Turvallisesta korttiturvallisuudesta


Yleistietoa korttiturvallisuudesta

Pikaohje korttimaksamisen turvallisuuteen

  • Älä koskaan tallenna kortin magneettijuovan tai sirun sisältämiä ura-1 ja ura-2 -tietoja, kortin takana olevaa CVV2-tarkistuslukua tai kortin tunnuslukua (PIN-koodi).

  • Käytettävän korttimaksamisen ratkaisun pitää tukea PCI DSS -standardin vaatimuksia.Korttitapahtumia käsittelevillä järjestelmillä kuten maksupäätteillä ja korttitietoja käsittelevillä kassajärjestelmillä tulee olla PA-DSS hyväksyntä.

  • Varmista, että maksutapahtumiasi käsittelevät tahot noudattavat PCI DSS -standardia.

  • Erillismaksupäätteet saa kytkeä ainoastaan PCI DSS -hyväksytyn palveluntarjoajan varmennus/ tapahtumienvälityspalveluun.

  • Säilytä korttinumeroa ja voimassaoloaikaa vain välttämätön aika turvallisessa paikassa salakirjoitetussa muodossa. Tuhoa tai poista maksukorttien tietoja sisältävät sähköiset ja paperiset tallenteet heti, kun niitä ei enää tarvita.

  • Korttitietojen siirron julkisissa verkoissa, kuten internetissä, on tapahduttava aina salatussa ja suojatussa muodossa.

  • Asenna käyttöjärjestelmiin ja sovellusohjelmiin kaikki tietoturvapäivitykset valmistajalta.

  • Kauppias vastaa aina itse PCI DSS -standardin ja sen edellyttämien toimintatapojen noudattamisesta, kuten verkkoympäristön säännöllinen skannaus, auditointi, virustorjunta, palomuurit yms.


Mikä on PCI DSS?

PCI DSS tietoturvastandardi on maksukorttien varmennuksia ja tapahtumia käsittelevien tietojärjestelmien ja prosessien standardi. Tavoitteena on turvata kortinhaltijoiden tilitiedot kaikissa olosuhteissa ja nostaa kaikkien korttitietoja käsittelevien tahojen tietoturvataso riittävän korkeaksi. Standardi sisältää tekniset ja hallinnolliset vaatimukset minimitoteutuksesta kauppiaan tai palveluntarjoajan korttitietoja käsittelevässä ympäristössä. PCI DSS -standardin noudattaminen on pakollista kaikille kansainvälisten korttiyhtiöiden maksukorttien korttitietoja käsitteleville, välittäville tai tallentaville tahoille. Kauppias on velvollinen noudattamaan PCI DSS -standardia omassa toiminnassaan. Kauppias vastaa lisäksi siitä, että sen korttitietojen käsittelyyn, välitykseen tai tallentamiseen osallistuvat sopimuskumppanit sekä kauppiaan korttitietoja sisältävien järjestelmien ylläpitoon osallistuvat tahot, noudattavat PCI DSS -standardia. Standardia hallinnoi kansainvälisten korttijärjestöjen (Visa International, MasterCard Worldwide, American Express, JCB ja Discover Financial Services) perustama riippumaton toimielin PCI Security Standards Council.


PCI DSS -standardin pääkohdat

  • Suojaa tiedot asentamalla palomuuriratkaisu ja ylläpitämällä sitä.

  • Älä käytä ohjelmistotoimittajan määrittämiä oletussalasanoja tai muita oletusasetuksia.

  • Suojaa tallennetut kortinhaltijatiedot.

  • Siirrä kortinhaltijoiden tiedot ja muut luottamukselliset tiedot julkisissa tietoverkoissa salattuina.

  • Käytä virustorjuntaohjelmistoa ja päivitä se säännöllisesti.

  • Kehitä turvallisia järjestelmiä ja sovelluksia sekä ylläpidä niitä.

  • Rajoita pääsy tietoihin koskemaan vain niitä, jotka tarvitsevat niitä liiketoiminnallisiin tarkoituksiin.

  • Luo jokaiselle tietojärjestelmän käyttäjälle yksilöllinen käyttäjätunnus.

  • Rajoita fyysinen pääsy kortinhaltijoiden tietoihin.

  • Seuraa ja valvo kaikkea verkkoresurssien ja kortinhaltijoiden tietojen käyttöä.

  • Testaa tietoturvajärjestelmät ja -prosessit säännöllisesti.

  • Luo työntekijöitä ja alihankkijoita koskeva tietoturvakäytäntö.


Turvallinen verkkokauppa

Tälle sivulle on kerätty kattavasti tietoa verkkokaupan turvallisuuteen liittyen. Verkkokaupassa luottokorttitietoja on käsiteltävä huolellisesti. Nets tarjoaa kauppiaan käyttöön useita hyödyllisiä palveluita riskien parempaan hallintaan sekä väärinkäytösten estämiseksi.

Kortin takana oleva CVV2/CVC2-tunniste on pakollinen Netaxeptin kautta tehdyissä korttimaksutapahtumissa. Se on kuitenkin poistettava järjestelmistäsi ja kaikista tallenteistasi välittömästi sen jälkeen, kun olet välittänyt sen Netsille varmennuksen yhteydessä. Et saa säilyttää tätä kolminumeroista kortin tunnistetta järjestelmissäsi edes salatussa muodossa.

