שמירת מספרי כרטיסי אשראי בעסק, לפי תקן PCI

שמירת מספרי כרטיסי אשראי בעסק, לפי תקן PCI

סליקת כרטיסי אשראי – מה זה טוקן

שמירת מספרי כרטיסי אשראי בבית העסק, לשימוש חוזר או תהליכים פנימיים, מחייבת עמידה במספר קריטריונים מחמירים, שמהותם מניעת שימוש לרעה בנתוני כרטיסי אשראי.
החל מ- 30.9.09 החלו חברות האשראי לאכוף את העמידה בתקן  PCI בכל העולם וגם בישראל.

שמירת מספרי כרטיסי אשראי על פי תקן  PCI

סוחרים וארגונים רבים נוהגים לשמור פרטי כרטיסי אשראי לצרכים שונים כגון מעקב אחר תשלומים, תיעוד תהליכים, גבייה חוזרת של תשלומים בעסקאות מתמשכות ועוד.
על מנת להגן על המידע, שכולל, בין השאר, את מספר כרטיס האשראי, מחייב תקן PCI לשמור פרטי כרטיסי אשראי על פי סט שלם של קריטריונים. קריטריונים אלה כוללים נהלי אבטחת נתונים מחמירים ביותר, בקרת גישה, הצפנה, הקשחה, נהלים תפעוליים ועוד.
ככל שהארגון מורכב יותר מבחינת השימוש במספרי הכרטיסים וככל שמספר המערכות העושות שימוש בנתוני כרטיסי אשראי רבות יותר, כך יהיה יישום תקן  PCI מורכב יותר.
הערכות לעמידה בתקן PCI דורשת מארגונים ובעלי עסקים הקצאת משאבי זמן ועלויות לא מבוטלות, הכרוכות לא פעם בפיתוח נוסף למערכות קיימות, ושינוי בתהליכים פנימיים.

פתרון טוקניזציה – עמידה בתקן PCI בצורה פשוטה ומהירה

נשמע כמו קסם? קרוב, אבל לא בדיוק.
טוקניזציה היא תהליך בו נוצר מספר חלופי בעל מאפיינים לוגים זהים (פורמט חלופי) למספר כרטיס האשראי. כאשר ארבע הספרות האחרונות שלו נותרות זהות למספר המקורי.
ה"טוקן" משמר את הפורמט של הערך המקורי (מספר כרטיס האשראי), ניתן להשתמש בו בכל הקבצים, מסדי הנתונים או היישומים הרלבנטיים של הארגון, ובכך לשמר את התהליכים העסקיים הקיימים בארגון.

איך זה עובד

מיד לאחר שמספר כרטיס האשראי המקורי נקלט במערכת בפעם הראשונה הוא עובר הצפנה ונשלח לשרת הטוקניזציה. המידע המוצפן עובר לכספת מאובטחת ששומרת את המידע המוצפן ומנפיקה טוקן בפורמט המקורי.
טוקן זה מוחזר למערכת ומכאן ואילך יתבצעו כל הפעולות בחברה על בסיס הטוקן.
בפעם הבאה שיהיה צורך לבצע גביה (או זיכוי) באמצעות כרטיס אשראי, יישלח הטוקן לשרת הטוקניזציה, וזה, שכבר עומד בכל קריטריוני ההסמכה של תקן ה- PCI,
יבצע את הפעולה באופן אוטומטי מול חברות כרטיסי האשראי.

טוקניזציה – חסכון בעלויות

פתרון טוקניזציה מקל במידה רבה על ההערכות של הארגון לעמידה בדרישות תקן PCI בעיקר משום שהוא מאפשר לשמר את שיטות העבודה הקיימות ובכך לחסוך את כל התקורות הכרוכות בשינוי יישומים ודרכי פעולה. כדי לפשט את התהליך ממליצים מרבית הבלוגים בארה"ב להשתמש בפתרון טוקניזציה כחלק מפתרון כולל של ספק שירותי סליקה, ולא לערב ספק נוסף לצורך טוקניזציה בלבד.
הפתרון נפוץ מאוד בארה"ב בה אחוז הארגונים המוסמכים לתקן PCI הוא מעל 90%. פתרון  טוקניזציה  מתחיל לכבוש גם את השוק המקומי.