Tärkeä päivitys kaikille korttimaksuja vastaanottaville yrityksille: Maksukorttialan tietoturvastandardi PCI DSS:n nykyinen versio 4.0.1 sisältää vaatimuksia, jotka astuvat voimaan 31.3.2025 jälkeen. Tässä artikkelissa käyn läpi olennaisimmat muutokset, jotka kauppiaiden tulee toteuttaa 31.3.2025 mennessä. Ohjeistus koskee sekä verkkokauppoja että kivijalkamyymälöitä.
PCI DSS 4.0.1-standardissa olevasta 51 aiemmin vapaaehtoisesta vaatimuksesta tulee pakollisia 31.3.2025 jälkeen.
Mitä tämä tarkoittaa sinulle kauppiaana?
Maaliskuun 2025 loppuun mennessä kaikkien kauppiaiden on mukautettava toimintansa vastaamaan näitä uusia vaatimuksia.
Tarkastellaan näitä muutoksia kahdessa erilaisessa ympäristössä: verkkokaupat ja myymälät.
Esimerkkitapauksessa myymälässä hyväksytään korttimaksuja paikan päällä ja käytetään nykyaikaista päästä-päähän-salaavaa maksupäätettä sekä PCI DSS -sertifioituja palveluntarjoajia. Verkkokaupassa maksukorttitietojen käsittely on ulkoistettu PCI DSS -sertifioidulle maksupalveluntarjoajalle joko uudelleenohjaamalla asiakas heidän maksusivuilleen tai käyttämällä ns. upotettua iFrame-sivua verkkokaupassa. Eli esimerkeissä kauppias ei siis käsittele, tallenna tai siirrä itse maksukorttitietoja, mutta voi omalla toiminnallaan vaikuttaa tietojen turvallisuuteen.
Uudet vaatimukset verkkokaupalle
Otetaan esimerkiksi tyypillinen suomalainen verkkokauppa, joka täyttää PCI DSS -terminologiassa ns. SAQ A:n ehdot, jolloin sen teknisiä vaatimuksia voidaan soveltaa. Tämä rajaa soveltuvat PCI DSS -vaatimukset huomattavasti pienempään osajoukkoon kuin koko standardi.
Käytännön muutokset
1. Skriptien turvallisuus
- Kauppiaiden tulee varmistaa, että maksukorttiturvallisuus ei vaarannu turvattomien tai luvattomien skriptien suorittamisen takia
- Tämä onnistuu parhaiten ulkoistamalla maksukorttien käsittely PCI DSS -sertifioidulle maksupalveluntarjoajalle
- Kun käytät ulkoistettua palvelua, maksupalveluntarjoaja vastaa skriptien turvallisuudesta osana kokonaispalvelua
2. Tiukentuneet salasanavaatimukset (vaatimus 8.3.6)
- Salasanavaatimuksiin tulee lieviä tiukennuksia
- Verkkokaupan ylläpitäjien ja muiden toimintaan osallistuvien henkilöiden salasanan tulee olla vähintään 12 merkkiä pitkä
- Tietyissä tapauksissa 8 merkkiä riittää
Uudet vaatimukset myymälöille
Tämä koskee myymälöitä, joissa hyväksytään korttimaksuja päästä-päähän-salaavilla maksupäätteillä.
Käytännön muutokset
1. Maksupäätteiden säännöllinen tarkastaminen
- Kauppiaiden tulee tarkastaa maksupäätteet skimmereiden ja muiden uhkien varalta.
- Kauppiaan tulee arvioida maksupäätteisiin kohdistuvat uhat ja niiden perusteella määritellä riittävä tarkastusväli. Tarkastusväli määritellään siis riskiarvioinnin perusteella (9.5.1.2.1).
- Tämä tarkoittaa erilaista tarkastusväliä esimerkiksi kylmäasemilla tai kaupan kassalla oleville maksupäätteille. Kylmäasemalla yksin olevaan maksupäätteeseen kohdistuva riski on todennäköisesti erilainen kuin kassalla, valppaan henkilökunnan valvonnan alla olevaan maksupäätteeseen kohdistuva riski.
