Jos yrityksesi on vastuussa luottokorttimaksujen käsittelystä, PCI DSS -vaatimustenmukaisuus on olennainen osa asiakkaiden maksukorttitietojen suojaamista ja oman yrityksesi suojaamista tietomurron tuhoisilta seurauksilta.
Valitettava tosiasia on, että luottokorttipetokset lisääntyvät edelleen, ja Federal Trade Commissionin Consumer Sentinel Network -verkoston mukaan luottokorttipetosilmoitukset kasvoivat 104 prosenttia vuoden 2019 ensimmäisestä neljänneksestä vuoden 2020 ensimmäiseen neljännekseen.
Kortinhaltijoiden tietojen suojaaminen ei ole koskaan ollut tärkeämpää, ja PCI DSS luo perustan näiden arkaluonteisten tietojen suojaamiseksi tarvittavien tiukkojen turvatoimien ylläpitämiselle. PCI DSS -vaatimustenmukaisuutta koskeva oppaamme auttaa selittämään, miten PCI DSS toimii, keitä se koskee ja mitä toimenpiteitä sinun on toteutettava, jotta saat vaatimustenmukaisuuden.
Mikä on PCI DSS?
Payment Card Industry Data Security Standard (PCI DSS) on joukko turvallisuusstandardeja, joiden tarkoituksena on vähentää luottokorttipetosten riskiä ja parantaa maksukorttitietojen turvallisuutta. Sen perustivat vuonna 2004 neljä suurta luottokorttiyhtiötä: Visa, Mastercard, Discover ja American Express. PCI DSS on kehittynyt vuosien varrella, ja nykyään sitä sääntelee PCI Security Standards Council (PCI SSC ). PCI SSC määrittelee ja hallinnoi standardeja, ja yksittäiset luottokorttiyhtiöt valvovat niiden noudattamista.
Ketä PCI DSS koskee?
PCI DSS koskee kaikkia organisaatioita, jotka tallentavat, käsittelevät tai välittävät kortinhaltijoiden tietoja. Yksittäisiin yrityksiin sovellettavien vaatimustenmukaisuusvaatimusten määrittämiseksi PCI SCC on luonut nelitasoisen järjestelmän, jossa yritykset luokitellaan liiketoimien koon ja riskin perusteella.
Taso 1 - Kauppiaat, jotka käsittelevät vuosittain yli 6 miljoonaa maksutapahtumaa tai joiden tiedot ovat olleet vaarassa aiemmin.
Taso 2 - Kauppiaat, jotka käsittelevät 1-6 miljoonaa maksutapahtumaa vuodessa.
Taso 3 - Kauppiaat, jotka käsittelevät vuosittain 20 000-1 miljoonaa maksutapahtumaa.
Taso 4 - Kauppiaat, jotka käsittelevät alle 20 000 maksutapahtumaa vuodessa.
Huolimatta siitä, että on luotu useita tasoja, vaatimukset ovat samat kaikille kauppiaille ja palveluntarjoajille kaikilla toimialoilla.
Miten kortinhaltijan tiedot voivat vaarantua?
Päästäkseen käsiksi kortinhaltijoiden arkaluonteisiin tietoihin verkkorikolliset yrittävät hyödyntää käyttöjärjestelmien ja laitteiden mahdollisia tietoturva-aukkoja. Tämä voi tapahtua:
- Kortinlukijat
- Myyntipistejärjestelmä
- Maksujärjestelmän tietokanta
- Varastointiverkot
- Verkkoportaalit
- Langaton verkko
- Paperitiedot
Mitkä ovat PCI DSS -vaatimusten 12 vaatimusta?
PCI DSS sisältää 12 vaatimusta, joiden tarkoituksena on suojata kortinhaltijoiden tietoja ja estää tietomurtoja. Nämä vaatimukset eivät koske ainoastaan kauppiaita, vaan kaikkia muita yrityksiä, jotka tallentavat, käsittelevät tai välittävät kortinhaltijoiden tietoja.
