PCI DSS -standardi ja sen vaatimukset kortinhaltijoiden tietojen suojaamiselle

Payment Card Industry Data Security Standard (PCI DSS) on korttiyhtiöiden kehittämä kansainvälinen tietoturvastandardi, jonka tarkoituksena on parantaa kortinhaltijoiden tietoja käsittelevien järjestelmien tietoturvaa. Standardissa määritellään vaatimukset tietojen turvalliselle tallennukselle ja käsittelylle, testaus- ja tarkastusmenetelmät sekä tarkastusvaatimukset ja tarkastuksia suorittavien tahojen sertifiointi. Standardi koskee kaikkia standardin hyväksyneiden maksukorttiyhtiöiden korttitietoja käsitteleviä tahoja. Standardin ylläpitämisestä ja kehittämisestä vastaa maksukorttiyhtiöiden perustama PCI Security Standards Council -toimielin. Syyskuussa 2006 toimielin julkaisi standardista version 1.1, joka on edelleen viimeisin versio. Tässä diplomityössä selvitettiin PCI DSS -standardin asettamat vaatimukset kortinhaltijoiden tietoja käsitteleville tahoille. Lisäksi tutkittiin mahdollisuuksia toteuttaa yksi standardin vaatimuksista, kortinhaltijoiden tietojen suojaaminen, esimerkkijärjestelmässä. Kyseinen järjestelmä on kehitetty IBM System i -palvelinympäristöön käyttäen RPG-ohjelmointikieltä.

Tietoturvainformaation ja -tapahtumien hallinta PCI DSS -standardissa

Työn keskeisimpänä tavoitteena on tutkia SIEM-järjestelmien (Security Information and Event Management) käyttömahdollisuuksia PCI DSS -standardissa (Payment Card IndustryData Security Standard) lähtökohtaisesti ratkaisutoimittajan näkökulmasta. Työ on tehty Cygate Oy:ssä. SIEM on uusi tietoturvan ratkaisualue, jonka käyttöönottoa vauhdittavat erilaiset viralliset sääntelyt kuten luottokorttiyhtiöiden asettama PCI DSS -standardi. SIEM-järjestelmien avulla organisaatiot pystyvät keräämään valmistajariippumattomasti verkon systeemikomponenteista tapahtumatietoja, joiden avulla pystytään näkemään keskitetysti, mitä verkossa on tapahtunut. SIEM:ssa käsitellään sekä historiapohjaisia että reaaliaikaisia tapahtumia ja se toimii organisaatioiden keskitettynä tietoturvaprosessia tukevana hallintatyökaluna. PCI DSS -standardi on hyvin yksityiskohtainen ja sen vaatimusten täyttäminen ei ole yksinkertaista. Vaatimuksenmukaisuutta ei saavuteta hetkessä, vaan siihen liittyvä projekti voi kestää viikoista kuukausiin. Standardin yksi haasteellisimmista asioista on keskitetty lokien hallinta. Maksukorttitietoja käsittelevien ja välittävien organisaatioiden on kerättävä kaikki audit-lokit eri järjestelmistä, jotta maksukorttitietojen käyttöä pystytään luottamuksellisesti seuraamaan. Standardin mukaan organisaatioiden tulee käyttää myös tunkeutumisen ja haavoittuvuuksien havainnointijärjestelmiä mahdollisten tietomurtojen havaitsemiseksi ja estämiseksi. SIEM-järjestelmän avulla saadaan täytettyä PCI DSS -standardin vaativimpia lokien hallintaan liittyviä vaatimuksia ja se tuo samallamonia yksityiskohtaisia parannuksia tukemaan muita standardin vaatimuskohtia. Siitä voi olla hyötyä mm. tunkeutumisen ja haavoittuvuuksien havainnoinnissa. SIEM-järjestelmän hyödyntäminen standardin apuna on kuitenkin erittäin haasteellista. Käyttöönotto vaatii tarkkaa etukäteissuunnittelua ja kokonaisuuksien ymmärtämistä niin ratkaisutoimittajan kuin ratkaisun käyttöönottajan puolelta.

