Стандарт ИБ электронных платежных систем игнорируется

Мы часто слышим о важности соблюдения мер безопасности при приеме кредитных и дебетовых карт. Но еще много веб-сайтов не может следовать правилам, которые призваны защитить их клиентов от мошенничества и кражи личных данных.

Один из пользователей бельгийского сервиса по продаже билетов Tele Ticket Service Мартти Илойя (Martti Ylioja) обнаружил, что на сайте сохранилась большая часть данных его кредитной карты, в том числе код подтверждения CCV2, за которым обычно охотятся кардеры.

«Когда вы выходите на сайт повторно, ваши данные все еще находятся там», - пишет он.

«Такая практика является нарушением статьи 3.2.2 правил PCI, - говорит Том Арнольд (Tom Arnold), член PSC, которая консультирует компании, принимающие электронные платежи. - Хранение CCVC2 и запись его в файл является нарушением».

Стандарты PCI предназначены для предупреждения таких утечек личных данных как это было в случае с TJX. Те компании, которые нарушают данные стандарты, в некоторых случаях могут быть оштрафованы, пишет The Register.

Илойя был по понятным причинам обеспокоен сохранением своих данных и не смог выяснить, как их удалить – он решил ввести фиктивную информацию. И даже это было нелегко.