Tulostusversio

3/2011

Standardit: Kortin suojaksi

Teksti: Jani Kallio

Tietoturvastandardit ja siru suojaavat maksukorttien tietoja.

Maksaessaan ostoksensa kortilla kuluttaja välttyy monelta riskiltä käteiseen verrattuna, mutta kuluttajaa kiinnostaa myös, kuka, miksi ja miten hänestä maksutilanteessa tallennettuja tietoja käsitellään. Kuluttajan on oikeutettua olettaa, että hänen maksutietojaan kohdellaan tietosuojalakien edellyttämällä tavalla.

Maksukorttien tiedot sekä maksu- ja kassajärjestelmiin rekisteröityvät elektroniset jäljet ovat tietomassaa, joka kiinnostaa rikollisia sen helpon taloudellisen hyödynnettävyyden vuoksi. Alan toimijat ovat ehkä liian vähän kiinnittäneet huomiota siihen, että tietomassa on kiinnostavaa myös kortin käyttäjän yksityisyydensuojan kannalta.

Hollywood esittelee miltei poikkeuksetta elokuvien jäljityskohtauksissa reaaliaikaista ostosten ja ostospaikkojen jäljittämistä luottokortin tietojen perusteella. Sitä maailmalla myös tapahtuu - ja toivottavasti silloin asialla on oikeusvaltion periaatteita ja lakeja kunnioittava viranomainen tai rikollisuutta reaaliaikaisesti torjuva toimija. Kenellekään muille kortinkäyttäjän asiat eivät sitten kuulukaan.

Tarkka standardi loi vähimmäisturvan

Maksamiseen liittyvien tietojen suojaaminen väärinkäytön estämiseksi ja kortinhaltijan tietosuojan turvaamiseksi vaatii teknisiä ratkaisuja ja moninaisia tehtäviä. Korttimaksamisen toimialan vähimmäistason tietoturva on standardisoitu. Suuret luottokorttiyhtiöt VISA ja MasterCard etunenässä loivat kirjainyhdistelmän PCI (Payment Card Industry) ympärille ohjeistuksen ja valvontakeinot. Ja mikä tärkeintä, tekivät siitä sopimusteitse pakollista kaikille niille yrityksille ja yhteisöille, joiden toimintaan korttitietojen käsittely kuuluu jollain tavalla.

Tietoturvastandardi (PCI DSS) määrittelee vähimmäistason ja toimintamallit, joilla korttitietoja suojellaan tietoliikenneverkossa, palvelimilla ja tietojen tallennuksessa. Standardi kertoo myös konkreettisesti, mitä pitää tehdä, ja siitä on saatavilla runsaasti tulkintaohjeistusta.

Vuodesta 2005 lähtien kansainväliset korttitapahtumien välittäjät ja vastuulliset paikalliset toimijat ovat investoineet miljardeja euroja tietoturvastandardin edellyttämiin järjestelmiin ja tietoturvaprojekteihin. Kehitys on näkynyt PCI DSS -sertifioitujen toimijoiden määrän lisääntymisenä, mutta myös siinä, että rikollisten kohteena on useammin yritys, jossa ei ole panostettu standardin edellyttämiin asioihin.

Suomessa standardi yleistynyt hitaasti

Suomessa Luottokunta aloitti valistustyön tietoturvastandardien tarpeellisuudesta 2005 alussa. Aluksi vastauksena oli täystyrmäys: ”tarpeeton juttu korkean turvallisuustason Suomessa”, sanottiin. Sittemmin PCI DSS -sertifiointi on tarjouskilpailuissa asetettu kriittiseksi laatukriteeriksi ja edellytykseksi ylipäätään toimia korttimaksamisen palveluntarjoajana.

Luottokunnassa maksupäätteiltä tiedot siirtävä välityspalvelu on ollut PCI DSS -sertifioitu vuodesta 2005 alkaen ja auditoitu onnistuneesti vuosittain. Verkkomaksamisen mahdollistava palvelu sertifioitiin viime vuoden lopulla. Suomesta löytyy muutamia vastaavalla tavalla sertifioituja palveluja, mutta edelleen liian vähän. Määrän tulisi olla lähempänä kahta-kolmeakymmentä.

