אבטחת מידע - PCI-DSS

מהו תקן PCI-DSS?

תקן אחיד לכל חברות האשראי בעולם לאבטחת מידע על נתוני כרטיסי אשראי.


מי הם הגורמים שינהלו את התקן?

לצורך ניהול התקן הוקם ע"י חברות האשראי הבינ"ל גוף משותף הנקרא: P.C.I.Security Standards Council פרוייקט משותף זה נולד כלקח ממספר אירועים שונים בעולם בהם נחשפו נתוני כרטיסים כתוצאה מפעילות של גורמים עבריינים, ושלאחריהן נתבצעו פעולות הונאה בהיקף נרחב במדינות שונות. חשיפת התופעה באמצעי התקשורת וההד הציבורי הרב שנגרם עקב כך, האיצה את הקמת הפרוייקט.
לפי סקרים רבים ברחבי העולם התגלה שמחיזיקי כרטיס רבים חרדים לדליפה של נתוני כרטיסיהם, דאגה זו אף דורגה בראש טבלת האיומים שאזרחים חוששים מהם.
יש להדגיש כי בכל הפרשות הללו הוזכר בית העסק בהרחבה בכלי התקשורת. דבר שפגע קשות במוניטין שלהם והסב להם נזק כלכלי כבד גם במישרין וגם בעקיפין. במקרים מסוימים בתי עסק אולצו להפסיק את פעולתם העסקית כתוצאה של העדר יכולת פיננסית לעמוד בנזקים שנגרמו להם.


עשרת הדיברות שמהווים את הבסיס לניהול תקין של מאגרי נתוני כרטיסי אשראי PCI-DSS

  1. התקנת ותחזוקת Firewall על מנת להגן על נתוני כרטיס אשראי.
  2. הגן על נתוני כרטיס האשראי השמורים בבסיס הנתונים.
  3. הצפן תשדורת נתוני כרטיס העוברים ברשת. הפעל תוכנית ניהול פגיעות.
  4. פתח ושמר מערכות אפליקציות מאובטחות. ישם מדיניות בקרת גישה יעילה.
  5. הגבל גישה של עובדיך לנתוני כרטיסי אשראי על בסיס תפקידם בחברה.
  6. הענק שם משתמש ייחודי לכל בעל גישה למחשב.
  7. הגבל גישה פיסית לנתוני כרטיסי האשראי. פקח ובדוק את מערכותיך באופן שוטף.
  8. עקוב ופקח על הגישה למערכותיך ונתוני כרטיסי האשראי.
  9. בדוק באופן שוטף את מערכות אבטחת המידע שלך והתהליכים הרלוונטים - הפעל מדיניות אבטחת מידע.
  10. הפעל מדיניות אבטחת מידע אפקטיבית, העונה על איומים קיימים ועתידיים.

סעיפים אלו הם גם היסוד להערכה עצמית/חיצונית של בתי העסק בכל הקשור בעמידה בתקן.
בנוסף להערכות אלה בתי העסק גם נדרשים לעבור סריקות רשת/חדירה תקופתיות.


מי מחוייב לתקן?

התקן חל על סולקים, בתי עסק וספקי שרות כגורם שלישי. כל אחד מחוייב בתקן אם הוא שומר, מעבד או משדר נתוני אשראי.
התקן מחייב את כל חברות האשראי ברחבי העולם, ואי עמידה בו חושף את חברת האשראי לקנס כספי מחברת האם וכמו כן לתביעות כספיות של החברות וגורמים שונים נוספים במידה ויפגעו כתוצאה מדליפת נתונים.

  1. עד דצמבר 2010 בתי עסק ברמות 1 ו 2 נדרשים לסיים AUDIT ע"י חברת QSA ולעמוד בתקן PCI-DSS
  2. כל בתי העסק האינטרנטיים (מסחר אלקטרוני) נדרשים להטמיע את נהלי ה- PCI-DSS.
  3. לחלופין בית עסק אשר העביר את כל הטיפול בנתוני כרטיס אשראי לצד שלישי (SP) על הSP להתקדם בתהליך.
  4. עד יולי 2010 כל בתי העסק נדרשים לעבוד עם יישומי תשלום אשר לא שומרים נתונים רגישים.
  5. החל מיולי 2010 בתי עסק חדשים נדרשים להתשמש במוצר (יישום תשלום) מוסמך PA DSS.

נתוני כרטיס מחולקים לשניים:

* נתוני מחזיק הכרטיס שמותר לשמור אותם בתנאי שהם מוגנים בהתאם לתקן.
* נתוני אימות רגישים שחל איסור מוחלט לשמור אותם במערכות גם אם הם מוגנים בדרך הכי מחמירה שקיימת. נתונים אלו הם הפס המגנטי, שלושת ספרות הביקורת בגב הכרטיס (CVV2) והקוד הסודי ׂ(PIN).


שיטת טוקניזציה/הצפנה

הערכות לעמידה בתקן PCI דורשת מארגונים רבים הקצאת משאבי זמן ועלויות לא מבוטלות, הכרוכות לא פעם בפיתוח נוסף למערכות קיימות, ושינוי בתהליכים פנימיים, על מנת להקל על בתי התוכנה, מארגונים ובעלי עסקים לעבור את תקן ה-PCI בצורה הקלה והמהירה ביותר. רותם מערכות ביחד עם DCS בנו פתרון אשר מעביר את כל תהליך סליקת כרטיס האשראי למערכת Credit2000 של חברת DCS אשר מאושרת PCI DSS LEVEL 1


איך עובדת השיטה

התהליך הוא פשוט. כל מערכת כגון: קופות, אתר אינטרנט וכו' , לאחר סיום הקניה או בחירת המוצרים מופנת באופן מאובטח חפי כללי התקן ל gateway של Credit2000 . במקרה של אתר אינטרנט הגולש מקבל אתר הדומה לאתר המקורי ושם תבוצע הכנסת פרטי כרטיס אשראי. לאחר הסליקה מוקצה token חד ערכי לכרטיס האשראי לצורך חיוב חוזר של לקוחות.

קרא עוד אודות טוקוניזציה