Maksukorttiala on yksi houkuttelevimmista kohteista kyberrikollisuudelle. Jokainen korttimaksuja vastaanottava sekä maksukorttitietoja käsittelevä yritys on potentiaalinen kohde – olipa kyseessä pieni verkkokauppa tai kansainvälinen palveluntarjoaja.
Samalla kun digitaaliset maksutavat yleistyvät, kasvaa myös rikollisuus. PCI DSS -standardi on kehitetty juuri näitä uhkia vastaan. Se on keskeinen työkalumme maksukorttitietojen suojaamisessa.
Seuraavassa viisi kysymystä PCI DSS -standardista Into Security Oy:n operatiiviselle johtajalle ja pääauditoijalle Ville Koskiselle.
1. Mikä PCI DSS -standardi on ja keitä se koskee?
PCI DSS (Payment Card Industry Data Security Standard) on maksukorttialan turvallisuusstandardi, jonka tavoitteena on mahdollistaa turvallinen maksukorttitietojen käsittely sekä sitä kautta turvallisempi maksaminen. Standardin on luonut maksukorttiyhtiöiden perustama PCI SSC (Payment Card Industry Security Standards Council).
Standardi koskee kaikkia tahoja, jotka toiminnassaan käsittelevät, vastaanottavat tai siirtävät maksukorttitietoa tai voivat vaikuttaa sen turvallisuuteen. Näitä ovat kauppiaat ja erilaiset palveluntarjoajat. Konkreettisesti: kaupat, verkkokaupat, hotellit, huoltoasemat, maksupalvelutarjoajat, pankit, erilaiset konesalipalveluntarjoajat ja pilvipalveluntarjoajat.
Tärkeä huomio: PCI DSS -vaatimukset koskevat kauppiasta, vaikka hän ei itse käsittelisi tai vastaanottaisi korttidataa. Jos maksukortti käy kaupankäynnin välineenä, kauppias voi vaikuttaa korttitietojen turvallisuuteen ja on siten standardin piirissä.Tämä koskee sekä verkkokauppaa että kassalla tapahtuvia maksuja.
2. Milloin tulisi sertifioitua ja mitä hyötyä siitä on?
Yksinkertaisimmillaan: silloin kun on pakko!
On tavallista, että tilittäjäpankki (eli se, jonka kanssa kaupalla on sopimus korttimaksujen tilittämisestä) edellyttää sertifioitumista. Tämä johtuu esimerkiksi korkeammaksi arvioidusta riskistä (toimitaan riskialttiimmalla alalla) tai suuresta maksusuoritusten määrästä (transaktiot). Palveluntarjoajalle pakko voi tulla eteen myös asiakkaan vaatimuksesta.
Toki sertifiointiin kannattaa lähteä hyvissä ajoin, jo ennen kuin ehdoton vaatimus sekä sille asetettu aikataulu määritetään.
Näen sertifioinnilla muitakin merkittäviä hyötyjä, esimerkiksi:
- Kilpailukyky- ja erottautuvuustekijä
- Palveluntarjoajalle avautuu uusia markkinoita, joita palvella. Jotkut toimijat edellyttävät palveluntarjoajilta PCI DSS -sertifiointia, jotta yhteistyöhön edes lähdetään.
- Kauppiaiden kohdalla sertifiointi on asiakaskunnalle ja muille sidosryhmille selkeä osoitus sitoutumisesta turvalliseen maksukorttitoimintaan.
- Kustannushyödyt
- PCI DSS -sertifioinnilla voidaan saavuttaa moninaisia kustannushyötyjä. Joskus tilittäjät saattavat antaa alhaisempia palveluhintoja PCI DSS -sertifioiduille toimijoille. Sertifiointi helpottaa myös tilittäjäpalveluiden kilpailutusta.
- Erilaisilla tietoturvallisuussertifioinneilla voi olla myös vaikutusta yrityksen vakuutuksiin sekä niiden kustannuksiin.
- Johdon työkalu
- Tämä on asia, joka johdolta helposti unohtuu: sertifiointi toimii osoituksena huolellisuusvelvoitteen noudattamisesta maksukorttitoiminnassa.
