Tulostusversio

3/2011

Standardit: Tehokas mutta raskas PCI DSS

Teksti: Niki Klaus ja Pekka Viitasalo

Maksukorttien tietoturvastandardi vaatii verkkokaupoissa pysyviä toimintatavan muutoksia.

Luottokorttiyhtiöiden ylläpitämän tietoturvastandardin (PCI DSS) tarkoituksena on suojata maksukorttitietoja, etenkin kortin numeroa.

PCI DSS -standardi on laadittu siten, että se soveltuu parhaiten toteutettavaksi verkkokauppaympäristössä. Tämä tietysti helpottaa verkkokauppiaiden standardihankkeita ja vastaavasti voi vaikeuttaa sen toteuttamista muunlaisissa ympäristöissä.

Standardin noudattaminen muuttaa lähes aina verkkokaupan toimintatapaa jollain tavalla. Erityisesti pienten ja keskisuurten verkkokauppojen kannattaa ulkoistaa sen toteuttaminen maksujen käsittelyyn erikoistuneelle yritykselle mahdollisimman laajasti. Standardiin ei kannata suhtautua välinpitämättömästi. Sen noudattamatta jättäminen saattaa pahimmillaan johtaa siihen, että verkkokauppa ei enää saa ottaa vastaan maksukorttimaksuja.

Sopimusketjussa kaupalla suuri vastuu

Tietoturvastandardi koskee kaikkia niitä tahoja, jotka tallentavat, käsittelevät tai siirtävät maksukorttitietoa. Sen noudattaminen ei kuitenkaan perustu lakeihin tai asetuksiin, vaan tavallisesti sen käyttöönottoa edellytetään sopimuksessa.

Tyypillisesti sopimusketju muodostuu siten, että maksukorttiyhtiö (esimerkiksi VISA), vaatii tilittäjää (esimerkiksi Luottokuntaa), siirtämään standardin noudattamisvelvoitteen omille asiakkailleen eli kauppiaille. Kauppiaiden taas kannattaa siirtää vastuut palveluntarjoajilleen siltä osin kuin ne ovat vastuussa kaupan maksukorttitietojen turvallisuudesta.

Sopimusketjussa myös korvausvelvoite siirtyy lenkiltä toiselle: tilittäjät siirtävät kauppiaalle vahingonkorvausvastuun, mikäli kaupalta varastetaan korttitietoja. Yleensä kauppa ei joudu maksamaan korvausta tietomurrosta, jos se on noudattanut tietoturvastandardia. Standardia laiminlyönyt kauppa voi sen sijaan joutua maksamaan huomattavan suuria vahingonkorvauksia.

Koko organisaation asia

PCI DSS -tietoturvastandardissa on yli 200 yksityiskohtaista vaatimusta, joista osa edellyttää mittavia investointeja. Vaatimukset ulottuvat hyvin laajalle koko organisaatioon.

Teknisten vaatimusten lisäksi standardissa on myös vaatimuksia esimerkiksi henkilökunnan palkkauksesta ja koulutuksesta, fyysisestä suojauksesta ja tietoturvallisuuden hallinnasta. Standardin toteuttamista ei siis kannata jättää IT-osaston tehtäväksi, vaan sille tulee olla johdon vahva tuki.

Standardin noudattaminen on monessa tapauksessa totuttua raskaampaa. Koko ympäristö prosesseineen tulee olla dokumentoitu, ja kaikki muutokset tulee tehdä muodollisen muutoshallinnan kautta. Lisäksi standardissa on vaatimuksia kausittaisille tehtäville, kuten palomuurisääntöjen katselmoinnille ja lokien valvonnalle.

Standardin noudattaminen ei siten ole kertaluontoinen projekti vaan pysyvä toimintatavan muutos.

Maksaminen erilleen muista järjestelmistä

Yrityksen toiminnan kannalta paras tilanne saavutetaan yleensä erottamalla maksukorttitietoa käsittelevät järjestelmät muista. Näin koko organisaation ei tarvitse toimia PCI DSS -standardin edellyttämällä turvallisella mutta raskaalla tavalla.

Standardin toteuttaminen vaatii tyypillisesti merkittäviä investointeja, vaikka maksukorttitietoa käsitteleviä järjestelmiä olisi vain muutamia ja ne olisi erotettu muista järjestelmistä. Useiden verkkokauppiaiden kannattaakin harkita maksamisen ulkoistamista standardia noudattavalle palveluntarjoajalle.

Maksamisen ulkoistaminen voidaan toteuttaa esimerkiksi siten, että ostosten maksuvaiheessa asiakas siirretään verkkokauppiaan sivuilta palveluntarjoajan sivulle. Asiakas syöttää maksukorttinumeronsa palveluntarjoajan sivulle, joten verkkokauppias ei missään vaiheessa, edes tilapäisesti, käsittele asiakkaan kortin numeroa. Vastuu PCI DSS -standardin noudattamisesta ei poistu, mutta sovellettavat vaatimukset putoavat murto-osaan.

Maksamisen ulkoistavan kauppiaan on tärkeää muistaa siirtää vastuu maksukorttitiedon turvallisesta käsittelystä maksuja käsittelevälle toimittajalle. Mikäli sopimukset eivät ole kunnossa ja asiakkaiden maksukorttitietoja kaikesta huolimatta käytetään väärin, voi vastuu jäädä verkkokauppiaalle.

Ulkoistaminen ei poista tietoturvariskejä

Verkkokaupan maksamisen ulkoistaminen siten, että verkkokauppias itse ei käsittele maksukorttitietoa, voi oikein tehtynä pudottaa verkkokauppiaan omat järjestelmät pois PCI DSS -standardin vaikutusalueelta. Jäljelle jää kuitenkin muita tietoturvariskejä, jotka on syytä huomioida.

Jos hyökkääjä saa haltuunsa verkkokauppiaan sivuston, hän voi vaikkapa siirtää asiakkaan selainistunnon väärennetylle maksusivustolle ja sitä kautta saada haltuunsa asiakkaiden korttitiedot. Tämän ja muiden riskien vuoksi onkin erittäin suositeltavaa huolehtia verkkokaupan tietoturvallisuudesta riippumatta siitä, missä määrin standardin vaatimukset koskevat kauppiaan ympäristöä.

Riskejä voivat aiheuttaa esimerkiksi tilanteet, joissa verkkokaupan järjestelmät ovat käsitelleet korttitietoja ennen siirtymistä standardin noudattamiseen tai ennen verkkomaksujen ulkoistamista. Näissä tapauksissa verkkokaupan pitää tuhota korttitiedot sellaisista järjestelmistä, joissa ei noudateta standardia. Mikäli vanhoja korttitietoja ei tuhota huolellisesti, verkkokauppa ei täytä standardia ja tiedot voivat joutua vääriin käsiin.

Vanhan tiedon tuhoaminen saattaa olla varsin monimutkaista, sillä tietoa on voinut kerääntyä useisiin paikkoihin, kuten lokeihin, tilapäisiin tiedostoihin, muistivedoksiin tai virtuaalimuistitiedostoihin. Kaikki tieto täytyy hävittää tehokkaasti esimerkiksi ylikirjoittamalla levyn tyhjä tila.

---

[KIRJOITTAJAT]

Niki Klaus on PCI-liiketoiminnan vetäjä ja Pekka Viitasalo johtava konsultti Nixu Oy:ssä.

Lue myös

Standardit: Kortin suojaksi »
Standardit: Myyjä ei näe kortin tietoja »
Standardit: Selkoa standardiviidakkoon »
Standardit: Yritykset mukaan »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.