Α. Διακυβέρνηση
1. Το Διοικητικό Συμβούλιο των ΠΥΠ εγκρίνει, επιβλέπει την εφαρμογή και είναι αρμόδιο για την αναθεώρηση σε τακτική βάση της επίσημης πολιτικής ασφάλειας του ιδρύματος για τις υπηρεσίες πληρωμών μέσω διαδικτύου.
2. Η πολιτική ασφάλειας είναι δεόντως καταγεγραμμένη, υπόκειται σε αναθεώρηση ανά τακτά χρονικά διαστήματα (σύμφωνα με την παράγραφο 5 του ακόλουθου Κεφαλαίου Β της παρούσας πράξης) και καθορίζει τους στόχους ασφάλειας και τη διάθεση ανάληψης κινδύνων του ιδρύματος.
3. Η πολιτική ασφάλειας προσδιορίζει τους ρόλους, τις αρμοδιότητες, περιλαμβανομένης της λειτουργίας διαχείρισης του κινδύνου η οποία αναφέρεται απευθείας στο Διοικητικό Συμβούλιο, καθώς και τις γραμμές αναφοράς για τις παρεχόμενες υπηρεσίες πληρωμών μέσω του διαδικτύου, περιλαμβανομένης της διαχείρισης ευαίσθητων δεδομένων πληρωμής όσον αφορά την αξιολόγηση, τον έλεγχο και την μείωση των κινδύνων.
Β. Αξιολόγηση του κινδύνου
1. Οι ΠΥΠ διενεργούν και τεκμηριώνουν λεπτομερείς αξιολογήσεις κινδύνου όσον αφορά την ασφάλεια των πληρωμών μέσω του διαδικτύου και των συναφών υπηρεσιών, τόσο πριν από τη δημιουργία της υπηρεσίας (ή των υπηρεσιών) όσο και ανά τακτά χρονικά διαστήματα στη συνέχεια.
2. Η λειτουργία διαχείρισης κινδύνων των ΠΥΠ διενεργεί και τεκμηριώνει λεπτομερείς αξιολογήσεις κινδύνου για τις πληρωμές μέσω διαδικτύου και τις συναφείς υπηρεσίες. Οι ΠΥΠ εξετάζουν τα αποτελέσματα της συνεχούς παρακολούθησης των απειλών κατά της ασφάλειας των υπηρεσιών πληρωμών μέσω διαδικτύου που προσφέρουν ή σχεδιάζουν να προσφέρουν, λαμβάνοντας υπόψη:
α) τις τεχνολογικές λύσεις που χρησιμοποιούν,
β) τις υπηρεσίες που αναθέτουν σε εξωτερικούς παρόχους, και
γ) το τεχνικό περιβάλλον των πελατών.
Οι ΠΥΠ εξετάζουν τους κινδύνους που συνδέονται με τις χρησιμοποιούμενες εκ μέρους τους τεχνολογικές πλατφόρμες, με την αρχιτεκτονική των εφαρμογών, με τις τεχνικές και τις ρουτίνες προγραμματισμού τόσο από τη δική τους πλευρά ως παροχών (όπως κινδύνους ευαισθησίας του συστήματος σε επιθέσεις υφαρπαγής συνόδου (session hijacking), προσθήκης κακόβουλου κώδικα SQL (SQL injection), επίθεσης μέσω δέσμης ενεργειών από άλλη τοποθεσία (cross-site scripting), υπερχείλισης προσωρινής μνήμης (buffer overflow)) όσο και από την πλευρά των πελατών τους όπως κινδύνους που συνδέονται με τη χρήση εφαρμογών πολυμέσων, προσθηκών για προγράμματα περιήγησης, πλαισίων, εξωτερικών συνδέσμων κ.λπ., καθώς και τα ευρήματα που προκύπτουν από τη διαδικασία παρακολούθησης περιστατικών ασφάλειας όπως αυτά αναφέρονται στο Κεφάλαιο Γ του παρόντος Τίτλου.
3. Βάσει των ανωτέρω, οι ΠΥΠ καθορίζουν κατά πόσον και σε ποιον βαθμό ενδέχεται να απαιτούνται αλλαγές στα υπάρχοντα μέτρα ασφάλειας, στις τεχνολογίες που χρησιμοποιούνται και στις διαδικασίες ή τις υπηρεσίες που προσφέρονται. Οι ΠΥΠ λαμβάνουν υπόψη τον χρόνο που απαιτείται για την εφαρμογή των αλλαγών (περιλαμβανομένου του χρόνου της υιοθέτησης τους από τους πελάτες) και λαμβάνουν τα κατάλληλα προσωρινά μέτρα για την ελαχιστοποίηση των περιστατικών ασφάλειας και απάτης, καθώς και των ενδεχόμενων δυσλειτουργιών.
