Yrityksen siirtyminen PCI DSS:n alaiseen järjestelmäylläpitoon
Vroullis, Joanna (2012)
Hämeen ammattikorkeakoulu
2012
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-201205097287
https://urn.fi/URN:NBN:fi:amk-201205097287
Tiivistelmä
Opinnäytetyön toimeksiantaja oli Eatech Oy. Työn tarkoituksena oli tehdä selvitys PCI DSS -standardista ja sen vaatimuksista. Kyseessä oleva standardi tarjoaa tietoturvavaatimukset maksukorttiostamiseen liittyen. Standardista on tällä hetkellä voimassa versio 2.0 ja siirtyminen tulee olemaan pakollista kaikille niille, jotka ovat osallisena kortinhaltijoiden tietojen käsittelyyn. Aihe on ajankohtainen yritykselle, joka toimii kortilla maksamisessa palveluntarjoajan roolissa. Standardi tulee vaikuttamaan jokaisen henkilöstön jäsenen työskentelyyn. Työn tärkein tarkoitus on olla pohjana standardin mukaisuuteen siirtymisessä ja sen siirtymävaiheen tarkemmassa suunnittelussa. Työ tuottaa myös perustietoa standardista kaikille henkilöstön jäsenille.
Työssä käsiteltiin aluksi standardia yleisesti. Seuraavassa luvussa käytiin tarkemmin läpi PCI DSS:n 12 vaatimusta ja näihin liittyviä osa-alueita. Tässä käsiteltiin vaatimukset turvallisesta verkosta, korttimaksuun liittyvien tietojen suojaamisesta, haavoittuvuuksilta suojautumisesta, käyttäjien hallinnasta, verkon valvonnasta sekä yrityksen tietoturvakäytänteistä. Seuraavaksi pohdittiin standardin pohjalta siirtymävaihetta yleisesti sekä toimeksiantajan kannalta. Työssä käytettiin pääasiallisena lähteenä PCI DSS:n omaa dokumentaatiota standardista sekä muutamia muita Internet lähteitä. Toimeksiantajaan liittyvien tietojen keräämiseen käytettiin vapaamuotoisia haastatteluita.
Työn tuloksena syntyi kattava selvitys aiheesta ja ehdotus Eatech Oy:lle jatkotoimenpiteistä standardin suhteen. Standardi ei ollut työtä kirjoittaessa vielä pakollinen, mutta siirtymävaihe on lähteiden mukaan tulossa pian. Kyseessä on laaja standardi, joten työssä suositeltiin siirtymävaiheeseen varattavan vähintään puoli vuotta aikaa. Lisäksi yrityksen tulee huomata, että vaatimusten noudattaminen vaatii myös jatkuvaa työtä.
Työssä käsiteltiin aluksi standardia yleisesti. Seuraavassa luvussa käytiin tarkemmin läpi PCI DSS:n 12 vaatimusta ja näihin liittyviä osa-alueita. Tässä käsiteltiin vaatimukset turvallisesta verkosta, korttimaksuun liittyvien tietojen suojaamisesta, haavoittuvuuksilta suojautumisesta, käyttäjien hallinnasta, verkon valvonnasta sekä yrityksen tietoturvakäytänteistä. Seuraavaksi pohdittiin standardin pohjalta siirtymävaihetta yleisesti sekä toimeksiantajan kannalta. Työssä käytettiin pääasiallisena lähteenä PCI DSS:n omaa dokumentaatiota standardista sekä muutamia muita Internet lähteitä. Toimeksiantajaan liittyvien tietojen keräämiseen käytettiin vapaamuotoisia haastatteluita.
Työn tuloksena syntyi kattava selvitys aiheesta ja ehdotus Eatech Oy:lle jatkotoimenpiteistä standardin suhteen. Standardi ei ollut työtä kirjoittaessa vielä pakollinen, mutta siirtymävaihe on lähteiden mukaan tulossa pian. Kyseessä on laaja standardi, joten työssä suositeltiin siirtymävaiheeseen varattavan vähintään puoli vuotta aikaa. Lisäksi yrityksen tulee huomata, että vaatimusten noudattaminen vaatii myös jatkuvaa työtä.