1. Asenna ja ylläpidä palomuurikokoonpano kortinhaltijoiden tietojen suojaamiseksi.
Palomuuri on verkon tietoturvalaite, joka valvoo saapuvaa ja lähtevää verkkoliikennettä ja päättää, estetäänkö tietty liikenne määritettyjen turvallisuussääntöjen perusteella. Se on ensimmäinen puolustuslinja tietoturvauhkia vastaan, ja sitä olisi testattava, hallittava ja päivitettävä säännöllisesti.
2. Älä käytä toimittajan antamia oletusarvoja järjestelmän salasanoille ja muille suojausparametreille.
Verkkorikolliset käyttävät usein oletussalasanoja ja -asetuksia vaarantaakseen järjestelmät. On tärkeää, että muutat välittömästi kaikki oletustunnukset ennen uusien järjestelmien käyttöönottoa verkossa.
3. Suojaa tallennetut kortinhaltijan tiedot
Kortinhaltijoiden tietojen suojaaminen, olivatpa ne fyysisessä tai digitaalisessa muodossa, on ratkaisevan tärkeää PCI DSS -standardin noudattamisen kannalta. Tietoverkkorikolliset ottavat usein kohteekseen tallennetut kortinhaltijatiedot ja käyttävät niitä petollisten liiketoimien suorittamiseen. Jos kortinhaltijatietoja on tallennettava, on varmistettava, että käytössä on oikeat turvatoimet, jotka täyttävät erilaiset oikeudelliset, lainsäädännölliset ja vaatimustenmukaisuusvaatimukset.
4. Salaa kortinhaltijoiden tietojen siirto avoimissa, julkisissa verkoissa.
Kun kortinhaltijoiden tietoja siirretään helposti saatavilla olevien verkkojen kautta, verkkorikolliset voivat yrittää siepata tiedot. Jotta tiedot olisivat turvassa, ne on salattava vahvalla salauksella ja turvallisuusprotokollilla, kuten Secure Shell (SHH), IPSec ja Transport Layer Security (TLS).
5. Käytä ja päivitä säännöllisesti virustorjuntaohjelmistoa
Virustorjuntaohjelmisto olisi asennettava kaikkiin kriittisiin liiketoimintajärjestelmiin, jotta estetään haittaohjelmien pääsy verkkoon. Tämä auttaa suojaamaan kortinhaltijoiden tietoja ja tarjoaa paremman suojan uusia viruksia vastaan.
6. Kehittää ja ylläpitää turvallisia järjestelmiä ja sovelluksia
Verkkorikolliset käyttävät usein hyväkseen järjestelmässäsi olevia haavoittuvuuksia päästäkseen käsiksi arkaluonteisiin kortinhaltijatietoihin. Verkkotoimittajat julkaisevat säännöllisesti korjauksia tietoturva-aukkojen korjaamiseksi, joten on tärkeää, että käytät niitä heti niiden julkaisemisen jälkeen. Korjaukset ovat olennaisen tärkeitä, jotta järjestelmät pysyvät ajan tasalla, vakaat ja turvassa haittaohjelmilta ja muilta uhkilta.
7. Rajoita pääsy kortinhaltijoiden tietoihin liiketoiminnan tiedonsaantitarpeen mukaan.
Kortinhaltijoiden tietoihin olisi päästävä käsiksi vain, jos se on tarpeen. Työntekijöiden virheet ovat edelleen suurin syy kaikkiin tietomurtoihin, joten vahvalla käyttöoikeuksien valvonnalla olisi varmistettava, että pääsy sallitaan vain niille työntekijöille, joiden on tehtävä maksutapahtumia.
8. Järjestelmäkomponenttien tunnistaminen ja todennus
Jokaiselle henkilöstön jäsenelle, jolla on pääsy arkaluonteisiin tietoihin, olisi annettava yksilöllinen tunnus. Näin voit seurata, kuka käyttää tiettyjä järjestelmiä ja milloin.
9. Rajoita fyysistä pääsyä kortinhaltijoiden tietoihin
Fyysinen pääsy kortinhaltijoiden tietoja sisältäviin tietokonejärjestelmiin olisi rajoitettava valtuutettuihin henkilöstön jäseniin. Näin estetään luvattomia henkilöitä pääsemästä fyysisesti järjestelmiin tai ottamasta paperikopioita arkaluonteisista tiedoista.
