Luottokortilla maksamisen suosio kasvaa koko ajan. Tilanne vaatii kuitenkin entistä tiukempia keinoja luottokortti- ja maksutapahtumatietojen tietoturvan varmistamiseksi, jotta kuluttajien luottamusta tähän maksutapaan voidaan vahvistaa. Tämän takia luottokorttiyritysten turvallisuusasiantuntijat kehittivät yhdessä ratkaisun asiaan. Kaikkien luottokorttitietoja käsittelevien, lähettävien tai tallentavien yritysten on noudatettava lukuisia tietoturvaohjeita. Tavoitteena on saada mainittujen yritysten luottokortteja hyväksyvät kauppiaat noudattamaan tarkasti yhteistä PCI DSS -standardia (Payment Card Industry Data Security Standard), joka aikaisemmin tunnettiin nimellä CISP (Cardholder Information Security Program).

Standardin nykyinen versio kehitettiin vain muutaman vuoden aikana. VISA käynnisti CISP-ohjelman vuonna 2001. Se oli ensimmäinen ohjelma laatuaan, ja siinä vaadittiin kauppiaita ja palveluntarjoajia noudattamaan tiettyjä tietoturvastandardeja. Muutamaa vuotta myöhemmin VISA, MasterCard, American Express, Discover, Diners Club ja JCB yhtenäistivät omat käytäntönsä ja esittelivät PCI DSS -standardin. Standardi oli päivitetty ja kattavampi versio aikaisemmasta standardista, ja se tuli pakolliseksi kaikille kauppiaille ja palveluntarjoajille kesäkuussa 2005. Standardia päivitettiin jälleen syyskuussa 2006, ja nyt se sisältää noin 160 vaatimusta, joista tuli sitovia kesäkuun lopussa vuonna 2007. Sopimus ei ole enää mikään paperitiikeri: pelkästään vuonna 2006 VISA vaatinut oikeusteitse yhteensä 4,6 miljoonaa dollaria kauppiailta, jotka eivät ole noudattaneet standardia. Se on 35 % enemmän kuin edellisenä vuonna.

Nykyinen PCI-standardi sisältää tarkat ohjeet luottokorttitietojen käsittelystä ja tallentamisesta. Kauppiaiden on noudatettava näitä ohjeita, jotta he saavat pitää asemansa luottokorttiyrityksen yhteistyökumppanina ja välttävät suuret rangaistusmaksut. Pankkisi on ehkä ollut sinuun yhteydessä koskien PCI-standardia ja sen merkitystä luottokorttipetosten estämisessä.

Tämän vuoden alussa VISA- ja MasterCard-luottokorttiyritykset sopivat yhteisistä standardeista saadakseen käyttöön yhtenäiset turvallisuusohjelmat tietoturvavaatimusten täyttämiseksi. Nämä PCI-tietoturvastandardit koskevat koko luottokorttimaksualaa.

PCI-määräykset sisältävät 12 pääkohtaa, jotka VISA-luottokortteja hyväksyvien kauppiaiden sekä palveluntarjoajien on täytettävä yhteensopivuuden saavuttamiseksi:

Rakenna turvallinen verkkoympäristö ja huolehdi sen ylläpidosta
1. Suojaa tiedot asentamalla palomuuriratkaisu ja ylläpitämällä sitä
2. Älä käytä ohjelmistotoimittajan oletussalasanoja tai muita oletusasetuksia

Suojaa kortinhaltijatiedot
3. Suojaa tallennetut kortinhaltijatiedot. Älä koskaan tallenna tarpeettomia kortti- tai maksutapahtumatietoja, kuten korttinumeroa, magneettijuovan tietoja, CVV2-tarkistuslukua tai tunnuslukua (PIN-koodi).
4. Siirrä kortinhaltijoiden tiedot ja muut luottamukselliset tiedot salattuina avoimissa, yleisissä tietoverkoissa.

Ylläpidä haavoittuvuuksien hallintaohjelmaa
5. Käytä virustorjuntaohjelmistoa ja päivitä se säännöllisesti
6. Kehitä ja ylläpidä turvallisia järjestelmiä ja sovelluksia

Käytä tehokkaita pääsynvalvontamenetelmiä
7. Rajoita pääsy kortinhaltijan tietoihin koskemaan vain niitä, jotka tarvitsevat tietoja liiketoiminnallisiin tarkoituksiin
8. Luo jokaiselle tietojärjestelmän käyttäjälle yksilöllinen käyttäjätunnus
9. Rajoita fyysinen pääsy kortinhaltijoiden tietoihin

Valvo ja testaa verkkoympäristöä säännöllisesti
10. Seuraa ja valvo kaikkea verkkoresurssien ja kortinhaltijoiden tietojen käyttöä
11. Testaa tietoturvajärjestelmät ja -prosessit säännöllisesti

Huolehdi tietoturvakäytännöstä
12. Luo työntekijöitä ja alihankkijoita koskeva tietoturvakäytäntö

Näiden 12 pääkohdan yksityiskohtaiset selitykset voit lukea täältä.

