
• Svim trgovcima (merchants)
– Svako tko prima kreditne i debitne kartice
– Neovisno o:
• Veličini organizacije
• Tržišnoj vertikali
• Online trgovini ili face-to-face trgovini
• Bilo čemu drugom (kad je u pitanju kartično poslovanje)!
• Svim pružateljima usluga plaćanja karticama
• Razvijateljima kartičnih aplikacija
• Zaprimateljima i izdavateljima platnih kartica

16. Što dalje?
• Uskladiti se s PCI DSS-om (provesti projekt)
– Usklađenost ne znači da su sustavi u potpunosti sigurni
u svakom trenutku, ali znači da se sigurnost kartičnog
poslovanja promatra kao trajni i holistički proces.
– Svatko prema svojim obavezama
• PCI DSS nije cilj, već osnova sigurnosti.
• Prestati pohranjivati brojeve kreditnih kartica
(bez njih se poslovati može normalno).
• Krenuti danas!

17. Stanje u Hrvatskoj

18. Stanje u Hrvatskoj

19. Hvala!