Olet varmaankin kuullut PCI:stä, etenkin jos yrityksesi vastaanottaa korttimaksuja.
PCI DSS -tietoturvastandardeja on noudatettava, jos vastaanotat yhdenkin korttimaksun.
Lue tämä artikkeli, jos olet perustamassa yritystä tai et ole varma, mitä PCI DSS todella tarkoittaa.
Artikkelissa kerrotaan, mikä PCI DSS on, miksi se on olemassa, miten sen kanssa toimitaan ja mitä se tarkoittaa yrityksesi kannalta.
Aloitetaan perusasioista:
PCI DSS on lyhenne sanoista Payment Card Industry Data Security Standard, ja se on koko korttimaksualaa koskeva tietoturvastandardi. Kun puhutaan PCI:stä, tarkoitetaan useimmiten PCI DSS -standardia.
PCI DSS:n tarkoituksena on parantaa kuluttajien korttimaksamiseen liittyvää tietoturvaa maailmanlaajuisesti varmistamalla, että yritykset käsittelevät korttitietoja yhdenmukaisesti.
Tietoturvastandardin ovat laatineet korttiyhtiöt Visa, Mastercard, American Express, JCB ja Discover.
Standardia ylläpitää Payment Card Industry Security Standards Council (PCI SSC), joka perustettiin vuonna 2006. PCI SSC vastaa PCI DSS -standardin kehittämisestä.
Keitä PCI DSS koskee?
PCI DSS koskee kaikkia yrityksiä, jotka tallentavat, käyttävät, siirtävät tai muulla tavoin käsittelevät korttitietoja.
Yhdenkin korttitapahtuman käsittely edellyttää PCI DSS:n noudattamista.
Mitä PCI DSS:n noudattaminen tarkoittaa?
PCI DSS:iin liittyy kuusi yleistä tavoitetta, joihin liittyy yhteensä 12 teknistä ja toiminnallista vaatimusta.
Nämä vaatimukset ovat seuraavat:
Verkon ja järjestelmien suojaus ja ylläpito
1. Varmista, että yrityksesi asentaa korttitietoja suojaavan palomuurin ja ylläpitää sitä
2. Älä käytä vakioasetuksia järjestelmäsalasanoille ja muille tietoturvaparametreille
Korttitietojen suojaus
3. Suojaa korttitiedot
4. Salaa korttitiedot, jotka lähetetään julkisen verkon kautta
Haavoittuvuuksien käsittely pysyvillä menettelyillä
5. Käytä viruksentorjuntaohjelmistoa ja päivitä se säännöllisesti
6. Kehitä ja ylläpidä järjestelmien ja sovellusten tietoturvaa
Tehokas kulunvalvonta
7. Rajoita kortinhaltijatietojen liiketoimintaan liittyvää käyttöä siten, että mahdollisimman harvalla on korttitietojen käyttöoikeus
8. Jokaisella verkkosi käyttäjällä on oltava oma käyttäjätunnus
9. Mahdollisimman harvalla tulisi olla fyysinen pääsy korttitietoihin
Verkon säännöllinen valvonta ja testaus
10. Yritysverkon ja korttitietojen käyttöä on valvottava
11. Testaa tietoturvajärjestelmät ja -prosessit säännöllisesti
Tietoturvakäytännön ylläpito
12. Ylläpidä tiukkaa tietoturvakäytäntöä, joka koskee koko henkilöstöä
Teknisempiä tietoja saat napsauttamalla alla olevaa linkkiä, jonka kautta voit tutustua PCI DSS:n edellyttämiin yli 200 tietoturvatoimenpiteeseen.
Klikkaa tätä ja valitse asiakirja ”PCI DSS”.
PCI DSS ja edellä olevat 12 vaatimusta koskevat siis KAIKKIA yrityksiä, jotka jollakin tavalla käsittelevät korttitietoja.
PCI DSS:n noudattaminen
Standardin noudattamisen dokumentointia varten yrityksesi on raportoitava vaatimusten noudattamiseen liittyvät tiedot maksuratkaisun tarjoajalle kerran vuodessa. Vaatimusten noudattamisen raportointitapa riippuu vuodessa käsiteltävien korttimaksutapahtumien määrästä.
Seuraavassa on lyhyt, yksinkertaistettu yhteenveto aiheesta.
Jos yrityksesi käsittelee vuodessa yli 6 miljoonaa korttitapahtumaa, tarvitset vuosittain valtuutetun PCI-tarkastajan (QSA, Qualified Security Assessor) tekemän arvion PCI DSS -vaatimusten noudattamisesta.
