PCI SSF -tietoturvastandardi.

SEITATECH läpäisi uuden PCI SSF -standardin ensimmäisten joukossa

Tietoturvastandardi vaihtuu. Uusi SSF (Software Security Framework) on Payment Card Industry:n (PCI) julkaisema tietoturvastandardi, jonka tavoitteena on suojata korttidataa entistä paremmin. Tietoturvastandardi asettaa vaatimuksia korttimaksuihin liittyville ohjelmistokehitysmenetelmille, prosesseille ja maksusovelluksille. Sen mukana tulee myös uusia velvoitteita raportointiin ja prosessien seuraamiseen liittyen.

Uusi tietoturvastandardi palvelee erilaisia yrityksiä paremmin

Tietoturvastandardin aiemmasta versiosta, PA-DSS:stä, siirrytään pois, standardi lopetti voimassaolon 28.10.2022. Kaikki järjestelmät, jotka on auditoitu aiemman PA-DSS-tietoturvastandardin mukaisesti, menettävät standardiin liittyvän hyväksynnän voimassaolon. PA-DSS:ään verrattuna uuden SSF:n selkein erottava tekijä on, että se on jaettu kahteen osaan. Standardissa on ydinosa, jonka kaikki vaatimukset tulee täyttää, riippumatta millainen yritys on kyseessä. Ydinosan lisäksi tietoturvastandardiin liittyy moduuleja, joiden täyttämistä vaaditaan riippuen siitä, millaista dataa yritys käsittelee ja millaisia palveluja tuotetaan. 

Uudistuksen hyviä puolia ovat sen tuomat laajemmat mahdollisuudet, jotka selkeyttävät standardia. Aiempi PA-DSS sisälsi yleisemmällä tasolla olevia vaatimuksia, joista osa oli epämääräisiä, koska niiden piti soveltua kaikenlaisille yrityksille. Uudistettu tietoturvastandardi huomioi paremmin yritysten tarpeet ja ominaisuudet.

Uudistettu standardi vaatii yrityksiltä tarkempaa dokumentointia

PCI SSF vaatii tarkempaa dokumentointia kuin aiempi PA-DSS. Maksusovellusten arkkitehtuuri tulee olla dokumentoituna ja kriittiset varat, eli sovelluksen toiminnan kannalta elintärkeät tiedot ja sensitiivinen data, dokumentoituna ja luokiteltuna. Maksusovellusten jatkokehityksen kannalta dokumentointivaatimukset ovat hyödyllisiä. Aiemmassa tietoturvastandardissa dokumentointi ei ollut yhtä kattavaa tai selkeää.

PCI SSF koskettaa ensisijaisesti korttidataa käsitteleviä yrityksiä

Seitatechin kaltaiselle yritykselle tietoturvastandardin päivittäminen on vaatimus, joka tulee täyttää, jotta voi jatkaa uusien ohjelmistojen ja päätteiden toimittamista ja käyttöönottoa. Kaikki maksusovellusten kehittäjät joutuvat tekemään uuden validointiprosessin, kun uuteen tietoturvavaatimukseen siirrytään. Tämä on iso muutosprosessi kaikille maksusovellusten kehittäjille. 

Myös muunlaiset yritykset voivat toki hankkia sertifikaatin. Sertifikaatin saanti vahvistaa mielikuvaa turvallisesta maksamisesta. Esimerkiksi sovellukset, joiden sisällä tehdään ostoja, voi validoida PCI SSF standardin mukaisesti. 

Seitatechille tietoturvavaatimukset ovat toiminnan jatkuvuuden edellytys

Seitatech aloitti PCI SSF hakuprosessin noin vuosi sitten, ja projektia on työstetty hiljalleen eteenpäin. Auditointi tehtiin ja läpäistiin hyväksytysti toukokuussa. Ilmoitus hyväksytystä järjestelmästä lähti syyskuussa, auditoijan läpikäytyä prosessiin liittyvän dokumentoinnin. PCI Council myönsi Seitatechille maailman ensimmäisen PCI SSF maksupääteohjelmiston hyväksynnän 27. lokakuuta, juuri päivää ennen kuin kaikkien PA-DSS sertifikaattien voimassaolo lakkasi globaalisti. 

Tietoturvauudistus ei merkittävästi vaikuta Seitatechin toimintaan. Tietoturvavaatimukset ovat toiminnan edellytys Seitatechille ja sen kaltaisille, korttimaksuja käsitteleville yrityksille. Siinä missä ennen Seitatech haki PA-DSS sertifikaatin validointia, nyt haetaan PCI SSF -validointia tasaisin väliajoin. Validointi tehdään vähintään kolmen vuoden välein, mutta maksusovelluksen muutokset, esimerkiksi sovelluksen salauksen suhteen, saattavat johtaa muutosvalidoinnin tarpeeseen. Tietoturvavaatimukset ovat edelleen samankaltaiset, mutta uudistuksen mukana tulee laajempia dokumentointivaatimuksia.

Uusi PCI SSF -tietoturvavaatimus suojaa asiakkaan korttidataa

Asiakkaan näkökulmasta katsottuna kannattaa valita uuden PCI SSF -sertifikaatin saanut yritys, koska se viittaa yrityksen olevan ajan tasalla tietoturvastandardien kanssa. PCI SSF on maksujärjestelmän asettama vaatimus, sen täyttäminen uusissa käyttöönotetuissa järjestelmissä on pakollista. Käyttämällä vanhentunutta järjestelmää, asiakas asettaa itselleen huomattavan riskin, joka pahimmillaan realisoituu tietoturvaongelmana. Tämä tarkoittaa myös, että uuden tietoturvastandardin avulla asiakkaan korttitiedot ovat todennäköisemmin turvassa hakkereilta ja tietovuodoilta. 

Hakkerien hyökkäystekniikat kehittyvät jatkuvasti, ja tietoturvavaatimusten tulee sen takia lisääntyä ja tiukentua. Tietomurtoja tapahtuu maailmalla toistuvasti. Itse tietojen lisäksi tietomurroissa kohteena ovat asiakkaiden rahat ja identiteetti. Tietomurto on aina myös valtava mainehaitta kohdeyritykselle, ja mahdolliset korvausvaatimukset saattavat tuhota koko yhtiön. Tietomurtojen tapahtumat käydään aina läpi, jonka pohjalta kehitetään uusia tietoturvavaatimuksia, eli uusimmissa tietoturvastandardeissa on mukana viimeisin tieto, jolla asiakkaiden maksutapahtumat suojataan.

Scroll to top