PCI-standardi

    PCI-standardi

    Kansainväliset korttiyritykset ovat määrittäneet kaikkiin korttimaksuihin sovellettavia tietoturvastandardeja. Maksukorttitapahtumia vastaanottavana kauppiaana sinun on varmistettava, että liiketoimintasi on standardien vaatimusten mukaista.

    Mitä PCI DSS tarkoittaa?
    PCI DSS (Payment Card Industry Data Security Standard) on maksukorttialan tietoturvastandardi. Standardi määrittää säännöt ympäristölle (maksupääte/maksuratkaisut/järjestelmät/verkko), jossa kauppiaat ja heidän palveluntarjoajansa/prosessoijansa käsittelevät ja säilyttävät korttitietoja.

    Standardin 12 vaatimusta koskevat kaikkia
    Kaikkien korttitietoja käsittelevien tahojen on noudatettava PCI DSS -tietoturvastandardin 12:ta vaatimusta. Maksupäätteiden ja/tai maksuratkaisun on oltava sertifioituja ja PA-DSS- ja PCI PED -standardien mukaisia, jotta kauppiaan voidaan katsoa noudattavan kaikkia vaatimuksia.

    12 vaatimusta on listattu alla.

    Korttitiedot on suojattava ja salattava
    Maksukorttitiedot saa tallentaa vain muutamaan paikkaan, ja ne on suojattava hyvin.

    Muista aina suojata ja salata korttinumerot
    Tiedot on suojattava niin kauan kuin säilytät kortinhaltijan nimen ja kortin viimeisen voimassaolopäivän. Tallenna aina vain tarvittavat korttitiedot ja poista ne heti, kun et enää tarvitse niitä. Älä koskaan tallenna tiettyjä korttitietoja

    Vaikka salaat tai suojaat tiedot, älä koskaan säilytä magneettijuovan tietoja, CVV/CVC-koodia tai PIN-koodia maksusuorituksen vahvistamisen jälkeen.

    PCI-DSS-standardin 12 vaatimusta

    PCI DSS kuvailee kaikkia korttitietoja lähettäviä, käsitteleviä tai tallentavia kauppiaita koskevat vaatimukset. Standardin piirissä ovat maksukortit Visa, MasterCard, American Express, Diners, Discover, JCB ja Dankort (Tanskassa).

    PCI DSS -tietoturvastandardi koostuu seuraavasta 12 vaatimuksesta:

    Verkon suojaaminen
    Vaatimus 1: Varmista, että yrityksesi asentaa korttitietoja suojaavan palomuurin ja ylläpitää sitä
    Vaatimus 2: Älä käytä vakioasetuksia järjestelmäsalasanoille ja muille tietoturvaparametreille

    Korttitietojen suojaus
    Vaatimus 3: Suojaa korttitiedot
    Vaatimus 4: Salaa korttitiedot, jotka lähetetään avoimen, julkisen verkon kautta

    Haavoittuvuuksien käsittely pysyvillä menettelyillä
    Vaatimus 5: Käytä viruksentorjuntaohjelmistoa ja päivitä se säännöllisesti
    Vaatimus 6: Kehitä ja ylläpidä järjestelmien ja sovellusten tietoturvaa jatkuvasti

    Tehokas kulunvalvonta
    Vaatimus 7: Rajoita kortinhaltijatietojen liiketoimintaan liittyvää käyttöä siten, että mahdollisimman harvalla on korttitietojen käyttöoikeus
    Vaatimus 8: Jokaisella tietokoneverkkosi käyttäjällä on oltava oma käyttäjätunnus
    Vaatimus 9: Mahdollisimman harvalla tulisi olla fyysinen pääsy korttitietoihin

    Verkon säännöllinen valvonta ja testaus
    Vaatimus 10: Yritysverkon ja korttitietojen käyttöä on valvottava
    Vaatimus 11: Testaa tietoturvajärjestelmät ja -prosessit säännöllisesti ja ylläpidä tietoturvakäytäntöä
    Vaatimus 12: Ylläpidä tiukkaa tietoturvakäytäntöä