Bug Online

U svijetu financijskih institucija, kartičarskih kompanija i elektroničkog plaćanja, opasnosti od zloupotrebe iziskuju stalno unaprjeđenje sigurnosnih mjera kako bi kupci i dalje imali povjerenja u kompanije kojima povjeravaju svoj novac i svoje poslovanje.
Fenomen tamne brojke kompjutorskog kriminaliteta, odnosno broja počinjenih, a neotkrivenih odnosno neprijavljenih djela kibernetičkog zločina već desetljećima ugrožava tranziciju tradicionalne u elektroničku trgovinu. Iako postoje mnoga druga kaznena djela počinjenje kojih žrtve ne prijavljuju iz srama ili straha za vlastitu sigurnost, vjerojatno ne postoji kategorija kaznenih djela kod kojih je postotak neprijavljenih (i neotkrivenih) kaznenih djela toliko visok kao što je riječ u slučaju kibernetičkog kriminaliteta.
Razlozi su očiti – kada bi svakom otkrivenom slučaju zloporabe bila posvećena odgovarajuća pažnja, prije ili kasnije javnost bi postala svjesna nesigurnosti koju za sobom povlači moderna informacijska tehnologija. O velikim slučajevima često čujemo naknadno, kada o njima progovore osiguravajuće kuće, stručnjaci za informacijsku sigurnost ili počinitelji, a vrlo rijetko o tome čujemo od onih koji svoj biznis baziraju na upravljanju našim financijama, ponajviše iz straha kako se klijenti ne bi uplašili i svoj novac odnijeli negdje drugdje.

Standardi borbe
Industrija se protiv različitih aspekata informacijske krađe bori industrijskim standardima za održavanje prihvatljive razine informacijske sigurnosti. Ponajprije tu ističemo vjerojatno svima barem djelomično poznatu ISO 27000 obitelj standarda na području informacijske sigurnosti. Ovi standardi široko uređuju pitanja zaštite osobnih podataka, povjerljivosti informacija i tehničke aspekte uređenja pitanja informacijske sigurnosti.
Za specifične potrebe pojedinih grana modernog gospodarstva koje se u velikoj mjeri naslanja na razvoj informacijske tehnologije pokazala se potreba za formiranjem strožih, preciznijih standarda koji će pobliže regulirati poželjne protokole poslovanja.
Payment Card Industry Data Security Standard svoj je život započeo kao rezultat nekoliko neovisnih progama zaštite podataka koje su za svoje potrebe razvijale američke kartičarske kuće poput Vise, MasterCarda i American Expressa. Visa je tako imala Visa Card Information Security Program, MasterCard Site Data Protection, a American Express imao je Data Security Operating Policy.
Osim navedenih, nama dobro poznatih kartičarskih kuća, svoje informacijsko sigurnosne politike razvijali su i japanski JCB te nekadašnji Searsov kartičarski odjel Discover, koji danas posluje samostalno. Ovih pet svjetskih kartičarskih divova imali su slične namjere koje su planirali ostvariti svojim sigurnosnim politikama, a koje su se sastojale u uspostavljanju dodatne razine sigurnosti za izdavače kreditnih kartica koji su još od osamdesetih godina postajali sve izloženiji rastućem broju zloupotreba.
Kako bi smanjili svoj poslovni rizik, planirali su propisati minimalne sigurnosne uvjete koje trgovci trebaju ispuniti prilikom obrade, pohrane i transmisije podataka o kupcima, odnosno njihovim kreditnim karticama, bez ispunjavanja kojih trgovci ne bi mogli sudjelovati u poslovanju putem kartica.
Krajem 2004. godine, osniva se Vijeće za sigurnosne standarde industrije kartičnog plaćanja, odnosno Payment Card Industry Security Standards Council. Navedene kompanije postaju članovi te udruge i okupljaju svoje zasebne sigurnosne politike u novi, specijalni sigurnosni standard pod nazivom Payment Card Industry Data Security Standard, koji je 2006. unaprijeđen u inačicu 1.1 te u inačicu 1.2 krajem 2008. godine.
Krajem 2010. godine usvojena je aktualna, druga inačica standarda koja će se kroz nekoliko mjeseci, odnosno s početkom 2012., isključivo primjenjivati kod provjere poštovanja standarda.
Iako je industrija u velikoj mjeri prihvatila ovaj standard, u proteklih nekoliko godina mogla su se čuti i mišljenja kako je njegova implementacija preskupa i zahtjevna. S druge strane, imajući u vidu globalni razvoj zakonskih okvira za elektroničku trgovinu, zaštitu osobnih podataka i borbu protiv kompjutorskog kriminaliteta, mnoge su tvrtke prihvatile obaveze koje standard nameće kao dobru poslovnu praksu koja tjera one koji donose odluke da shvate sigurnost poslovanja ozbiljnije, i time omoguće sigurnije poslovanje.
Među tvrtkama koje su osobito rado prihvatile PCI DSS su i razni cloud bazirani pružatelji usluga, koji u svom poslovnom modelu vide prednosti za manje kompanije kojima se investicija u osiguravanje vlastite infrastrukture kako bi bila sukladna PCI DSS-u može činiti neisplativom.