Kaupat siirtävät luottokorttitietoja salaamattomina
6
Tietoturvayhtiö SSH iloitsee, että salattujen tiedostosiirtojen kysyntä on kasvussa. Tätä ajavat uudet määräykset esimerkiksi kauppojen maksuliikentessä. Läheskään kaikki kaupat Suomessakaan eivät kuitenkaan noudata määräyksiä, vaan luottokorttitietoja siirretään yhä salaamattomana.
SSH:n markkinointijohtaja Bo Sorensen kertoo Tietokoneelle, että yhtiö on saanut useita asiakkaita kaupoista Tectia-tuotteilleen viime vuosina.
Kauppojen ja muiden luottokorttitietoja käsittelevien yritysten pitäisi noudattaa pci dss (payment card industry data security standard) -standardia tietojen käsittelyssä, mutta näin ei vieläkään aina toimita. Periaatteet koskevat muun muassa American Express-, Mastercard- ja Visa-korttien käsittelyä.
"Yritykset ovat huomanneet, että on hävinnyt liian paljon rahaa salausten puuttumisen takia, kaupan sisäverkoissa ja ulkopuolella. Suomessakin on monta toimijaa, jotka eivät vielä käytä salausta", hän sanoo.
SSH on saanut salattuja tiedonsiirtoyhteyksiä tarjoavalle Tectia-ohjelmistoilleen useiden tuhansien pisteiden asiakkaita. Salattujen tiedostonsiirtojen järjestelmiä on asennettu kaikkiin toimipisteiden päätteisiin.
Luottoyhtiö tuntee tilanteen
Turvallisuuspäällikkö Jani Kallio Luottokunnasta myöntää, että kaupoilla on yhä parantamisen varaa tietoturvassa.
"Edelleen tilanne on se, että pci dss -standardin asiat eivät ole kaikilla kaupoilla toteutuneet", Kallio kertoo.
Niillä kauppiailla, joilla on yli 20 000 korttitapahtumaa vuosittain, on velvollisuus toimittaa selvitys järjestelmistään, ja kaupoissa tehdään on-site-auditointi paikan päällä. Pikkukaupoilla riskit ovat luottoyhtiöiden kannalta alhaisemmat, eikä tietoturvan osoittamisvelvollisuutta ole.
Vaatimukset tietojen suojaamiseksi koskevat kaikkia, vaikkei osoittamisvelvollisuutta olekaan. Kallio muistuttaa, että Suomessa on yli 80 tuhatta myyntipistettä, jotka voivat ottaa vastaan luottokorttimaksuja.
Kallio ei osaa sanoa, kuinka monet kaupat eivät vielä noudata sääntöjä. "Luottokunta on keskittynyt niihin toimijoihin, joilla on eniten transaktioita. Muille kauppiaille on tiedotettu velvollisuuksista. Kaikkien kauppojen tarkka valvonta ei ole mahdollista."
Varomattomille kauppiaille lisää painetta
Kauppiaiden lisäksi kansainvälisten korttijärjestöjen vaatimuksista on tiedotettu it-järjestelmien toimittajille, jotta nämä voisivat tuottaa vaatimusten mukaisia kassa- ja maksupäätejärjestelmiä.
Kallio korostaa, että kortinhaltijan asema on suojattu, vaikka kauppias laiminlöisi tietoturvan. Vastuu voi olla luottoyhtiön tai kaupan sen mukaan, missä virhe on tapahtunut. "Jos kaupat eivät huolehdi suojauksista, ne ottavat itse riskiä", hän huomauttaa.
USA:ssa luottoyhtiöt ovat uhanneet jo yrityksiä tuntuvilla sakoilla, jos ne eivät noudata turvallisuusohjeita. Myös tällaisten kauppiaiden transaktiomaksuja voidaan nostaa korkeamman riskiluokituksen takia.
Suojausten laiminlyönti voi johtaa korttitietojen päätymiseen varkaille ja luvattomiin korttiveloituksiin.
"Tällaisia tapauksia ei ole Suomessa ollut, maailmalla kylläkin", kertoo Kallio.
Maaliskuussa 2006 Luottokunta tosin tiedotti luottokorttitietoihin kohdistuneesta tietomurrosta suomalaisella verkkokauppiaalla. Luottokunta ilmoitti silloin, että murto oli mahdollinen juuri tietoturvallisuuden laiminlyönnin seurauksena.
Pci-standardista on tietoa esimerkiksi Luottokunnan sivuilla. Luottoyhtiöillä on omat ohjelmansa vaatimusten toteuttamiseen, kuten Visan Account Information Security (AIS) ja Mastercardin Site Data Protection (SDP)