Myös siru suojaa tietoja

2000-luvun alussa korttimaksamisen kokonaisturvallisuuden ajateltiin yleisesti hoituvan sirumaksamisen (EMV) investoinneilla. Kauppiaiden viivyttely sirumaksupäätteiden hankinnassa uhkasi muodostaa Suomesta helpon kohteen Euroopan korttirikollisille.

Merkittävä pankkien investointi sirukortteihin ja kaupan investointi sirumaksupäätteisiin nostivat viime hetkellä Suomen samalle turvatasolle muun Euroopan kanssa. Vaatimalla tiukasti sirukorttia maksutilanteessa ja noudattamalla sirumaksamisen käytäntöjä kauppias välttyy merkittävimmiltä korttimaksamisen väärinkäyttöriskeiltä.

Sirukortit eivät silti poistaneet korttirikollisuutta. Nettimaksamisen ja magneettijuovakortteja hyväksyvien kauppiaiden takia rikollisuudelle on jäänyt elintilaa. Sirukorttien tietosisällön saa luettua automaatteihin asennettavilla kopiointilaitteilla, ja tunnuslukuja urkitaan varomattomilta näppäilijöiltä. Urkittujen tietojen pohjalta valmistetaan magneettijuovainen kopiokortti, tai tiedot myydään eteenpäin internetin pimeillä kauppapaikoilla.

Vastuunjakosäännöt (periaatteella heikoin lenkki maksaa) korjaavat tilannetta koko ajan parempaan suuntaan, mutta kuluttaja joutuu sietämään vielä pitkään ilmiön aiheuttamia harmeja, kuten korttien uusimista ja ylimääräisiä, selvitystä vaativia rivejä laskulla.

Yksittäiset skimmaajat kopioivat joidenkin satojen kuluttajien korttien tietoja, mutta harmit kasvavat, kun kyseessä on useiden satojen tuhansien korttitietojen tietomurrot. Ja juuri tähän taas standardin noudattaminen on lääke.

Rikolliset ahtaammalle

Kansainväliset korttijärjestöt eivät suinkaan seuraa passiivisina korttirikollisuuden kehittymistä vaan luovat koko ajan uusia ja sopimusten kautta ”pakollisia” maailmanlaajuisia tai maanosakohtaisia keinoja. Tuorein osoitus tästä on USA:n VISAn päätös tarjota porkkanaa niille kauppiaille, jotka investoivat sirupäätteisiin.

Porkkanana on osittainen luopuminen kauppiaan maksukortin tietoturvastandardin velvoitteista, mikä voi vaikuttaa kummalliselta. Toisaalta Yhdysvalloissa suurista kauppiasta 97−96 prosenttia on jo sertifioitu standardin mukaisesti ja pienemmistäkin jo 60 prosenttia. Tietoturvaan on jo siis investoitu, joten siellä voidaan siirtyä seuraavaan heikkoon lenkkiin.

Jos kauppiaat Yhdysvalloissa siirtyvät sankoin joukoin sirupäätteisiin, vaikutukset heijastuvat koko korttimaksamisen kenttään. Magneettijuovaan perustuva rikollisten ekosysteemi kuihtuu, ja korttitiedoista tulee vaikeammin hyödynnettäviä.

Maailmanlaajuisesti tarkasteltuna sirumaksaminen ja standardit täydentävät toisiaan tärkeällä tavalla. Päämäärä on yhteinen – saada tietosuojaakin uhkaava korttirikollisuus kuriin.

PCI DSS standardi suomeksi >>

PCI DSS sertifioidut palvelut >>

---

[KIRJOITTAJA:]

Jani Kallio on Luottokunnan riskienhallintajohtaja.

Lue myös

Standardit: Tehokas mutta raskas PCI DSS »
Standardit: Myyjä ei näe kortin tietoja »
Standardit: Selkoa standardiviidakkoon »
Standardit: Yritykset mukaan »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.