Toiminnan kehittäminen pohjana SFS ISO 9001:2000-standardi

Diplomityö tehtiin julkisivuelementtejä valmistavalle Joutsenen Elementti Oy:lle. Työn tavoitteena oli pk- yrityksen toiminnan kehittäminen vastaamaan uudistuvaa SFS ISO 9001- laadunhallintajärjestelmästandardia sekä ratkaisujen etsiminen kehitystyön aikana ilmitulleisiin ongelmiin. Tarkoituksena oli rakentaa sertifiointikelpoinen laatujärjestelmä osaksi yrityksen jokapäiväistä toimintaa lisäämään sekä toiminnan tehokkuutta että kilpailukykyä.Uudistuva ISO 9000- standardisarja ei suinkaan romuta vielä voimassa olevaa versiota, vaan täydentää ja järjestää sitä ymmärrettävämmäksi kokonaisuudeksi. Laadunhallintajärjestelmästandardin vaatimusten tehokas ja oikeanlainen noudattaminen auttaa yritystä lisäämään sekä toimintansa tehokkuutta että kilpailukykyä. Tehokas kehitystyö vaatii kuitenkin onnistuakseen johdon täydellisen sitoutumisen ja tuen lisäksi motivoituneen henkilökunnan. Parhaiten kehitystyö onnistuu, kun se lähtee yrityksen omista tarpeista ja pystytään suorittamaan ilman ulkoisia tai aikataulu paineita. Näin yritys voi keskittyä oman toimintansa parantamiseen ja tätä kautta lisätä arvoaan myös asiakkaiden silmissä, ilman sertifikaattiakin. Pelkän mainosarvon takia hankittu sertifikaatti eli kolmannen osapuolen antama todistus standardinmukaisesta toiminnasta tuokin yritykselle useimmiten enemmän haittaa kuin hyötyä. Joutseno Elementti Oy.n toiminta kartoitettiin nykytilananalyysin muodossa, joka toi-mi pohjana kehitystyön aloittamiselle. Nykytilan analyysi tehtiin pääasiassa haastatteluihin ja muutamaan kirjalliseen kyselyyn pohjautuen. Varsinainen kehittämistyö aloitettiin tutustumalla laadunhallintajärjestelmä standardeihin ja kirjallisuuteen. Työn aikana toimintaa muokattiin vastaamaan standardin vaatimuksia ja samalla kehitettiin nykytilan analyysin pohjalta ilmenneiden ongelmakohtien toimintaa. Työn tuloksena syntyi dokumentoitu SFS ISO 9001:2000 mukainen laatujärjestelmä, jonka päädokumenttina toimii laatukäsikirja. Lisäksi toteutettiin kehitystoimenpiteitä lisäämään

Aikaerittely "Ford" Standardi henkilövaunujen ja kuormavaunurunkojen korjaustöiden huolellisesta suorittamisesta

kuv., 20 x 12 cm

Induktiosilmukka kuulolaitteen käyttäjän apuvälineenä

Tämä insinöörityö tehtiin Kuulonhuoltoliitto ry:n Esteetön kuuntelu -projektille. Työ käsittelee kuulolaitteen käyttäjän apuvälineenä käytettäviä induktiosilmukkajärjestelmiä. Induktiivisen äänensiirtojärjestelmän avulla huonokuuloinen saa kuunteluympäristöstään paremman signaali-kohinasuhteen ilman tilan kaikua ja taustahälyä. Tämä helpottaa kuuntelua esimerkiksi puhetilaisuuksissa. Työn tarkoituksena oli päivittää aiempia tutkimuksia kokoamalla uusin tietous induktiosilmukoiden tekniikasta. Kirjallisuustutkimuksen lisäksi kartoitettiin nykyinen silmukkavahvistinkanta haastattelemalla maahantuojia ja jälleenmyyjiä. Silmukkavahvistimien hintakartoituksen tarkoituksena oli rakentaa perusteet sopivan tehoisen ja hintaisen vahvistimen hankintaa varten suunniteltaessa induktiivisella äänensiirtojärjestelmällä varustettavia tiloja. Työ tarkastelee induktiivisen äänensiirtojärjestelmän ensisijaisen kohderyhmän, kuulokojeita käyttävien huonokuuloisten keskeisiä tarpeita ja heidän käyttämäänsä apuvälinetekniikkaa. Työ käy läpi audiotekniikan perusteita, sähkömagneettisen induktioilmiön, induktiivisen äänensiirtojärjestelmän rakenteen, sen ylikuulumisongelmat ja häiriötekijät sekä IEC:n 60118-4 edition 2.0 standardin CDV-luonnoksen mukaiset periaatteelliset asennusja mittausohjeet. IEC:n tuleva standardi tekee työstä ajankohtaisen. Työn tuloksena saatua tietoa voidaan käyttää Kuulonhuoltoliitto ry:n opas- ja tiedotusmateriaalin uudistamisessa, pohjana hyvän kuunteluympäristön malliratkaisujen ja esteettömyyskriteerien soveltamisessa. Työstä on hyötyä erityisesti Kuulonhuoltoliitto ry:n vapaaehtoiskartoittajille kuten myös kenelle tahansa aiheesta syvemmin kiinnostuneelle.