Jos yrityksesi käsittelee vuodessa 1–6 miljoonaa korttitapahtumaa, sinun on raportoitava vaatimusten noudattaminen kerran vuodessa täyttämällä niin kutsuttu itsearviointikysely (SAQ, Self-Assessment Questionnaire). Vaihtoehtoisesti sinulta saatetaan edellyttää QSA:n tekemää auditointia.
Jos yrityksesi käsittelee vuodessa 20 000 – 1 miljoonaa korttitapahtumaa, sinun on täytettävä SAQ-kysely kerran vuodessa. SAQ-kysely on yritysten yleisin tapa raportoida vaatimusten noudattaminen, ja palaamme siihen vielä hieman jäljempänä.
Jos yrityksesi käsittelee vuodessa 0–1 miljoonaa korttitapahtumaa vähittäiskaupassa tai 0–20 000 korttitapahtumaa verkkokaupassa, vaatimusten noudattamisen raportointitapa riippuu maksuratkaisun tarjoajasta.
Kaikki yritykset, vuosittaisesta tapahtumamäärästä riippumatta, tarvitsevat neljännesvuosittaisen, hyväksytyn tietoturvatarkastajan (ASV, Approved Scanning Vendor) tekemän haavoittuvaisuustarkastuksen. Palaamme tähänkin jäljempänä.
Standardin vaatimuksia ei siis voi kiertää. PCI DSS -standardin noudattaminen on raportoitava, jotta maksuratkaisun tarjoaja (ja korttiyhtiöt) näkevät, että toimit vaatimusten mukaan.
Miten raportointi sitten tapahtuu?
Vaatimustenmukaisuuden raportoiminen
Tiedämme, että PCI DSS voi vaikuttaa monimutkaiselta, ja pyrimme siksi esittelemään sen ymmärrettävällä tavalla.
Kun valitset maksuratkaisuksi Bamboran, saat käyttöösi verkkotyökalun, joka auttaa PCI DSS-vaatimustenmukaisuuden noudattamista hallinnoinnissa ja raportoinnissa.
Ja mikä parasta, työkalu on ilmainen.
Koska koko PCI DSS-kuvio ei tietenkään ole sinun ideasi, päätimme tarjota työkalun sinulle veloituksetta.
Entä neljännesvuosittaiset tietoturvaskannaukset, jotka ovat pakollisia kaikille yrityksille?
Tarjoamme nekin ilmaiseksi, ja ne sisältyvät työkaluun.
Työkalu helpottaa kaikkien PCI DSS -standardiin liittyvien vaatimusten hallinnointia.
Tärkeimmät ominaisuudet:
- PCI DSS-vaatimustenmukaisuuden hallinta (ohjaa SAQ-kyselyn läpi vaihe vaiheelta)
- Verkon haavoittuvuuksien skannaus (ASV-skannaus)
- Harjoittelu- ja koulutusohjelmat
- Vaatimustenmukaisuuden seuranta
- Tietoturvatestaus
Helppokäyttöinen työkalu on suunniteltu auttamaan yrityksiä PCI DSS-vaatimustenmukaisuuden noudattamisessa ja helpottamaan koko prosessia.
Työkalun ansiosta vaatimustenmukaisuuden noudattaminen on helppoa.
Entä jos PCI -standardia ei noudata?
Otathan huomioon: jos yrityksesi ei noudata PCI -standardia, otat valtavan riskin, joka voi vaarantaa koko liiketoiminnan.
PCI DSS kehitettiin kuluttajien ja yritysten suojelemiseksi ympäri maailman, ja tietoturvakäytäntöjen laiminlyönnistä voidaan sakottaa ankarasti.
Sakon suuruus riippuu tietoturvarikkeen tyypistä, mutta rangaistukset on joka tapauksessa viisainta välttää noudattamalla vaatimuksia.
Ota siis yrityksesi tietoturva vakavasti.
Tarvitsetko lisätietoja?
Toivottavasti tämä artikkeli selkeytti käsitystäsi PCI DSS -vaatimuksista ja niiden noudattamisesta.
Tarvittaessa saat lisätietoja PCI Security Standards Councilin viralliselta verkkosivustolta osoitteesta https://www.pcisecuritystandards.org/
Jos sinulla on kysyttävää PCI DSS:sta tai maksuttomasta vaatimustenmukaisuustyökalustamme, ota yhteyttä tästä, niin autamme mielellämme.