2. Riskienhallinnalta edellytettävät toimet
- Riskienhallinnan tueksi standardissa astuu voimaan uusi vaatimus 12.3.1, joka määrittelee riskienhallinnalta edellytettävät toimet.
- Riskien arviointia tulee suorittaa vähintään 12 kuukauden välein (12.3.4).
- Maksupäätteiden tarkastusrutiinin lisäksi riskienarviointia tulee suorittaa tietoturvapoikkeamaprosessille. Osana arviointia tulee määrittää riittävä säännönmukainen koulutus- sekä harjoittelurutiini tietoturvapoikkeamaprosessille (vaatimus 12.10.4.1).
3. Kriittisten laitteiden ja sovellusten arviointi
- Kriittiset laitteet ja sovellukset sekä niiden soveltuminen PCI DSS -ympäristöön tulee arvioida kauppiaan toimesta vähintään 12 kuukauden välein (12.3.4)
- Kauppiasympäristössä tämä käytännössä tarkoittaa käytössä olevien maksupäätteiden soveltuvuuden arviointia sekä varmistusta, että ne täyttävät edelleen niille asetetut vaatimukset (kuten sertifioinnit).
Vinkki: Tässä yhteydessä on hyvä myös tarkistaa maksupääteinventaarioiden ajantasaisuus sekä kattavuus. Inventaarion ylläpitoa on edellytetty jo aiemmissakin standardin versioissa.
4. Poikkeamaprosessin kehittäminen
- Kauppiaan tulee myös huomioida tilanteet, joissa ympäristöstä löytyy maksukorttidataa sijainneista, joissa sitä ei tulisi olla (vaatimus 12.10.7)
Vinkki: Tilanteet, jossa maksukorttidataa löytyy sijainneista, joista sitä ei tulisi olla, kannattaa käsitellä tietoturvapoikkeamina.
5. Tietoturvakoulutuksen tehostaminen
- Tietoturvakoulutusten merkitys korostuu uusissa vaatimuksissa. Koulutuksen sisältö tulee katselmoida vähintään 12 kuukauden välein sekä tarpeen mukaan päivittää vastaamaan muuttunutta uhkakenttää.
- Koulutuksen sisällössä tulee myös huomioida kalasteluhyökkäyksiin liittyvät uhat sekä sosiaalinen manipulointi. (12.6.2 ja 12.6.3.1)
Onko PCI DSS -ympäristösi valmis 31.3.2025 jälkeen voimaan astuviin vaatimuksiin?
PCI DSS 4.0.1 -standardin voimaan tulevan vaatimukset tuovat uusia prosesseja ja toimintatapoja, joista kauppias on vastuussa ja joiden käyttöönotto on kriittistä. Tämä maksukorttiturvallisuuden parantaminen hyödyttää aivan kaikkia osapuolia: kauppiaita, tilittäjäpankkeja, muita maksukorttialan toimijoita sekä erityisesti asiakkaita.
Tai haluatko tietää tarkemmin, miten juuri teidän PCI DSS -ympäristöönne nämä vaatimukset vaikuttavat? Mikäli tarvitsette luotettavaa, kotimaista ja kokenutta osaajaa avuksi vaatimusten käyttöönotossa, PCI DSS -vaatimustenmukaisuuden tukemisessa tai PCI DSS -auditoinneissa, niin ole yhteydessä!
Ville Koskinen
–
Toimintasuunnitelma kauppiaille
- Tarkista nykyinen PCI DSS -ympäristösi
- Selvitä, mitkä vaatimuksista ovat jo kunnossa ja missä puutteita
- Listaa kehityskohteet uusien vaatimusten osalta ja käy hommiin
- Päivitä prosessit ja dokumentaatio
- Kehitä riskienhallintaa ja tietoturvapoikkeamaprosesseja
- Varmista säännölliset tarkastukset ja arviointikäytännöt
- Järjestä koulutusta henkilöstölle
- Päivitä tietoturvakoulutus uusien vaatimusten mukaiseksi
- Huomioi erityisesti kalasteluhyökkäykset ja sosiaalinen manipulointi