איך להיות תואם PCI?

שהוטמע בספטמבר 2009 (DSS v 1,2) הציג את 12 הדרישות שעל סוחר לבחון על מנת להיות תואם PCI
תקן ה- PCI DSS הראשון, שהוטמע בספטמבר 2009 (DSS v 1,2) הציג את 12 הדרישות שעל סוחר לבחון על מנת להיות תואם PCI.

PCI, הנקרא לעתים קרובות PCI DSS, מייצג את תקן אבטחת הנתונים של תעשיית כרטיסי התשלום. בקיצור, PCI הוא מערכת סטנדרטים בתעשייה המשמשת למדידת האבטחה של עסקים המקבלים, מעבדים, מאחסנים ומעבירים פרטי כרטיס אשראי. חברות שתואמות PCI פחות סובלות מהפרות נתונים העלולות לחשוף את הלקוחות לזהות גניבות. אם יש לך מזהה סוחר ומקבלים כרטיסי אשראי בעסק הפיזי או הווירטואלי שלך, אתה כפוף לתקני התעשייה של PCI DSS. מועצת התקנים לאבטחת PCI היא קבוצה עצמאית של אנשי מקצוע בתעשייה החוקרת סוגיות אבטחה מתפתחות של PCI וליצור את התוכניות והסטנדרטים לשמירה על תקינות מערכת כרטיסי התשלום.

חלק 1 מתוך 3: סקירת יסודות PCI DSS

  1. 1
    אשר את רמת הסוחר שלך. הצעד הראשון הוא לדון ולאמת את רמת הסוחר שלך מול הבנק או המסלקה המטפלת בעסקאות כרטיס האשראי שלך. סוחרים מחולקים לארבע קטגוריות על בסיס עסקת כרטיסי VISA לאורך 12 חודשים. רמת הסוחר שלך תקבע עד כמה תוכניות התאימות ל- PCI צריכות להיות מחמירות.
    • סוחר ברמה 1 מעבד למעלה מ -6 מיליון עסקאות VISA בשנה או מיועד לרמה 1 על ידי חברת VISA.
    • סוחר ברמה 2 מקבל בין 1 ל -6 מיליון עסקאות VISA מדי שנה. זה כולל באופן אישי ומקוון.
    • סוחר דרג 3 יעבוד בין 20000 למיליון עסקאות VISA בשנה.
    • סוחר ברמה 4, הנחשב לסוחר קטן, לוקח פחות מ- 20000 תשלומי VISA בשנה.
    • דרישות PCI DSS חלות גם על עסקים המקבלים כרטיסי אשראי אחרים, כגון European Express, MasterCard ו- Discover. VISA משמש כמדד לקביעת רמות סוחר.
  2. 2
    הבן את העונשים בגין הפרות PCI DSS. עסקים שאינם תואמי PCI DSS עשויים להיות כפופים לקנסות, סנקציות ואובדן הרשאות מהמסלקה המעבדת תשלומי כרטיסי אשראי. אם כשל PCI יביא לאובדן נתונים בפועל, העסק עלול לעמוד בקנסות, עמלות גבוהות יותר וסנקציות אחרות מצד בנקים ומעבדי כרטיסי אשראי.
    • עסקים שאינם תואמי PCI עשויים להיות נתונים לתביעות ולהעמדה לדין ממשלתי בגין אי הגנה על נתוני הלקוחות.
  3. 3
    התוודע לשיטות האבטחה הטובות ביותר. תקן PCI DSS הראשון, שהוטמע בספטמבר 2009 (DSS v 1,2) הציג את 12 הדרישות שעל סוחר לבחון על מנת להיות תואם PCI. בהתאם לרמת הסוחר שלך, כמות הטכנולוגיה, ההדרכה והמומחיות ליישום הסטנדרטים ישתנו. לדוגמא, רשת שמטפלת בשני מיליון עסקאות תהיה מתוחכמת יותר מרשת שמעבדת את שנת 2000.
    • PCI 3,1 נכנס לתוקף ביוני 2015 ועוסק בסטנדרטים חדשים בטכנולוגיה ומתייחס לפגיעויות בתוכניות הצפנה נפוצות.
    • שיטות העבודה המומלצות לתאימות PCI מתחלקות לחמש קטגוריות כלליות: רשת מאובטחת, הגנה על נתונים, ניהול פגיעות, בקרת גישה, ניטור ומדיניות אבטחה. למועצת PCI יש שאלון הערכה עצמית שיעזור לעסקים קטנים לקבוע עמידה בתקני האבטחה.
חברות שתואמות PCI פחות סובלות מהפרות נתונים העלולות לחשוף את הלקוחות לזהות גניבות
חברות שתואמות PCI פחות סובלות מהפרות נתונים העלולות לחשוף את הלקוחות לזהות גניבות.

