Aiheen ‘PCI’ sisältävät artikkelit

Helsingin Sanomat uutisoi tänään tietomurrosta helsinkiläisessä kivijalkaliikkeessä, josta varastettiin yli 100.000 maksukortin tiedot. Uutisen mukaan yrityksessä oli korttitiedot tallennettu sellaiseen paikkaan, josta konnat pääsivät niihin internetistä käsiksi.

Korttitiedot eivät varmasti (ja toivottavasti) ole olleet kenen tahansa ohikulkijan luettavissa netissä, mutta jollain hyökkäyspolulla tiedot ovat olleet saatavilla. Oletettavasti polku on ollut liian lyhyt ja tietojen salauksessa on ollut puutteita. Kuten Luottokuntakin arvioi, kyseessä tuskin on yksittäistapaus, vaan vastaavia ongelmia on odotettavissa jatkossakin.

Maksukorttitietojen vuotaminen pitkäkyntisille on vähittäiskauppaa harjoittavalle yritykselle varmasti yksi kiusallisimmista tietoturvallisuuteen liittyvistä riskeistä. Miten vuoto voidaan välttää? Vastaus on yksinkertaisesti alan tietoturvastandardin noudattaminen.

Maksukorttialan itse luoma standardi PCI DSS (payment card industry data security standard) määrittelee vaatimukset, joita noudattamalla riski korttitietojen vuotamisesta pienennetään alan vaatimalle tasolle. PCI DSS antaa keppiä ja porkkanaa. Keppi on se, että standardia noudattamaton yritys voidaan sulkea maksunvälityksen ulkopuolelle, jos substanssi osuu tuulettimeen. Vuonna 2005 maksunvälitykseen erikoistunut yritys Cardsystems Solutions menetti 40 miljoonan luottokortin tiedot rosvoille. Yhtiö ei noudattanut PCI DSS:ää, joten Visa ja American Express lopetti korttimaksujen vastaanottamisen yhtiöltä. Cardsystems meni konkurssiin. Porkkana puolestaan on mahdollisuus pienempiin komissioihin.

PCI DSS asettaa laajasti vaatimuksia tietoturvan hallinnalle kaikilla osa-alueilla. IAM:n näkökulmasta PCI DSS:a tullaan käsittelemään tuonnempana Trusteqin blogissa. Stay tuned!