Konserninlaajuisen WLAN-verkon suunnittelu

Tässä insinöörityössä tutustuttiin WLAN-verkkoihin, sekä varsinkin niiden integroimiseen osaksi yrityksen tietoverkkoa. Työ tehtiin Ahlstrom Oyj:n tilauksesta. WLAN-verkot mahdollistavat käyttäjälleen paremman liikkuvuuden mm. kannettavaa tietokonetta käytettäessä eivätkä sido käyttäjää kiinteän yhteyspisteen viereen. Tästä on yrityskäytössä hyötyä mm. kokouksissa ja neuvotteluissa. Myös vierailijoille tästä on hyötyä, mikäli yritys pystyy tarjoamaan heille palvelun päästä verkkoon. LWAPP on tekniikka, joka mahdollistaa suurien langattomien verkkojen hallinnoimisen ja valvomisen yhdestä paikasta tai laitteesta käsin. Tästä on hyötyä, mikäli tukiasemien lukumäärä on suuri ja verkko laaja. Tutkimus aloitettiin selvittämällä WLAN-verkkojen historiaa sekä esittelemällä eri standardit. Tämän jälkeen tutustuttiin radiotiellä tapahtuviin siirtotekniikoihin ja eri modulaatiomenetelmiin. Myös WLAN-verkon siirtotietä sekä erilaisia WLAN-verkoissa käytettäviä antenneja tarkasteltiin työssä. WLAN-verkkojen tietoturvallisuus, kuten uhat ja salausmenetelmät olivat keskeisessä asemassa työtä tehtäessä. Tulevaan CAPWAP-protokollaan luotiin katsaus työssä. Vahvin ehdokas protokollaksi on Ciscon kehittämä LWAPP, mutta myös sen kilpailijoita tarkasteltiin lyhyesti. Työn lopuksi suunniteltiin Ahlstrom Oyj:lle konserninlaajuinen WLAN-standardi, jota tullaan käyttämään yrityksen konttoreissa ympäri maailman. Systeemi mahdollistaa sekä yrityksen työntekijöille vahvalla salauksella muodostetun langattoman yhteyden luomisen inter- ja intraverkkoihin, että yrityksen vierailijoille internet-yhteyden. Tämä on toteutettu käyttämällä useita SSID:tä joille on luotu erilaiset toimintaperiaatteet.

Palveluiden konsolidointi Vmware ESX -järjestelmään

Tässä insinöörityössä vertaillaan fyysisten koneiden konsolidointitekniikoita ja perehtyy tarkemmin Vmware ESX Server 2.5 -arkkitehtuuriin. Konsolidointimenetelmistä käsitellään: palveluiden keskittäminen, fyysinen konsolidointi, tietojen integrointi sekä sovellusten integrointi. Virtuaalijärjestelmistä vertailtiin markkinoiden yleisimmin käytössä olevat tuotteet. Vertailuun otettiin Vmwaren ESX sekä Server -tuote. Vastaavasti Microsoftilta valittiin tuote Virtual Server 2005. Projektissa toteutettiin Vmware ESX 2.5 -järjestelmän asennus sekä konfigurointi. Järjestelmään luotiin standardi virtuaalikoneita varten sekä määriteltiin Golden master -levykuva. Varsinaisessa konsolidointiosuudessa toteutettiin fyysisten laitteiden keskittämistä ja virtualisointia. Kohteena oli NT4-toimialue, tiedosto, tulostus, Exchange Outlook Web Access, Exchange 5.5 -tietokanta sekä SMTP -palvelimen siirto VMware ESX -järjestelmään. Työn lopputuloksean saavutettiin toimiva virtuaali-infrastruktuuri, johon voidaan tarvittaessa helposti luoda virtuaalikoneita.

