PCI DSS -standardi on maksukorttialan yhteinen tietoturvastandardi. Standardin noudattamispakko on yksi verkkokauppa-alan yleisimmistä väärinkäsityksistä.
Vastaus otsikossa esitettyyn kysymykseen on ilmiselvä: PCI DSS -standardia on pakko noudattaa vain, jos verkkokauppa vastaanottaa maksukorttitapahtumia itse. Lähes kaikki verkkokaupat käyttävät korttimaksujen vastaanottamisessa PCI DSS -auditoituja korttimaksujen välittäjiä, joten niiden ei tarvitse itse noudattaa standardin vaatimuksia.
Suosituin korttimaksujen välittäjä Suomessa lienee Nets, jonka eMaksupalvelu (ent. Luottokunnan digitaalinen maksupalvelu) on välittänyt korttimaksuja verkkokaupoille jo yli 10 vuoden ajan. Nets on PCI DSS -auditoitu maksujenvälittäjiä. Kun asiakas vilauttaa korttia, hän vilauttaa sitä Netsin verkkopalvelussa. Verkkokauppa ei vastaanota maksukorttitapahtumia itse. Juuri siksi korttimaksaminen onkin niin turvallista.
PCI DSS -standardin itsensä mukaan sitä ei tarvitse noudattaa, jos korttitietoja ei tallenneta, käsitellä tai siirretä. Tämä on hyvin loogista. Jos ei ole mitään suojattavaa, standardin vaatimuksia ei tarvitse noudattaa. Tämä koskee myös verkkokauppaohjelmistojen valmistajia, verkkokauppapalvelujen toimittajia ja vastaavia palveluntarjoajia.
If cardholder name, service code, and/or expiration date are stored, processed or transmitted with the PAN, or are otherwise present in the cardholder data environment, they must be protected in accordance with applicable PCI DSS requirements.
PCI DSS Version 3.0
Maksuportaaleissa eroja
Verkko- ja korttimaksuja välittävien maksunvälittäjien on pakko noudattaa standardin vaatimuksia vain, jos ne tallentavat, käsittelevät tai siirtävät korttitietoja itse. Muussa tapauksessa standardin vaatimukset eivät koske myöskään niitä.
Tietoturvavinkit
Vaikka standardia ei yleensä tarvitse noudattaa, siitä löytyy erinomaisia vinkkejä verkkokaupan tietoturvan parantamiseksi. Standardi löytyy Googlesta hakusanoilla pci dss version 3.