PCI-vaatimusten noudattaminen

Payment Card Industry Security Standards Council -järjestö määrittelee Payment Card Industry Data Security Standards -nimellä kutsutut turvallisuusstandardit (lyhyemmin PCI-DSS tai PCI) luottokorttitietojen suojaamiseksi. Tämä merkitsee, että luottokorttitietoja siirtävien, käsittelevien ja varastoivien toimijoiden odotetaan noudattavan PCI-standardeja.

Voit käyttää verkkohotellia verkkonäkyvyytesi ja tuote-esitteesi määrittämiseen. Sitten voit työskennellä kolmannen osapuolen maksupalveluntarjoajan (esim. PayPal, Square Online ja Stripe) kanssa, joka käsittelee maksut puolestasi, jotta luottokorttitiedot pysyvät poissa palvelimeltasi. Varmista, että tunnet lisävaatimukset liiketoimintasi pitämiseksi PCI-vaatimusten mukaisena.

Jos haluat vastaanottaa maksuja suoraan sivustollasi, tarjoamme PCI-sertifioituja tuotteita, kuten WordPress-hallinnan sähköisen kaupankäynnin verkkohotellin, Verkkomyymälän ja Verkkotapaamiset. PCI-vaatimustenmukaisuus perustuu yhteistyöhön. Jos siis haluat käyttää jotain PCI-sertifioiduista tuotteistamme, suunnittelemme prosessimme ja järjestelmämme suojaamaan asiakkaittesi luottokorttitietoja, ja osana tätä sinun tulee suojata tilisi.

Verkkomyymälä ja Verkkotapaamiset

Verkkomyymälän ja Verkkotapaamisten kautta tehtävät maksut integroidaan suojatuissa ympäristöissään luottokorttitietoja käsittelevien kolmansien osapuolten kanssa. Nämä tuotteet käyttävät pientä määrää koodia verkkosivustollasi, jotta asiakkaasi voivat syöttää luottokorttitietonsa suoraan sivustolla. Tämän avulla voit saavuttaa PCI-vaatimustenmukaisuuden muutamalla toimenpiteellä tilisi suojaamiseksi:

  • Käyttäjien hallinta
    • Määritä käyttäjille aina yksilöllinen tunniste ja käytä vahvoja salasanoja.
    • Älä käytä ryhmäkohtaisia, jaettuja tai geneerisiä tunnisteita tai salasanoja.
    • Poista käyttäjät, kun heillä ei ole enää tarkoitus olla käyttöoikeutta.
  • Paperiset (ei-digitaaliset) tietueet
    • Jos keräät luottokorttitietoja paperilla, varmista, että rajoitat pääsyä tietoihin ja että tuhoat ne, kun niitä ei enää tarvita.
  • Palveluntarjoajan vaatimustenmukaisuus
    • Jos käytät palveluita paperitietueiden tai tilisi hallintaan, varmista, että palveluntarjoaja tiedostaa vastuunsa käsitellä luottokorttitietoja turvallisesti, ja että luotat palveluntarjoajan täyttävän velvoitteensa.
  • Tietoturvaongelmiin vastaamisen suunnitelma
    • Varmista, että sinulla on mahdollisia tietomurtotapauksia varten luettelo kaikista, joihin pitää ottaa yhteyttä, ja suunnitelma asiakkaiden kanssa viestintään.
  • Lähetä PCI-itsearviointikysely A (PCI Self-Assessment Questionnaire A, PCI SAQ-A) maksujenkäsittelijällesi (Stripe, Square tai PayPal).

Huomautus: Jos otat vastaan maksuja puhelimitse, sinuun saattaa kohdistua lisävaatimuksia puhelinjärjestelmiesi ja puhelinkeskuksen työntekijöidesi käyttämien tietokoneiden suojaamiseksi.

WordPress-hallinta ja WooCommerce

WordPress-hallinnan kautta tehdyt maksut voidaan ottaa käyttöön WooCommerce-laajennuksella, joka toimii yhdessä kolmansien osapuolten kanssa luottokorttien käsittelemiseksi toimijoiden suojatuissa ympäristöissä. Tämä käyttää pientä määrää koodia verkkosivustollasi, jotta asiakkaasi voivat syöttää luottokorttitietonsa suoraan sivustolla. Koska sinä ohjaat tilillesi asennettua laajennusta, PCI-vaatimustenmukaisuuteen liittyy muutamia lisävaiheita:

  • Maksujen käyttöönotto
    • Asenna vain WooCommerce-laajennus maksuja varten. Vaikka muita laajennuksia voi olla saatavilla, sertifioimme vain WooCommerce-laajennuksen.
    • Älä lisää mitään toimintoja tai koodia, jotka käsittelevät luottokorttitietoja. Emme voi sertifioida mitään palvelimelle lisättyä mukautettua maksuprosessia.
    • Pidä laajennuksesi päivitettyinä (prosessi päivittyy 30 päivän sisällä).
  • Käyttäjien hallinta
    • Määritä käyttäjille aina yksilöllinen tunniste ja käytä vahvoja salasanoja.
    • Älä käytä ryhmäkohtaisia, jaettuja tai geneerisiä tunnisteita tai salasanoja.
    • Poista käyttäjät, kun heillä ei ole enää tarkoitus olla käyttöoikeutta.
  • Paperiset (ei-digitaaliset) tietueet
    • Jos keräät luottokorttitietoja paperilla, varmista, että rajoitat pääsyä tietoihin ja että tuhoat ne, kun niitä ei enää tarvita.
  • Palveluntarjoajan vaatimustenmukaisuus
    • Jos käytät palveluita paperitietueiden tai tilisi hallintaan, varmista, että palveluntarjoaja tiedostaa vastuunsa käsitellä luottokorttitietoja turvallisesti, ja että luotat palveluntarjoajan täyttävän velvoitteensa.
  • Tietoturvaongelmiin vastaamisen suunnitelma
    • Varmista, että sinulla on mahdollisia tietomurtotapauksia varten luettelo kaikista, joihin pitää ottaa yhteyttä, ja suunnitelma asiakkaiden kanssa viestintään.
  • Lähetä PCI-itsearviointikysely A (PCI Self-Assessment Questionnaire A, PCI SAQ-A) maksujenkäsittelijällesi (WooCommerce Payments, Stripe, PayPal, Square, Klarna tai PayFast).

Huomautus: Jos otat vastaan maksuja puhelimitse, sinuun saattaa kohdistua lisävaatimuksia puhelinjärjestelmiesi ja puhelinkeskuksen työntekijöidesi käyttämien tietokoneiden suojaamiseksi.

Jos sinulla on lisäkysymyksiä, toimi yhteistyössä pankkisi kanssa tai ota yhteyttä valtuutettuun tietoturvan arvioijaan (Qualified Security Assessor, QSA).

Lisätietoja


Oliko tästä artikkelista hyötyä?
Kiitoksia palautteestasi. Jos haluat puhua asiakaspalveluedustajan kanssa, käytä yllä näkyvää puhelinnumeroa tai chat-vaihtoehtoa.
Kiva, että meistä oli apua. Voimmeko tehdä jotain muuta?
Olen pahoillani asiasta. Kerro meille, mikä on epäselvää tai miksi ratkaisu ei toiminut oman ongelmasi kohdalla.