Kaikille yrityksille, jotka käsittelevät luottokortti- tai muita maksukorttitapahtumia, PCI-vaatimustenmukaisuuden ymmärtäminen on välttämätöntä turvallisen ympäristön ylläpitämiseksi, joka suojaa asiakkaidenne lisäksi koko toimintaanne.

Lyhyesti sanottuna PCI-vaatimustenmukaisuus edellyttää, että yritykset suojaavat kortinhaltijoiden tietoja noudattamalla teknisten ja toiminnallisten turvatoimien tarkistuslistaa. Olipa yrityksenne jo vakiintunut tai vasta aloittamassa, PCI-vaatimustenmukaisuuden perusasiat eivät ole niin monimutkaisia kuin voisitte luulla.

Tämä helppolukuinen opas tarjoaa yleiskatsauksen PCI-vaatimustenmukaisuudesta, siitä, kenen on noudatettava sitä, ja siitä, miten suojata kortinhaltijan tietoja sisältävä sähköpostiviestintänne.

Mitä on PCI-vaatimustenmukaisuus?

PCI tarkoittaa sanoja Payment Card Industry ja PCI DSS tarkoittaa sanoja Payment Card Industry Data Security Standard.

PCI DSS on kokoelma maailmanlaajuisia tietoturvastandardeja, jotka on luotu varmistamaan, että kaikki yritykset, jotka hyväksyvät, käsittelevät, tallentavat tai välittävät luottokorttitietoja, pitävät tiedot turvassa.

Näitä standardeja hallinnoi PCI Security Standards Council – ryhmä, jonka perustajia ovat American Express, Discover Financial Services, JCB International, MasterCard Worldwide ja Visa Inc.

Vaikka PCI-vaatimustenmukaisuus ei ole laki, se on pakollinen vaatimus, jota suuret luottokorttiyhtiöt valvovat kauppiaiden kanssa tekemissään sopimuksissa.

Miksi PCI-vaatimustenmukaisuudella on merkitystä?

PCI-vaatimustenmukaisuus on ratkaisevan tärkeää yrityksenne ja asiakkaidenne suojaamiseksi tietomurroilta ja petoksilta. Vaatimusten noudattamatta jättäminen voi johtaa vakaviin rangaistuksiin, oikeudellisiin seurauksiin ja asiakkaiden luottamuksen menetykseen.

PCI DSS -vaatimusten täyttymisen varmistaminen auttaa suojaamaan arkaluonteisia tietoja ja parantaa mainettanne luotettavana toimijana.

Kenen on oltava PCI-vaatimustenmukainen?

Kaikkien yritysten maailmanlaajuisesti, jotka käsittelevät maksukorttitapahtumia, on oltava PCI-vaatimustenmukaisia. Tämä koskee verkkokauppoja, kivijalkakauppoja ja kaikkia organisaatioita, jotka käsittelevät luottokorttimaksuja. Jos yrityksenne hyväksyy, välittää tai tallentaa kortinhaltijan tietoja, teidän on noudatettava PCI DSS -vaatimuksia(uusi ikkuna).

Pienyritysten on oltava itse PCI-vaatimustenmukaisia – vaikka ne käyttäisivät Stripen kaltaista maksunvälittäjää. Vaikka PCI-vaatimustenmukaisen maksunvälittäjän käyttö voi auttaa joidenkin vaatimusten täyttämisessä, yritykset ovat silti vastuussa siitä, että niiden omat järjestelmät ja käytännöt ovat PCI DSS -standardien mukaisia.

PCI-vaatimustenmukaisuuden tarkistuslista

Ollakseen PCI-vaatimustenmukaisia yritysten on noudatettava 12:ta vaatimusta, jotka on määritelty PCI DS(uusi ikkuna)S(uusi ikkuna)-standardissa.

  1. Asenna ja ylläpidä palomuuri kortinhaltijan tietojen suojaamiseksi.
  2. Älä käytä toimittajan toimittamia oletusarvoja järjestelmän salasanoille ja muille turvaparametreille.
  3. Suojaa tallennetut kortinhaltijan tiedot salauksella ja turvallisilla tallennusmenetelmillä.
  4. Salaa kortinhaltijan tietojen siirto avoimissa, julkisissa verkoissa.
  5. Suojaa kaikki järjestelmät haittaohjelmilta ja päivitä virustorjuntaohjelmisto tai -ohjelmat säännöllisesti.
  6. Kehitä ja ylläpidä turvallisia järjestelmiä ja sovelluksia.
  7. Rajoita pääsyä kortinhaltijoiden tietoihin liiketoiminnan tarpeellisuuden mukaan.
  8. Tunnista ja todenna pääsy järjestelmän komponentteihin.
  9. Rajoita fyysistä pääsyä kortinhaltijoiden tietoihin.
  10. Seuraa ja valvo kaikkea pääsyä verkkoresursseihin ja kortinhaltijoiden tietoihin.
  11. Testaa tietoturvajärjestelmiä ja -prosesseja säännöllisesti.
  12. Ylläpidä käytäntöä, joka käsittelee tietoturvaa koko henkilöstön osalta. 

On kuitenkin tärkeää huomata, että jokainen näistä vaatimuksista on jaettu vielä tarkempiin alavaatimuksiin. Jokaisen niistä noudattaminen on välttämätöntä.