חלק 2 מתוך 3: יישום תוכניות תאימות PCI

  1. 1
    בנה ותחזק רשת מאובטחת. עבור עסקים, המשמעות של זה היא פיתוח מערכת יחסים עם קבלן מהימן. אלא אם כן אתה מקצוען IT, אתה לא צריך להתקין רשת משלך אם היא תאחסן נתוני לקוחות. אפילו למערכת מהקופסה עלולות להיות נקודות תורפה אם לא מותקנות ומתעדכנות כראוי.
    • שמור על חומות האש שלך מעודכנות ותפעוליות. אל תתנו לעובדים להשבית חומות אש לכל מטרה שהיא.
    • שנה מיד סיסמאות שמספק הספק. כמו כן, יישם תוכנית סיסמאות לעובדים שלך. יש להחליף סיסמאות באופן קבוע בהתאם להוראות הספק. לדוגמא, סיסמאות צריכות להיות צירופי תווים אלפא-נומריים שאינם מילים במילון. אם הספק שלך עובד במערכת שלך, עליך לשנות את כל הסיסמאות כשהוא חוזר לרשת.
  2. 2
    הגן על מידע בעל הכרטיס. אם אתה מעבד כרטיסי אשראי ידנית, יש לשמור על ההחלקות והקבלות בקבצים נעולים עם גישה מוגבלת. אם פרטי בעל הכרטיס נשמרים ברשת שלך, הם צריכים להיות מוצפנים ומוגנים מאחורי חומות האש של החברה
  3. 3
    צור תוכנית ניהול פגיעות. יש להגן על המערכת שלך באמצעות תוכנת אנטי-וירוס מתאימה. אתה צריך גם תוכנית חברה האוסרת על הוספת תוכנה, כגון משחקים, שעלולה לפגוע במערכת.
  4. 4
    יישם בקרת גישה. יש להגביל את הגישה לסיסמה למערכת שלך. לכל עובד אמור להיות רק הגישה הדרושה לו כדי לבצע את עבודתו. הסבר שהדבר מגן על העובדים שלך ועל הלקוחות שלך. אם יש הפרת נתונים, הגישה המוגבלת תצמצם את האפשרויות ותסייע בחקירה.
    • עבור הרשת שלך, תן לכל משתמש ולכל מסוף מספר זיהוי ייחודי. במקרה של הפרה מאושרת או חשודה, אנשי ה- IT שלך יוכלו לזהות במהירות את נקודת הכניסה.
    • אבטח רשומות פיזיות המכילות נתוני לקוחות ובעלי כרטיס. השתמש במערכת מפתח כרטיס או במנעול ומפתח פיזי.
עסקים שאינם תואמי PCI DSS עשויים להיות כפופים לקנסות
עסקים שאינם תואמי PCI DSS עשויים להיות כפופים לקנסות, סנקציות ואובדן הרשאות מהמסלקה המעבדת תשלומי כרטיסי אשראי.

