TigerTeam - suomalainen tietoturvablogi

Luottokorttiyhtiöiden laatima tietoturvastandardi PCI DSS koskee kaikkia korttimaksuja vastaanottavia yrityksiä. Yritykset tulevat standardin piiriin sopimustensa kautta. Tyypillisesti kauppias tekee sopimuksen maksun vastaanottajan (acquirer) kanssa ja sitoutuu tässä sopimuksessa sekä noudattamaan kyseistä standardia että korvaamaan vahingot, mikäli kauppiaan järjestelmistä anastetaan maksukorttinumeroita.

PCI DSS -standardin vaatimukset koskevat kaikkia järjestelmiä, jotka on kytketty samaan lähiverkkoon kuin laite, joka käsittelee varsinaiset maksukorttitapahtumat.

Hyvin usein näihin kuuluvat myymälän vaa’at, turvakamerat ja pullonpalautuslaitteet.

PCI DSS -standardin vaatimusten toteuttamisen kustannukset pienessäkin vähittäiskaupassa saattavat nousta kymmeniin tuhansiin euroihin.

Standardin vaatimusten täyttämisestä syntyviä kustannuksia voi vähentää merkittävästi ottamalla käyttöön maksupääte, joka salaa maksukorttiliikenteen päästä päähän. Tällaisen maksupäätteen käyttöönotto siirtää sopimusteitse suuren osan PCI DSS -vaatimuksista maksupäätetoimittajan vastuulle ja tietyin edellytyksin poistaa kassan ja kassalähiverkon standardin vaikutusalueen ulkopuolelle.

Nixun uusi julkaisu Maksupäätteet ja PCI DSS käsittelee asioita joita maksupäätteeltä ja palveluntarjoajalta edellytetään, jotta kauppiaan PCI DSS -vastuut voidaan siirtää suurelta osin maksupäätetoimittajalle.

Muita PCI-stardardin aihepiiriin kuuluvia blogikirjoituksiamme voit lukea tästä.