Σε σταδιακή αντικατάσταση έως και 15.000 πιστωτικών και χρεωστικών καρτών προχωρούν οι τράπεζες τις τελευταίες μέρες σε μια προσπάθεια να εξαλείψουν τις συνέπειες της κρυπτογράφησης των στοιχείων πελατών τους που καταγράφηκαν σε ταξιδιωτικό πρακτορείο.
Σύμφωνα με αναφορές που δημοσιεύει η Καθημερινή, πρόκειται για ελληνική εταιρεία που δραστηριοποιείται στο χώρο των online πωλήσεων τουριστικών υπηρεσιών, δηλαδή κρατήσεις αεροπορικών, ακτοπλοϊκών, ξενοδοχείων, αυτοκινήτων, ταξιδιωτικών ασφαλίσεων. Αν και οι κρουστικές χρεώσεις των πελατών για συναλλαγές που ποτέ δεν πραγματοποιήθηκαν ήταν πολύ λιγότερες και συγκεκριμένα μερικές δεκάδες περιπτώσεις, οι τράπεζες υποχρεώθηκαν να λειτουργήσουν προληπτικά και εκτός από την «παρακολούθηση» αυτών των καρτών, προχωρούν σταδιακά στην αντικατάστασή τους, ακυρώνοντας σύμφωνα με πληροφορίες όλες οι πελάτες τους είχαν ήδη πραγματοποιήσει μια συναλλαγή κατά το παρελθόν στο σχετικό ιστότοπο. Εκτός από το κόστος αντικατάστασης των καρτών, οι τράπεζες έχουν επιβαρυνθεί και το κόστος των συναλλαγών που πραγματοποιήθηκαν, το οποίο δεν επιβαρύνει τους κατόχους των καρτών.
Σύμφωνα με τις πληροφορίες και οι τέσσερις συστημικές τράπεζες έχουν ακυρώσει ή πρόκειται να ακυρώσουν σταδιακά και να αντικαταστήσουν με 15.000 περίπου νέες κάρτες, ενώ για το θέμα είναι ενημερωμένο τόσο η Τράπεζα της Ελλάδος όσο και οι δύο μεγάλες πληρωμές, Visa και MasterCard, που έχουν ξεκινήσει έρευνα, προκειμένου να εντοπιστούν πώς έγινε η αντιγραφή.
Η έρευνα εντοπίζεται στην περίπτωση που η εν λόγω επιχείρηση που εδρεύει στην Ελλάδα τηρεί τους κανόνες PCI DSS. Πρόκειται για ένα πρότυπο που έχει συμφωνήσει με τα μεγάλα σχήματα καρτών για την ασφάλεια των δεδομένων συναλλαγών με κάρτες, διασφαλίζοντας ότι όλες οι εταιρίες που δέχονται, επεξεργάζονται, αποθηκεύουν ή μεταφέρουν κάρτες πληροφοριών λειτουργούν σε ένα ασφαλές περιβάλλον. Διευκρινίζεται ότι το συγκεκριμένο πρότυπο επιτρέπει υπό όρους και σε συγκεκριμένες επιχειρήσεις να κρατούν στοιχεία των καρτών των πελατών τους, με την προϋπόθεση ότι διαθέτουν πιστοποίηση PCI DSS και πάντα για συγκεκριμένο χρονικό διάστημα π.χ. έξι μηνών και όχι για μεγάλο χρονικό διάστημα.
Σε αυτή την έρευνα που διεξάγεται και αναμένεται να ολοκληρωθεί στα τέλη Μαρτίου, επικεντρώνεται στο αν η συγκεκριμένη επιχείρηση είχε σχετική πιστοποίηση, η οποία θα πρέπει να διευκρινιστεί ότι ενημερώνεται κάθε χρόνο. Στον βαθμό που διαθέτει την σχετική πιστοποίηση, η έρευνα πρέπει να αναδείξει τον τρόπο με τον οποίο έγινε η διαρροή των στοιχείων των καρτών.
Σημειώνεται ότι για τις πληρωμές σε περιβάλλον ηλεκτρονικού εμπορίου, απαιτείται από τον εκδότη της κάρτας (π.χ. τράπεζα, ηλεκτρονική χρηματιστηριακή εταιρία, κ.λπ.), ο ισχυρός προσδιορισμός του κατόχου και της συναλλαγής του.
Η ισχυρή ταυτότητα επιτυγχάνεται μόνο αν χρησιμοποιούνται συνδυαστικοί παράγοντες ασφαλείας όπως δακτυλική απόδειξη, κωδικοί ηλεκτρονικής τραπεζικής, PIN κάρτα, κωδικός πρόσβασης, μοναδικό κωδικό μιας χρήσης με μήνυμα sms, κ.λπ. Βασικός κανόνας για την ασφάλεια των ηλεκτρονικών πληρωμών είναι η αποφυγή διεξαγωγής οικονομικών συναλλαγών εκτός του προσωπικού υπολογιστή κάποιου, δηλαδή από χώρους στους οποίους έχουν πρόσβαση πολλοί χρήστες (π.χ., internet café). Οι χρήστες του Διαδικτύου για πληρωμές θα πρέπει επίσης να έχουν απενεργοποιήσει τη λειτουργία «Αυτόματης καταχώρησης» του προγράμματος περιήγησης. Η λειτουργία αυτή αποθηκεύει τους κωδικούς στον υπολογιστή, γεγονός που τους καθιστά εκθέτους.
Όσον αφορά τους κωδικούς πρόσβασης που χρησιμοποιεί κάποιος για διαδικτυακές συναλλαγές, απαραίτητο είναι:
• Η συχνή αλλαγή τους.
• Η αποφυγή της χρήσης της ημερομηνίας γεννήσεως, του αριθμού τηλεφώνου ή άλλων προσωπικών στοιχείων που μπορούν να βρεθούν και από άλλα έγγραφα.
• Η αποφυγή της χρήσης των ίδιων κωδικών σε περισσότερες από μία ιστοσελίδες, κάρτες κ.λπ.
• Η μη δημοσιοποίηση του κωδικού πρόσβασης σε οποιονδήποτε και υπό οποιεσδήποτε περιστάσεις.