חלק 3 מתוך 3: בדיקה ושמירה על תאימות PCI

  1. 1
    לפקח ולבדוק את הרשתות שלך. תוכנית האבטחה שלך חייבת לכלול סריקות ובדיקות קבועות למעקב וניטור זרימת נתוני הלקוחות דרך הרשת שלך. איש המקצוע או הספק שלך יכול ליישם בדיקות הן כאשר המערכת נמצאת בשימוש נמוך (למשל, מאוחר בלילה בסופי שבוע) והן בזמן אמת כאשר המערכת נמצאת בשימוש.
    • ניהול יומן של תוצאות הבדיקה. דן כמה זמן לנהל רשומות בדיקה מול הבנק שלך וחברת הביטוח שלך.
  2. 2
    לפתח מדיניות אבטחת מידע. יש לתעד את כל השלבים בתוכנית התאימות ל- PCI במדיניות האבטחה שלך. מסמך זה צריך לפרט את כל הצעדים שהחברה שלך נוקטת בכדי לאבטח את נתוני הלקוחות. עבור סוחרים ברמה 1 עד 3, תוכנית זו עשויה לרוץ בכמה כרכים ולשלב את מדריך העובדים.
    • סביר להניח שסוחרים ברמה 1 עד 3 יתקשרו עם איש מקצוע בתחום האבטחה או שיהיו צוותים מסורים שהוכשרו במורכבויות כתיבת ושמירה על מדיניות אבטחת המידע.
    • סוחר דרג 4 צריך לפנות למסלקת כרטיסי האשראי לקבלת ייעוץ וסיוע ביצירת מדיניות האבטחה. אם המעבד אינו מספק תבנית תוכנית, עליך לשקול להתקשר עם איש מקצוע בתחום האבטחה כדי ליצור את המסמך. אלא אם כן אתה איש IT, אין זה סביר שתהיה בקיא מספיק בפרטים הטכניים של המערכת שלך כדי ליצור מדיניות אבטחה תואמת PCI. לאחר יצירתו, יהיה צורך לעדכן אותו רק כאשר הרשת שלך תורחב או תתעדכן. קבלן ה- IT שלך יכול לספק לך את המסמכים הדרושים לך כדי לעדכן את מדיניות האבטחה שלך.
    • מרבית תוכנית האבטחה שלך תהיה אופי טכני, כמו בבחירת חומת האש ותוכנת האבטחה, כמו גם פרוטוקולי הבדיקה. עם זאת, עליך לכלול גם חלקים אודות התהליך כאשר עובד עוזב את החברה וסיסמאות מבוטלות.
    • פיתחו תהליך לעקוב אחר המקשים והמפתחות. על מפתחות הראש להיות מוסדרים בקפדנות כמו סיסמאות ברמה גבוהה.
  3. 3
    להעריך, לתקן ולדווח על תאימות PCI שלך. לאחר הטמעת 12 החלקים בשיטות העבודה המומלצות של PCI, עליך לבצע מעת לעת את תהליך הבדיקה בשלושה שלבים של מועצת PCI כדי להבטיח שמירה על תאימות.
    • מלאי את מערכות ה- IT והתהליכים העסקיים שלך. אם משהו השתנה, עדכן את תוכניות האבטחה ותוכניות ניהול הפגיעות שלך.
    • אם אתה מוצא חולשה במערכת שלך, פתר את הבעיה. זה עשוי לדרוש ציוד או תוכנה חדשים, הדרכת משתמשים או עדכון הרשת שלך. מומחי IT צריכים ליישם שינויים אלה.
    • שמור תיעוד של פעולותיך והגיש דוחות על מאמצי הציות שלך לחברות הבנק וכרטיסי האשראי שלך. הדוחות, המאמצים והתובנות שלך עשויים לעזור לחברה אחרת להגן על נתוני הלקוחות.
שיטות העבודה המומלצות לתאימות PCI מתחלקות לחמש קטגוריות כלליות
שיטות העבודה המומלצות לתאימות PCI מתחלקות לחמש קטגוריות כלליות: רשת מאובטחת, הגנה על נתונים, ניהול פגיעות, בקרת גישה, ניטור ומדיניות אבטחה.

אזהרות

  • סוחרים ברמה 4 צריכים לדון בתאימות PCI לבנק או למסלקת כרטיסי האשראי ולבצע את ההמלצות.
  • אם אתה סוחר קטן מאוד, כגון עסק ביתי, אין זה סביר שתאחסן נתוני כרטיסים ברשת האישית שלך. עם זאת, עדיין עליך לבדוק את התהליכים שלך מול הבנק שלך. למועצת PCI יש הכשרה מקוונת ומשאבים שיעזרו לך למנוע גניבת נתוני לקוחות.

שאלות ותשובות

שאלות ללא מענה
  • כיצד אוכל לברר אם הציות שלי מעודכן?

הצהרה משפטית תוכן מאמר זה מיועד לידיעתך הכללית ואינו מיועד להוות תחליף למשפט מקצועי או לייעוץ פיננסי. כמו כן, אין הכוונה להסתמך על ידי המשתמשים בקבלת החלטות השקעה כלשהן.
FacebookTwitterInstagramPinterestLinkedInGoogle+YoutubeRedditDribbbleBehanceGithubCodePenWhatsappEmail