PCI DSS 1.2 julkaistu

Maksukorttialan tietoturvastandardi PCI sai käyttöönsä uuden version kun PCI Security Standards Council (PCI SSC) julkaisi PCI DSS version 1.2 1.10.2008.

Uudessa versiossa on paljon pieniä sanamuodon täsmennyksiä, kaikki muutokset on listattuna erillisessä dokumentissa.

Ehkä huomattavimmat muutokset uudessa versiossa ovat:

  • 1.1.6 Palomuurisääntöjen katselmoinnit vaaditaan nykyisin puolivuosittain aikaisemman neljännesvuosittaisen katselmoinnin sijaan.
  • 3.4.1 Sana “Active Directory” on korvattu tekstillä “local user account databases”. Tällä on täsmennetty sitä, että EFS salauksen (Encrypting File System) käyttäminen on mahdollista kunhan se tehdään oikein.
  • 4.4.1 WEP-salauksen käyttäminen kielletään uusissa WLAN-asennuksissa ja nykyisistäkin WLAN-asennuksista se tulee poistaa vuoden 2010 heinäkuuhun mennessä.
  • 6.1. Paljon turhaakin hämmennystä herättänyt vaatimus asentaa ohjelmistojen kriittiset tietoturvapäivitykset 30 päivän kuluessa on muuttunut. Sinäänsä vaatimuksen henki on edelleen sama. Ohjelmistoihin tulleista päivityksistä tulee olla tietoinen, ne pitää arvioida niihin liittyvien riskien kautta ja siten valita asennuksien prioritetti ja aikataulu.
  • 6.6 täsmentää julkisessa internetissä olevien palveluiden tietoturvallisuuden varmistamista sovellustason tietoturvatestauksella tai palomuurilla (Web application level firewall)
  • 11.3. Penetraatiotestaukset pitää tehdä sekä ulkoverkosta, että sisäverkosta käsin. Tämäkin on ollut vaatimuksen henki jo edellisessä versiossa, nyt sanamuoto on täsmennetty.
  • 12.6.2 Yrityksen työntekijöiden pitää nyt vuosittain allekirjoittaa lukeneensa ja hyväksyneensä yrityksen tietuturvallisuudesta antamat ohjeet.

Kun kyseessä on PCI DSS, monessa vaatimuksessa joudutaan käyttämään edelleen harkintaa ja tulkintaa. Tämä tulkinta on syytä tehtä aina osaavan PCI auditorin avustuksella, ja loppukädessä yrityksen liiketoimintajohto asettaa hyväksyttävän riskitason.

Bingo – luottokorttinumero!

Speedbump

Kyllä, roskiksta penkomalla voi edelleen löytää mitä ihmeellisimpiä asioita.

Tavallisten kuluttajien roskiksista luottokorttinumeroita ei juurikaan pitäisi enään löytyä, sillä kuluttajien kassakuiteissa ei luottokorttinumeroita pitäisi kokonaisuudessaan enään olla. Valitettavasti vielä joidenkin kauppojen toimittamissa kuiteissa tai muissa papereissa luottokorttinumero edelleen on ilman ns. maskausta (492011xxxxxx1111) tai katkaisua (xxxxxxxxxxxx111). Käytännössä pelkän luottokorttinumeron avulla voi vähälläkin tietotaidolla varustettu rikollinen ostaa verkosta tuotteita tai palveluita kortinhaltijan laskuun.

Kauppojen ja maksutapahtumia välittävien tahojen taas pitää suojata kaikkia tallennettuja luottokorttinumeroita ja tuhota tiedot kansainvälisen PCI-tietoturvastandardin mukaisesti.

Miten sinä tuhoat esimerkiksi Luottokunnan Visa-laskusi? Siihen on printattuna luottokorttinumerosi.