Usein kysyttyä korttimaksamisen turvallisuudesta

Miksi korttimaksamisen tietoturvasta huolehtiminen on tärkeää?

​Korttimaksamisen tietoturvasta huolehtiminen on keskeinen osa korttimaksamisen turvallisuutta ja jatkuvuutta. Pyrkimyksenä on suojata kortinhaltijoiden korttitiedot kaikissa olosuhteissa ja siten turvata oman liiketoiminnan turvallisuus, maine ja jatkuvuus.

Miten toimin, jos epäilen, että yrityksessäni on tapahtunut tietomurto?

​Ensinnäkin kannattaa yhdessä yrityksesi tietoturvavastaavan kanssa rajata ja estää korttitietojen vaarantuminen. Seuraavaksi ilmoittaa asiasta poliisille, pankillesi, palveluntarjoajille ja Netsiin 09 6964 6336.

Mikä on PCI?

PCI DSS on korttimaksamisen tietoturvastandardi, joka määrittelee korttimaksamisen perustietoturvatason.

PCI DSS tulee sanoista Payment Card Industry Data Security Standard.

Koskeeko PCI minua?

​PCI-säännöt koskevat kaikkia liikkeitä ja yrityksiä, jotka käsittelevät, tallentavat tai välittävät kansainvälisten maksukorttien (Visa, MasterCard, American Express, Discover, Diners Club, JCB) korttitietoja.

Miksi korttimaksamisen tietoturvasta huolehtiminen on tärkeää?

​Korttimaksamisen tietoturvasta huolehtiminen on keskeinen osa korttimaksamisen turvallisuutta ja jatkuvuutta. Pyrkimyksenä on suojata kortinhaltijoiden korttitiedot kaikissa olosuhteissa ja siten turvata oman liiketoiminnan turvallisuus, maine ja jatkuvuus.

Miten toimin, jos epäilen, että yrityksessäni on tapahtunut tietomurto?

Ensinnäkin kannattaa yhdessä yrityksesi tietoturvavastaavan kanssa rajata ja estää korttitietojen vaarantuminen. Seuraavaksi ilmoittaa asiasta poliisille, pankillesi, palveluntarjoajille ja Netsille 010 80 40 40.

Lue lisätietoja Toimintaohje korttitietojen vaarantuessa.

Mitä PCI-vaatimuksenmukaisuus minulta käytännössä edellyttää?

​PCI:n noudattaminen on pakollista kaikille kansainvälisiä maksukortteja vastaanottaville kauppiaille. Raportointivelvoitteet kuitenkin vaihtelevat kauppiaan koon ja sen mukaan minkälaisesta kauppapaikasta on kyse. Tarkemmat ohjeet löydät Nets Oy:n kauppiasohjeesta, jotka löytyvät Korttitilitysten raportointipalvelusta.

Mistä voin aloittaa?

Ensimmäisenä kannattaa selvittää, mihin kauppiastasoon kuulut. Jos olet 1- tai 2-tason kauppias (yli miljoona korttitapahtumaa vuodessa), ota yhteyttä PCI-auditointeja tarjoavaan tahoon. PCI-auditoija kartoittaa maksuympäristösi laajuuden ja selvittää, miten PCI:n noudattaminen saavutetaan. Listan PCI-auditointeja tekevistä yrityksistä (Qualified Security Assessors) löydät PCI Security Standards Councilin verkkosivuilta.

Jos olet 3- tai 4-tason kauppias (alle miljoona korttitapahtumaa vuodessa) selvitä mikä itsearviointilomake sinun tulee täyttää. Oikea lomake valitaan sen mukaan, miten yrityksesi vastaanottaa ja käsittelee korttimaksuja.

Itsearviointilomakkeet voit ladata PCI Security Standards Councilin verkkosivuilta.

Kuka PCI-standardin ja vaatimukset määrittelee?

Standardia hallinnoi kansainvälisten korttijärjestöjen (Visa International, MasterCard Worldwide, American Express, JCB, Discover Financial Services) perustama, riippumaton PCI Security Standards Council.

