איך להיות תואם PCI בחינם?

אך ברוב המקרים עסקים קטנים יכולים להיות תואמי PCI בחינם
התהליכים הנדרשים להבטחת התאמה ושמירה עליהם עשויים להיות יקרים אם תתקשר עם אחת מחברות אבטחת הנתונים הרבות, אך ברוב המקרים עסקים קטנים יכולים להיות תואמי PCI בחינם.

אם אתה הבעלים או העסק שלך - בין אם באופן מקוון ובין אם במיקום פיזי - ומקבל תשלומי כרטיסי אשראי מהלקוח שלך, עליך לוודא שהמערכות שלך עומדות בדרישות התקן לאבטחת נתונים של תעשיית כרטיסי התשלום (PCI DSS). עמידה אינה דרישה חוקית, אך מותגי כרטיסים כמו ויזה ומסטרקארד עשויים להוציא קנסות גדולים לסוחרים שאינם שומרים על הסטנדרטים המתאימים של אבטחת נתונים. התהליכים הנדרשים להבטחת התאמה ושמירה עליהם עשויים להיות יקרים אם תתקשר עם אחת מחברות אבטחת הנתונים הרבות, אך ברוב המקרים עסקים קטנים יכולים להיות תואמי PCI בחינם. עם זאת, יש לזכור כי תאימות PCI אינה דבר חד פעמי, אלא תהליך מתמשך עם דרישות דיווח שנתיות ולעתים רבעוניות.

