Ads 468x60px

maanantai 24. lokakuuta 2011

Maksukorttialan tietoturvapäivät Lontoossa, osa 1


Vain viikko RSA-Europe – konferenssin jälkeen Lontoon Lancaster – hotelli keräsi jälleen tietoturvaihmisiä ympäri maailman paikalle. Tällä kertaa kyseessä oli PCI SSC:n (Payment Card Industry Security Standards Council) järjestämä yhteisötapaaminen, johon osallistui itse neuvoston jäsenten lisäksi mm. luottokorttiyhtiöiden edustajia, laitevalmistajia sekä standardin parissa toimivia auditoijia ja konsultteja aina Kookossaarilta asti. Tapaamisen tarkoituksena oli käsitellä alaan ja standardiin liittyviä ajankohtaisia asioita, osallistua standardien kehittämiseen ja verkostoitua alan toimijoiden kesken.

Tilaisuuden avasi PCI SSC:n Euroopan johtaja Jeremy King. Puheenvuorossa käsiteltiin PCI yhteisön saavutuksia ja kehitystä kuluneen viiden vuoden aikana, jonka ikäinen neuvosto on. Huomionarvoista oli muun muassa vuosittaisen tapaamisen osallistujamäärän suuri kasvu. Siinä missä vuonna 2009 osallistujia oli ollut kokonaisuudessaan 187, tänä vuonna päästiin jo lukuun 505. Kasvu kuvastaakin hyvin sitä, kuinka PCI standardi saa jatkuvasti enemmän jalansijaa ympäri maailman.

Seuraavat kaksi päivää sisälsi runsaasti keskustelua ja hyviä puheenvuoroja. Aloitamme käytännön kokemuksilla PCI DSS -vaatimuksenmukaisuudesta:

British Airwaysin Phil Morton ja Kingfisherin David Lumley kertoivat kokemuksiaan pitkäkestoisen PCI-vaatimustenmukaisuusohjelman implementoinnista edustamiinsa yrityksiin. Molempien esityksissä tiivistyi tärkeä sanoma: vaatimuksenmukaisuuden saavuttaminen ja ylläpitäminen on haastava, mutta mahdollinen projekti, kunhan se toteutetaan huolellisesti ja oikealla asenteella koko organisaation laajuisesti. David Lumley korostikin erityisesti sitä, että PCI ei ole missään tapauksessa IT-projekti, vaan formaali ja hallittu liiketoiminnan muutosprosessi. ”Business” on siis taho, joka vastaa PCI-vaatimuksenmukaisuudesta. Onnistumisen elementtejä lueteltiin molempien toimesta useita ja monilta osin yhteneväisesti. Muun muassa seuraavat elementit korostuivat:

- Hyvien suhteiden luominen QSA:n, ASV:n, pankkien, PCI-työryhmien, IT-osaston ja muiden vastaavassa tilanteessa olevien organisaatioiden kanssa.
- Johdon sitoutuminen ja täydellinen ymmärrys siitä, mistä on kyse
- Tulevaisuuden suunnittelu ja vastuiden selkeä määrittäminen
- Tietoisuuden lisääminen
- Tekniset valmiudet ja valikoidut asiantuntijat
- ”Don’t think cards, think customers”, eli yritysjohdolle on turha puhua korttinumeroiden turvaamisesta - puhukaa asiakkaidenne turvaamisesta

Jatkamme seuraavassa blogikirjoituksessa muiden mielenkiintoisten puheenvuorojen yhteenvetämistä. Tulossa on muun muassa tietovuotojen käsittely- ja raportointikäytännöistä Iso-Britanniasta ja Saksasta, kryptografiaguru Fred Piperin luento salauskäytännöistä ja PCI councilin ohjeet siitä, kuinka voi lyhentää tietä vaatimustenmukaisuuteen... stay tuned.


-Olli Knuuti & Mika Iivari

Ei kommentteja:

Lähetä kommentti