Materiaalitietokanta prosessilaitetoimituksen laitevalintojen tukena

In this master's thesis, material characteristics which includes material database will be developed, through which will be managed process device deliveries device selections. The analysed bulk materials exact values serve as basic data when choosing glass- and dried product industry raw material equipment solutions. In this study, the material database function structure will be divided into classified bulk materials characteristics and process device guidelines and planning which they are based on. In order to achieve the best possible advantage in use of the material database, the raw material handling with the process equipment has to be controlled with the help of database bulk material information. With the help of material database, the personnel of the company will find the needed material and device information to implement the processes. The structure of the database enables adding of information, and hence the database will be always kept updated. The material database uses free PhpOpenDatabase software programme, which adapts itself flexibly with the software and requirements of the company. The material frame and considered features of the material database were determined by the requirements of the company's device technology. National and international classifications were used as help. The collected material information was analysed and the correspondence between internal study results and found classifications were determined. As presented before, on the grounds of chosen and specified material features, also the controllability of device selecting and solutions was improved with device-specific screening and planning guidelines. As material frame of the material database was chosen ANSI/CEMA Standard 550. Its almost 1000 bulk materials form an extensive database frame. Over 600 of these raw materials have been determined according to classification. However, the most important ones are the materials of glass- and dried material plants, which consist of the last part of material frame. The analysis will be sustained and material information will be completed primarily of material part with test run in one's own material laboratory.

Building Environmental Management System for Laboratory Products Manufacturing Company according ISO 14001-standard

Tutkielman tavoitteena on rakentaa toimiva ympäristöjärjestelmä Thermo Fisher Scientific Oy:lle. Tutkimuksen tarkoituksena on myös löytää kahdelle täysin erilaiselle toiminnalle yhtenäinen ympäristöjärjestelmä, jonka avulla pystytään ottamaan huomioon molempien toimipaikkojen hieman erilaiset vaatimukset. Lisäksi tavoitteena on muodostaa ympäristöjärjestelmälle oma organisaatio, jonka avulla ympäristöjärjestelmän integrointi yrityksen prosesseihin voidaan suorittaa sujuvasti. Aluksi tutkimusongelmaa lähestytään teoreettisesta näkökulmasta,jossa tarkastellaan ympäristöjärjestelmän historiaa, rakennetta, etuja sekä ISO 14001–standardin rakennetta ja sen etenemistä ympäristöjärjestelmän rakentamisen yhteydessä aina kolmannen osapuolen sertifiointiin asti. Empiria osa alkaa alustavalla ympäristökatselmuksella, jossa selvitetään ympäristöasioiden hoidon nykytaso ja luodaan pohja koko ympäristöjärjestelmän luomiselle, jonka vankimpana perustana on ympäristöpolitiikka. Johdon hyväksymä ympäristöpolitiikka varmistaa johdon sitoutumisen järjestelmään. Ympäristöjärjestelmän toimintarakenteen muodostaminen kahdelle erilaiselle toiminnalle onnistui tutkimuksessa kiitettävästi. Se miten ympäristöjärjestelmä toimii todellisuudessa, tullaan näkemään käytännön kokemuksien yhteydessä.

Taajuusmuuttajiakoskevat EMC-standardit

Taajuusmuuttajat aiheuttavat toimintansa seurauksena runsaasti laajakaistaisia sähkömagneettisia häiriöitä. Häiriöt etenevät sekä johtumalla että säteilemällä ja ne ovat seurausta pääasiassa taajuusmuuttajien toimintaan perustuvista nopeista kytkentäilmiöistä sekä puolijohdekomponenttien epälineaarisuuksista. Sähkömagneettisille häiriöille määritellään suurimmat sallitut tasot useissa EMC-standardeissa. Taajuusmuuttajia koskevia EMC-standardia on neljä; tuotestandardi EN 61800-3, harmonisia virtoja pienjänniteverkoissa käsittelevä EN 61000-3-12 sekä yleiset standardit EN 61000-6-1, -6-2 ja EN 61000-6-3, -6-4. Tämän diplomityön tarkoituksena on tutkia ja koota yhteen edellä mainittujen standardien sisältämät vaatimukset. Työn pääpaino on kohdistettu häiriöpäästöille asetettuihin vaatimuksiin, sillä häiriöiden sietoon liittyvien vaatimusten täyttäminen ei taajuusmuuttajien kohdalla yleensä tuota ongelmia.

