אבטחת נתוני כרטיסי אשראי

אבטחת נתוני כרטיסי אשראי

בישראל כל בית עסק יודע שכאשר הוא מעוניין לפתוח מסוף סליקה אינטרנטי, לפעילות מסחר אלקטרוני, הדרישה הראשונה של חברות כרטיסי האשראי היא לחייב אותו לעמוד בתקן PCI.

האם תקן PCI מטפל רק בדרישות אבטחה של סליקה באינטרנט?

תקן PCI נותן מענה לכלל דרישות האבטחה של תהליך סליקת כרטיסי אשראי אם מדובר בכרטיס נוכח, או בכרטיס חסר (סליקה באינטרנט):
1. תהליך הזנת פרטי כרטיס אשראי.
2. תהליכי העברת המידע (תווך התקשורת) בין נקודת הזנת פרטי הכרטיס לבין הסולק וחוזר חלילה.
3. המערכות בהן נשמרים נתוני כרטיסי אשראי בבית העסק בין אם לשימוש לחיובים חוזרים ובין אם לצרכים אחרים כגון הנהלת חשבונות, שירות לקוחות או שימוש כל מערכת אחרת.

פריצות למאגרי נתוני כרטיסי אשראי בארה"ב
לאחרונה קראנו על שתי פריצות ענק למאגרי כרטיסי אשראי של קמעונאים גדולים בארה"ב. בפריצות לטרגט (Target) וניימן-מרקוס (Neiman Marcus) נגנבו מליוני כרטיסים ונגרם נזק רב לכל המעורבים. פריצות אלה לא היו קשורות לאתר האינטרנט של החברות או לקניות המקוונות, אלא דווקא למאגר מידע שהכיל פרטי כרטיסי אשראי שניתן היה לפרוץ אליו.

אם זה קרה בארה"ב, האם זה יכול לקרות גם כאן בישראל?
כנראה שכן. לא מעט קמעונאים בישראל אינם עומדים בתקן PCI ומחזיקים את פרטי כרטיס האשראי שלנו במאגר שקל יחסית לחדור אליו. אם הפריצות הגדולות, לפחות אלה שאנו נחשפים להן, מתרחשות בקרב קמעונאים מסורתיים מדוע חברות כרטיסי האשראי בישראל מטפלות כמעט אך ורק בעניין האתרים המקוונים (אתרי מסחר אלקטרוני)?

קל יותר לאבטח סליקה באינטרנט

פתרון אבטחה מלא של רשת קמעונאית כרוך בהשקעה גדולה יחסית שאינה מניבה הכנסות או רווחים ולכן קשה יותר לאכיפה. (מי ישא בעלויות?)
בישראל, לחברות כרטיסי האשראי, קל לאכוף את תקן PCI על סליקה באינטרנט כיון ש:
1. ישנן מספר חברות שמספקות פתרונות העומדים בתקן PCI לסליקה אינטרנטית אבל הרבה פחות חברות שנותנות מענה מלא לסליקה מאובטחת לפי תקן PCI של כרטיס נוכח.
2. העלות של הפתרון האינטרנטי היא כמעט זניחה, לעומת עלות ההסבה של מערך קופות ומשרד אחורי יקרה יחסית.

חברות שעובדות מול השוק הבינ"ל ומבקשות להתקשר עם חברות סליקה בחו"ל עומדות בתקן PCI בכל מערך הסליקה שלהם", אומר אוריאל בן-דוד, מנכ"ל קרדיט גארד ומוסיף: אנחנו משרתים לא מעט בתי עסק הפועלים באירופה, בתי עסק אלה הוסמכו באופן מלא ל- PCI, כחלק מהדרישה של הסולקים הם משתמשים בכל השירותים שקרדיט גארד מציעה החל מדף סליקה מאובטח וכלה בפתרון טוקניזציה שחוסך את הצורך לשמור פרטי כרטיס אשראי מלאים במאגרי הנתונים שלהם".

חברות כרטיסי האשראי דואגות היטב לביטחון של השימוש בכרטיסיהן והן עומדות מאחורי מחזיקי הכרטיס כאשר יש תקלות. יתרה מזאת, אפשר להוסיף שבישראל החוליה החלשה באבטחת נתוני כרטיסי אשראי איננה עוד אתרי המסחר האלקטרוני ולכן, כפי שאינכם דואגים להשתמש בכרטיסי אשראי בכל בית עסק פיזי, כך אתם יכולים להרגיש בטוחים להשתמש בו באתרי אינטרנט וחנויות מקוונות.