חלק 1 מתוך 4: בניית רשת מאובטחת

  1. 1
    קבע את רמת הסוחר שלך. דרישות PCI DSS משתנות בהתאם למספר עסקאות הוויזה שאתה מעבד מדי שנה.
    • כל הסוחרים המקבלים תשלום ישיר מלקוחות המשתמשים בכרטיסי אשראי או חיוב מתחלקים לאחת מארבע רמות סוחר בהתבסס על היקף עסקאות הוויזה שעובד סוחר במהלך 12 חודשים.
    • נפח העסקאות הוא אוסף מצטבר, כך שאם יש לך יותר מחנות או מיקום אחד הפועלים תחת אותה ישות עסקית, ברצונך לבדוק את סך העסקאות בכל אותם מיקומים. לדוגמה, אם יש לך חנות לבנים, כמו גם אתר, תצטרך לדעת את המספר הכולל של עסקאות ויזה בשנה אחת הן בחנות והן באתר יחד.
    • מרבית העסקים הקטנים ייפלו לרמת סוחר 4. רמה זו כוללת סוחרים שעובדים פחות מ- 20000 עסקאות ויזה באופן מקוון, וכל סוחר אחר שעובד כמיליון עסקאות ויזה בשנה.
    • סוחרים ברמה 4 יכולים בדרך כלל להיות תואמים ל- PCI בחינם מכיוון שנדרשים מסמכי אימות משוכללים יותר, וסוחרים יכולים למלא שאלונים בהערכה עצמית במקום לשכור ספק סריקה מאושר (ASV) כגון ControlScan.
    • זכור שאם אתה מקבל תשלומי כרטיסי אשראי ישירות דרך האתר שלך, אתה עדיין חייב להתקשר עם ASV לצורך סריקות פגיעות רבעוניות - כך שאם ברצונך לשמור על תאימות PCI ללא הוצאות נוספות, עליך להימנע מקבלת תשלומי כרטיסי אשראי ישירות באופן מקוון.. במקום זאת, ייתכן שתרצה לבנות את חלון הראווה המקוון שלך דרך אתר אחר, כגון eBay או Etsy, שתואם PCI ויעבד תשלומים עבורך.
  2. 2
    עבוד עם קבלנים התואמים ל- pci. אם אתה משתמש בעסקים או שירותים אחרים, כגון שירות אירוח אתרים שלך, עליך להבין וליישם אמצעי אבטחה התואמים ל- PCI DSS.
    • על מארח האינטרנט שלך להבין PCI ולהיות מסוגל לעבוד עם העסק שלך כדי להשיג תאימות - במיוחד אם אתה מתכנן להציע מוצרים למכירה באינטרנט.
    • זכור שכדי שהעסק שלך ישמור על תאימות PCI, כל ספק, שותף או ספק שירות איתו אתה עובד חייב להיות תואם PCI אם הוא נחשף לנתוני בעל הכרטיס.
  3. 3
    הצפן נתונים בכל המחשבים והשרתים. אם אתה שומר נתונים רגישים של מחזיקי כרטיס, אפילו לפרק זמן קצר, הצפנת נתונים עוזרת לשמור על אבטחת הנתונים.
    • אם בכלל אפשרי, הימנע בכלל מאחסון מספרי כרטיסי אשראי ומידע כזה במחשבי העסק שלך או ברשת שלך. אם כן, כל המערכת הפיזית שלך חייבת לעמוד בתקני תאימות PCI, אשר עשויים לכלול הוצאות כסף לעדכון תכונות האבטחה והתקנת הגנה נוספת.
    • אם אתה אכן שומר נתוני מחזיקי כרטיס, בדרך כלל תזדקק להצפנה בכל המחשבים והשרתים שבהם העסק שלך משתמש, כולל כונני גיבוי וקבצי שחזור.
    • ההצפנה מונעת ממישהו שעשוי לגנוב את המחשבים שלך או לפרוץ אליהם, מגישה לנתונים המאוחסנים שם ללא מפתח ההצפנה.
    • למרות שתוכנות הצפנה יכולות להיות די קלות להתקנה ולהטמעה בכל המערכת שלך, תחויב בעלויות נוספות בצורה של דמי רישיון משתמש עבור התוכנית.
  4. 4
    התקן תוכנת אנטי-וירוס. שמירה על עדכניות תוכנת האנטי-וירוס מגנה על הרשת ועל הסימפטומים מפני וירוסים ותוכנות זדוניות.
    • תוכנת האנטי-וירוס שלך צריכה להיות מתוכננת כדי למנוע מאף אחד להוריד או להתקין תוכנית כלשהי אלא אם כן הוא או היא מזינים סיסמת מנהל. ספק רק סיסמאות מנהל לעובדים חיוניים, ושנה אותם באופן קבוע.
    • תוכנת האנטי-וירוס שלך אמורה להיות מסוגלת גם ליצור יומני ביקורת עבור כל התהליכים שהושלמו במחשבים או ברשת שלך.
  5. 5
    הגן על הרשת שלך באמצעות חומות אש. חומות אש יכולות לעזור למנוע מהאקרים לחדור לרשת שלכם ולסכן את נתוני בעלי הכרטיס.
    • יש לזכור שרשתות אלחוטיות פגיעות במיוחד להאקרים. ייתכן שיהיה לך קל וחסכוני יותר להשתמש ברשתות קוויות, במיוחד להעברת נתונים רגישים של מחזיקי כרטיס.
  6. 6
    השתמש בסיסמאות חזקות. יש לשנות מיד כל סיסמת ספק או ברירת מחדל לסיסמה ייחודית
    • הנתב האלחוטי שלך צריך גם להיות מוגן באמצעות סיסמה כדי למנוע ממשתמשים זדוניים לגשת לרשת שלך ולהשחית אותה.
    • זכור שככל שסיסמה ארוכה יותר, כך קשה יותר לפצח אותה. אל תשתמש במילים או בביטויים המילוניים שקשורים לך כמובן, כגון כתובת הדוא"ל שלך, שם החברה או שם המחשב שלך.
    • ישנם שירותים רבים באינטרנט אשר יספקו לך סיסמאות הקסדצימליות שנוצרו באופן אקראי, אשר יכולות לספק כמה מההגנה על הסיסמה החזקה ביותר. גם אם אתה רוכש סיסמאות חזקות באמצעות שירות כזה, אתה עדיין צריך לשנות את הסיסמה שלך לעתים קרובות.
    • לעולם אל תכתוב את הסיסמאות על הנייר ואל תשאיר אותן בכל מקום ליד המחשבים שבהם מישהו יכול היה לראות או להעתיק אותן.
אז כדי להבטיח שאתה תואם לחלוטין ל- PCI
אז כדי להבטיח שאתה תואם לחלוטין ל- PCI, עליך להכיר ולהכיר את הסטנדרטים של כל מותגי הכרטיסים שאתה מקבל.

