PCI DSS -tietoturvastandardi

12 maksukorttitietojen turvallisuuteen liittyvää vaatimusta

Mikä on PCI DSS -tietoturvastandardi?

PCI DSS on maksukorttialan kansainvälinen tietoturvastandardi, joka on suunniteltu maksukorttitietojen luottamuksellisuuden takaamiseksi tietojärjestelmissä. Rekisteriä ylläpitää ja päivittää PCI Council, joka on korttijärjestöistä (VISA, Mastercard, American Express, JCB ja Discovery) koostuva toimielin.

Mitkä ovat sähköisten pankkipalvelujen tärkeimmät toimijat:

  • Kortinhaltija: maksukortin ja siihen liittyvän tilin omistaja (loppukäyttäjä)
  • Liikkeeseenlaskija: maksukortin myöntänyt pankki
  • Kauppias: liikkeenharjoittaja, joka hyväksyy kortin maksuvälineenä
  • Maksutapahtumien vastaanottaja: maksutapahtuman kauppiaan puolesta vastaanottava pankki
  • Korttiyhtiö: luotettu kolmas osapuoli, joka varmistaa maksun siirtymisen maksajalta maksunsaajalle (Visa, Mastercard, American Express, jne.)
  • Maksupalvelujen tarjoajat: kaikki muut elektronisten maksutapahtumien välittäjät. IaaS-palvelujen tarjoajana OVH on maksupalvelujen tarjoaja

Jokainen maksukortteja tilinhaltijoilleen myöntävä tai yritysasiakkaidensa maksutapahtumia vastaanottava pankki on vapaa määrittämään sopimusperusteisesti turvallisuusvaatimukset, joita asiakkaiden ja yhteistyökumppaneiden on noudatettava. PCI DSS -tietoturvastandardi määrittelee yhteisen turvallisuustason, joka kattaa useimpien pankkien vaatimukset. Tietoturvastandardista on muodostunut sähköisten maksujärjestelmien viitekehys. Sen noudattamista vaaditaan lisäksi järjestelmällisesti maksujärjestelmätoimijoilta. Jokainen sähköistä maksujärjestelmää ylläpitävän ketjun toimija on osaltaan vastuussa alustan yleisen turvallisuuden varmistamisesta. Nämä velvoitteet siirretään sopimusten kautta korttiyhtiöiltä kaikille sähköisen maksualustan toimijoille.

Käytännössä PCI DSS -tietoturvastandardi käsittää 250 kohdan luettelon, jossa kuvaillaan valvottavat kohdat sekä turvatoimet korttitietojen turvalliseen käsittelyyn. Valvottavat kohdat on luokiteltu kuuteen ryhmään:

  • Turvallisen verkon ja järjestelmän luominen ja hallinta

    Vaatimus 1: Korttitietoja suojaavan palomuurin asentaminen ja ylläpitäminen.
    Vaatimus 2: Älä käytä vakioasetuksia järjestelmäsalasanoille ja muille tietoturvaparametreille.
  • Korttitietojen suojaus

    Vaatimus 3: Suojaa tallennetut korttitiedot.
    Vaatimus 4: Salaa korttitiedot, jotka lähetetään avoimen, julkisen verkon kautta.
  • Haavoittuvuuksien käsittely pysyvillä menettelyillä

    Vaatimus 5: Suojaa kaikki järjestelmät haittaohjelmilta ja pidä virustorjuntasovellukset tai ohjelmat ajan tasalla.
    Vaatimus 6: Kehitä ja ylläpidä järjestelmien ja sovellusten tietoturvaa.
  • Tehokas kulunvalvonta

    Vaatimus 7: Rajoita kortinhaltijatietojen liiketoimintaan liittyvää käyttöä siten, että mahdollisimman harvalla on korttitietojen käyttöoikeus.
    Vaatimus 8: Jokaisella tietokoneverkkosi käyttäjällä on oltava oma käyttäjätunnus.
    Vaatimus 9: Mahdollisimman harvalla tulisi olla fyysinen pääsy korttitietoihin.
  • Verkon säännöllinen valvonta ja testaus

    Vaatimus 10: Yritysverkon ja korttitietojen käyttöä on valvottava.
    Vaatimus 11: Testaa tietoturvajärjestelmät ja -prosessit säännöllisesti.
  • Tietoturvakäytäntöjen hallinta

    Vaatimus 12: Ylläpidä tiukkaa tietoturvakäytäntöä, joka koskee koko henkilöstöä.