10. Seuraa ja valvoo kaikkea verkkoresurssien ja kortinhaltijoiden tietojen käyttöä.
Verkkoresurssien ja kortinhaltijoiden tietojen käyttöä on valvottava tarkasti ja kaikki toiminta on kirjattava. Tämä kirjausketju voi auttaa havaitsemaan haitallisen toiminnan ja tunnistamaan rikkomuksen.
11. Testaa säännöllisesti turvajärjestelmiä ja -prosesseja
Uusia haavoittuvuuksia ilmaantuu koko ajan, joten on tärkeää testata järjestelmiä ja prosesseja säännöllisesti, jotta voidaan varmistaa, että tietoturva säilyy. PCI DSS suosittelee myös säännöllistä tunkeutumistestausta ja tunkeutumisen havaitsemis- ja estojärjestelmien käyttöä kortinhaltijoiden tietojen turvallisuuden varmistamiseksi.
12. Ylläpidetään koko henkilöstön tietoturvaa koskevaa politiikkaa.
Vahva, PCI DSS -standardin mukainen turvallisuuspolitiikka olisi otettava käyttöön koko yrityksessä. Tämä auttaa asettamaan standardin sille, mitä henkilöstöltä odotetaan, ja korostaa tietoturvan tarvetta organisaatiossasi.
Miksi PCI DSS -vaatimustenmukaisuus on niin tärkeää?
PCI DSS -vaatimusten noudattaminen on kriittisen tärkeää, jos haluat käsitellä korttitapahtumia, suojata kortinhaltijoiden tietoja ja vähentää kalliiden rikkomusten mahdollisuutta. Vaikka PCI DSS ei ole lakisääteinen vaatimus, GDPR:n mukaan luottokorttitiedot katsotaan henkilötiedoiksi, mikä tarkoittaa, että sinulla on lakisääteinen velvollisuus pitää nämä tiedot turvassa.
Mitä tapahtuu, jos et ole PCI DSS:n mukainen?
PCI DSS -standardin noudattamatta jättäminen voi johtaa vakaviin tietoturvaloukkauksiin, kuten kortinhaltijoiden tietojen rikkomiseen tai varastamiseen. Tietomurto voi aiheuttaa yrityksellesi korjaamatonta vahinkoa, ja lamauttavien sakkojen lisäksi yrityksellesi voi koitua muita seurauksia siitä, ettei se pysty suojaamaan arkaluonteisia kortinhaltijatietoja. Näitä ovat muun muassa:
- Maksukorttitietojen vaarantumisen riski kasvaa
- Sakot ja rangaistukset
- Korvauskustannukset
- Kuluttajien luottamuksen menettäminen
- Brändin maineen vahingoittuminen
- Oikeustoimet - kulut, sovinnot ja tuomiot
- Työpaikkojen menetys
- Maksukorttien käsittelykyvyn lopettaminen
- Lopettaa liiketoimintansa
Päätelmä
Verkkorikolliset käyttävät hyväkseen digitaalisten maksutapahtumien yleistymistä ja hyödyntävät järjestelmien haavoittuvuuksia päästäkseen käsiksi kortinhaltijoiden arkaluonteisiin tietoihin. Tämän petollisen toiminnan torjumiseksi on tärkeää, että organisaatiosi on PCI DSS -standardin mukainen ja toteuttaa kaikki tarvittavat toimenpiteet maksutapahtumien turvaamiseksi ja asiakastietojen suojaamiseksi.
Jotta voisit parantaa kyberturvallisuustietoisuutta organisaatiossasi ja vähentää kalliin tietomurron mahdollisuutta, olemme luoneet korvaamattoman resurssin, jonka avulla voit toteuttaa käyttäytymismuutoksen ja luoda tietoverkkotietoisuuden kulttuurin.
Tässä Kyberturvallisuustietoisuus For Dummies -oppaassa opit seuraavaa:
- Kuinka toteuttaa tietoverkkoriskien tietoisuuskampanja.
- Kuinka ylläpitää henkilökunnan dynamiikkaa, sitoutumista ja huomiota kyberturvallisuusuhkiin.
10 parasta käytäntöä kyberturvallisuustietoisuuden parantamiseksi.
Klikkaa tästä saadaksesi Cyber Security Awareness For Dummies -oppaan.