4. Η αξιολόγηση των κινδύνων καλύπτει την ανάγκη προστασίας και διασφάλισης των ευαίσθητων δεδομένων των πληρωμών.
5. Οι ΠΥΠ προβαίνουν σε επανεξέταση των σεναρίων κινδύνου και των υφιστάμενων μέτρων ασφάλειας ύστερα από σημαντικά περιστατικά που επηρεάζουν τις υπηρεσίες τους, πριν από την πραγματοποίηση σημαντικών αλλαγών στην υποδομή ή στις διαδικασίες και μετά από τον εντοπισμό νέων απειλών μέσω διαδικασιών παρακολούθησης του κινδύνου. Επιπλέον, διενεργούν τουλάχιστον μία φορά ετησίως γενική επανεξέταση της αξιολόγησης του κινδύνου. Τα αποτελέσματα των αξιολογήσεων κινδύνου και των επανεξετάσεων υποβάλλονται προς έγκριση στο Διοικητικό Συμβούλιο των ΠΥΠ.
Γ. Παρακολούθηση και αναφορά περιστατικών
1. Οι ΠΥΠ διασφαλίζουν τη συνεπή και ολοκληρωμένη παρακολούθηση και διαχείριση των συμβάντων ασφάλειας, συμπεριλαμβανομένων των καταγγελιών των πελατών σχετικά με την ασφάλεια και δημιουργούν διαδικασίες για την αναφορά τέτοιων περιστατικών στη διοίκηση τους και, στην περίπτωση σημαντικών περιστατικών ασφάλειας πληρωμών, στην Τράπεζα της Ελλάδος.
2. Οι ΠΥΠ εφαρμόζουν διαδικασίες για τον έλεγχο, τον χειρισμό και την παρακολούθηση των περιστατικών ασφάλειας και των καταγγελιών πελατών που αφορούν θέματα ασφάλειας και να αναφέρουν τα περιστατικά αυτά στη διοίκηση.
3. Οι ΠΥΠ εφαρμόζουν διαδικασίες για την άμεση ενημέρωση της Τράπεζας της Ελλάδος και της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, σε περίπτωση σημαντικών περιστατικών ασφάλειας πληρωμών που σχετίζονται με τις παρεχόμενες υπηρεσίες πληρωμών.
4. Οι ΠΥΠ εφαρμόζουν διαδικασίες για τη συνεργασία με τις αστυνομικές και δικαστικές αρχές όσον αφορά σημαντικά περιστατικά ασφάλειας πληρωμών, συμπεριλαμβανομένων των παραβιάσεων των δεδομένων.
5. Οι ΠΥΠ που αποδέχονται συναλλαγές με κάρτα πρέπει, βάσει σύμβασης, να απαιτούν από τις επιχειρήσεις ηλεκτρονικού εμπορίου που αποθηκεύουν, επεξεργάζονται ή διαβιβάζουν ευαίσθητα δεδομένα πληρωμών να συνεργάζονται, τόσο με τους ίδιους όσο και με τις αντίστοιχες διωκτικές αρχές, σε περιπτώσεις σημαντικών περιστατικών ασφάλειας πληρωμών, συμπεριλαμβανομένων παραβιάσεων δεδομένων. Εάν ο ΠΥΠ διαπιστώσει ότι επιχείρηση ηλεκτρονικού εμπορίου με την οποία συνεργάζεται δεν τηρεί τις συμβατικές της υποχρεώσεις είτε λαμβάνει μέτρα για να εφαρμοστούν οι συμβατικές αυτές υποχρεώσεις ή καταγγέλλει τη σύμβαση.
Δ. Έλεγχος και μείωση των κινδύνων
1. Οι ΠΥΠ εφαρμόζουν μέτρα ασφάλειας σύμφωνα με την αντίστοιχη πολιτική ασφάλειας που ακολουθούν προκειμένου να μειώνουν τους κινδύνους που εντοπίζονται. Τα μέτρα αυτά ενσωματώνουν πολλαπλά επίπεδα ασφάλειας, στο πλαίσιο των οποίων η αποτυχία μίας «γραμμής άμυνας» αντιμετωπίζεται από την επόμενη «γραμμή άμυνας» («εις βάθος άμυνα»).