חלק 2 מתוך 4: פיתוח מדיניות אבטחת מידע

  1. 1
    קבע מנהל תאימות. על הצוות שלך לכלול אדם אחד שאחראי על שמירה ובדיקה של תאימות PCI.
    • על מנהל הציות שלך לבדוק את תקנות ה- PCI DSS על בסיס קבוע כדי לשמור על היכרות איתם ולפקח על המידע שהועדה על ידי מועצת התקנים לאבטחה של PCI בנוגע לפרשנות ויישום של תקנות אלה.
    • מנהל התאימות שלך יכול להוריד את מסמכי ה- PCI DSS האחרונים מספריית המסמכים המקוונת של מועצת התקנים האבטחה, הזמינה בכתובת https://pcisecuritystandards.org/security_standards/documents.php.
    • למרות ש- PCI DSS חל על כל מותגי הכרטיסים הגדולים, כל אחד מהם עשוי להיות בעל דרישות תאימות שונות במקצת. מנהל הציות שלך צריך להכיר את הסטנדרטים הספציפיים לכל סוג כרטיס שאתה מקבל.
    • הנחיות תאימות כללית מסופק על ידי המועצה לתקני אבטחה הם רק את המינימום - כל ספק כרטיס יכול לדרוש הגנות נוספות. אז כדי להבטיח שאתה תואם לחלוטין ל- PCI, עליך להכיר ולהכיר את הסטנדרטים של כל מותגי הכרטיסים שאתה מקבל.
    • אם העסק שלך לא יכול להרשות לעצמו להעסיק מישהו במיוחד לתפקיד זה, אתה עדיין צריך שיהיה מנהל מסוים בצוות המטפל בתאימות PCI. תוכל גם לפנות לבנק שמעבד את עסקאות כרטיסי האשראי שלך - המכונות בדרך כלל הבנק הרוכש שלך - ולשאול כיצד לעמוד בצורה הטובה ביותר בתקנים. לרבים מהבנקים הללו יש משאבים ועצות מומחים שהם יציעו לך ללא עלות.
  2. 2
    קנו והשתמשו רק במכשירי פינת כניסה ותוכנות תשלום מאושרים. התקנים ותוכנות מאושרים ומאומתים כבר עמדו בתקני תאימות PCI.
  3. 3
    שנה סיסמאות לעובדים באופן קבוע. מדיניות של שינוי סיסמאות לעובדים באופן קבוע או כאשר אירועים מסוימים מתרחשים יכולה לסייע במניעת גורמים בלתי מורשים לקבל גישה למערכת שלך.
    • אסור על עובדים לרשום את הסיסמאות שלהם או להשאיר אותם ליד המחשב או בכל מקום שמישהו אחר יוכל לקבל גישה אליהם.
    • שנה את כל סיסמאות העובד בכל עת שעובד עוזב את החברה שלך מכל סיבה שהיא והסר את הסיסמה הישנה של אותו עובד מהמערכת. מתן אפשרות למישהו שאינו מועסק עוד בחברה שלך המשך גישה למערכת שלך עלול לגרום להפרת אבטחה חמורה.
    • יש סיסמאות לעובדים בודדים עם רמות גישה המתאימות לתפקידם בעסק שלך, במקום שיהיו לך חשבונות ניהול כלליים או לתת לכולם גישה מנהלתית.
  4. 4
    הכשיר את צוות אבטחת הנתונים. כל העובדים המטפלים בנתונים רגישים של מחזיקי הכרטיס צריכים להבין כיצד לשמור על המידע בצורה הטובה ביותר ומה לעשות אם מתרחשת הפרת אבטחה.
    • וודא שכולם יודעים מיהו מנהל הציות וכיצד ניתן להשיג עליו אם מתגלה הפרה.
    • בדרך כלל מנהל הציות שלך יהיה גם אחראי על העברת מדיניות אבטחת הנתונים שלך ונהליך לעובדים האחרים שלך ולדאוג להם בכל שינוי או עדכון.
    • הדגישו בפני הצוות את החשיבות בשמירה על אבטחת נתוני מחזיקי הכרטיס, וסנקטו עובדים המפרים את מדיניות אבטחת המידע שלכם.
  5. 5
    אבטח פיזית את כל רשומות הנייר. אתה רוצה להימנע מרישום רשומות נייר הכוללות נתוני מחזיקי כרטיס כגון מספרי כרטיסי אשראי מלאים על גבי נייר.
    • שלוט בקפדנות בגישה לכל רשומות נייר המכילות נתוני בעל כרטיס כלשהו.
    • לעולם אל תרשום את מספר כרטיס האשראי המלא של הלקוח, במיוחד עם מידע מזהה אחר כגון שמו או תאריך התפוגה של הכרטיס.
    • ודא שמספר החשבון המלא של הלקוח מוסווה על כל הקבלות, כולל עותק הלקוח.
    • זכור כי יתכן שתצטרך להתקין מערכת אבטחה פיזית הכוללת מצלמות אבטחה ואזעקות דלתות, שאולי לא יכוסו או ייכללו בשכירות הנכסים שלך. באפשרותך למנוע עלויות נוספות אלה על ידי שמירת פרטי בעל הכרטיס במערכת שלך.
  6. 6
    צור תוכנית תגובה לאירועים. במקרה של הפרת אבטחה, כל המנהלים צריכים לדעת אילו צעדים יש לנקוט באופן מיידי לאבטחת הרשת שלך.
    • זכור כי ברוב המדינות יש חוקים המחייבים הודעה על מחזיקי הכרטיס במקרה של הפרת נתונים.
    • עליך לבדוק את חוק המדינה או המדינות בהן העסק שלך פועל כדי לקבוע איזה סוג של הודעה נדרשת בגין הפרות אבטחה.
    • עליך לעבוד עם מנהל הציות שלך על מנת לוודא כי כל הפרות או פגיעות שמתגלות מתוקנים או מתקנים בהקדם האפשרי לאחר גילוים הראשון.
  7. 7
    עדכן את המדיניות שלך לפי הצורך כדי לטפל בתקנות חדשות. כאשר מתוקנים תקנות PCI DSS, עליך לקבוע אילו שינויים עליך לבצע במערכת שלך או בהליכים כדי לשמור על תאימות. [[תמונה: להיות עסק עסקי-אנליסט-בראש-
שתואם PCI ויעבד תשלומים עבורך
במקום זאת, ייתכן שתרצה לבנות את חלון הראווה המקוון שלך דרך אתר אחר, כגון eBay או Etsy, שתואם PCI ויעבד תשלומים עבורך.

