איך להיות תואם PCI בחינם?

1. 1
   קבע מנהל תאימות. על הצוות שלך לכלול אדם אחד שאחראי על שמירה ובדיקה של תאימות PCI.

   • על מנהל הציות שלך לבדוק את תקנות ה- PCI DSS על בסיס קבוע כדי לשמור על היכרות איתם ולפקח על המידע שהועדה על ידי מועצת התקנים לאבטחה של PCI בנוגע לפרשנות ויישום של תקנות אלה.
   • מנהל התאימות שלך יכול להוריד את מסמכי ה- PCI DSS האחרונים מספריית המסמכים המקוונת של מועצת התקנים האבטחה, הזמינה בכתובת https://pcisecuritystandards.org/security_standards/documents.php.
   • למרות ש- PCI DSS חל על כל מותגי הכרטיסים הגדולים, כל אחד מהם עשוי להיות בעל דרישות תאימות שונות במקצת. מנהל הציות שלך צריך להכיר את הסטנדרטים הספציפיים לכל סוג כרטיס שאתה מקבל.
   • הנחיות תאימות כללית מסופק על ידי המועצה לתקני אבטחה הם רק את המינימום - כל ספק כרטיס יכול לדרוש הגנות נוספות. אז כדי להבטיח שאתה תואם לחלוטין ל- PCI, עליך להכיר ולהכיר את הסטנדרטים של כל מותגי הכרטיסים שאתה מקבל.
   • אם העסק שלך לא יכול להרשות לעצמו להעסיק מישהו במיוחד לתפקיד זה, אתה עדיין צריך שיהיה מנהל מסוים בצוות המטפל בתאימות PCI. תוכל גם לפנות לבנק שמעבד את עסקאות כרטיסי האשראי שלך - המכונות בדרך כלל הבנק הרוכש שלך - ולשאול כיצד לעמוד בצורה הטובה ביותר בתקנים. לרבים מהבנקים הללו יש משאבים ועצות מומחים שהם יציעו לך ללא עלות.
2. 2
   קנו והשתמשו רק במכשירי פינת כניסה ותוכנות תשלום מאושרים. התקנים ותוכנות מאושרים ומאומתים כבר עמדו בתקני תאימות PCI.

   • למועצה לתקני אבטחה יש רשימה של מכשירים מאושרים הזמינים באתר האינטרנט שלה בכתובת https://pcisecuritystandards.org/approved_companies_providers/approved_pin_transaction_security.php. הרשימה מסודרת בסדר אלפביתי לפי שם החברה שמוכרת את המכשיר, וניתנת לחיפוש במספר תחומים שונים כולל שם המוצר והפונקציות הניתנות.
   • רשימה של יישומי תשלום מאומתים זמינה באתר המועצה לתקני אבטחה בכתובת https://pcisecuritystandards.org/approved_companies_providers/vpa_agreement.php. ברשימה זו ניתן לחיפוש לפי שם החברה, שם היישום או סוג היישום.
3. 3
   שנה סיסמאות לעובדים באופן קבוע. מדיניות של שינוי סיסמאות לעובדים באופן קבוע או כאשר אירועים מסוימים מתרחשים יכולה לסייע במניעת גורמים בלתי מורשים לקבל גישה למערכת שלך.

   • אסור על עובדים לרשום את הסיסמאות שלהם או להשאיר אותם ליד המחשב או בכל מקום שמישהו אחר יוכל לקבל גישה אליהם.
   • שנה את כל סיסמאות העובד בכל עת שעובד עוזב את החברה שלך מכל סיבה שהיא והסר את הסיסמה הישנה של אותו עובד מהמערכת. מתן אפשרות למישהו שאינו מועסק עוד בחברה שלך המשך גישה למערכת שלך עלול לגרום להפרת אבטחה חמורה.
   • יש סיסמאות לעובדים בודדים עם רמות גישה המתאימות לתפקידם בעסק שלך, במקום שיהיו לך חשבונות ניהול כלליים או לתת לכולם גישה מנהלתית.
4. 4
   הכשיר את צוות אבטחת הנתונים. כל העובדים המטפלים בנתונים רגישים של מחזיקי הכרטיס צריכים להבין כיצד לשמור על המידע בצורה הטובה ביותר ומה לעשות אם מתרחשת הפרת אבטחה.