Maksukortin numero ja voimassaoloaika on joko poistettava kaikista tallenteistasi tai piilotettava tallenteessa PCI-tietoturvastandardin ohjeiden mukaisesti tai suojattava tallenteessa vähintään 3DES-salauksella.

Säilytä tilaus- ja maksutapahtumatietoja sisältävät tallenteet turvallisesti ja tuhoa sellaiset tilitietoja sisältävät tallenteet, joita ei ole tarpeellista säilyttää. Tee tuhoaminen siten, ettei tallenteiden sisältämä tieto enää ole luettavissa ja palautettavissa.

Turvallisuusilmoitus etäkaupoille



Perusohjeet

  • Tutustu PCI-tietoturvastandardiin

  • Kaikkien tahojen, jotka osallistuvat maksutapahtumiesi ja korttitietojen käsittelyyn, tulee olla PCI DSS -standardin vaatimustenmukaisia.

  • Älä koskaan vastaanota korttitietoja salaamattomassa sähköpostissa.


Todentamispalvelut

Netaxeptia käyttävänä verkkokauppiaana saat automaattisesti käyttöösi myös todentamispalvelut. ​​Visan ja MasterCardin tarjoamat todentamispalvelut, Verified by Visa tai Mastercard SecureCode todentavat asiakkaan henkilöllisyyden luottavasti.

Verified by Visa

Verified by Visa on Visa-korttijärjestelmän verkkomaksamisen luotettavuutta parantava kansainvälinen palvelu, joka todentaa verkkokaupan osapuolet. Palvelu on käytössä yli 250 000 kauppiaalla maailmanlaajuisesti.

Kortinhaltija todennetaan maksamisen yhteydessä. Kortinhaltijan tunnistetiedot eivät välity kauppiaalle. Kauppias saa vahvistuksen tunnistuksen onnistumisesta ja kortinhaltija puolestaan saa ilmoituksen ostosten hyväksymisestä sekä tilausvahvistuksen kauppiaalta.

Mastercard SecureCode

MasterCard SecureCode on MasterCard-korttijärjestelmän verkkomaksamisen luotettavuutta parantava kansainvälinen palvelu, joka todentaa verkkokaupan osapuolet.

Kahdeksanmerkkinen MasterCard SecureCode -salasana vastaa kortinhaltijan allekirjoitusta verkkokaupassa. Kortinhaltijan tunnistetiedot eivät välity kauppiaalle, vaan kauppias saa vahvistuksen tunnistuksen onnistumisesta ja kortinhaltija puolestaan saa ilmoituksen ostosten hyväksymisestä sekä tilausvahvistuksen kauppiaalta.


Riskienhallintatyökalut

​Riskienhallintatyökalut mahdollistavat luotettavan ja tehokkaan väärinkäytön torjunnan etämyynnissä ja ja auttavat kauppiasta tunnistamaan mahdollisia väärinkäyttötapauksia.

Maksullisena lisäpalveluna on saatavilla laajennettu väärinkäytön estoon liittyvä paketti korttimaksamiseen. Riskienhallintatyökalut mahdollistavat luotettavan ja tehokkaan väärinkäytön torjunnan etämyynnissä ja ja auttavat kauppiasta tunnistamaan mahdollisia väärinkäyttötapauksia jo ennen tuotteen tai palvelun lähettämistä.

Paketti on tarkoitettu erityisesti kauppiaille, joiden tuotteilla on korkea jälleenmyyntiarvo tai helppo jälleenmyytävyys, esim. elektroniikka tai matkaliput.

  • Monipuoliset työkalut, jotka pisteyttävät reaaliaikaisesti jokaisen maksutapahtuman.

  • Pisteytys perustuu maksutapahtumasta saataviin useisiin eri tietoihin ja niiden keskinäiseen vertailuun.

  • Kauppias voi käyttää joko oletuksena olevaa riskiluokitusta tai asettaa pisteiden perusteella omat hyväksymisrajat maksutapahtumille räätälöidyssä riskiluokituksessa.

  • Oletuksena oleva riskiluokitus soveltuu suurimmalle osalle kauppiaita.

  • Oman riskiluokituksen räätälöinti onnistuu tarvittaessa helposti.


Väärinkäytönestopalvelut

Korttimaksamisen turvallisuutta lisäävät väärinkäytönestopalvelut sisältyvät kaikkiin Netaxeptin palvelupaketteihin ilman lisämaksua.

  • Kauppias voi määrittää maat, joissa myönnetyt maksukortit hyväksytään.

  • Kauppias voi asettaa maksimi summa-arvon, joka hyväksytään tiettynä ajanjaksona tietyllä maksukortilla.

  • Kauppias voi asettaa maksimi tapahtumamäärän, joka hyväksytään tiettynä ajanjaksona tietyllä maksukortilla.

  • Kauppias näkee ostajan selainyhteyden IP-osoitteen, joka kertoo IP-osoitteen maan, jonka kautta maksutapahtuma on tehty.