TigerTeam - suomalainen tietoturvablogi

PCI-tietoisuus on Suomessa jo sillä tasolla, että asiakkaat osaavat vaatia PCI-sertifioituja ratkaisuja toimittajilta ja palveluntarjoajilta. Valitettavasti pelkän PCI:n vaatiminen ei aina kuitenkaan riitä. Nixun tietoon on tullut tapauksia, jossa myyjä on vakuuttanut, että heidän maksupäätejärjestelmänsä täyttää PCI-vaatimukset. Todellisuudessa ratkaisulla on ollut ainoastaan PCI PED -hyväksyntä (Pin Entry Device).

PCI Council hallinnoi tällä hetkellä kolmea PCI-standardia:

PCI PED (maksupäätteen turvallisuus)

PA-DSS (Payment Application Data Security Standard – maksuohjelmiston turvallisuus) – lisää aiheesta voi lukea täältä

PCI DSS (järjestelmien ja prosessien turvallisuus)

Käytännössä Suomessa EMV-hyväksytyillä maksujärjestelmillä on mainittu PCI PED -hyväksyntä, joten sen olemassaolo on pitkälti itsestäänselvyys eikä kilpailuetu. Tilanne PA-DSS:n ja PCI DSS:n suhteen on selvästi huonompi: nämä sertifioinnit puuttuvat vielä hyvin monelta toimittajalta. Erityisesti PCI DSS:n uupuminen toimittajalta vaikeuttaa merkittävästi kauppiaan omaa PCI DSS -vaatimustenmukaisuutta.

Toinen huomionarvoinen seikka on PCI DSS -sertifioinnin kattavuus. Vaikka toimittajalla olisi PCI DSS -sertifiointi ei se vielä tarkoita, että toimittajan koko tarjonta täyttää standardin vaatimukset. Toimittajan sertifiointi voi kattaa vain yhden palvelun, mutta asiakkaalle tarjotaan myös muita palveluja. Ostajan kannattaakin aina varmistaa, mitä toimittajan PCI DSS -sertifiointi oikeasti kattaa ja mikä jää ostajan vastuulle.

Lisäksi kaikki em. sertifioinnit vanhenevat ellei niitä uusita säännöllisesti. Toimittajalta kannattaakin vaatia, että heidän on pidettävä kyseiset sertifioinnit voimassa.

Voimassa olevat PCI PED - ja PA-DSS-sertifoinnit voi tarkistaa PCI Councilin sivuilta. PCI DSS -mukaiset eurooppalaiset palveluntarjoajat voi vastaavasti tarkistaa VISA Europen sivuilta. Luettelo EMV-vaatimusten mukaan sertifioiduista maksupäätejärjestelmistä puolestaan sijaitsee Luottokunnan sivuilla.