תקן PCI DSS

סליקה באינטרנט ותקן PCI

חברות האשראי מחייבות כל בית עסק המבצע סליקת כרטיסי אשראי לעבוד בצורה מאובטחת, שתגן על נתוני כרטיסי האשראי.

לשם כך פותח תקן מחייב הנקרא- תקן PCI DSS. התקן כולל סט דרישות מפורט המתייחס לכלל תהליכי סליקה בבית העסק:

תקן PCI קרדיט גארד: תעודת הסמכה PCI 2018

  • תהליך הזנת פרטי כרטיס אשראי
  • תהליכי העברת המידע (תווך התקשורת) בין נקודת הזנת פרטי הכרטיס לבין הסולק וחוזר חלילה.
  • המערכות בהן נשמרים נתוני כרטיסי אשראי בבית העסק בין אם לשימוש לחיובים חוזרים ובין אם לצרכים אחרים כגון הנהלת חשבונות, שירות לקוחות או שימוש כל מערכת אחרת.

 

מי חייב לעמוד בתקן PCI ?

  • כל בית עסק אשר סולק כרטיסי אשראי, מעביר או מעבד פרטי כרטיסי אשראי.
  • כל ארגון שמחזיק מעבד ו/או מאחסן נתוני כרטיסי אשראי.

הסמכה לתקן PCI

הערכות לעמידה בתקן PCI דורשת מארגונים ובעלי עסקים הקצאת משאבים זמן ועלויות לא מבוטלות הכרוכות לא פעםבפיתוח נוסף למערכות קיימות ושינוי בתהליכי עבודה פנימיים.
תהליך ההסמכה, תלוי בגודל הארגון ואופי הפעילות שלו. למרבית הסוחרים הקטנים מספיק תהליך של ביצוע בדיקה עצמאית (Self-assessment), הדורש מילוי טפסים באנגלית ומחייב ביצוע סריקות חדירות רבעויות אחת לרבעון.
ארגונים הסולקים כמות עסקאות גדולה נדרשים לקבל הסמכה מ גוף חיצוני שהוסמך לכך (QSA – Qualified Security Assessor) בשני המקרים תוקף ההסמכה הוא לשנהומחייב בנוסף ביצוע סריקות רבעוניות.

סליקה באינטרנט ותקן PCI

סליקת כרטיסי אשראי באינטרנט מאפשרת לבית עסק לעבוד בצורה מאובטחת, לפי דרישות תקן PCI, ללא השקעה במשאבים מיוחדים וללא צורך לעבור סריקות רבעוניות מחודשות.
זאת על ידי התחברות למערכת הסליקה באמצעות עמוד סליקה – דף הפניה .Redirect
ובתנאי שספק שירותי סליקה באינטרנט איתו עובדים, יהיה מוסמך לתקן PCI.
כיום, חברות האשראי מחייבות עסקים חדשים הפונים לקבלת מספר ספק אשראי, לעבוד בצורה זו.
שימו לב, ספק שירותי סליקה חייב להיות מוסמך לתקן בדרגה הגבוהה ביותר – 1 PCI DSS Level.
אל תהססו לדרוש מספק שירותי סליקה תעודה מתאימה המוכיחה את העמידה בתקןהרלוונטימעל לכל ספק.

הדרישות העיקריות של תקן PCI

הגנה על הרשת:

  • שימוש בתוכנת Firewall
  • שימוש נכון בסיסמאות ותוצרת מערכות מאובטחת

הגנה על מידע כרטיסי אשראי:

  • הגנה על מידע של מחזיקי כרטיסי האשראי
  • הצפנת מידע זה

ניהול פגיעויות:

  • שימוש בתכנת אנטי-וירוס
  • תחזוקת רמת האבטחה של המערכות והאפליקציות

שימוש בבקרת גישה חזקה:

  • הגבלת הגישה למידע על בעלי כרטיסי האשראי לצורך עסקי בלבד
  • הקצאת שם משתמש ייחודי לכל בעל גישה למערכות מחשוב
  • הגבלת גישה פיזית למערכות המחזיקות מידע על בעלי כרטיסי האשראי
  • הפרדה בין שרת האפליקציות לבין השרת המאחסן את מסד הנתונים

בחינה תקופתית של המערכות:

  • מעקב ורישום של הניגשים למידע רגיש זה
  • תהליך מוסדר ותקופתי של בחינת רמת האבטחה

מדיניות:

  • פיתוח, תחזוקה, עדכון ואכיפה של מדיניות אבטחת מידע