PCI-standardi

nets-secure-card-transactions.jpg

PCI-standardi

Kansainväliset korttiyritykset ovat määrittäneet kaikkiin korttimaksuihin sovellettavia tietoturvastandardeja. Maksukorttitapahtumia vastaanottavana kauppiaana sinun on varmistettava, että liiketoimintasi on standardien vaatimusten mukaista.

Mitä PCI DSS tarkoittaa?
PCI DSS (Payment Card Industry Data Security Standard) on maksukorttialan tietoturvastandardi. Standardi määrittää säännöt ympäristölle (maksupääte/maksuratkaisut/järjestelmät/verkko), jossa kauppiaat ja heidän palveluntarjoajansa/prosessoijansa käsittelevät ja säilyttävät korttitietoja.

Standardin 12 vaatimusta koskevat kaikkia
Kaikkien korttitietoja käsittelevien tahojen on noudatettava PCI DSS -tietoturvastandardin 12:ta vaatimusta. Maksupäätteiden ja/tai maksuratkaisun on oltava sertifioituja ja PA-DSS- ja PCI PED -standardien mukaisia, jotta kauppiaan voidaan katsoa noudattavan kaikkia vaatimuksia.

12 vaatimusta on listattu alla.

Korttitiedot on suojattava ja salattava
Maksukorttitiedot saa tallentaa vain muutamaan paikkaan, ja ne on suojattava hyvin.

Muista aina suojata ja salata korttinumerot
Tiedot on suojattava niin kauan kuin säilytät kortinhaltijan nimen ja kortin viimeisen voimassaolopäivän. Tallenna aina vain tarvittavat korttitiedot ja poista ne heti, kun et enää tarvitse niitä. Älä koskaan tallenna tiettyjä korttitietoja

Vaikka salaat tai suojaat tiedot, älä koskaan säilytä magneettijuovan tietoja, CVV/CVC-koodia tai PIN-koodia maksusuorituksen vahvistamisen jälkeen.

PCI-DSS-standardin 12 vaatimusta

PCI DSS kuvailee kaikkia korttitietoja lähettäviä, käsitteleviä tai tallentavia kauppiaita koskevat vaatimukset. Standardin piirissä ovat maksukortit Visa, MasterCard, American Express, Diners, Discover, JCB ja Dankort (Tanskassa).

PCI DSS -tietoturvastandardi koostuu seuraavasta 12 vaatimuksesta:

Verkon suojaaminen
Vaatimus 1: Varmista, että yrityksesi asentaa korttitietoja suojaavan palomuurin ja ylläpitää sitä
Vaatimus 2: Älä käytä vakioasetuksia järjestelmäsalasanoille ja muille tietoturvaparametreille

Korttitietojen suojaus
Vaatimus 3: Suojaa korttitiedot
Vaatimus 4: Salaa korttitiedot, jotka lähetetään avoimen, julkisen verkon kautta

Haavoittuvuuksien käsittely pysyvillä menettelyillä
Vaatimus 5: Käytä viruksentorjuntaohjelmistoa ja päivitä se säännöllisesti
Vaatimus 6: Kehitä ja ylläpidä järjestelmien ja sovellusten tietoturvaa jatkuvasti

Tehokas kulunvalvonta
Vaatimus 7: Rajoita kortinhaltijatietojen liiketoimintaan liittyvää käyttöä siten, että mahdollisimman harvalla on korttitietojen käyttöoikeus
Vaatimus 8: Jokaisella tietokoneverkkosi käyttäjällä on oltava oma käyttäjätunnus
Vaatimus 9: Mahdollisimman harvalla tulisi olla fyysinen pääsy korttitietoihin

Verkon säännöllinen valvonta ja testaus
Vaatimus 10: Yritysverkon ja korttitietojen käyttöä on valvottava
Vaatimus 11: Testaa tietoturvajärjestelmät ja -prosessit säännöllisesti ja ylläpidä tietoturvakäytäntöä
Vaatimus 12: Ylläpidä tiukkaa tietoturvakäytäntöä