Yksi 12-kohtaisen PCI-tietoturvastandardin keskeisimmistä seikoista on kohta, jossa kielletään täydellisten luottokorttitietojen ja CVV-tietojen tallentaminen onnistuneen varmennuksen jälkeen. Tämä on erittäin tärkeää, koska näihin arkaluontoisiin tietoihin pääsy mahdollistaa luottokorttien väärentämisen.

Jos auditoinnissa selviää, että sinulla kauppiaana on tallennettuja luottokorttitietoja kassajärjestelmässä, PMS-järjestelmässä (vastaanottojärjestelmässä) tai yrityksesi toimistossa, VISA voi määrätä rangaistusmaksun pankillesi ja pankki siirtää sen sinulle, koska järjestelmäsi ei ole vaatimusten mukainen. VISA on tietoinen siitä, että eräät kassajärjestelmät ja PMS-tuotteet tallentavat luottokorttitietoja.

Vääjäämättä tämä vaikuttaa kaikkiin IT-palvelujen tarjoajiin koko alalla, sekä myös sinun maksutapahtumapalvelujen tarjoajaan. Pyydä myös maksutapahtumapalvelujesi tarjoajalta vahvistus PCI-vaatimustenmukaisuudesta.

Kauppiaiden ja palveluntarjoajien on noudatettava PCI-tietoturvastandardeja käsitellessään luottokortti- ja maksutapahtumatietoja. Tämä tarkoittaa auditointiprosessia, jonka suorittaa VISAn tai MasterCardin valtuuttama toimija.

Me MICROS-Fideliolla suhtaudumme tähän hankkeeseen erittäin vakavasti. Luottokorttitietojen tallennus oli laajalti käytössä. Kun uudet ohjeet kielsivät tallentamisen, toteutimme muutokset kaikissa ohjelmistoissamme. Siten sovelluksemme täyttävät uudet määräykset.

Tämän jälkeen olemme toteuttaneet useita lisämuutoksia, jotta tuotteemme täyttäisivät PCI-vaatimukset mahdollisimman tarkasti. Tarjoamme asiakkaillemme PCI-vaatimukset täyttäviä versioita MICROS-Fidelio-tuotteista päivityksinä. MICROS-Fidelion tukipalvelut voivat hoitaa pienemmät päivitykset ja korjaustiedostojen asennukset. Tarkista tukipalveluistasi, onko korjaustiedoston käyttö mahdollista tuotteesi osalta.

Vuodesta 2006 lähtien MICROS-Fidelio on ollut sertifioitu maksusovellusten ohjelmistovalmistaja, jonka tuotteet täyttävät tietoturvastandardit. Luettelo kaikista sertifioiduista ohjelmistotoimittajista ja heidän sovelluksistaan on saatavana VISAn Yhdysvaltojen viralliselta sivustolta tai täältä.

Tuoteversiosi PCI-vaatimustenmukaisuuden lisäksi sinun on syytä varmistaa myös se, että kaikki vaatimustenmukaisuuden edellyttämät asetukset on tehty oikein. Luettelo PCI-sertifioiduista järjestelmistä on saatavana täältä.

Tukiosastomme auttavat sinua mielellään kokoonpanovaihtoehtojen valinnassa. Olemme käytettävissäsi normaaleina tukipalvelun palveluaikoina tukisopimuksen normaaliehtojen mukaisesti. Jos tarvitset ohjelmistopäivityksen, olemme apunasi suunnittelussa ja aikataulutuksessa.

Saat oman MICROS-Fidelio EAME -tukikeskuksen yhteystiedot napsauttamalla tästä.

MICROS-Fidelio tai palveluntarjoajasi eivät ole vastuussa vahingoista, jotka aiheutuvat sellaisten tuotteiden käyttämisestä, jotka eivät täytä standardin vaatimuksia.