Vaikka sähköpostin tietoturvaa ei mainita nimenomaisesti, standardi edellyttää kortinhaltijoiden tietojen salausta julkisissa verkoissa tapahtuvan siirron aikana, mikä kattaa myös sähköpostin.

Turvallinen sähköposti on ratkaisevan tärkeä PCI-vaatimustenmukaisuuden kannalta

Yksi PCI-vaatimustenmukaisuuden kriittisistä näkökohdista on varmistaa, että asiakkaiden maksukorttitietoja sisältävä sähköpostiviestintä on asianmukaisesti salattu ja suojattu. Näiden arvokkaiden tietojen suojaamisen laiminlyönti voi johtaa tietomurtoihin, jotka voivat vahingoittaa organisaationne mainetta ja johtaa vakaviin taloudellisiin menetyksiin.

Seuraavassa on joitakin toimia, joilla voitte varmistaa sähköpostiviestintänne turvallisuuden:

Käyttäkää päästä päähän -salausta

Päästä päähän -salaus varmistaa, että tiedot salataan lähettäjän laitteella ja salaus puretaan vasta vastaanottajan laitteella. Esimerkiksi Proton Mail tarjoaa tämän tason suojauksen varmistaen, ettei edes Proton pääse käsiksi sähköpostienne sisältöön.

Käyttäkää monivaiheista tunnistautumista

Monivaiheinen tunnistautuminen, kuten kaksivaiheinen tunnistautuminen (2FA), lisää ylimääräisen suojaustason pelkkien salasanojen lisäksi ja voi parantaa merkittävästi puolustustanne luvatonta pääsyä vastaan. Proton for Business -tilauksen avulla voitte asettaa 2FA:n käytön pakolliseksi organisaatiossanne turvallisuuden vahvistamiseksi ja varmistamiseksi.

Säännölliset tietoturvatarkastukset

Suorittakaa säännöllisiä tietoturvatarkastuksia varmistaaksenne, että sähköpostiviestintänne ja muut järjestelmänne ovat PCI DSS -vaatimusten mukaisia. Nämä tarkastukset voivat paljastaa haavoittuvuuksia vanhentuneissa palomuurimäärityksissä ja virheellisissä pääsynhallinnoissa. Tämä auttaa tunnistamaan ja käsittelemään mahdolliset haavoittuvuudet ennen kuin niitä ehditään hyödyntää.

Pysykää PCI-vaatimusten mukaisena Protonin avulla

Kun käytätte Protonia, suojaatte yrityksenne tiedot niin, ettei kukaan – ei edes Proton – pääse niihin käsiksi. Arvokkaimpien tietojenne avaimet pysyvät hallussanne kaikkina aikoina. Tämä sitoutuminen yksityisyyteen ja turvallisuuteen tekee Protonista ihanteellisen ratkaisun yrityksille, jotka pyrkivät saavuttamaan ja ylläpitämään PCI-vaatimustenmukaisuutta.

Proton sai alkunsa projektina, jota johtivat CERNissä (Euroopan hiukkasfysiikan tutkimuskeskus) tavanneet tutkijat. Tavoitteenamme on uudistaa internet niin, että ihmiset ja organisaatiot hallitsevat omia tietojaan.

Proton Mailiin vaihtaminen on helppoa Easy Switch -ominaisuuden avulla, jonka avulla voitte siirtää saumattomasti kaikki organisaationne sähköpostit, yhteystiedot ja kalenterit muista palveluista ilman, että tiiminne tarvitsee koulutusta. Tukitiimimme on myös käytettävissä vuorokauden ympäri tarjotakseen live-tukea, jos tarvitsette lisäapua. Proton Mail, päästä päähän -salattu sähköpostimme, ja Proton Drive, päästä päähän -salattu pilvitallennuspalvelumme, tekevät tietosuoja- ja yksityisyysvaatimusten täyttämisestä helppoa.

Proton for Businessin käyttäminen tarjoaa lisäetuja, kuten:

  • Proton Mail: Suojatkaa yrityksenne viestintä päästä päähän -salatulla sähköpostilla varmistaen, että vain te ja tarkoitetut vastaanottajat voitte lukea viestinne.
  • Proton VPN: Turvatkaa internet-yhteytenne ja suojatkaa verkkotoimintanne korkeanopeuksisella VPN-yhteydellä.
  • Proton Calendar: Hallitkaa aikatauluanne salatulla kalenterilla, joka pitää yrityksenne tapahtumat yksityisinä.
  • Proton Pass: Säilyttäkää ja hallitkaa salasanojanne turvallisesti salatulla salasananhallinnallamme.
  • Proton Drive: Tallentakaa ja jakakaa tiedostoja turvallisesti päästä päähän -salauksella varmistaen, että tietonne pysyvät yksityisinä ja suojattuina.

Tutustukaa siihen, miten Proton voi tehdä vaatimustenmukaisuudesta yksinkertaista organisaatiollesi rekisteröitymällä Proton for Business -palveluun tai ottamalla yhteyttä myyntitiimiimme räätälöityjä ratkaisuja varten.

Kun siirrätte liiketoimintanne Proton-ekosysteemiin, suojaatte samalla itseänne ja asiakkaidenne tietoja, pysytte vaatimusten mukaisina ja autatte rakentamaan tulevaisuutta, jossa yksityisyys on oletusarvo.