Luottokunta VISA | BUSINESS EUROCARD | LOUNASSETELI | VIRIKESETELI
Luottokunta



Etusivu Luottokunta Ohjeita kortinhaltijoille Media Ota yhteyttä Kaupoille Etämyynti  PCI   
Luottokunta » Suomeksi » PCI

PCI-tietoturvastandardi

Tietomurtojen riski erilaisissa tietojärjestelmissä on kasvanut ja tietoturvasta on tullut tärkeä osa yritysten arkea.

PCI DSS (Payment Card Industry Data Security Standard), eli lyhyesti PCI-standardi, on kansainvälinen maksukorttialan tietoturvastandardi,  jossa ovat mukana Visa International, MasterCard Worldwide, American Express, JCB ja Discover Financial Services.

 

 

PCI-standardi lyhyesti:

  • Ohjaa maksukorttien tili- ja tapahtumatietojen vastaanottamista, käsittelyä, tallentamista ja välittämistä

  • Standardin noudattaminen on pakollista kaikille korttitapahtumia vastaanottaville, välittäville tai tallentaville tahoille, kuten kaikille kauppiaille, jotka vastaanottavat maksukortteja sekä kaikille palveluntarjoajille, jotka käsittelevät maksukorttitapahtumia

  • Vaatimukset koskevat lisäksi kaikkia järjestelmäkomponentteja. Tällaisia ovat kaikki verkkokomponentit, palvelimet ja sovellukset, jotka sisältyvät tai ovat liitettyinä kortinhaltijoiden tietoja sisältävään ympäristöön

  • Tavoitteena turvata kortinhaltijoiden tilitiedot kaikissa olosuhteissa ja nostaa kaikkien korttitietoja käsittelevien tahojen tietoturvataso mahdollisimman korkeaksi

  • Standardia hallinnoi kansainvälinen, korttijärjestöjen perustama riippumaton PCI Security Standards Council -toimielin: https://www.pcisecuritystandards.org/

  • Korttijärjestöillä omat vaatimustenmukaisuussohjelmat, joiden kautta standardia sovelletaan:

Standardin pääkohdat:

  1. Suojaa tiedot asentamalla palomuuriratkaisu ja ylläpitämällä sitä.
  2. Älä käytä ohjelmistotoimittajan määrittämiä oletussalasanoja tai muita tietoturva-asetuksia.  
  3. Suojaa tallennetut kortinhaltijatiedot.
  4. Siirrä kortinhaltijoiden tiedot ja muut luottamukselliset tiedot julkisissa tietoverkoissa salattuina.
  5. Käytä virustorjuntaohjelmistoa ja päivitä se säännöllisesti.
  6. Kehitä turvallisia järjestelmiä ja sovelluksia sekä ylläpidä niitä.
  7. Rajoita pääsy tietoihin koskemaan vain niitä, jotka tarvitsevat niitä liiketoiminnallisiin tarkoituksiin.
  8. Luo jokaiselle tietojärjestelmän käyttäjälle yksilöllinen käyttäjätunnus.
  9. Rajoita fyysinen pääsy kortinhaltijoiden tietoihin.
  10. Seuraa ja valvo kaikkea verkkoresurssien ja kortinhaltijoiden tietojen käyttöä.
  11. Testaa tietoturvajärjestelmät ja -prosessit säännöllisesti.
  12. Luo työntekijöitä ja alihankkijoita koskeva tietoturvakäytäntö.

 

 korttitietojen_tallennus_v2.jpg

 

 
Luottokunta | Teollisuuskatu 21, 00510 Helsinki | Puh (09) 69 641 | Fax (09) 6964 9600 | Tietoturvakuvaus © 2003 - 2010 Luottokunta