Tulostusversio

3/2011

Standardit: Myyjä ei näe kortin tietoja

Teksti: Jari Törmälä

Kaupan maksujärjestelmät voidaan rakentaa siten, että edes henkilökunta ei voi saada haltuunsa asiakkaiden korttitietoja.

Kesko uudistaa kauppojensa maksuympäristöt kassojen sirukorttilukijoista aina keskitettyyn tapahtumien käsittelyyn asti. Uusi maksuympäristö on alusta lähtien rakennettu maksukorttien tietoturvastandardin (PCI DSS) vaatimusten mukaiseksi.

Asiakkaille maksukorttiympäristön turvallisuuden lisääminen tarkoittaa sitä, että korttitietojen vuotamisen riski on erittäin pieni.

Korttitiedot pois kassajärjestelmistä

Parhaillaan menossa oleva siirtyminen keskitettyyn tapahtumien käsittelyyn tarkoittaa käytännössä sitä, että kassajärjestelmiin aikaisemmin talletetut maksukorttitiedot poistetaan kokonaan.

Kun kaupassa on käytössä turvallisen maksamisen laitteistot ja toimintaympäristöstä on siivottu tai turvallisesti arkistoitu arkaluontoiset maksukorttitiedot, ei edes oman henkilökunnan, saati ulkopuolisten ole mahdollista saada haltuunsa järjestelmästä kokonaisia maksukorttitietoja. Korttitiedot siirtyvät sirukorttipäätteestä jatkokäsittelyyn salattuina turvallisia yhteyksiä pitkin.

Maksukorttitietojen poistaminen kassajärjestelmistä vaatii erityistä huolellisuutta, sillä on voitava varmistua siitä, että kaikki hakemistot ja välimuistitkin ovat puhtaita. Kassajärjestelmien toimittajat vastaavat siivouksesta, ja Kesko varmistuu toteutuksen onnistumisesta erillisillä tarkastuksilla.

Mahdollisten arkistointia vaativien sähköisten tai paperisten aineistojen säilyttäminen ja käsittely turvallisesti on ohjeistettu kauppojen henkilökunnalle. Aineistot inventoidaan säännöllisesti ja tuhotaan turvallisesti säilytysajan päätyttyä. Kaikki tehdyt toimet kirjataan aineistopäiväkirjaan.

Kauppojen henkilökunta tarkastaa sirukorttilaitteet ja kassalaitteistot päivittäin mahdollisten ylimääräisten laitteiden varalta. Näin varmistutaan siitä, että myöskään ulkopuoliset henkilöt eivät voi kerätä maksukorttitietoa.

Koska kauppaan ei enää tallennu maksukorttitietoja, kaupan henkilökunnalta vaadittavat toimet on voitu rajata mahdollisimman vähäisiksi. Lisäksi rikollisten kiinnostus maksukorttitietoihin pienenee, kun järjestelmissä ei ole talletettuna lainkaan heille rahanarvoista tietoa.

Ohjeet poikkeustilanteita varten

Normaalitilanteessa kaupan henkilökunnan ei tarvitse erikseen huolehtia maksukorttitietojen turvallisuudesta. Poikkeustilanteissa, kuten maksukortin toimintavirheissä, kassahenkilöltä vaaditaan oikeanlaista toimintaa maksukorttitietojen turvallisuuden ylläpitämiseksi. Näissäkään tapauksissa kassahenkilöt eivät saa ottaa ylös korttinumeroa. Varmennusta varten sen saa kuitenkin kertoa puhelimessa suoraan kortista lukien.

Keskon kaupoissa kaikkien maksukortteja ja niihin liittyviä tietoja käsittelevien työntekijöiden on vuosittain osallistuttava tietoturvakoulutukseen. Näin jokainen tietää, miten toimia poikkeustilanteissa.

---

[KIRJOITTAJA]

Jari Törmälä on Kesko Oyj:n tietoturvapäällikkö.

Lue myös

Standardit: Kortin suojaksi »
Standardit: Tehokas mutta raskas PCI DSS »
Standardit: Selkoa standardiviidakkoon »
Standardit: Yritykset mukaan »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.