   • וודא שכולם יודעים מיהו מנהל הציות וכיצד ניתן להשיג עליו אם מתגלה הפרה.
   • בדרך כלל מנהל הציות שלך יהיה גם אחראי על העברת מדיניות אבטחת הנתונים שלך ונהליך לעובדים האחרים שלך ולדאוג להם בכל שינוי או עדכון.
   • הדגישו בפני הצוות את החשיבות בשמירה על אבטחת נתוני מחזיקי הכרטיס, וסנקטו עובדים המפרים את מדיניות אבטחת המידע שלכם.
5. 5
   אבטח פיזית את כל רשומות הנייר. אתה רוצה להימנע מרישום רשומות נייר הכוללות נתוני מחזיקי כרטיס כגון מספרי כרטיסי אשראי מלאים על גבי נייר.

   • שלוט בקפדנות בגישה לכל רשומות נייר המכילות נתוני בעל כרטיס כלשהו.
   • לעולם אל תרשום את מספר כרטיס האשראי המלא של הלקוח, במיוחד עם מידע מזהה אחר כגון שמו או תאריך התפוגה של הכרטיס.
   • ודא שמספר החשבון המלא של הלקוח מוסווה על כל הקבלות, כולל עותק הלקוח.
   • זכור כי יתכן שתצטרך להתקין מערכת אבטחה פיזית הכוללת מצלמות אבטחה ואזעקות דלתות, שאולי לא יכוסו או ייכללו בשכירות הנכסים שלך. באפשרותך למנוע עלויות נוספות אלה על ידי שמירת פרטי בעל הכרטיס במערכת שלך.
6. 6
   צור תוכנית תגובה לאירועים. במקרה של הפרת אבטחה, כל המנהלים צריכים לדעת אילו צעדים יש לנקוט באופן מיידי לאבטחת הרשת שלך.

   • זכור כי ברוב המדינות יש חוקים המחייבים הודעה על מחזיקי הכרטיס במקרה של הפרת נתונים.
   • עליך לבדוק את חוק המדינה או המדינות בהן העסק שלך פועל כדי לקבוע איזה סוג של הודעה נדרשת בגין הפרות אבטחה.
   • עליך לעבוד עם מנהל הציות שלך על מנת לוודא כי כל הפרות או פגיעות שמתגלות מתוקנים או מתקנים בהקדם האפשרי לאחר גילוים הראשון.
7. 7
   עדכן את המדיניות שלך לפי הצורך כדי לטפל בתקנות חדשות. כאשר מתוקנים תקנות PCI DSS, עליך לקבוע אילו שינויים עליך לבצע במערכת שלך או בהליכים כדי לשמור על תאימות. [[תמונה: להיות עסק עסקי-אנליסט-בראש-

Management-Step-3-Version-2.jpg | מרכז]]

1. 1
   • זכור כי הסטנדרטים צריכים להתפתח במהירות כדי לעמוד בקצב ההתקדמות הטכנולוגית. האקרים פועלים לשבור פרוטוקול אבטחה חדש ברגע שהוא מיושם, לכן המדיניות שלך חייבת להישאר גמישה ומותאמת לסביבה טכנולוגית המשתנה במהירות

1. 1
   ערכו סריקות פגיעות רבעוניות. אם אתה מקבל תשלומים ישירות דרך האינטרנט, עליך לחפש פגיעויות אבטחה ברשת הציבורית.

   • לא כל הסוחרים נדרשים להגיש דוחות סריקה רבעוניים. אם אין לך חנות מקוונת, או אם תהליכי התשלום המקוון שלך הם במיקור חוץ לחלוטין, אינך צריך להשלים את הסריקות האלה כדי להישאר תואם PCI.
   • עם זאת, אם תהליכי התשלום שלך במיקור חוץ באופן חלקי, או אם אתה מקבל תשלומים ישירות דרך רשת מקוונת ציבורית, עליך לבצע סריקות רבעוניות ודוחות קבצים.
   • יש לזכור שביצוע סריקות רבעוניות יעלה כסף. עליך להתקשר עם ספק סריקה מאושר כגון ControlScan כדי לשמור על תאימות. סריקות רבעוניות אלה בדרך כלל יעלו כמה מאות דולרים בשנה.
   • אם תידרש להגיש סריקות רבעוניות, הבנק הרוכש שלך עשוי להמליץ על ספק מסוים. אתה יכול ללכת עם אותה חברה אם תרצה, אך ייתכן שיהיה שווה זמנך להסתובב ולראות אם תוכל למצוא פתרונות חסכוניים יותר אצל ספק אחר. הדרישה היחידה היא כי הספק חייב להיות מאושר על ידי מועצת PCI.
2. 2
   בדוק מכשירי כניסה ומחשבים באופן קבוע. האקרים יכולים לצרף למכשיריכם "רחפנים" או מכשירים דומים בכדי ללכוד את נתוני כרטיסי האשראי כשהם מוזנים על ידי עובדים או לקוחות.