2. Κατά τον σχεδιασμό, την ανάπτυξη και τη συντήρηση υπηρεσιών πληρωμών μέσω διαδικτύου, οι ΠΥΠ δίνουν ιδιαίτερη προσοχή στον επαρκή διαχωρισμό των καθηκόντων στα περιβάλλοντα τεχνολογίας της πληροφορίας (π.χ. τα περιβάλλοντα ανάπτυξης, δοκιμής και παραγωγής) και στην ορθή εφαρμογή της αρχής των «ελάχιστων προνομίων» ως βάση για τη χρηστή διαχείριση της ταυτότητας και της πρόσβασης.
3. Οι ΠΥΠ διαθέτουν κατάλληλες λύσεις ασφάλειας για την προστασία των δικτύων, των δικτυακών τόπων, των εξυπηρετητών και των ζεύξεων επικοινωνίας από περιστατικά κατάχρησης ή από επιθέσεις. Οι ΠΥΠ αφαιρούν από τους εξυπηρετητές όλες τις περιττές λειτουργίες προκειμένου να τους προστατεύουν, να τους καθιστούν περισσότερο ανθεκτικούς και να εξαλείφουν ή να μειώνουν τα τρωτά σημεία των εφαρμογών που κινδυνεύουν. Η πρόσβαση μέσω των διαφόρων εφαρμογών στα απαραίτητα δεδομένα και πηγές διατηρείται στο απολύτως αναγκαίο επίπεδο με βάση την «αρχή των ελάχιστων προνομίων». Προκειμένου να περιοριστεί η χρήση «πλαστών» δικτυακών τόπων (που μιμούνται νόμιμους δικτυακούς τόπους ΠΥΠ), οι δικτυακοί τόποι συναλλαγών που προσφέρουν υπηρεσίες πληρωμών μέσω διαδικτύου διαθέτουν, για την ταυτοποίηση τους, πιστοποιητικά εκτεταμένης επικύρωσης που εκδίδονται στο όνομα του ΠΥΠ ή εφαρμόζουν άλλες παρόμοιες μεθόδους ταυτοποίησης.
4. Οι ΠΥΠ εφαρμόζουν κατάλληλες διαδικασίες παρακολούθησης, ιχνηλασίας και περιορισμού της πρόσβασης σε: i) ευαίσθητα δεδομένα πληρωμών, και ii) κρίσιμους λογικούς και φυσικούς πόρους, όπως δίκτυα, συστήματα, βάσεις δεδομένων, υποσυστήματα ασφάλειας κ.λπ.. Οι ΠΥΠ δημιουργούν, αποθηκεύουν και αναλύουν κατάλληλα αρχεία καταγραφής και ίχνη ελέγχου.
5. Κατά τον σχεδιασμό, την ανάπτυξη και τη συντήρηση υπηρεσιών πληρωμών μέσω διαδικτύου, προς το σκοπό της προστασίας της ιδιωτικότητας οι ΠΥΠ διασφαλίζουν ότι η ελαχιστοποίηση των δεδομένων, ήτοι η συλλογή των ελάχιστων αναγκαίων προσωπικών στοιχείων για την εκτέλεση μιας συγκεκριμένης λειτουργίας, συνιστά ουσιώδες στοιχείο της βασικής λειτουργικότητας. Η συλλογή, η δρομολόγηση, η επεξεργασία, η αποθήκευση και/ή η αρχειοθέτηση, καθώς και η απεικόνιση ευαίσθητων δεδομένων πληρωμών διατηρούνται σε απολύτως αναγκαία επίπεδα, τηρούμενης της οικείας εθνικής νομοθεσίας για την προστασία των προσωπικών δεδομένων.
6. Τα μέτρα ασφάλειας για τις υπηρεσίες πληρωμών μέσω διαδικτύου υποβάλλονται σε δοκιμές υπό την επίβλεψη της λειτουργίας διαχείρισης του κινδύνου προκειμένου να διασφαλίζεται η ανθεκτικότητα και η αποτελεσματικότητα τους. Όλες οι αλλαγές υπόκεινται σε επίσημη διαδικασία διαχείρισης των αλλαγών που να διασφαλίζει ότι οι αλλαγές προγραμματίζονται, υποβάλλονται σε δοκιμές, τεκμηριώνονται και εγκρίνονται δεόντως. Βάσει των αλλαγών που πραγματοποιούνται και των απειλών για την ασφάλεια που παρατηρούνται, οι δοκιμές επαναλαμβάνονται ανά τακτά χρονικά διαστήματα και περιλαμβάνουν σενάρια συναφών και γνωστών πιθανών επιθέσεων.
