Artikkeli

Mikä on PCI DSS ja mitä se tarkoittaa yrityksesi kannalta?

Heine Aaen Hansen
06 helmikuuta 2018

 

 

Olet varmaankin kuullut PCI:stä, etenkin jos yrityksesi vastaanottaa korttimaksuja.

PCI DSS -tietoturvastandardeja on noudatettava, jos vastaanotat yhdenkin korttimaksun.

Lue tämä artikkeli, jos olet perustamassa yritystä tai et ole varma, mitä PCI DSS todella tarkoittaa.

Artikkelissa kerrotaan, mikä PCI DSS on, miksi se on olemassa, miten sen kanssa toimitaan ja mitä se tarkoittaa yrityksesi kannalta.

 

Aloitetaan perusasioista:

PCI DSS on lyhenne sanoista Payment Card Industry Data Security Standard, ja se on koko korttimaksualaa koskeva tietoturvastandardi. Kun puhutaan PCI:stä, tarkoitetaan useimmiten PCI DSS -standardia.

PCI DSS:n tarkoituksena on parantaa kuluttajien korttimaksamiseen liittyvää tietoturvaa maailmanlaajuisesti varmistamalla, että yritykset käsittelevät korttitietoja yhdenmukaisesti.

Tietoturvastandardin ovat laatineet korttiyhtiöt Visa, Mastercard, American Express, JCB ja Discover.

Standardia ylläpitää Payment Card Industry Security Standards Council (PCI SSC), joka perustettiin vuonna 2006. PCI SSC vastaa PCI DSS -standardin kehittämisestä.

Keitä PCI DSS koskee?

PCI DSS koskee kaikkia yrityksiä, jotka tallentavat, käyttävät, siirtävät tai muulla tavoin käsittelevät korttitietoja.

Yhdenkin korttitapahtuman käsittely edellyttää PCI DSS:n noudattamista.

Mitä PCI DSS:n noudattaminen tarkoittaa?

PCI DSS:iin liittyy kuusi yleistä tavoitetta, joihin liittyy yhteensä 12 teknistä ja toiminnallista vaatimusta.

Nämä vaatimukset ovat seuraavat:

  • Verkon ja järjestelmien suojaus ja ylläpito

1.  Varmista, että yrityksesi asentaa korttitietoja suojaavan palomuurin ja ylläpitää sitä

2. Älä käytä vakioasetuksia järjestelmäsalasanoille ja muille tietoturvaparametreille

  • Korttitietojen suojaus  

3. Suojaa korttitiedot

4. Salaa korttitiedot, jotka lähetetään julkisen verkon kautta

  • Haavoittuvuuksien käsittely pysyvillä menettelyillä

5. Käytä viruksentorjuntaohjelmistoa ja päivitä se säännöllisesti

6. Kehitä ja ylläpidä järjestelmien ja sovellusten tietoturvaa

  • Tehokas kulunvalvonta

7. Rajoita kortinhaltijatietojen liiketoimintaan liittyvää käyttöä siten, että mahdollisimman harvalla on korttitietojen käyttöoikeus

8.  Jokaisella verkkosi käyttäjällä on oltava oma käyttäjätunnus

9. Mahdollisimman harvalla tulisi olla fyysinen pääsy korttitietoihin

  • Verkon säännöllinen valvonta ja testaus

10. Yritysverkon ja korttitietojen käyttöä on valvottava

11. Testaa tietoturvajärjestelmät ja -prosessit säännöllisesti

  • Tietoturvakäytännön ylläpito

12. Ylläpidä tiukkaa tietoturvakäytäntöä, joka koskee koko henkilöstöä

Teknisempiä tietoja saat napsauttamalla alla olevaa linkkiä, jonka kautta voit tutustua PCI DSS:n edellyttämiin yli 200 tietoturvatoimenpiteeseen.

Klikkaa tätä ja valitse asiakirja ”PCI DSS”.

PCI DSS ja edellä olevat 12 vaatimusta koskevat siis KAIKKIA yrityksiä, jotka jollakin tavalla käsittelevät korttitietoja.

PCI DSS:n noudattaminen

Standardin noudattamisen dokumentointia varten yrityksesi on raportoitava vaatimusten noudattamiseen liittyvät tiedot maksuratkaisun tarjoajalle kerran vuodessa. Vaatimusten noudattamisen raportointitapa riippuu vuodessa käsiteltävien korttimaksutapahtumien määrästä.

Seuraavassa on lyhyt, yksinkertaistettu yhteenveto aiheesta.

Jos yrityksesi käsittelee vuodessa yli 6 miljoonaa korttitapahtumaa, tarvitset vuosittain valtuutetun PCI-tarkastajan (QSA, Qualified Security Assessor) tekemän arvion PCI DSS -vaatimusten noudattamisesta.