Olemme pahoillamme siitä, että markkinoilta kohdistuu näin suuri paine pankkeja ja luottokortteja hyväksyviä kauppiaita kohtaan. Olemme kuitenkin sitä mieltä, että meidän velvollisuutenamme on pitää sinut ajan tasalla tilanteesta.

Autamme mielellämme kaikin mahdollisin tavoin.

PCI-DSS-standardi (Payment Card Industry Data Security Standard) vaikuttaa kaikkiin kauppiaisiin ja liiketoimintaan, jossa hyväksytään luottokorttimaksuja ja tallennetaan luottokorttitietoja.

PCI-vaatimusten täyttämiseksi tarvitaan vaatimukset täyttävä ohjelmistoversio. Vaatimustenmukaisuusluettelossa (Compatibility List) on listattu tällä hetkellä tarjolla olevat vaatimustenmukaiset versiot.

Jos käsittelet tai tallennat luottokorttitietoja, vanhemmat ohjelmistoversiot voidaan päivittää täyttämään standardin vaatimukset.

Mahdollisen päivityksen laajuus vaihtelee sinulla nyt olevan ohjelmistoversion mukaan. Tukipalvelu- ja myyntiosastomme auttavat asiassa mielellään.

Kiinnitä huomiota myös verkon turvallisuuteen ja varmista, että verkossasi ei ole suojaamattomia/salaamattomia varmuuskopioita tai koulutusjärjestelmiä.

Toivomme, että et tee mitään muutoksia itse, paitsi jos saat niihin ohjeet tukipalveluilta. Autamme sinua selvittämään, tarvitseeko asetuksiin tai konfiguraatioon tehdä mitään muutoksia.

Versionumero näkyy yleensä näytöllä ohjelmistoa käynnistettäessä tai käytettäessä. Jos et löydä versionumeroa, pyydä apua tukipalveluilta.

Jos sinulla on voimassa oleva tukisopimus, päivitykset ovat veloituksettomia.

Toimintamalli vaihtelee tuotteen mukaan, mutta monessa tapauksessa tukiosasto voi hoitaa päivityksen etäpalveluna.

Jos käyttämäsi versio on erittäin vanha, päivitys voidaan joutua tekemään paikan päällä, mikä on maksullista. Lisäksi kustannuksia voi tulla esim. uudesta laitteistosta sen mukaan, kuinka laaja päivitys tarvitaan.

Jotta voit täyttää tietoturvavaatimukset, et saa tallentaa tai syöttää mitään luottokorttitietoja, ja sinun on päivitettävä järjestelmäsi versioon, joka täyttää PCI-vaatimukset.

Sovi päivitysasioista IT-hallintokeskuksenne kanssa.

Yksittäisten todistusten toimituskäytäntöä ei ole. Kaikki ohjelmistotoimittajat, joiden tuotteita on sertifioitu, on ilmoitettu VISAn virallisen sivuston sisältämässä luettelossa (List of certified software providers). Luettelossa on mainittu myös ohjelmistoversiot, joita sertifiointi koskee. Jos yritys puuttuu tästä luettelosta, sitä ei ole virallisesti sertifioitu, eikä se täytä tiukkoja PCI-vaatimuksia. VISA päivittää luetteloa säännöllisesti.

Tilanne vaihtelee ohjelmistoversion mukaan. Tukitiimimme voi antaa yksityiskohtaiset tiedot käyttämäsi version osalta. Lisäksi järjestelmäsi tietokantaan / käyttöliittymään on pyynnöstäsi voitu lisätä henkilö- tai liiketoimintakohtaisia kenttiä, joita voidaan täyttää käsin.

Jos et syötä tai tallenna mitään luottokorttitietoja mihinkään järjestelmääsi tai verkkoosi, yrityksesi täyttää PCI-vaatimukset. Tässä tapauksessa ei tarvita ohjelmistopäivityksiä tai muutoksia asetuksiin.
Olemme hankkineet luottokorttipäätteen MICROS-Fidelion kautta – onko se PCI-vaatimustenmukainen?
MICROS-Fidelio ei myy luottokorttipäätteitä. Kysy lisätietoja maksutapahtumapalvelujen tarjoajaltasi (esim. Concardis tai Elavon).

MICROS-Fidelio ei myy luottokorttipäätteitä. Kysy lisätietoja maksutapahtumapalvelujen tarjoajaltasi (esim. Concardis tai Elavon).

Yrityksenne täyttää vaatimukset niin kauan kuin ette syötä luottokorttitietoja käsin vastaanottojärjestelmään. Katso myös lisätietoja virallisesta PCI DSS -dokumentaatiosta.