Turvallisia korttimaksuja - turvallisia henkilötietoja


2014-09-22, 11:14 Kirjoittanut Jani Ekqvist

Apple julkaisi syyskuun alkupuolella uusimmat "tuotteensa". Apple Pay kiinnitti huomioni, sillä Apple lupailee, että maksut hoituvat "card present" -transaktion hinnalla, vaikka kortti ei paikalla olekaan. Miten Apple on tässä onnistunut? Applen on sanottu käyneen tiukkoja neuvotteluja pankkien kanssa, mutta vaikuttaa siltä, että Applella on kolme valttia, joiden avulla maksutapahtuman riski on saatu pudotettua samalle tasolle korttimaksun kanssa. Apple näitä ei tietenkään virallisesti vahvista. Ensimmäinen ja ratkaiseva tekijä on, että Apple on todennäköisesti itse luvannut vastata maksutapahtumariskistä niiltä osin kuin se ylittää tavallisen tason. Mikä sitten saa Applen luottamaan ratkaisuunsa näin paljon?

Applella on käytössään kaksi teknistä ratkaisua, jotka parantavat turvallisuutta merkittävästi. iPhonen prosessoriin integroitu Secure Enclave ja ThouchID, sormenjälkiskanneri, suojaavat puhelinta väärinkäytöksiltä tehokkaasti. Sormenjälkiskanneria pystyy huijaamaan tekemällä kopion käyttäjän sormenjäljestä, mutta prosessi on aikaa vievä ja joka tapauksessa sormenjälki on huomattavasti varmempi tunniste kuin allekirjoitus.

Toisekseen Apple hyödyntää luottokorttinumeroiden suojaamisessa tokenisaatiota samaan tapaan kuin Google Wallet. Transaktioissa ei käytetä maksajan oikeaa numeroa, vaan se korvataan tokenilla, satunnaisluvulla joka näyttää luottokorttinumerolta, mutta joka liittyy oikeaan numeroon vasta Visan järjestelmissä. Näin kauppiaiden järjestelmiin ei koskaan päädy numeroita, joita murtautujat voisivat hyödyntää. Toisin sanoen älypuhelinmaksut ovat Visan ja Mastercardin näkökulmasta huomattavasti turvallisempia kuin tavanomainen tapa käyttää luottokorttia nettimaksuissa. Vaikka niissä käyttäjä saataisiinkin suomalaiseen tapaan tunnistettua pankkitunnuksilla, riskinä on edelleen korttinumeron vuotaminen kauppiaan järjestelmistä.

Korttimaksamisen turvallisuutta valvotaan tiukasti PCI DSS -standardilla. Samalla tavoin EU:n tuleva tietosuoja-asetus tarjoaa keinot valvoa henkilötietojen yksityisyyttä ja turvallisuutta. Mitä voimme oppia PCI-vaatimuksista ja niiden täyttämisestä, kun valmistaudumme uuden asetuksen vaatimuksiin?

Järjestämme yhteistyössä Liaison Technologiesin kanssa seminaarin henkilö- ja maksukorttitietojen suojaamisesta, jossa pohditaan henkilötietojen suojaamista PCI DSS -auditointikehyksen kautta.
http://www.cybercom.com/fi/Suomi/Yritys/Tapahtumat/239-Webinaari-Henkilo--ja-maksukorttitietojen-suojaaminen/

 


comments powered by Disqus