Turvallisen korttimaksun teoria ja käytäntö
Pertti Hämäläinen • Piirros: Petri Rotsten
Turvallisen korttimaksun teoria ja käytäntö
Luottokorttimaksaminen on asiakkaalle turvallista, koska riskin kantavat korttiyhtiöt, pankit ja kauppiaat. Maksujärjestelmissä on kuitenkin vielä paljon paikattavaa.
Lehtien palstoilta saa tuon tuostakin lukea järisyttäviä uutisia siitä, kuinka miljoonien ja taas miljoonien luottokorttien tietoja on joutunut rikollisten käsiin. Usein kyse on kalastelusta väärennetyillä web-sivustoilla tai sähköposteilla, mutta tietoja varastetaan myös suuremmissa erissä suoraan kauppiaiden ja maksuvälittäjien järjestelmistä.
Jos korttilaskun veloitukset eivät täsmää omaan ostoskirjanpitoon, valitus korttiyhtiölle riittää yleensä korjaamaan tilanteen. Korttikaupan toimijat kärsivät suhdetoimintasyistä menetykset mieluummin omissa nahoissaan kuin ärsyttävät asiakkaitaan.
Viime kädessä huijauksista koituvat menetykset maksaa jokainen kuluttaja, käytti korttia tai ei. Korttiyhtiöt kun vyöryttävät tappionsa kauppiailta perimiinsä maksuihin, ja nämä puolestaan lisäävät omat kustannuksensa hintoihin.
Standardoitua turvaa
Luotto- ja maksukortteja koskevat tietoturvasuositukset on dokumentoitu PCI-standardeissa (payment card industry). Niitä julkaisee suurimpien kansainvälisten luottokorttiyhtiöiden kuten American Expressin, Mastercardin ja Visan perustama PCI Security Standards Council (www.pcisecuritystandards.org).
Esimerkiksi kortinlukulaitteita, joille käyttäjät syöttävät pin-koodinsa, koskee PCI PED (pin entry device) -standardi. Korttimaksusovelluksia puolestaan säätelee PCI PA-DSS -standardi.
Tärkein standardeista on yleinen PCI DSS (data security standard), johon viitataan usein vain PCI-standardina. Se määrittelee vähimmäisvaatimukset korttidataan liittyville käytännöille, ohjelmistoille ja järjestelmille. Kauppiaille sekä maksutapahtumatietoa välittäville ja käsitteleville palveluntarjoajille on omat vaatimuksensa.
PCI-standardista pyritään julkaisemaan uusi versio kahden vuoden välein. Nykyinen versio 1.2 tuli voimaan 1.10.2008, ja sitä edeltävä 1.1-versio kumoutui 31.12.2008. Uudessa versiossa on selvennetty tulkinnanvaraisiksi osoittautuneita kohtia ja kiristetty vaatimuksia tietoturva-alan parhaiden käytäntöjen yleisen kehityksen mukaisesti.
Selviä vaatimuksia…
PCI-standardin vaatimuslista on tietoturva-ammattilaiselle maanläheistä ja järkeenkäyvää luettavaa. Pääkohtia on kaksitoista. Tekniset kohdat velvoittavat palomuurin ja virustorjunnan käyttöön ja ylläpitoon, tallennettujen kortinhaltijatietojen suojaamiseen, salauksen käyttöön tiedonsiirrossa julkisten verkkojen yli, oletussalasanojen ja -tietoturva-asetusten vaihtamiseen, sekä ylipäätään turvallisten järjestelmien ja sovellusten kehittämiseen ja ylläpitoon.
Vähintään yhtä tärkeitä ovat yleiset ohjeet fyysisestä tietoturvasta, yksilöllisistä käyttäjätunnuksista, käyttöoikeuksien rajoittamisesta työtehtävien mukaan, tietojen ja verkkoresurssien käytön seurannasta, tietoturvaprosessien säännöllisistä testauksista ja tietoturvakäytännöistä.
Konkreettisesti säädetään muun muassa siitä, että kortin numeron saa tallentaa mutta vain suojattuna. Suojaus toteutetaan salaamalla tai tallentamalla numerosta vain alkuosa. Kortinhaltijan nimen ja kortin voimassaoloajan voi tallentaa suojaamattomanakin, jos niitä ei tallenneta yhdessä kortin numeron kanssa.
Kokonaan kiellettyä on arkaluontoisten tunnistustietojen kuten magneettijuovan tietojen, pin-koodien tai kortille painettujen tarkastuslukujen tallentaminen. Niitä saa käyttää vain tapahtuman käsittelyn aikana.
…mutta työläitä täyttää
Kauppiaiden on yleensä raportoitava toiminnastaan luottokortin myöntäneelle yhteisölle tai tämän edustajalle. Suomessa esimerkiksi Visan ja Mastercardin asioita hoitaa Luottokunta. Raportointitapa riippuu kauppiaan käsittelemien korttitapahtumien määrästä ja siitä, onko kyseessä nettikauppa vai käsitteleekö yritys fyysisiä kortteja toimipisteissään.
