Tehnološke inovacije na polju elektroničkog plaćanja značajno su unaprijedile iskustvo korisnika u svim uslužnim djelatnostima, i time znatno povećale efikasnost i kvalitetu poslovanja, pogotovo u ugostiteljskoj industriji. Kada je riječ o hotelijerstvu, gost, na primjer, može obaviti cijeli proces prijave za svega nekoliko minuta, odnosno za vrijeme koje mu je potrebno da provjeri svoju E-poštu putem bežičnog interneta u hotelu. Korisnici platnih kartica imaju mogućnost u objektima širom svijeta ugodno, brzo i sigurno izvršiti sva plaćanja, a često ostvare i dodatne pogodnosti i popuste. Kontrola osobnog budžeta i upravljanje novcem nikada nije bilo jednostavnije, a „plastična valuta“ i napredne tehnologije neprestano mijenjaju iskustvo plaćanja i donose nova rješenja.
Kompanija Visa Inc. podsjeća kako je stopa zlouporabe kartica na povijesnom minimumu, ali ne treba zaboraviti da pokušaji „skidanja“ podataka postoje te stoga treba poduzeti odgovarajuću kontrolu kako bi se hotelski operateri osigurali od aktivnosti cyber kriminalaca.
Osigurajte mrežu od uljeza
Kompanija Visa Inc, na osnovu svog bogatog iskustva i znanja, pripremila je za hotelske operatere savjete za zaštitu protiv napada na mrežu:
• Instalirajte i stalno održavajte firewall. Svaki put kada je firewall isključen, postoji veći stupanj rizika od napada putem interneta
• Omogućite prijavljivanje kroz firewall i održavajte prijavu na firewall-u na godišnjoj razini, s mogućnošću analize podataka na minimalno tri mjeseca. To je veoma važno zbog kasnije rekonstrukcije „događaja“ u sustavu, identifikacije sumnjivih aktivnosti na mreži, kao i pri potencijalnoj forenzičkoj istrazi.
• Provjerite vrijede li anti-virus, anti-malware i anti-spyware programi. Zastarjeli sigurnosni softveri su često pronađeni u kompanijama koje su bile napadnute od strane cyber kriminalaca.
• Uvedite jak nadzorni pristup. Nadzorni ulaz pomoći će u ograničavanju ulaznog i izlaznog prometa na poznatim ulazima i propustit će samo potreban promet, bitan za vlasnika kartice
• Rutinski pregledajte i osigurajte sve sustave i mreže na nepoznatim i neovlaštenim softverima i novije dodane hardverske uređaje
• Koristite vanjske resurse koji će vam pomoći u otkrivanju novih sigurnosnih propusta. Visa često obnavlja listu podataka sigurnosnih upozorenja zlonamjernih programa i IP adresa navedenih u forenzičkoj istrazi. Lista je javno dostupna na http://www.visa.com/CISP
Adekvatno implementirajte Remote Access konfiguracije i postavke
Upravljanje aplikacijama na daljinu (Remote Management Applications – RMAs) je često u korporativnom poslovnom okruženju. Treba znati kako je nepravilno konfiguriran RMAs „ranjiv“ na hakerske napade, pa Visa preporučuje sljedeću strategiju smanjenja rizika:
• Konfigurirajte RMA tako da omogućava samo one veze s poznatih IP / MAC adresa ili konfigurirajte sustav tako da udaljeni korisnici moraju uspostaviti Virtual Private Network (VPN) priključak preko firewall-a prije nego što im je pristup odobren
• Promijenite zadane postavke (default) koje je postavio prodavač. RMA može doći od prodavača s već zadanim postavkama (i kriminalci gotovo uvijek znaju koje su). Stvaranjem jedinstvenog korisničkog ID-a i složene lozinke možete smanjiti rizik
• Uključite modem samo kada je potreban pristup poslovnicama ili zahtjevu za plaćanje
Ne podcjenjujte značaj lozinke
Do kompromitiranja podataka može doći i kada poslovni operateri ostave default područje lozinke prazno i time omoguće kriminalcima jednostavan upad u sustav. Upadi su se, također, događali kada je operateru pristup bio odobren, a koristio je default lozinku. Savjeti za upravljanje dobrom lozinkom:
• Provjerite priručnike za operatere i internet izvore za default postavke za sve uređaje i softver. Odmah promijenite default postavke koje su ostale poslije instalacije. To uključuje promjenu default lozinke u jedinstvenu, sigurnu lozinku, kao i promjenu default ulaznog imena
• Aktivirajte sve obvezne sigurnosne funkcije za sve uređaje i softver
• Koristite najnoviju verziju softvera za pristup na daljinu i implementirajte sigurnosne funkcije u skladu s uputama. Na primjer:
o Osigurajte da operateri pristupaju sustavu na daljinu s promijenjenim default postavkama
o Dopustite vezu samo s određenim, poznatim IP / MAC adresama
o Koristite snažnu autentifikaciju ili složenu lozinku prilikom prijave
o Omogućite kriptirani prijenos podataka
o Omogućite isključivanje naloga poslije određenog broja neuspjelih pokušaja prijave
o Konfigurirajte sustav tako da udaljeni korisnik mora uspostaviti sigurnu vezu kroz firewall prije nego što mu je pristup odobren
o Omogućite funkciji prijave praćenje ulazne i izlazne aktivnosti
• Isključite sve nepotrebne usluge
• Koristite samo one zahtjeve i verzije za plaćanje koje su verificirane u Payment Application Data Security Standards (PA-DSS), dostupno na https://www.pcisecuritystandards.org/
• Pobrinite se da su vlasnički ili domaći susutavi, kao što je upravljanje imovinom ili sustavom rezervacija, u skladu sa standardima zahtjeva za plaćanje
Dobro pazite na bežičnu vezu
Cyber kriminalci su se usavršili kada je riječ o zlouporabi podataka uslijed neadekvatno osiguranih bežičnih mreža, a savjeti koje Visa daje u tom slučaju su:
• Budite svjesni sigurnosnih rizika povezanih s tehnologijom
• Razvijte strategije za smanjenje rizika kako bi zaštitili vaše IT okruženje – u skladu s PCI DSS-om i PCI PIN sigurnosnim zahtjevima
• Napravite procjenu za sve zahtjeve za plaćanje koji nisu u skladu s PA-DSS kako bi se zabranio pregled kartičarskih podataka kao što su PIN i sigurnosni kodovi s magnetne trake koji se nikada ne arhiviraju ili bilježe poslije završene transakcije