7. Τα μέτρα ασφάλειας του ΠΥΠ για τις υπηρεσίες πληρωμών μέσω διαδικτύου ελέγχονται περιοδικά για να διασφαλίζεται η ανθεκτικότητα και η αποτελεσματικότητα τους. Επίσης ελέγχονται η υλοποίηση και η λειτουργία των υπηρεσιών διαδικτυακών πληρωμών. Η συχνότητα και η εστίαση των ελέγχων αυτών καθορίζονται λαμβανομένων υπόψη των σχετικών κινδύνων για την ασφάλεια και να είναι αναλογικές προς αυτούς. Οι έλεγχοι διενεργούνται από αξιόπιστους και ανεξάρτητους εμπειρογνώμονες (εσωτερικούς ή εξωτερικούς), οι οποίοι δεν συμμετέχουν κατά κανένα τρόπο στην ανάπτυξη, την εφαρμογή ή την λειτουργική διαχείριση των παρεχόμενων υπηρεσιών πληρωμών μέσω διαδικτύου.
8. Σε κάθε περίπτωση όπου οι ΠΥΠ προβαίνουν σε εξωτερική ανάθεση εργασιών αναφορικά με την ασφάλεια των υπηρεσιών πληρωμών μέσω διαδικτύου, η σχετική σύμβαση ανάθεσης περιλαμβάνει όρους σύμφωνους με τις αρχές και τα κριτήρια που ορίζονται στην παρούσα πράξη.
9. Οι ΠΥΠ που προσφέρουν υπηρεσίες αποδοχής συναλλαγών με κάρτα πρέπει βάσει σύμβασης να απαιτούν από τις επιχειρήσεις ηλεκτρονικού εμπορίου να χειρίζονται (δηλαδή να αποθηκεύουν, να επεξεργάζονται και να διαβιβάζουν) τα ευαίσθητα δεδομένα πληρωμών εφαρμόζοντας μέτρα ασφάλειας στις υποδομές πληροφορικής τους, σύμφωνα με τις ανωτέρω παραγράφους 1 έως 8 του παρόντος Κεφαλαίου, προκειμένου να αποτρέπεται η κλοπή των ευαίσθητων αυτών δεδομένων πληρωμών μέσω των συστημάτων τους. Εάν ένας ΠΥΠ διαπιστώσει ότι μια επιχείρηση ηλεκτρονικού εμπορίου δεν εφαρμόζει τα απαραίτητα μέτρα ασφάλειας, λαμβάνει μέτρα για να επιβάλει τη συμβατική αυτή υποχρέωση ή καταγγέλλει τη σύμβαση.
Ε. Ιχνηλασιμότητα
1. Οι ΠΥΠ εφαρμόζουν διαδικασίες με τις οποίες διασφαλίζεται ότι όλες οι συναλλαγές, καθώς και η ροή επεξεργασίας της ηλεκτρονικής εξουσιοδότησης, ιχνηλατούνται δεόντως.
2. Οι ΠΥΠ διασφαλίζουν ότι η υπηρεσία τους ενσωματώνει μηχανισμούς ασφάλειας για τη λεπτομερή καταγραφή των δεδομένων των συναλλαγών και των ηλεκτρονικών εξουσιοδοτήσεων, συμπεριλαμβανομένων του αύξοντος αριθμού των συναλλαγών, χρονοσφραγίδων για τα δεδομένα των συναλλαγών, αλλαγών παραμετροποίησης, καθώς και της πρόσβασης στα δεδομένα των συναλλαγών και των ηλεκτρονικών εξουσιοδοτήσεων.
3. Οι ΠΥΠ διατηρούν αρχεία καταγραφής με τα οποία καθίσταται δυνατή η ιχνηλασία οποιασδήποτε προσθήκης, αλλαγής ή διαγραφής των δεδομένων των συναλλαγών και των ηλεκτρονικών εξουσιοδοτήσεων.
4. Οι ΠΥΠ αντλούν και αναλύουν τα δεδομένα των συναλλαγών και των ηλεκτρονικών εξουσιοδοτήσεων και διασφαλίζουν ότι έχουν στη διάθεσή τους εργαλεία για την αξιολόγηση των αρχείων καταγραφής. Οι αντίστοιχες εφαρμογές είναι διαθέσιμες μόνο σε εξουσιοδοτημένο προσωπικό.