Jos yrityksesi käsittelee vuodessa 1–6 miljoonaa korttitapahtumaa, sinun on raportoitava vaatimusten noudattaminen kerran vuodessa täyttämällä niin kutsuttu itsearviointikysely (SAQ, Self-Assessment Questionnaire). Vaihtoehtoisesti sinulta saatetaan edellyttää QSA:n tekemää auditointia.

Jos yrityksesi käsittelee vuodessa 20 000 – 1 miljoonaa korttitapahtumaa, sinun on täytettävä SAQ-kysely kerran vuodessa. SAQ-kysely on yritysten yleisin tapa raportoida vaatimusten noudattaminen, ja palaamme siihen vielä hieman jäljempänä.

Jos yrityksesi käsittelee vuodessa 0–1 miljoonaa korttitapahtumaa vähittäiskaupassa tai 0–20 000 korttitapahtumaa verkkokaupassa, vaatimusten noudattamisen raportointitapa riippuu maksuratkaisun tarjoajasta.

Kaikki yritykset, vuosittaisesta tapahtumamäärästä riippumatta, tarvitsevat neljännesvuosittaisen, hyväksytyn tietoturvatarkastajan (ASV, Approved Scanning Vendor) tekemän haavoittuvaisuustarkastuksen. Palaamme tähänkin jäljempänä.

Standardin vaatimuksia ei siis voi kiertää. PCI DSS -standardin noudattaminen on raportoitava, jotta maksuratkaisun tarjoaja (ja korttiyhtiöt) näkevät, että toimit vaatimusten mukaan.

Miten raportointi sitten tapahtuu?

Vaatimustenmukaisuuden raportoiminen

Tiedämme, että PCI DSS voi vaikuttaa monimutkaiselta, ja pyrimme siksi esittelemään sen ymmärrettävällä tavalla.

Kun valitset maksuratkaisuksi Bamboran, saat käyttöösi verkkotyökalun, joka auttaa PCI DSS-vaatimustenmukaisuuden noudattamista hallinnoinnissa ja raportoinnissa.

Ja mikä parasta, työkalu on ilmainen.

Koska koko PCI DSS-kuvio ei tietenkään ole sinun ideasi, päätimme tarjota työkalun sinulle veloituksetta.

Entä neljännesvuosittaiset tietoturvaskannaukset, jotka ovat pakollisia kaikille yrityksille?

Tarjoamme nekin ilmaiseksi, ja ne sisältyvät työkaluun.

Työkalu helpottaa kaikkien PCI DSS -standardiin liittyvien vaatimusten hallinnointia.

Tärkeimmät ominaisuudet:

  • PCI DSS-vaatimustenmukaisuuden hallinta (ohjaa SAQ-kyselyn läpi vaihe vaiheelta)

  • Verkon haavoittuvuuksien skannaus (ASV-skannaus)

  • Harjoittelu- ja koulutusohjelmat

  • Vaatimustenmukaisuuden seuranta

  • Tietoturvatestaus

Helppokäyttöinen työkalu on suunniteltu auttamaan yrityksiä PCI DSS-vaatimustenmukaisuuden noudattamisessa ja helpottamaan koko prosessia.

Työkalun ansiosta vaatimustenmukaisuuden noudattaminen on helppoa.

Entä jos PCI -standardia ei noudata?

Otathan huomioon: jos yrityksesi ei noudata PCI -standardia, otat valtavan riskin, joka voi vaarantaa koko liiketoiminnan.

PCI DSS kehitettiin kuluttajien ja yritysten suojelemiseksi ympäri maailman, ja tietoturvakäytäntöjen laiminlyönnistä voidaan sakottaa ankarasti.

Sakon suuruus riippuu tietoturvarikkeen tyypistä, mutta rangaistukset on joka tapauksessa viisainta välttää noudattamalla vaatimuksia.

Ota siis yrityksesi tietoturva vakavasti.

Tarvitsetko lisätietoja?

Toivottavasti tämä artikkeli selkeytti käsitystäsi PCI DSS -vaatimuksista ja niiden noudattamisesta.

Tarvittaessa saat lisätietoja PCI Security Standards Councilin viralliselta verkkosivustolta osoitteesta https://www.pcisecuritystandards.org/

Jos sinulla on kysyttävää PCI DSS:sta tai maksuttomasta vaatimustenmukaisuustyökalustamme, ota yhteyttä tästä, niin autamme mielellämme.

Heine Aaen Hansen

Markkinoinnin ja sisällön asiantuntija Bamboralla. Kirja harrastaja, sana nörtti ja avuton isä. Kun ei ole kirjoittamassa, voit löytää hänet lukemasta.

We are open for business!

Welcome to the world of payment solutions. Choose your country and start accepting payments from customers all over the world.