Keskolle toteutettiin mittava tietoturvasertifiointi Nixu Oy:n toimesta
LEHDISTÖTIEDOTE 20.3.2013
Keskolle toteutettiin mittava tietoturvasertifiointi Nixu Oy:n toimesta
Vuodenvaihteessa päättyneessä laajassa tietoturvahankkeessa K-ryhmän kauppojen ja verkkokauppojen tietoturvaa tiukennettiin PCI DSS -vaatimusten edellyttämin järjestelmämuutoksin ja tietoturvasertifioinnein.
Hanketta valmisteli, tuki ja ratkaisun tarkasti Pohjoismaiden suurin tietoturvakonsultointiin erikoistunut asiantuntijayritys Nixu Oy, joka myös oli sertifikaatin virallinen myöntäjä PCI Security Standards Councilin valtuuttamana.
Kesko on turvallisen korttimaksamisen edelläkävijä Suomessa
Sertifikaatin edellyttämät ketjukohtaiset tarkastukset aloitettiin K-ryhmän kaupoissa syksyllä 2011 ja ne päättyivät joulukuussa 2012.
Keskon tietoturvapäällikkö Jari Törmälä kertoo, että hankkeen suurimmat yksittäiset urakat olivat tarpeettomien tietojen tuhoaminen sekä henkilöstön koulutus.
“Vanhat maksukorttitiedot poistettiin kaikista kaupoista. Nykyisissä verkkoon kytketyissä järjestelmissä ei ole enää korttitietoja, sillä ne siirtyvät sertifioiduista maksupäätteistä salattuna suoraan maksujen välittäjälle, minkä jälkeen ne pyyhkiytyvät päätteistä. Eikä päätteiden tietoihin pääse käsiksi Keskon tai ulkopuolisista tietojärjestelmistä. Jatkossa myös arkistoitavat tiedot tuhotaan välittömästi lain määräämän säilytysajan päätyttyä.”
Henkilöstön kouluttaminen maksukorttitiedon turvalliseen käsittelyyn koski kymmeniä tuhansia ihmisiä. “Jatkossa kukaan ei voi työskennellä kassalla ilman asianmukaista koulutusta. Vaatimuksenmukaisuuden ylläpitoon luotiin myös prosessit, kuten jatkuvat koulutukset, inventoinnit ja turvaohjeiden päivitykset.”
Strategisilla valinnoilla kevyempi toteutus
Nixu tuli hankkeeseen jo vuonna 2008 analysoimaan vallinnutta tilannetta ja laatimaan kehityssuunnitelmaa. Se myös koulutti avainhenkilöt, kommentoi koulutusmateriaalia ja tuki Keskoa maksupäätteiden kilpailutuksessa ja niiden turvavaatimusten määrittelyssä. “Päästä päähän salaavien maksupäätteiden valinta oli kokonaishankkeen kannalta järkevä strateginen valinta, joka helpotti olennaisesti turvallisuustavoitteeseen pääsyä”, Nixun PCI-liiketoiminnasta vastaava vanhempi tietoturvakonsultti Niki Klaus kiittelee.
Hankkeen aikana Nixu tuki konsulttina maksukorttidatan etsintää ja poistoa tietojärjestelmistä, sekä tarkastuksiin valmistautumista. Lopulta Nixu toimi myös virallisena auditoijana, joka suoritti kaikki tarkastukset – pistokokeenomaiset kauppavierailut, dokumentaation katselmoinnin, haastattelut sekä sen varmentamisen, että vanha korttidata on poistettu.
Nixu on myös valittu tekemään standardin vaatimat uusintatarkastukset tämän vuoden aikana. “Tämä oli ensimmäinen näin ison mittakaavan PCI-sertifiointihanke Suomessa. Onnistuimme yhdessä asiakkaan kanssa viemään sen hyvin läpi ja vastaamaan yhdessä matkalla kohdattuihin haasteisiin. Jatkossa vaatimustenmukaisen turvatason ylläpitäminen on jo paljon helpompaa.”
Lisätietoja:
Niki Klaus
Nixu Oy
puh. 050 394 8996
Jari Törmälä
Kesko Oyj
puh. 040 528 5133
Nixu Oy on Pohjoismaiden suurin tietoturvakonsultointiyritys. Yritysasiakkaamme luottavat riippumattomaan osaamiseemme tietoturvan kehitykseen, toteutukseen ja tarkastukseen liittyvissä hankkeissa. Varmistamme asiakkaidemme tietovastuun toteutumisen huolehtimalla toiminnan jatkuvuudesta, sähköisten palvelujen esteettömyydestä sekä asiakastietojen suojaamisesta. www.nixu.fi - @nixutigerteam
Kesko (www.kesko.fi) on vähittäiskaupan osaaja, joka tuo kauppojensa kautta elämisen laatua kuluttajien jokaiseen päivään. Keskon ketjutoimintaan kuuluu noin 2 000 kauppaa Pohjoismaissa, Baltiassa, Venäjällä ja Valko-Venäjällä.