מה זה תקן PCI?

 כל גוף עסקי שמקבל תשלומים באשראי, מחויב לעמוד בתקן האבטחה PCI-DSS. מדובר בתקן בעל 12 שלבים, המחייב בעלי עסק לסלוק, לשמור ולטפל בפרטי האשראי של לקוחות באופן מאובטח ויאות. ההתייחסות בתקן PSI כוללת את כל היבטי הטיפול בפרטי האשראי, כולל למשל הטיפול בניירת המכילה את פרטי האשראי של לקוחות.

בין אם אתם מאפשרים סליקה באינטרנט, בחנות הפיזית או סליקה ידנית לאחר העסקה – תקן PCI מחייב אתכם, בכל שלבי הטיפול באשראי. בתי עסק שלא יעמדו בתקן – חושפים את עצמם לקנס בגובה 5,000 – 100,000 דולרים.

אם יש לכם עסק המאפשר תשלום באשראי או אם אתם שוקלים התקשרות עם ספק אשראי לצורך הרחבת אפשרויות התשלום בעסק – זו כתבה שחשוב שתקראו. איך תדעו שאתם עומדים בתקני האבטחה המתבקשים בסליקת אשראי?

תקן PCI – שלושה שלבים, 12 דרישות

תקן PCI מתייחס לטיפול בפרטי האשראי של לקוחות בשלושה שלבים שונים: שלב הזנת פרטי האשראי, שלב הצפנת פרטי האשראי, ושלב שמירת פרטי האשראי. התקן מפרט 12 דרישות אבטחה, הנה הן לפניכם:

  • רשת מאובטחת – התקנה ותחזוקה של חומת אש (FireWall) המאפשרת סביבת מחשוב מוגנת מפני פריצות
  • רשת מאובטחת – הגדרה אינדיווידואלית של כל טכנולוגיה, ללא שימוש בהגדרות ברירת המחדל
  • שמירה על פרטי האשראי – שמירה על כלל נתוני החיוב של כל לקוח
  • שמירה על פרטי האשראי – הצפנה של כל פרטי האשראי הנשמרים או נשלחים בדואר אלקטרוני
  • תחזוקה בטוחה של המערכות – תכנת אנטי וירוס מעודכנת
  • תחזוקה בטוחה של המערכות – תחזוקה מאובטחת של כלל מערכות המחשוב
  • מנגנוני גישה – גישה מוגבלת לפרטי האשראי והתשלומים, רק לבעלי תפקידים רלוונטיים
  • מנגנוני גישה – גישה חסומה בסיסמה ייחודית לכל עובד הנדרש לגישה לפרטי האשראי
  • מנגנוני גישה – הגבלת פיזית לגישה לנתוני האשראי
  • מעקב וניטור – ניטור שוטף של כלל המערכות
  • מעקב וניטור – בדיקות תקופתיות של מערכות האבטחה בתהליכי הגבייה
  • אבטחת מידע – מדיניות קפדנית של אבטחת מידע בנוהלי הארגון

אני משתמש בספק טכנולוגיות חיצוני לסליקת אשראי, האם התקן מחייב גם אותי?

כן. כל בית עסק, גם כזה הפועל מהבית וגם כזה בעל היקפי עסקאות נמוכים – מחויב לטפל בפרטי אשראי של לקוחות בזהירות הנדרשת. במילים פשוטות, זה אומר עבודה מול ספק טכנולוגי איכותי בעל מדיניות אבטחת מידע שעומדת בתקן; הימנעות משמירת פרטי אשראי של לקוחות בכלל, בשום צורה; טיפול קפדני בפרטי אשראי בתצורות לא ממוחשבות (כמו למשל בהקלטות שיחה או בכתיבה על נייר); הימנעות מגישה לפרטי אשראי על ידי מי שאינו בעל סמכות; ועוד.

תקן PCI לעסקים קטנים

בבתי עסק בעלי פחות מ – 20,000 עסקאות מסחר אלקטרוני בשנה, נדרש בית העסק להיקשר עם ספק טכנולוגי שעומד בתקני האבטחה המתבקשים (חשוב לשאול את הספקים הנבחרים בטרם תבחרו עם מי לעבוד), ועל בית העסק עצמו למלא שאלון בנושא נהלי אבטחת מידע ושמירה על פרטי אשראי בארגון. בנוסף, מחויבת סריקה רבעונית (אחת לתשעים ימים) של הרשת בארגון לאיתור תקלות, ניטור ושמירה על היבטי אבטחת מידע הכרחיים לטיפול באשראי הלקוחות.

עוד מידע באתר מועצת ה – PCU הבינלאומית – בקישור הזה