Kuinka noudattaa PCI DSS -tietoturvastandardia

PCI DSS -tietoturvastandardin vaatimusten täyttäminen koskettaa koko sähköisten pankkipalvelujen alustaa, jossa kauppias käyttää palveluntarjoajiensa PCI DSS -tietoturvastandardin mukaisia rakennuspalikoita. Jokainen maksukorttitietoja käsittelevä taho noudattaa siis standardin vaatimuksia, jotka ovat liiketoiminnan kannalta olennaisia ja tuovat vaatimustenmukaisuuden näkyväksi asiakkaalle.

OVH Payment Infrastructure PCI DSS -tuotteessa OVH on vastuussa infratruktuurin tietoturvasta, ja asiakas puolestaan virtuaalikoneiden tietoturvasta, virtuaaliverkkojen ominaisuuksien käytöstä sekä virtuaalikoneilla käytetyistä sovelluskerroksista. PCI DSS -tietoturvastandardi on siis yhteinen ponnistus sovellusalustan sekä järjestelmän tietoturvatoimien ja Private Cloud -infrastruktuurin vastaavien yhdistämiseksi.

PCI DSS -yhdenmukaisuus voidaan varmistaa täyttämällä itsearviointilomake tai yhden tai useamman valtuutetun PCI-auditoijan (Qualified Security Assessor) tekemällä tarkastuksella.

Alustan PCI DSS -tietoturvastandardin vaatimusten täyttäminen tapahtuu järjestelmällisellä menettelyllä, jonka ominaisuudet ja velvoitteet riippuvat useista tekijöistä:

  • Vuosittaisten vastaanotettujen maksutapahtumien määrä
  • Hyväksyttyjen maksukorttien tyypit
  • Maksutapahtuman vastaavanottavat pankit
  • Sähköisen maksupalveluinfrastruktuurin monimutkaisuus

PCI DSS -tietoturvastandardin vaatimusten täyttämistä varten on luotava läheiset suhteet korttimaksupalveluun littyviin toimijoihin, jotta heidän odotuksistaan saadaan tarkka kuva. OVH suosittelee ottamaan yhteyttä maksutapahtumat vastaanottavaan pankkiin ja/tai valtuutettuun PCI-auditointeja tekevään yritykseen, joka voi auttaa menettelyssä.

VISA-raportoinnin taso

Niveau Kuvaus Velvoitteet
1 > 6 milj. maksutapahtumaa / vuosi Valtuutetun PCI-auditoijan (QSA, Qualified Security Assessor) suorittama arviointi
Hyväksytyn tietoturvatarkastajan (ASV, Approved Scanning Vendor) suorittama neljännesvuosittainen verkkoskannaus
Vaatimuksenmukaisuustodistus
2 1 milj. < x < 6 milj. maksutapahtumaa / vuosi Itsearviointilomake
Hyväksytyn tietoturvatarkastajan (ASV, Approved Scanning Vendor) suorittama neljännesvuosittainen verkkoskannaus
Vaatimuksenmukaisuustodistus
3/4 x < 1 milj. maksutapahtumaa / vuosi Kunkin pankin määrittämä ja hallinnoima

Lähde: https://www.visaeurope.com/receiving-payments/security/merchants
Nämä tiedot ovat viitteellisiä. Vain maksutapahtumasi vastaanottava pankki voi toimittaa omaa tilannettasi vastaavat tiedot.

OVH:n alustan tarkistaa vuosittain valtuutettu PCI-auditoija. Auditoinnin tulokset ovat luettavissa, jotta voit:

  • Ymmärtää vaatimukset, jotka todistuksemme kattaa
  • Määrittää vaatimukset, jotka sinun on itse täytettävä
  • Osoittaa PCI-auditoijallesi, että OVH noudattaa kaikkia vaatimuksia PCI DSS -standardin mukaisesti

OVH:n asiantuntijatiimit avustavat lisäksi vaatimustenmukaisuuden saavuttamisessa sekä tarvittavien liitedokumenttien laatimisessa:

  • PCI DSS -vastuunjakotaulukko
  • OVH:n vastuualueen määrittelevät erityisehdot
  • Malli kustannuserittelystä pakollisten tunkeutumistestien toteutusta varten

Vastuunjakotaulukko

Tässä vastuunjakotaulukossa kuvataan OVH:n sekä asiakkaan vastuualueet PCI DSS -tietoturvastandarin vaatimuksiin liittyen. Näin voit ennakoida osuutesi vaatimustenmukaisuuden saavuttamisessa. Palvelun tilauksen yhteydessä toimitetaan pyydettäessä vaatimuksenmukaisuustodistus. Ainoastaan sitä huolellisesti analysoimalla voit saada kaikki tarvittavat tiedot vaatimustenmukaisen toiminnan toteuttamiseksi.