Management-Step-3-Version-2.jpg | מרכז]]

  1. 1
    • זכור כי הסטנדרטים צריכים להתפתח במהירות כדי לעמוד בקצב ההתקדמות הטכנולוגית. האקרים פועלים לשבור פרוטוקול אבטחה חדש ברגע שהוא מיושם, לכן המדיניות שלך חייבת להישאר גמישה ומותאמת לסביבה טכנולוגית המשתנה במהירות

חלק 3 מתוך 4: בדיקה וניטור הרשת שלך

  1. 1
    ערכו סריקות פגיעות רבעוניות. אם אתה מקבל תשלומים ישירות דרך האינטרנט, עליך לחפש פגיעויות אבטחה ברשת הציבורית.
    • לא כל הסוחרים נדרשים להגיש דוחות סריקה רבעוניים. אם אין לך חנות מקוונת, או אם תהליכי התשלום המקוון שלך הם במיקור חוץ לחלוטין, אינך צריך להשלים את הסריקות האלה כדי להישאר תואם PCI.
    • עם זאת, אם תהליכי התשלום שלך במיקור חוץ באופן חלקי, או אם אתה מקבל תשלומים ישירות דרך רשת מקוונת ציבורית, עליך לבצע סריקות רבעוניות ודוחות קבצים.
    • יש לזכור שביצוע סריקות רבעוניות יעלה כסף. עליך להתקשר עם ספק סריקה מאושר כגון ControlScan כדי לשמור על תאימות. סריקות רבעוניות אלה בדרך כלל יעלו כמה מאות דולרים בשנה.
    • אם תידרש להגיש סריקות רבעוניות, הבנק הרוכש שלך עשוי להמליץ על ספק מסוים. אתה יכול ללכת עם אותה חברה אם תרצה, אך ייתכן שיהיה שווה זמנך להסתובב ולראות אם תוכל למצוא פתרונות חסכוניים יותר אצל ספק אחר. הדרישה היחידה היא כי הספק חייב להיות מאושר על ידי מועצת PCI.
  2. 2
    בדוק מכשירי כניסה ומחשבים באופן קבוע. האקרים יכולים לצרף למכשיריכם "רחפנים" או מכשירים דומים בכדי ללכוד את נתוני כרטיסי האשראי כשהם מוזנים על ידי עובדים או לקוחות.
    • התקנים ניתנים להצבה מבחוץ של המכונות ויכולים להיות בלתי ניתנים לזיהוי, אלא אם כן אתה מסתכל מקרוב על המכונה שלך. ניתן להתקין תוכנה גם לגניבת נתונים רגישים של מחזיקי הכרטיס. ודא שאתה בודק את כל המכונות והמערכות באופן קבוע ושתוכנית האנטי-וירוס שלך אוסרת על התקנת תוכניות או תוכנות ללא סיסמת מנהל.
  3. 3
    יישום יומני מבקרים ושבילי ביקורת אוטומטיים. במקרה של הפרה או בעיה בעסקה, יומני ושבילים אלה מספקים לך מידע על כל פעם שנעשתה גישה לעסקה. [[תמונה: עבודה-אפקטיבי-ושמור-
כל המערכת הפיזית שלך חייבת לעמוד בתקני תאימות PCI
אם כן, כל המערכת הפיזית שלך חייבת לעמוד בתקני תאימות PCI, אשר עשויים לכלול הוצאות כסף לעדכון תכונות האבטחה והתקנת הגנה נוספת.

