Suomalainen energiakonserni St1 Nordic Oy sertifioi korttimaksamisen turvallisuuden pohjoismaisessa monikanavaympäristössään. St1 Nordic toimii Suomessa, Ruotsissa ja Norjassa. Nyt tehty PCI DSS -auditointi kattaa tankkausasemat Suomessa ja Norjassa sekä verkkokaupan ja mobiilisovelluksen.
St1:n pohjoismainen asemaverkosto kattaa noin 1250 energia-asemaa, joiden kautta palvellaan vuosittain yli 150 miljoonaa asiakaskäyntiä. Perinteisten polttoaineiden rinnalle ovat tulleet sähkölataus, biokaasu ja kasvava digitaalisten palvelujen kokonaisuus — verkkokauppa ja St1 Way -mobiilisovellus. Konsernin liikevaihto oli vuonna 2024 noin 8 miljardia euroa, ja se työllistää yli 1 000 henkilöä.
Tässä laajassa ja monimuotoisessa toimintaympäristössä maksuturvallisuuden hallinta on vaativa kokonaisuus.
Lähtötilanne: pitkäjänteinen työ, laajeneva ympäristö
St1:llä maksuturvallisuuden kehittäminen ei lähtenyt liikkeelle yksittäisestä projektista. Yhtiössä oli työstetty maksamisen arkkitehtuuria, prosesseja ja toimintatapoja järjestelmällisesti jo useiden vuosien ajan kaikissa kolmessa Pohjoismaassa – riskit tunnistetaan ja niitä hallitaan osana päivittäistä tekemistä.
Toimintaympäristö on kuitenkin laajentunut voimakkaasti. Mobiilimaksaminen, verkkokauppa ja monimuotoiset asemaratkaisut toivat uusia kontaktipisteitä, joissa korttimaksamisen turvallisuusvaatimukset piti varmistaa. St1 tarvitsi kumppanin, joka yhdistää käytännönläheisen PCI DSS -asiantuntemuksen ja riippumattoman auditointikyvykkyyden.
Tavoitteena ei ollut rakentaa kaikkea alusta, vaan varmistaa, että pitkälle kehitetty maksukorttiympäristö täyttää vaatimukset johdonmukaisesti myös laajenevassa ja monimuotoisessa toimintaympäristössä.
Jatkuva tuki ja riippumaton auditointi samalta kumppanilta
”Halusimme kumppanin, joka pystyy tarjoamaan sekä jatkuvaa ohjausta että riippumattoman auditoinnin. Tällöin tulkinnat pysyvät yhtenäisinä, valmistautuminen on tehokasta ja auditointiin siirtyminen sujuu ilman uuden aloituksen kustannuksia”, kertoo Juuso Kemppi.
Kemppi toimii St1:llä Head of Payment Technology -roolissa, eli vastaa maksamisen teknologiasta. Korttimaksamisen turvallisuus on olennainen osa hänen vastuualuettaan.
“PCI DSS on luonteeltaan jatkuvaa työtä eikä mikään yksittäinen suoritus. Into pystyi tukemaan St1:tä koko matkalla — prosessien läpiviennissä, asioiden todentamisen jäsentämisessä ja lopulta virallisessa auditoinnissa”, jatkaa Kemppi.
Kumppanin valintaan vaikuttivat Inton vahva PCI DSS -osaaminen sekä teknisellä että prosessitasolla. St1:lle oli tärkeää, että kumppani tuntee monikanavaisen ja monikansallisen ympäristön — erityisesti energia- ja retail-sektorin logiikan.
”Into ei tuntunut vain auditoivalta taholta, vaan kumppanilta, joka auttaa aidosti onnistumaan ja ymmärtää kauppiaan arkea. Heissä yhdistyy jotakin tuttua, turvallista ja terveellä tavalla sinivalkoista — sellaista suomalaisen asiantuntijuuden selkeyttä ja luotettavuutta, jota tällaisessa työssä arvostaa”, Kemppi kuvailee.
Miten valmistautuminen ja auditointi etenivät käytännössä
Jatkuva PCI DSS -tuki rakennettiin käytännönläheiseksi ja St1:n ympäristöön mukautetuksi Into Securityn tuella. Vaatimukset, kontrollit ja dokumentaatio käytiin yhdessä läpi siten, että standardi sovitettiin St1:n toimintamalleihin — eikä toisin päin.