- Vaikka sertifiointia ei edellytettäisi, on se osoitus alan tietoturvallisuusstandardin noudattamisesta sekä hyvä riskienhallinnan työkalu. Varmuus tietoturvallisuusvaatimusten täyttymisestä sekä näihin liittyvien kontrollien toimivuudesta auttaa tietoturvapäällikköä ja johtoa nukkumaan yönsä levollisemmin.
3. Mitä muita vaihtoehtoja sertifioinnin lisäksi on?
Jos täysimittainen PCI DSS -sertifiointi ei ole tarpeen, vaihtoehtona ovat itsearvioinnit (eli SAQ:t, Self-assessment questionnaire). Sen voi täyttää omin neuvoin tai yhdessä QSA:n (Qualified Security Assessor, ”PCI DSS -auditoija”) kuten Into Certificationin kanssa. Vedä minua hihasta, jos haluat kysyä tästä lisää.
Tyypillisesti itsearvioinnit riittävät tilittäjäpankille pienen riskin ja pienen maksusuoritusmäärän kohteissa. Muista kuitenkin, että vaikka itsearviointiakaan ei edellytettäisi, PCI DSS -standardin vaatimukset tulee silti täyttää.
4. Miten asiantuntija voi auttaa PCI DSS -vaatimusten kanssa?
Allekirjoittanut ja kollegani autamme organisaatioita PCI DSS -vaatimustenmukaisuuden saavuttamisessa monella tapaa. Mieleeni nousevat nämä osa-alueet:
- Tytäryhtiömme Into Certification on PCI SSC:n hyväksymä QSA-yritys, joka suorittaa virallisia PCI DSS -auditointeja sekä avustaa PCI DSS -itsearvion, eli SAQ:n, toteuttamisessa
- Teemme gap-analyysit sekä annamme suositukset korjaaviksi toimenpiteiksi
- Tarjoamme konsultointipalveluita PCI DSS -vaatimustenmukaisuuden saavuttamiseksi ja sen ylläpitämiseksi
- PCI DSS -standardiin liittyviä koulutuksia (yleisesti standardista, mutta myös organisaatiolle räätälöityjä koulutuksia – huomaa, että standardi vaatii sertifioidulta toimijalta henkilöstön kouluttamista)
- PCI DSS -ympäristön tekniset testaukset (kuten penetraatiotestaus tai haavoittuvuusskannaus)
5. Onko asiantuntijan kokemuksella merkitystä PCI DSS -asioissa?
Kokemuksella on tässä kohtaa valtava merkitys. PCI DSS -standardi on todella monitahoinen ja sen soveltaminen vaatii niin teknistä, hallinnollista kuin toimialakohtaista osaamista.
PCI DSS standardi julkaistiin ensimmäisen kerran jo vuonna 2004. En malta olla vähän ylpistelemättä sillä, että Into Securityn perustajat ovat olleet PCI DSS -standardia koskevassa työssä ensimmäisten joukossa Suomessa. Näiden vuosien saatossa tiimimme on työskennellyt lukemattomien PCI DSS -toimeksiantojen parissa niin kauppias- kuin palveluntarjoajaympäristöissä.
Rohkenen väittää, että kokenut asiantuntija tunnistaa paremmin organisaation kannalta olennaiset vaatimukset ja auttaa viipymättä niiden täyttämisessä, kustannustehokkaasti. Hän ymmärtää myös standardin soveltamisen käytännöllisesti, eikä vain teoreettisesti.
Kun ammattilainen on ollut mukana standardin kehityksessä 20 vuotta ja nähnyt sen evoluution nykymuotoonsa, antaa se kummasti perspektiiviä. Tiimimme on tietoturvallisuuden huippuosaajia, keskitymme olennaiseen.
—
”Maksukorttitietojen turvallinen käsittely on tarkkaa säännösten noudattamista, mutta myös luottamuksen rakentamista asiakkaiden ja kumppaneiden välille. PCI DSS -sertifiointi on laadunvarmistusleima, joka viestii asiakkaille ja kumppaneille: tämä yritys on investoinut turvallisuuteen, tähän voin luottaa.”
Ville Koskinen