PCI-standardi

Kansainväliset korttiyritykset ovat määrittäneet kaikkiin korttimaksuihin sovellettavia tietoturvastandardeja. Standardi määrittää säännöt ympäristölle (maksupääte/maksuratkaisut/järjestelmät/verkko), jossa kauppiaat ja heidän palveluntarjoajansa/prosessoijansa käsittelevät ja säilyttävät korttitietoja. Kaikkien korttitietoja käsittelevien tahojen on noudatettava PCI DSS -tietoturvastandardin 12:ta vaatimusta. Maksukorttitapahtumia vastaanottavana kauppiaana sinun on varmistettava, että liiketoimintasi on standardien vaatimusten mukaista. Maksupäätteiden ja/tai maksuratkaisun on oltava sertifioituja ja PA-DSS- ja PCI PED -standardien mukaisia, jotta kauppiaan voidaan katsoa noudattavan kaikkia vaatimuksia.

PCI-DSS-standardin 12 vaatimusta

PCI DSS kuvailee kaikkia korttitietoja lähettäviä, käsitteleviä tai tallentavia kauppiaita koskevat vaatimukset. Standardin piirissä ovat maksukortit Visa, MasterCard, American Express, Diners, Discover, JCB ja Dankort (Tanskassa).

  1. Varmista, että yrityksesi asentaa korttitietoja suojaavan palomuurin ja ylläpitää sitä.

  2. Älä käytä vakioasetuksia järjestelmäsalasanoille ja muille tietoturvaparametreille.

  3. Suojaa korttitiedot

  4. Salaa korttitiedot, jotka lähetetään avoimen, julkisen verkon kautta.

  5. Käytä viruksentorjuntaohjelmistoa ja päivitä se säännöllisesti.

  6. Kehitä ja ylläpidä järjestelmien ja sovellusten tietoturvaa jatkuvasti.

  7. Rajoita kortinhaltijatietojen liiketoimintaan liittyvää käyttöä siten, että mahdollisimman harvalla on korttitietojen käyttöoikeus.

  8. Jokaisella tietokoneverkkosi käyttäjällä on oltava oma käyttäjätunnus.

  9. Mahdollisimman harvalla tulisi olla fyysinen pääsy korttitietoihin.

  10. Yritysverkon ja korttitietojen käyttöä on valvottava.

  11. Testaa tietoturvajärjestelmät ja -prosessit säännöllisesti ja ylläpidä tietoturvakäytäntöä.

  12. Ylläpidä tiukkaa tietoturvakäytäntöä.