Monipolttoainekattilan päästöjen tarkkailu ja raportointi

Suurten polttolaitosten päästöjen tarkkailu- ja raportointivaatimukset ovat uudistuneet viime vuosina paljon. Suurimpia muutosten aiheuttajia ovat Valtioneuvoston asetus 1017/2002 ja standardi EN-14181. Tässä työssä kuvataan uudet vaatimukset täyttävän päästöjen tarkkailu- ja raportointijärjestelmän rakentaminen monipolttoainekattilalle. Aluksi esitellään mitä uusia vaatimuksia päästöjen tarkkailulle ja raportoinnille on tullut viime aikoina. Lisäksi selvitetään vaatimusten mahdolliset ristiriidat ja ristiriitatilanteiden ratkaisutavat. Seuraavaksi esitellään vaatimukset täyttävän järjestelmän määritelmät. Erityisestiselvitetään kattilan erityispiirteiden vaatimia ratkaisuja. Lopuksi esitellään päästöjen tarkkailu- ja raportointijärjestelmän käyttökokemuksia ja parantamismahdollisuuksia. Kaikki tarkastelut tehdään ensisijaisesti toiminnanharjoittajan näkökulmasta. Järjestelmä toteutettiin Stora Enso Oyj:n Heinolan Flutingtehtaan voimalaitoksen pääkattilalle, jossa käytetään laajaa polttoainevalikoimaa. Toteutuspaikan valinta tehtiin sillä perusteella, että uudet päästöjen tarkkailu- ja raportointivaatimukset ovat erityisen haasteellisia monipolttoainekattiloiden tapauksessa. Työssä selvitetään järjestelmän soveltamismahdollisuuksia myös kahdella muulla Stora Enson tehtaalla. Käyttöönottovaiheen johtopäätöksenä todettiin päästöjen tarkkailu- ja raportointijärjestelmän täyttävän sille asetetut vaatimukset. Lisäksi havaittiin, että toiminnanharjoittajan kannattaa panostaa erityisesti järjestelmän joustavuuteen, luotettavuuteen, helppokäyttöisyyteen ja vikasietoisuuteen. Toiminnanharjoittaja pystyy määrittelyvaiheessa vaikuttamaan järjestelmän ominaisuuksiin helpommin ja edullisemmin kuin käyttöönoton jälkeen. Toiminnanharjoittajalta vaadittu työtuntimäärä arvioitiin Heinolan Flutingtehtaan tapauksen perusteella. Lopuksi selvitettiin mahdollisia tulevaisuuden kehityskohteita vastaavissa järjestelmissä.

Verkkolaskutuksen integroiminen toiminnanohjausjärjestelmään

Pk-yritykset tavoittelevat toiminnanohjausjärjestelmän käyttämisellä taloudellisia ja ajallisia säästöjä. Sama pyrkimys on ollut myös verkkolaskutuksen käyttämisellä. Projektinhallinta.com-toiminnanohjausjärjestelmän kehittämisen yhteydessä nämä tarpeet ovat tulleet voimakkaasti esille. Taustalla vaikuttaa laajemmalti koko yrityskenttää myllertävä liiketoiminnan sähköistyminen. Sähköisen tiedonsiirron osalta jo EDI-standardi loi uraauurtavaa pohjaa toiminnoille, jotka ovat omalta osaltaan olleet vaikuttamassa nykymuotoisen sähköisen laskutuksen kehittymiseen. Lähdettäessä kehittämään verkkolaskutoimintoa toiminnanohjausjärjestelmään tulee ottaa huomioon mm. tiedon rakenteellinen määrittäminen. Tätä varten tutkielmassa toteutetaan kuvaus tiedonsiirtoprosessista ja määritellään laskusisältö. Lisäksi kartoitetaan verkkolaskua tukevat operaattorit sekä verkkolaskun kehittämisorganisaatiot. Toteutus- ja käyttöönottosuunnitelmaa varten käydään läpi myös erilaisia mahdollisia verkkolaskumäärityksiä sekä kerrotaan seikoista, jotka verkkolaskutuksen käyttöönottajan tulee ottaa huomioon.