”Inton Tatu Suhonen ei ainoastaan kertonut, mitä standardi sanoo, vaan auttoi soveltamaan sitä St1:n tarpeisiin. Pystyimme työn edetessä purkamaan ennakkoluuloja ja auditointiin liittyviä peikkoja. Auditointi muuttui monimutkaisesta ja raskaasta prosessista hallittavaksi ja ennakoitavaksi kokonaisuudeksi”, Kemppi sanoo.
PCI DSS -vaatimustenmukaisuus edellytti tiivistä yhteistyötä St1:n sisällä — asemien operoinnista ja asiakaspalvelusta kyberturvallisuuteen, järjestelmien tuoteomistajiin ja ulkoisiin palveluntarjoajiin.
”Luotimme kahteen asiaan — omaan erittäin osaavaan henkilöstöömme sekä Inton vahvaan ammattitaitoon. Tämä yhdistelmä vähensi koko organisaation kuormitusta ja mahdollisti sen, että pystyimme keskittymään oikeisiin asioihin oikeaan aikaan. Ilman ammattitaitoista henkilöstöämme ja luotettavaa kumppaniamme olisi tämän laajuinen kokonaisuus ollut huomattavasti työläämpi hallita”, kertoo Kemppi.
St1:lle maksukorttitietojen suojaaminen oli jo lähtötilanteessa vahva sisäänrakennettu mekanismi. Prosessit, arkkitehtuuri ja dokumentaatio olivat pitkälti valmiina.
Yhteistyössä Inton kanssa olemassa olevia käytäntöjä vahvistettiin ja puuttuvat osat täydennettiin viimeisimpien vaatimusten mukaisiksi. Näin itse auditoinnissa vältyttiin tarpeettomilta korjausliikkeiltä.
Monikansallisen ympäristön laajuus hallintaan
St1:n toimintaympäristö on laaja. Auditointi kattoi Suomen ja Norjan tankkausasemat, verkkokaupan ja mobiilisovelluksen. Maayksiköt toimivat osin eri tavoilla, eli myyntikanavilla on omat tekniset ratkaisunsa ja kumppanikenttänsä. Haasteet olivat hyvin ennakoitavissa, mutta edellyttivät hyvää kokonaisuuden hallintaa.
Into auttoi hahmottamaan toimintaympäristön laajuuden siten, että vaatimusten tulkinta yhtenäistyi ja valmistautuminen eteni hallitusti koko scope-alueella.
”Auditointi oli perusteellinen, mutta hallittu ja jäsennelty — kuten sen kuuluukin olla. Yhteistyö oli vaivatonta ja ammattimaista. Koin, että Into oli aidosti mukana varmistamassa meidän onnistumistamme, eikä vain suorittamassa rasti ruutuun -auditointia”, Kemppi toteaa.
Sertifiointi vahvistaa St1:n asiakaslupausta
PCI DSS -sertifiointi on energia-alan vähittäismyynnissä perusvaatimus, mutta St1:n tapauksessa sen merkitys ulottuu pidemmälle. Sertifioinnilla varmistetaan, että maksamisen turvallisuus on yhdenmukainen kaikissa myyntikanavissa — tankkausasemilta mobiilisovellukseen.
Sertifiointi antaa tälle työlle kansainvälisesti tunnustetun kehyksen. Lisäksi se vahvistaa yhteistyötä palveluntarjoajien ja kumppaneiden kanssa sekä antaa pohjan tulevaisuuden maksamisen ratkaisujen rakentamiselle.
“Maksamisen näkökulmasta sertifiointi täydentää tarjoamaamme helpon, nopean, vaivattoman ja ennen kaikkea turvallisen maksamisen osalta. Kyse on totta kai vaatimuksenmukaisuudesta, ja lisäksi sertifiointi konkretisoi St1:n asiakaslupauksen turvallisesta maksamisesta”, Kemppi korostaa.
”Sertifiointi vahvistaa, että prosessimme ovat aidosti turvallisia ja toimivia, eivätkä vain auditointia varten rakennettuja”, Kemppi toteaa.
Projektissa syntyi vankka perusta tuleville vuosille ja yhteistyö Inton kanssa jatkuu sekä laajenee Ruotsiin.
”Suosittelen Intoa erittäin mielelläni. Into yhdistää syvän asiantuntemuksen, selkeän viestinnän ja käytännönläheisen lähestymisen tavalla, joka tekee työstä hallittavaa ja tehokasta. He ymmärtävät erityisesti pohjoismaista energia- ja vähittäismyyntiympäristöä, mikä on suuri etu”, sanoo Juuso Kemppi.
Into Security Oy toteuttaa St1:llä jatkuvan PCI DSS -tuen ja akkreditoitu tytäryhtiö Into Certification Oy suoritti PCI DSS -auditoinnin.