הסמכה לתקן PCI בארגונים גדולים

הסמכה לתקן PCI בארגונים גדולים

החל משנת 2009, התחיל יישום תקן PCI וחברות כרטיסי האשראי החלו בתהליכי אכיפה ודרישה של יישום הנחיות אילו בבתי העסק השונים. כיצד לצלוח הסמכה לתקן PCI בשלום לארגונים וחברות גדולות עמידה בתקן PCI מהווה אתגר מורכב מכמה סיבות בחברות גדולות ישנן  מספר מערכות בהן ניתן לקלוט פרטי לקוח ובכלל זה פרטי כרטיסי האשראי. מערכות הזנת נתונים, כגון: מערכת קליטת טפסים לכרטיסים הנמסרים מהלקוח על גבי טופס, ממשק אינטרנטי, ממשק פנימי לטלפנים, מערכת IVR לקבלת המספר באופן מוקלט וכדומה. רבות מהמערכות נבנו לשימוש בכרטיס לשימושים שונים כגון: גביה, ביצוע חיובים חוזרים ולעתים אף לזיהוי לקוח. על מנת שארגון שעובד על פי המפורט להלן יוכל לעמוד בתקן ניצבות לפניו  מספר אפשרויות: א. לאבטח באופן הרמטי את כל אחת מהמערכות והממשקים בהם קיימים פרטי כרטיס אשראי ב. לבצע שינויים מהותיים בכל אחת מהמערכות ג. לעבור לפתרון של שימוש במספרים חלופיים ד. שילוב בין האפשרויות. הניסיון של חברות שכבר הוסמכו לתקן PCI מלמד… לשמחת אלה שבוחנים את החלופות השונות, ניתן להעזר בניסיון המצטבר של לא מעט חברות שכבר הטמיעו פתרונות דומים והוסמכו לעמידה בתקן. נכון להיום, עם ניסיון מצטבר של למעלה מארבע שנים בשוק הבינלאומי ולפחות שלוש שנים בשוק הישראלי ניתן לאמר שהפתרון הנפוץ ביותר להזנת פרטי כרטיס הוא השימוש ב- Re-direct והפתרון הנפוץ ביותר לאחסון פרטי כרטיס הוא טוקניזציה (מלשון Token), שימוש במספר חלופי. ניתן ללמוד על מונחים אלה במקומות רבים אז נגדיר אותם באופן תמציתי בלבד: Re-direct – הפניה לדף הזנה מרוחק העומד בדרישות תקן PCI. טוקניזציה – שימוש במספר רנדומאלי חלופי למספר כרטיס האשראי. בהנחה שהסמכה לתקן PCI הנה כרח נדרש ולא חלק מהמהות העסקית של הארגון, כנראה שהדרך הנכונה להטמיע יישום של פתרון PCI הוא ללמוד מניסיונם של אחרים. למרות שכאמור יש יותר מפתרון אפשרי אחד אנו נתמקד בהמלצות על בסיס ה- Best practices שהצטברו בישראל בשנים האחרונות.

טיפים כיצד לצלוח את ההסמכה לתקן PCI

  1. לכו על פתרון גנרי מוכח, אל תנסו להמציא את הגלגל
  2. תתמקדו בפתרון של הצורך. מספר חברות אמרו לעצמן: בואו ננצל את הצורך לבצע מהלך רחב יותר של אבטחת מידע בתוך הארגון. חברות אלה הונחו ככל הנראה ע"י יועצים שראו לעיניהם את מספר השעות שהארגון ייצורך מהם במקום את הצורך האמתי. בסופו של דבר הן בזבזו משאבים אדירים ולא בהכרח סיימו את ההסמכה לשמה נועד התהליך. לא צריך להשקיע משאבים של ציד פילים כדי להרוג זבוב.
  3. ניסיון והמלצות – מדובר בפרויקט מורכב עם ממשקים רבים, יש מעט ארגונים בארץ שיודעים לשלב בין אבטחת מידע לסליקת כרטיסי אשראי, לכו עם מי שצבר ניסיון מוכח בנושא, חברה שפיתחה מתודולוגיה להטמעה של פתרונות מסוג זה ושיכולה לתת לכם ממליצים שעבדו איתה. דאגו למנות מנהל פרויקט מטעמכם שיהיה אמון לקשר בין כל הגורמים, בתוך הארגון ומחוצה.
  4. נקודות שצריך לשים אליהם לב בעניין דף Re-direct הן איך ניתן לשלב אותו במערכות השונות של הארגון, דברו עם ספק הפתרון ותראו שהוא יודע על מה הוא מדבר, שהוא התנסה בהטמעות דומות ושהוא מבין מה הדרישות. בחנו את האפשרויות השונות של עיצוב עצמי של הדף, על מנת שיהווה חלק מהמערכת. בחנו את זמני התגובה של המעבר לדף.
  5. נקודות שצריך לשים אליהן לב בעניין הטוקניזציה: תאימות ל – 16 ספרות כדי להקל על האינטגרציה עם מערכות קיימות שרגילות ל- 16 ספרות שארבע הספרות האחרונות יהיו אותן ספרות של מספר כרטיס האשראי המקורי כדי להקל על האיתור והתקשורת עם הלקוח על בסיס אלה. שניתן יהיה לקבל מזהים נוספים מחוץ לטוקן, לצרכי BI ואחרים. שניתן יהיה להמיר קבצים עם כמות גדולה של כרטיסים ולא רק לבצע המרה של מספר מספר שהטוקנים יהיו ייחודיים לבית העסק מצד אחד ומצד שני שבית עסק שנעזר בממשק חיצוני יוכל לאחד בין הטוקנים הפנימיים והחיצוניים.
שתי נקודות נוספות שחשוב להדגיש: אחת – שמדובר בפרויקט שכולל מספר לא מבוטל של ממשקים, שנוגע בתהליכים קריטיים של הארגון ולעיתים מגיע לפינות שלא נגעו בהן במשך תקופה ארוכה. קיימת אפשרות שיהיה צורך למצוא פתרונות שונים לסליקה ממשקים שונים, לכן חשוב שתסמכו על ספק הפתרון שיהיה בעל הבנה מעמיקה בתחום סליקת כרטיסי אשראי. שנית – בסופו של דבר ההסמכה צריכה להינתן על ידי QSA, הגורם המסמיך. חשוב לכן שלכל אורך התהליך יהיה קשר רצוף של הגורמים הפנימיים, עם החברה שמספקת את הפתרון וה- QSA.

מגוון פתרונות סליקה לעסקים