Turvallisen verkon ja järjestelmän luominen ja hallinta
Vaatimus 1: Korttitietoja suojaavan palomuurin asentaminen ja ylläpitäminen. OVH fyysisen verkon osalta
Asiakas virtuaaliverkon toimintojen osalta virtuaalisessa konesalissa
Vaatimus 2: Älä käytä vakioasetuksia järjestelmäsalasanoille ja muille tietoturvaparametreille OVH infrastruktuurilaitteistojen osalta. Asiakas virtuaalikoneiden sekä sovellusten osalta
Korttitietojen suojaus
Vaatimus 3: Suojaa tallennetut korttitiedot. Yksinomaan tallennuksen täytäntöönpanevan asiakkaan vastuulla
Vaatimus 4: Salaa korttitiedot, jotka lähetetään avoimen, julkisen verkon kautta. Yksinomaan tallennuksen täytäntöönpanevan asiakkaan vastuulla
Haavoittuvuuksien käsittely pysyvillä menettelyillä
Vaatimus 5: Suojaa kaikki järjestelmät haittaohjelmilta ja pidä virustorjuntasovellukset tai ohjelmat ajan tasalla. OVH infrastruktuurilaitteistojen osalta
Asiakas virtuaalikoneiden sekä sovellusten osalta
Vaatimus 6: Kehitä ja ylläpidä järjestelmien ja sovellusten tietoturvaa. OVH infrastruktuurilaitteistojen osalta
Asiakas virtuaalikoneiden sekä sovellusten osalta
Tehokas kulunvalvonta
Vaatimus 7: Rajoita kortinhaltijatietojen liiketoimintaan liittyvää käyttöä siten, että mahdollisimman harvalla on korttitietojen käyttöoikeus. OVH infrastruktuurilaitteistojen osalta
Asiakas virtuaalikoneiden sekä sovellusten osalta
Vaatimus 8: Jokaisella tietokoneverkkosi käyttäjällä on oltava oma käyttäjätunnus. OVH infrastruktuurilaitteistojen osalta
Asiakas virtuaalikoneiden sekä sovellusten osalta
Vaatimus 9: Mahdollisimman harvalla tulisi olla fyysinen pääsy korttitietoihin. Yksinomaan OVH:n vastuulla alustan fyysisen ylläpidon osalta
Verkon säännöllinen valvonta ja testaus
Vaatimus 10: Yritysverkon ja korttitietojen käyttöä on valvottava. OVH infrastruktuurilaitteistojen osalta
Asiakas virtuaalikoneiden sekä sovellusten osalta
Vaatimus 11: Testaa tietoturvajärjestelmät ja -prosessit säännöllisesti. OVH infrastruktuurilaitteistojen osalta
Asiakas virtuaalikoneiden sekä sovellusten osalta
Tietoturvakäytäntöjen hallinta
Vaatimus 12: Ylläpidä tiukkaa tietoturvakäytäntöä, joka koskee koko henkilöstöä. OVH infrastruktuurilaitteistojen osalta
Asiakas virtuaalikoneiden sekä sovellusten osalta

OVH Payment infrastructure facts sheet

  • Maksupalveluntarjoaja Level 1
  • PCI DSS V3.2
  • PCI-auditoija Provadys
  • PCI DSS -lisäpalvelu saatavilla OVH Payment Infrastructure -tuotteissa. Tuotetason korotus mahdollista miltä tahansa SDDC-infrastruktuurilta
  • Laajuus: OVH:n vastuualue (ks. vastuunjakotaulukko)

Kaaviomalli

Alla on kaksi yksinkertaista esimerkkiä ylläpidetystä sähköisestä maksujärjestelmäketjusta sopimussuhteiden sekä vaatimusten mukaisen raportoinnin havainnollistamiseksi. Jokainen tapaus on erityinen ja vaatii syvällistä tarkastelua. Suurin osa on kuitenkin lähellä jompaa kumpaa seuraavista malleista.

Olet verkkokauppias, joka ylläpitää alustaansa OVH:n PCI DSS -infrastruktuurissa:

Olet maksupalveluntarjoaja, joka ylläpitää järjestelmiään OVH:n PCI DSS -infrastruktuurissa. Asiakkaasi ovat verkkokauppiaita.