Oneself-Amidst-Diversities-Step-3.jpg | center]]

  1. 1
    • יומנים צריכים לכלול מספיק פרטים כדי לאפשר לך ליצור מחדש את כל הגישות של המשתמשים האישיים לנתוני כל הכרטיסים, פעולות של כל מי שמשתמש בסיסמת מנהל, כל ניסיונות גישה לא חוקיים וכל גישה ליומנים עצמם.
    • כל רשומת יומן צריכה לכלול זיהוי משתמש, סוג האירוע, התאריך והשעה של האירוע, האם ניסיון הגישה הצליח או נכשל, היכן התרחש ניסיון הגישה ואילו נתונים היו מעורבים.
הצפנת נתונים עוזרת לשמור על אבטחת הנתונים
אם אתה שומר נתונים רגישים של מחזיקי כרטיס, אפילו לפרק זמן קצר, הצפנת נתונים עוזרת לשמור על אבטחת הנתונים.

חלק 4 מתוך 4: שמירה על תיעוד מתאים

  1. 1
    הגש דוחות סריקה רבעוניים. אם אתה נדרש לבצע סריקות פגיעות רבעוניות, עליך לשלוח את הדוחות על סריקות אלה לבנקים הרוכשים שלך ולכל מותגי הכרטיסים איתם אתה עושה עסקים.
    • הדוח מספק ראיות לכך שעברת את סריקת הפגיעות שנערכה על ידי ספק סריקה מאושר.
    • כל 90 יום או לפחות פעם ברבעון, עליך להגיש דוח סריקה מוצלח לבנק הרוכש שלך. בדרך כלל הבנק יקבע את לוח הזמנים המכתיב מתי יש לדוחות שלך.
  2. 2
    מלא את השאלון שלך בהערכה עצמית (SAQ) מדי שנה. ברוב המקרים, עסקים קטנים זכאים להשלים SAQ במקום לשלם עבור אימות משוכלל יותר.
    • ה- SAQ מיועד לעסקים קטנים, וברוב המקרים תוכלו למלא אותו בעצמכם, או בסיוע מנהל הציות שלכם, מבלי שייווצר לכם עלויות נוספות.
    • ה- SAQ המסוים שעליך למלא בכל שנה יהיה תלוי בשיטות העיבוד בהן אתה משתמש והאם אתה מעבד את התשלומים שלך או עורך עיבוד תשלומים לצד שלישי מאומת PCI.
    • יש לשלוח את דוחות ההערכה שלך לבנק הרוכש שלך ולכל מותג כרטיסים שאתה מקבל בעסק שלך.
  3. 3
    שמור על תיעוד של כל מפתחות ההצפנה והיסטוריית שבילי הביקורת. עליך להקליט ולשמור את כל מפתחות ההצפנה הנדרשים כדי לגשת לנתונים מוצפנים במקרה שקורה משהו למערכת שלך ואתה צריך לשחזר את הנתונים שלך.
    • אם יש לך הצפנת נתונים בכוננים וברשת שלך, עליך לשמור על תיעוד תקין של המפתחות כדי שלא ניתן יהיה להצפין קבצי שחזור.
    • כמו בכל הנתונים האחרים, יש לאבטח גם תיעוד זה. אם אתה שומר מידע זה בקובץ פיזי, יש לשמור אותו תחת נעילה ופתח עם גישה מוגבלת ופיקוח בהחלט. עם זאת, במקביל עליך לוודא שאנשי מפתח כגון מנהל התאימות שלך יוכלו לגשת למידע במידת הצורך.
    • יש לשמור יומני מבקרים במשך שלושה חודשים לפחות, ולהשאיר את היסטוריית שבילי הביקורת לפחות שנה.
הצהרה משפטית תוכן מאמר זה מיועד לידיעתך הכללית ואינו מיועד להוות תחליף למשפט מקצועי או לייעוץ פיננסי. כמו כן, אין הכוונה להסתמך על ידי המשתמשים בקבלת החלטות השקעה כלשהן.
מאמרים בנושאים דומים
  1. כיצד מחשבים הנחה בתשלום מוקדם?
  2. כיצד להפוך לסוחר כרטיסי אשראי?
  3. כיצד להקים מערכת חיוב?
  4. כיצד להקים חשבון סוחר?
  5. איך להיות תואם PCI?
  6. כיצד להנפיק חשבונית מחדש?
FacebookTwitterInstagramPinterestLinkedInGoogle+YoutubeRedditDribbbleBehanceGithubCodePenWhatsappEmail