Suurimmat, yli kuusi miljoonaa maksutapahtumaa vuodessa käsittelevät kauppiaat joutuvat tarkastuttamaan järjestelmänsä ja käytäntönsä vuosittain paikan päällä vierailevalla valtuutetulla ulkopuolisella arvioijalla eli QSA:lla (qualified security assessor). Lisäksi järjestelmä on neljännesvuosittain alistettava ulkopuolelta tulevaan ASV:n (approved scan vendor) tekemään verkkoskannaukseen.
Suomen ilmoittaa toiminta-alueekseen seitsemän PCI Security Standards Councilin auktorisoimaa QSA:ta: israelilainen Comsec Consulting, IBM:n omistama ISS (Internet Security Systems), suomalainen Nixu, norjalais-ruotsalainen Secode sekä irlantilaiset O-C Group ja Sysnet. Verkkoskannauksia tekee suuri joukko maailmanlaajuisesti toimivia yrityksiä.
Pienemmille korttimaksujen vastaanottajille riittää itsearviointilomakkeen täyttäminen vuosittain sekä verkkoskannauksen tilaaminen neljästi vuodessa. Lomakkeita on neljä eri tasoa. Raskain on 226 kysymystä käsittävä D-taso. Sen täyttävät yritykset, jotka tallentavat korttitietoja sähköisessä muodossa omiin järjestelmiinsä. Helpoin 11 kysymyksen A-taso koskee kauppiasta, joka on ulkoistanut korttitietojen sähköisen käsittelyn PCI-vaatimukset täyttävälle taholle ja tallentaa itse tietoja vain paperilla.
Kaiken kukkuraksi alle miljoona korttitapahtumaa käsittelevät kauppiaat tai alle 20000 tapahtumaa käsittelevät verkkokaupat on vapautettu raportointivelvollisuudesta kokonaan. Niillekin raportointia tosin suositellaan.
Monessa yrityksessä PCI-projektit ovat vielä kesken, ja pienimmät kauppiaat tuskin ovat jaksaneet edes pahemmin perehtyä asiaan. PCI-standardin laiminlyönti heikentää kuitenkin mahdollisuuksia siirtää väärinkäytösten kustannukset kortin myöntäjälle.
Päivitys vasta pakon edessä
Vuoden 2006 joulukuussa yhdysvaltalaisessa TJX-kauppaketjussa paljastui vakava tietovuoto, jonka seurauksena 46 miljoonan luottokortin tiedot joutuivat tietovarkaiden käsiin. Tietojen hyväksikäyttöjä havaittiin ympäri maailmaa, ja oikeudenkäynnit korvausvastuista jatkuvat yhä.
Rikos oli huolellisesti suunniteltu. Varkaat olivat salakuunnelleet ketjuun kuuluvan liikkeen langatonta lähiverkkoa pitkään ja saaneet lopulta käsiinsä riittävästi tietoja murtautuakseen korttitiedot sisältävään tietokantaan.
Hyödynnetty turva-aukko oli pöyristyttävä: liike oli käyttänyt langattomassa verkossaan wep-salausta. Wep on tiedetty haavoittuvaksi jo vuosikausia, ja uutisissa revitellään jo sen korvanneen wpa-salauksen haavoittuvuuksista ja murtoyrityksistä. Turvallisin wpa2 aes -salauskin on ollut wlan-laitteissa pakollinen vuodesta 2006. Kuinka kukaan siis voi enää edes ajatella käyttävänsä wepiä?
Voipa hyvinkin. Käytännössä yritykset harvoin ryntäävät vaihtamaan kalustoaan uusimpaan tekniikkaan heti, kun vanhasta löytyy jokin vika. Pelkkä uhka ei riitä, tarvitaan pakko.
Pakko puolestaan syntyy hyvin hitaasti. Vasta PCI-standardin versio 1.2 hylkäsi wepin, ja siinäkin myönnettiin vielä ruhtinaallinen siirtymäaika turvallisempiin toteutuksiin. Kädenojennuksena meneillään oleville projekteille PCI 1.2 sallii uusien langattomien lähiverkkojen ottamisen käyttöön wepin varassa vielä tämän vuoden maaliskuun loppuun asti. Vanhoissa järjestelmissä wepin käytöstä on luovuttava vasta vuoden 2010 heinäkuun alkuun mennessä.
Sirukortti on vielä harvojen herkku
Eivätkö sirukortit sitten voisi poistaa tietoturvaongelman kertaheitolla? Kaupan tietojärjestelmiinhän ei jää sirukorttitapahtumasta mitään sellaista jälkeä, jonka perusteella pystyisi generoimaan uusia maksutapahtumia.
Sirukortin lukijat eivät monissa maissa ole yhtä yleisiä kuin Suomessa. Sirukorteissa on varajärjestelmänä jäljellä magneettijuova, monissa jopa kohokirjaimet vanhanaikaisia korttihöyliä varten. Lisäksi netistä ostettaessa kortin varmentamiseen käytetään edelleen kortille painettuja tarkastuslukuja.
Vasta sirukortin lukija tietokoneen vakiovarusteena toisi korttimaksamisen uudelle turvallisuuden tasolle.
