SAS - turvallinen maksu


Haasteet

Scandinavian Airlinesilla (SAS) oli tarve varmistaa toimintojensa vaatimustenmukaisuus PCI DSS -standardiin nähden luottokorttimaksujen käsittelyn jatkamiseksi. Maksukorttitietojen käsittely-ympäristöä (Cardholder Data Environment, CDE) analysoitaessa havaittiin, että korttitietoja tarvitaan myös muihin tarkoituksiin kuin pelkästään luottokorttiostosten käsittelyyn. Koska käytössä oli useita vanhentunutta tekniikkaa käyttäviä järjestelmiä, kaikkien teknisten puutteiden korjaaminen PCI DSS -vaatimustenmukaisuuden saavuttamiseksi oli lähes mahdotonta perinteisillä tavoilla.

Ratkaisu

Cybercom auttoi SASia kehittämään ja ottamaan käyttöön strategian, jonka tavoitteena oli korttimaksutietojen käsittelymäärän merkittävä vähentäminen. Tavoitteeseen päästiin poistamalla osia korttinumeroista, käyttämällä korttinumeron sijasta erillisiä tunnisteita (tokenisointi) sekä siirtämällä maksukorttitietoja kolmansien osapuolten sertifioituihin järjestelmiin. Palvelimet ja päätteet tarkastettiin käyttämällä DLP-tekniikoita (Data Loss Prevention). Lisähyötynä asiakkaalle esiteltiin myös yleisiä tietoturvan parannuskeinoja.

Vaikutukset

Magnus Clarving, SASin tietoturvajohtaja: "Pystyimme heti keskittymään tärkeimpiin asioihin, sillä Cybercom ehdotti projektiin riskilähtöistä lähestymistapaa. Myös maksutapahtumia vastaanottavat pankit (acquirer) arvostivat tätä menettelyä."