PCI-standardi ohjaa maksukorttien tili- ja tapahtumatietojen käsittelyä, välittämistä ja tallentamista. Standardi on maailmanlaajuinen ja koskee kaikkia kauppiaita ja tahoja, jotka käsittelevät, välittävät tai tallentavat maksukorttitietoja.

Ovatko vaatimukset samat pienille ja isoille kauppiaille?

Korttimaksamisen turvallisuudesta huolehtiminen kuuluu kaikille. PCI-standardin noudattaminen on pakollista kaikille korttitietoja käsitteleville, välittäville tai tallentaville tahoille, kuten kaikille kauppiaille, jotka vastaanottavat maksukortteja.

PCI-standardia tulee noudattaa kauppiaan koosta huolimatta. Vain raportointivelvollisuudet vaihtelevat kauppiastason mukaan.

Mitä kustannuksia PCI-vaatimuksenmukaisuudesta aiheutuu?

​Kustannukset vaihtelevat tapauskohtaisesti. Esimerkiksi suurten kauppiaiden laajat maksuympäristöt ovat aina haasteellisempia kuin pienemmällä kauppiaalla. Pienempien kauppiaiden ei myöskään tarvitse käyttää ulkoista PCI-auditoijaa.

Jos maksuympäristö on standardin mukainen, pienempien kauppiaiden kohdalla kustannukset rajoittuvat neljännesvuosittaisiin verkkoskannauksiin.

Mitä hyötyä PCI:stä on minulle?

PCI:n noudattaminen on paitsi pakollista, myös kauppiasta aidosti hyödyntävää toimintaa. PCI:n noudattaminen ja tietoturva-asioihin panostaminen tekee korttimaksamisesta turvallisempaa niin kauppiaalle kuin asiakkaillekin

PCI-standardilla varmistetaan korttimaksamisen turvallisuuden minimitaso. Se auttaa kauppiasta parantamaan toimintatapojaan ja maksuympäristöään turvallisemmaksi ja pitää siten liiketoiminnan vireessä. Standardia noudattamalla kauppias saa korttiyhtiöiltä suojaa mahdollisissa tietomurtotapauksissa.

Mitä kauppiastasolla tarkoitetaan?

​Kaupat jaetaan toiminnan luonteen ja vuotuisten tapahtumamäärien mukaan neljään tasoon. Eri tason kaupoilla on erilaisia raportointivelvoitteita, joilla PCI DSS -standardin noudattaminen tulee Netsille osoittaa. Kauppiastasolla tarkoitetaan kauppiaan kokoa, joka mitataan vuosittaisen korttimaksutapahtumien lukumäärän perusteella.

Koskeeko PCI-vaatimus myös käyttämiäni palveluntarjoajia?

​Kyllä koskee. Standardin noudattaminen on pakollista kaikille korttitietoja käsitteleville, välittäville tai tallentaville tahoille. Myös ne palveluntarjoajat, jotka voivat toiminnallaan vaikuttaa maksukorttitietojen turvallisuuteen ovat velvoitettuja noudattamaan PCI-standardin vaatimuksia. Turvallinen korttimaksaminen on mahdollista vain silloin, kun kaikki osapuolet velvoitetaan siitä huolehtimaan.

Palveluntarjoajaksi luetaan mikä tahansa taho, joka voi vaikuttaa maksukorttitietojen turvallisuuteen, (esimerkiksi hallinnoitujen palomuuripalvelujen tarjoajat, IDS-palveluntarjoajat, web- tai palvelinhotellipalveluja tarjoavat yritykset jne.)

Palveluntarjoajat vastaavat itse PCI-standardin noudattamisesta. Kauppiaana sinun tulee varmistaa, että käyttämäsi palveluntarjoajan palvelu on PCI hyväksytty.

Mitä tapahtuu, jos en täytä PCI-vaatimuksenmukaisuuden edellytyksiä?

​Jos korttimaksaminen vaarantuu eikä PCI-velvoitteita ole noudatettu, kauppias voi joutua maksamaan sanktioita. Mahdollisessa tietomurtotapauksessa kauppias joutuu sanktioiden lisäksi maksamaan myös tapauksesta seuranneet kulut.