   • התקנים ניתנים להצבה מבחוץ של המכונות ויכולים להיות בלתי ניתנים לזיהוי, אלא אם כן אתה מסתכל מקרוב על המכונה שלך. ניתן להתקין תוכנה גם לגניבת נתונים רגישים של מחזיקי הכרטיס. ודא שאתה בודק את כל המכונות והמערכות באופן קבוע ושתוכנית האנטי-וירוס שלך אוסרת על התקנת תוכניות או תוכנות ללא סיסמת מנהל.
3. 3
   יישום יומני מבקרים ושבילי ביקורת אוטומטיים. במקרה של הפרה או בעיה בעסקה, יומני ושבילים אלה מספקים לך מידע על כל פעם שנעשתה גישה לעסקה. [[תמונה: עבודה-אפקטיבי-ושמור-

Oneself-Amidst-Diversities-Step-3.jpg | center]]

1. 1
   • יומנים צריכים לכלול מספיק פרטים כדי לאפשר לך ליצור מחדש את כל הגישות של המשתמשים האישיים לנתוני כל הכרטיסים, פעולות של כל מי שמשתמש בסיסמת מנהל, כל ניסיונות גישה לא חוקיים וכל גישה ליומנים עצמם.
   • כל רשומת יומן צריכה לכלול זיהוי משתמש, סוג האירוע, התאריך והשעה של האירוע, האם ניסיון הגישה הצליח או נכשל, היכן התרחש ניסיון הגישה ואילו נתונים היו מעורבים.

1. 1
   הגש דוחות סריקה רבעוניים. אם אתה נדרש לבצע סריקות פגיעות רבעוניות, עליך לשלוח את הדוחות על סריקות אלה לבנקים הרוכשים שלך ולכל מותגי הכרטיסים איתם אתה עושה עסקים.

   • הדוח מספק ראיות לכך שעברת את סריקת הפגיעות שנערכה על ידי ספק סריקה מאושר.
   • כל 90 יום או לפחות פעם ברבעון, עליך להגיש דוח סריקה מוצלח לבנק הרוכש שלך. בדרך כלל הבנק יקבע את לוח הזמנים המכתיב מתי יש לדוחות שלך.
2. 2
   מלא את השאלון שלך בהערכה עצמית (SAQ) מדי שנה. ברוב המקרים, עסקים קטנים זכאים להשלים SAQ במקום לשלם עבור אימות משוכלל יותר.

   • ה- SAQ מיועד לעסקים קטנים, וברוב המקרים תוכלו למלא אותו בעצמכם, או בסיוע מנהל הציות שלכם, מבלי שייווצר לכם עלויות נוספות.
   • ה- SAQ המסוים שעליך למלא בכל שנה יהיה תלוי בשיטות העיבוד בהן אתה משתמש והאם אתה מעבד את התשלומים שלך או עורך עיבוד תשלומים לצד שלישי מאומת PCI.
   • יש לשלוח את דוחות ההערכה שלך לבנק הרוכש שלך ולכל מותג כרטיסים שאתה מקבל בעסק שלך.
3. 3
   שמור על תיעוד של כל מפתחות ההצפנה והיסטוריית שבילי הביקורת. עליך להקליט ולשמור את כל מפתחות ההצפנה הנדרשים כדי לגשת לנתונים מוצפנים במקרה שקורה משהו למערכת שלך ואתה צריך לשחזר את הנתונים שלך.

   • אם יש לך הצפנת נתונים בכוננים וברשת שלך, עליך לשמור על תיעוד תקין של המפתחות כדי שלא ניתן יהיה להצפין קבצי שחזור.
   • כמו בכל הנתונים האחרים, יש לאבטח גם תיעוד זה. אם אתה שומר מידע זה בקובץ פיזי, יש לשמור אותו תחת נעילה ופתח עם גישה מוגבלת ופיקוח בהחלט. עם זאת, במקביל עליך לוודא שאנשי מפתח כגון מנהל התאימות שלך יוכלו לגשת למידע במידת הצורך.
   • יש לשמור יומני מבקרים במשך שלושה חודשים לפחות, ולהשאיר את היסטוריית שבילי הביקורת לפחות שנה.