סליקה באינטרנט ותקן PCI DSS

  PCI DSS          

Payment Card Industry - Data Security Standard. בעברית מדוברת: תקן אבטחת מידע של אגוד תעשיית כרטיסי התשלום (אשראי) המפרט דרישות טכניות על מנת להגן ו/או לשמור על נתוני כרטיסי אשראי במערכות תוכנה ומערכות סליקת כרטיסי אשראי ובמערכות סליקה באינטרנט

החברות העיקריות הן ויזה, מאסטר קארד ואמריקן אקספרס. חברת כרטיסי האשראי זיהו כבר בשנת 2005 את הסיכון הגדול הנובע משימוש לא אחראי במידע כרטיסי אשראי ואת החשיבות הרבה של שימוש בבקרות לתהליך סליקת כרטיסי אשראי.

חברות כרטיסי האשראי הבינלאומיות הקימו גוף משותף PCI, אשר הגדיר סט של דרישות מהחברות המבצעות סליקת כרטיסי אשראי. הדרישות התגבשו לידי תקן המכונה PCI DSS. ב- 1.1.09  הוכר תקן PCI על ידי חברות כרטיסי האשראי בעולם, כתקן מחייב את כל בתי העסק אשר סולקים אשראי, והחל מה- 30.9.09 הוחל באכיפת העמידה בתקן בכל העולם וגם בישראל.

תקן PCI - מי חייב לעמוד בתקן?

·         כל ארגון שמחזיק ומעבד נתוני כרטיסי אשראי.

·         כל בית עסק אשר סולק כרטיסי אשראי ו/או מאחסן פרטי כרטיס אשראי.

זהו אחד התקנים היחידים בתחום אבטחת מידע שמפרט דרישות טכניות ליישום.בנוסף, בצעד לא שגרתי, האגוד מגדיר עונשים לארגונים אשר תתגלה אצלם פרצה באבטחת מידע אשר תוביל לאובדן מידע הקשור בכרטיסי אשראי. הארגון/הקמעונאי אינו מחויב ליישם את דרישות התקן, אך במקרה של אובדן נתונים הקנס יהיה כבד אם יוכח שהתקן לא יושם.

 תקן PCI מטפל בדרישות הבאות:

 הגנה על הרשת

1.       שימוש בתוכנת Firewall

2.       שימוש נכון בסיסמאות ותוצרת מערכות מאובטחת

הגנה על מידע כרטיסי אשראי

3.       הגנה על מידע של מחזיקי כרטיסי האשראי

4.       הצפנת מידע זה

             ניהול פגיעויות

5.       שימוש בתכנת אנטי-וירוס

6.       תחזוקת רמת האבטחה של המערכות והאפליקציות

שימוש בבקרת גישה חזקה

7.       הגבלת הגישה למידע על בעלי כרטיסי האשראי לצורך עסקי בלבד

8.       הקצאת שם משתמש ייחודי לכל בעל גישה למערכות מחשוב

9.       הגבלת גישה פיזית למערכות המחזיקות מידע על בעלי כרטיסי האשראי

 בחינה תקופתית של המערכות

10.   מעקב ורישום של הניגשים למידע רגיש זה

11.   תהליך מוסדר ותקופתי של בחינת רמת האבטחה

מדיניות

12.   פיתוח, תחזוקה, עדכון ואכיפה של מדיניות אבטחת מידע

יתרונו של תקן PCI הוא באובייקטביות ובבטחון של הלקוחות שספק שירותי הסליקה אכן נבדק על ידי גורמים מקצועיים ומוסמכים.יחד עם זאת המורכבות של הדירוגים השונים מאפשרת משחק מסוים וכנהוג במקומותינו: ספקים מסוימים נותנים מיצג שווא וטוענים שהם "מכוסים" בעוד שרמת ההסמכה האמיתית שלהם איננה מתאימה.ספק שירותי סליקה חייב להיות דרג 1 (להבדיל מסוחר שיכול להסתפק בדרג 4 לדוגמא).אל תהססו לדרוש מספק שירותי סליקה תעודה מתאימה המוכיחה את העמידה בתקן הרלבנטי מעל לכל ספק.