Näin PCI vaikuttaa sinuun
PCI-standardissa vaaditaan erilaisia toimia sen mukaan, montako korttimaksua yritykselläsi on vuodessa ja missä ympäristössä maksut suoritetaan. PCI-vaatimukset ovat kuitenkin samat kaikille yrityksille, ero on vain siinä, miten osoitetaan, että toimitaan standardin mukaisesti.
Isot yritykset
Jos sinulla on myymälä, jossa tehdään vähintään miljoona korttiostoa vuodessa, tai verkkokauppa, jossa tehdään 20 000 – 1 000 000 korttiostoa vuodessa, yritystäsi koskevat erityisvaatimukset PCI-standardin osalta. Otamme tarvittaessa sinuun yhteyttä ja varmistamme yhdessä, että noudatat PCI-vaatimuksia.
Taulukosta näet, kuinka usein erityyppisiä tarkastuksia on tehtävä eri yrityksille.
| Taso | Perusteet | Tarkastus paikan päällä (On-site Audit) | Itsearviointi (Self Assessment) | Ulkopuolinen verkon skannaus |
| 1 | Yritys, jolla on vuodessa yli 6 miljoonaa korttiostoa Visalta tai Mastercardilta | Vuosittain | Ei vaatimusta | Neljänneksittäin |
| 2 | Yritys, jolla on vuodessa 1–6 miljoonaa korttiostoa Visalta tai Mastercardilta | Vuosittain1 | Ei vaatimusta | Neljänneksittäin |
| 3 | Verkkokaupan alalla toimiva yritys, jolla on vuodessa 20 000 – 1 000 000 korttiostoa Visalta tai Mastercardilta | Ei vaatimusta | Vuosittain | Neljänneksittäin |
| 4 | Muut yritykset | Ei vaatimusta | Suositellaan vuosittain | Suositellaan vuosittain |
1Yritykset jotka kuuluvat tasoon 2 ja jotka ottavat vastaan tapahtumia verkossa (kriteerit löytyvät lomakkeesta SAQ A /SAQ A-EP) tai maksupäätteen kautta joka täsmää kriteereihin SAQ D, tekevät vuosittaisen tarkastuksen paikan päällä hyväksytyn reviisorin (QSA/ISA) kanssa. Yrityksillä jotka kuuluvat tasoon 2, joiden ympäristö täsmää kriteereihin B-IP, C-VT, C tai P2PE voi olla mahdollisuus tämän sijaan tehdä vuosittainen itsetarkastus.
Tasolla 4 tietyillä aloilla toimivien yritysten on suoritettava sertifiointi, ja otamme tällöin yritykseen yhteyttä.
Millaisia tarkastusmenetelmiä on käytössä?
- Tarkastus paikan päällä – yritys käyttää tarkastajaa, jonka Mastercard ja Visa ovat hyväksyneet*. Tarkastaja tarkastaa paikan päällä turvallisuuskäytännöt sekä tilitapahtumatietojen käsittelyn ja säilytyksen.
- Itsearviointi – yritys täyttää lomakkeen.
- Ulkoinen verkoston skannaus – hyväksytyn toimittajan (Approved Scanning Vendor) työkalu skannaa ulkoiset IP-osoitteet havaitakseen mahdolliset turvallisuuspuutteet tietokoneverkossa.
*Luettelo Visan ja Mastercardin hyväksymistä tarkastajista sekä maista, joissa he toimivat: www.pcisecuritystandards.org.
Vaatimukset kiristyvät vuonna 2024
PCI DSS v4.0 julkaistiin maaliskuussa 2022, ja se on pakollinen vuodesta 2024 eteenpäin. Päivitetty standardi sisältää useita kiristyksiä ja selvennyksiä. Näistä tärkeimpiä on vaatimus, että kaikkien verkkokauppaa harjoittavien asiakkaiden on suoritettava ulkoinen skannaus osoittaakseen vaatimusten noudattamisen. ASV:n (Approved Scanning Vendor) on suoritettava skannaus.
Lisää ehdotuksia sinulle
PCI-tarkistuslista
Olemme koonneet muutamia tärkeimpiä PCI-vaatimuksia, joita yrityksesi on noudatettava, jotta korttitietoja käsitellään varmasti oikein.
Suojaa verkkokauppasi 3DSecuren avulla
Jo sinulla on verkkokauppa, 3DSecure on yksi tärkeimmistä työkaluista turvallisuuden lisäämiseksi.
Riskit ja turvallisuus
Täällä on artikkeleita, tarkistuslistoja ja vinkkejä siihen, mitä voit tehdä minimoidaksesi petosriskin myymälässäsi tai verkkokaupassasi.