PCI – korttitietojen turvallinen käsittely

Payment Card Industry Data Security Standard, josta käytetään yleensä lyhennettä PCI tai PCI DSS, on Visan ja Mastercardin luoma tietoturvastandardi korttitietojen käsittelyyn. Myös American Express, Diners Club ja JCB ovat ottaneet käyttöön saman standardin, joka koskee sekä fyysisiä korttiostoksia että ostoksia verkossa.

Mikä on PCI:n tavoite?

Jos sinulla on myymälä tai verkkokauppa, jossa asiakkaat maksavat kortilla, olet vastuussa siitä, että asiattomat henkilöt eivät saa haltuunsa käsittelemiäsi kortti- ja asiakastietoja. PCI on standardi, jota sinun ja kaikkien muiden korttitietoja käsittelevien on noudatettava sen varmistamiseksi, etteivät tiedot päädy vääriin käsiin.

PCI-tietoturvastandardi perustuu Visan Account Information Security -ohjelmaan (AIS) ja MasterCardin Site Data Protection -ohjelmaan (SDP). Standardi koskee kaikkia, jotka käsittelevät, keräävät, tallentavat ja välittävät korttitietoja. Korttitietoja sisältäviä fyysisiä asiakirjoja ja sähköisiä medioita (esimerkiksi kuitteja, tapahtumalokeja ja tapahtumaraportteja) on säilytettävä turvallisessa paikassa, johon vain asianosaiset henkilöt pääsevät.

PCI 3.2

PCI-tietoturvastandardi päivitetään säännöllisesti. Nykyinen versio on 3.2.1, ja se otettiin käyttöön 1. tammikuuta 2019. Aiemmissa versioissa käytettiin SSL-salausprotokollaa, mutta versiosta 3.2 lähtien maksu- ja luottokorttien tietojen salaukseen on käytetty ainoastaan TLS-protokollan uudempia versioita. Tarkempia tietoja on kohdassa Read more on SSL/early TLS migration.

Mitä on huomioitava verkkokaupassa?

Jos sinulla on verkkokauppa, jossa korttitiedot käsitellään itse, sinun on varmistettava, että käsittely täyttää PCI-vaatimukset. Voit tehdä sen itsearviointilomakkeella nimeltä SAQ A EP.  Jos käytössäsi on niin kutsuttu hosted-maksuratkaisu (tallennus tai "hostaus", josta vastaa maksuvaihde), tämä ei koske sinua.

Hosted-ratkaisu tarkoittaa sitä, että kun asiakas syöttää korttinsa numeron maksamista varten, se tapahtuu PCI-sertifioidun maksuvaihteen omistamalla verkkosivustolla. Korttitietojen säilytys, kuljetus tai käsittely tapahtuu vain PCI-sertifioidussa maksuvaihteessa eikä yrityksessäsi tai muun osapuolen/toimittajan luona.

Jos sinulla verkkokaupan harjoittajana ei ole hosted-ratkaisua, suosittelemme siirtymään siihen, jotta sinun ei tarvitse käydä läpi satoja turvallisuusvaatimuksia koskien korttitietojen suojaamista. Ohjeita siirtymiseen saat ottamalla yhteyttä maksuvaihteeseesi.

Lisätietoa erityyppisistä verkkokaupparatkaisuista ja niitä koskevista vaatimuksista on asiakirjassa Processing e-commerce payments Guide (pdf).

Kassaan integroitu maksupääte  

Onko sinulla maksupääte, joka on integroitu kassajärjestelmääsi? Täällä näet, onko laitteellasi PCI:n mukainen hyväksyntä. Lataa luettelo hyväksytyistä integroiduista kassajärjestelmistä

Haluatko lisätietoja PCI:stä?  

PCI – korttiturvallisuus Mastercard  
PCI – korttiturvallisuus Visa  
PCI-standardi (PCI Security Council)  

Mitä sinun täytyy tehdä?

PCI-standardissa vaaditaan erilaisia toimia sen mukaan, montako korttimaksua yritykselläsi on vuodessa ja missä ympäristössä maksut suoritetaan. PCI-vaatimukset ovat kuitenkin samat kaikille yrityksille, ero on vain siinä, miten osoitetaan, että toimitaan standardin mukaisesti.

Lue lisää siitä, mitä sinun täytyy tehdä.

Tarvitsetko apua?

Vastaamme siitä, että maksuratkaisumme täyttävät tietoturvavaatimukset suoritettiinpa maksut myymälässä tai verkossa. Myös korttimaksun lunastus on sertifioitu.

Jos sinulla on kysyttävää PCI-standardista, ota yhteyttä tukeemme tai puhelimitse numeroon +358 201 40 42 45.