Kansainvälinen PCI-toimielin PCI Council on julkaissut tiedot ensimmäisistä muutoksista lähiaikoina päivittyviin PCI DSS - ja PA-DSS -standardeihin. Dokumentti Summary of Changes - Hihglights löytyy pdf-muodossa täältä. Dokumentin tarkoituksena on auttaa eri osapuolia valmistautumaan uuteen standardiin, joka samalla syrjäyttää nykyisen 1.2-version.
Samalla kun uusi standardi julkaistaan 28. lokakuuta astuu voimaan myös uudistunut elinkaari PCI-standardeille. Nykyisen kahden vuoden sijaista elinkaari pitenee kolmeen vuoteen. Mallin mukaan uusi standardi julkaistaan lokakuussa, se astuu voimaan ensi tammikuussa ja seuraava versio julkaistaan vuonna 2013. Tällä välin toimielin implementoi uuden standardin, ottaa vastaan palautetta sekä kehittää uutta standardia.
Uuden standardin muutokset näyttäisivät olevan suoraviivaisia eikä mitään kovin mullistavaa ole luvassa. Monessa tapauksessa muutokset liittyvät tarkennuksiin ja vaatimuksen tarkoituksen avaamiseen. Nixua ilahduttaa erityisesti tieto siitä, että PCI-ympäristön (scope) määrittelyyn on luvassa lisätietoa. Myös virtualisointiin on tulossa tarkennuksia. Standardi pyrkii myös lisäämään riskipohjaisen lähestymistavan käyttöä, ja siten antamaan organisaatiolle enemmän vaihtoehtoja vaatimusten toteuttamiseen.
Nixu seuraa tilannetta aktiivisesti ja kerromme prosessin etenemisestä tässä blogissa.
Mediassa on viime päivinä keskusteltu Suomen oloissa poikkeuksellisen laajasta maksukorttitietojen varkaudesta. Itähelsinkiläisestä kahvilasta on viety yli 100 000 korttitietoa. Mediassa olleiden tietojen mukaan tietomurto tehtiin etähallintaohjelman sekä vakoiluohjelman avulla. Lisäksi mainitaan, että syy olisi kassajärjestelmän asentaneen yhtiön päälle jättämä “oletusasetus”. Tietomurto paljastui Luottokunnan valvonnan ansiosta.
Oli vain ajan kysymys, milloin ensimmäinen suuri korttitietomurto tapahtuu Suomessa. Payment Card Industry Data Security Standard (PCI DSS) - implementointi on vielä hyvin monella kauppiaalla kesken, ja pienimmät kauppiaat eivät edes tiedä, että heidän tulisi noudattaa kyseistä tietoturvastandardia. PCI DSS:n noudattaminen olisi todennäköisesti estänyt tämänkin tietomurron:
PCI DSS edellyttää, että oletusasetuksia ei käytetä, etäyhteydet vaativat vahvan autentikoinnin ja virustorjuntaohjelmisto sekä tiedostojen eheysvalvontajärjestelmä hälyttävät haittaohjelmista. Lisäksi järjestelmien toimintaa tulee seurata päivittäin. Näin korttitietojen lähettäminen Yhdysvaltoihin ja Romaniaan paljastuisi omalla valvonnalla, eikä asia tulisi kauppiaalle “ihan puskista”.
On tietysti ymmärrettävää, että yksittäisellä kauppiaalla ei aina löydy riittävää tietotaitoa järjestelmien turvalliseen pystyttämiseen ja ylläpitoon. Tällöin kauppiaan tuleekin vaatia palveluntarjoajaltaan, että toiminta noudattaa vähintäänkin PCI-standardia. Lisäksi maksujärjestelmän tulisi olla Payment Application Data Security Standard -luokituksen mukainen eli PA-DSS-validoitu. Mahdollisissa tietomurtotapauksissa kauppiaan tulisi voida asettaa palveluntarjoaja vastuuseen, mikäli PCI-standardia ei ole noudatettu. Mikäli kauppias ei näin toimi, jää vastuu kauppiaalle ja seuraukset voivat olla hyvinkin ikäviä.
Niki Klaus vastaa Nixun PCI-liiketoiminnan kehittämisestä ja on tehnyt useita PCI-auditointeja Suomessa ja ulkomailla.
Kommentoi
blogi