White Paper
פתרונות אבטחת מידע
10 טיפים לצליחת פרוייקט התאמה לתקן PCI DSS
Benjamin Baruch - Senior Security Consultant | CISSP, QSA, CCSE, MCSE-בנג'מין(בנימין) ברוך
שירותים מקצועיים, מחלקת יועצים ופתרונות "NSAP IT-CONSIDER IT DONE"
bb@nsapIT.com
מטרת המסמך
סטדנרט אבטחת המידע של תעשיית כרטיסי האשראי (PCI DSS) פותח אמנם כדי לכונן דרישות אבטחה מינימליות, אבל ישנן מספר רב של שיטות שחברות יכולות לאמץ על מנת שכוונתו של הסטנדרט תובן ובנוסף כדי להבטיח מימוש חלק ויעיל שלו. מאמר זה מציין מספר קווים מנחים שנועדו לאפשר רמה גבוהה של הצלחה כאשר מבצעים פרוייקט התאמה לסטנרט PCI DSS. עצות אלו אינם חוקים, אלא יותר תובנות שמבוססות על שנים של נסיון בתעשייה.
סטנדרט האבטחה של תעשיית כרטיסי האשראי הוא תקן תעשייתי שפותח כדי להקל על אימוץ רחב של אמות מידה עקביות בתחום אבטחת מידע בקנה מידה עולמי. הPCI DSS נדרש מכל הסוחרים וספקי השירותים שאוספים, מעבדים או משדרים נתונים של כרטיסי אשראי מאחת מחברות האשראי המשתתפות בתקן. חברות אשראי אלו מהוות את רשות האשראי העליונה, מועצת תקני האבטחה של חברות האשראי
(PCI Security Standards Council) והינן: אמריקן אקספרס, דיסקאבר, JCB, MasterCard וויזה.
חברות רבות מאמינות שהתאמה לתקן הPCI היא משימה מפרכת שיכולה להעשות רק על ידי ארגונים שמבזבזות הון על צוותי IT. גישה זו להתאמה לא משקפת מבט מנוסה על התקן או על האסטרטגיות למימושו. תקן הPCI משרטט גישה מנהלתית להתאמתו ע"י חלוקתו לרשימת תיוג של כ-12 דרישות. בכדי לראות מעבר לחשיבה הביקורתית עליכם להבין מספר נקודות מפתח של התקן ואיך עליכם להתאימו לארגונכם או לעסק שלכם.
למרות שמאמר זה לא מציע פתרון קסם להתאמה ישירה של התקן, הוא כן מרכז בתוכו כמה גישות ותובנות חשובות שיספקו לכם מבט מעמיק יותר על תקן הPCI כדי להבטיח תאימות זו.
להלן כמה דרכים מומלצות להמנע מ"לאחר" לתאימות לתקן הPCI:
• החזיקו בקשרים קרובים עם צוות ההנהלה והפיתוחIT. פעמים רבות מאמץ ההתאמה לתקן מזוהה ומנוהל ע"י מטרות מפתח עסקיות ללא ההשתתפות של בעלי תפקידים חשובים וצוות טכני כדי להכין מטרות אלו מראש, ההתאמה עלולה להדחות או להתבצע בצורה לא נכונה.
• בצעו בדיקת פערים פנימים כחלק מההערכות לתקן הPCI וערכו הערכת מצב איכותית לגבי המכשולים בדרך, במיוחד אלו שלדעתכם יהיו הקשים ביותר או יגזלו את הזמן הרב ביותר. הבנת מכשולים אלו, שדורשים את מירב הזמן בתהליך, יאפשרו לכם לסיים כמה מסלולי תהליכים במקביל. לדוגמה, אם תפנו למכשולים אלו בצורה מנהלתית גרידא, אולי תזהו את דרישה 12.8 רק לקראת הסוף של תהליך הביקורת. דרישה זו עוסקת בהסכמים עם ספקי שירותים שיקחו זמן רב לשנות. יש לגשת לנושאים כמו דרישת תקן PCI 12.8 מוקדם ככל האפשר בתהליך הבדיקה בכדי להמנע מעיכובים בפרוייקט.
• שימוש בשיטת סדר העדיפויות לתקן הPCI הינה מאוד מומלצת, מכיוון שהיא מסייעת לפשט את התהליך. אופן השימוש בשיטה בצורה הטובה ביותר משתנה מארגון לארגון. למשל, ארגון קמעונאות גדול ישים בתור עדיפות גבוהה דרישות שלהן השפעה גדולה יותר על רשת נקודות המכירה ועל חנויות הרשת שלהם, בעוד מוקד טלפוני יתמקד בהחזקה וקידוד של נתונים. כל ארגון צריך להתאים את סדר העדיפויות שלו על בסיס הסביבה המיוחדת לו ולמערכותיו ובנוסף ליכולתו לקבל עליו סיכונים (כמו למשל מה יהיו ההשלכות של החלטה כמו לא להתייחס לדרישה עקרונית של התקן? האם תהיו מוכנים לקחת על עצמכם סיכון זה?).
• יש חשיבות רבה לבעל מקצוע מנוסה שיעזור לתכנן את מפת הדרכים של ההתאמה של הארגון, שכן הוא יכול למנוע שימוש בארכיטקטורות, תצורות, ודרכי טיפול שעלולות להיות מיותרות. אם אין מומחה כזה בנמצא בארגונכם, יהיה זה נבון ליצור קשר עם בודק אבטחה מומחה (QSA) ועדיף מוקדם מאשר מאוחר. חברות מסויימות מרגישות שהן יכולות לחסוך כסף כשהן נמנעות ממומחים מגופים חיצוניים ומבינות רק בחלק מאוחר של הפרוייקט שהדבר עומד בעוכריהן ועלול לעלות יותר כסף מאשר לחסוך - בין מהקלת ראש במאמץ הPCI, דבר שיגרור ביצוע מחדש של התהליך מאוחר יותר, או ההפך - ביצוע שינויים גדולים מדי שיבזבזו זמן ומשאבים.
עצה מס' 2 - עקבו אחרי עקרונות של ניהול פרוייקטים: מצאו אחראי לפרוייקט, גייסו צוות מיוחד, הכינו מאבני דרך לפרוייקט
התאמה לתקן האבטחה PCI דורש מאמץ מרוכז. כוח העבודה, ההשקעה והזמן של ארגונים לעיתים מבוזבז לשווא אם כל האנרגיות אינן מנותבות בכיוון אחד ומובלות ע"י דרך ניהול פרוייקטים בריאה.
התאמה לתקן היא "פרוייקט" אמיתי שצריך להערך אליו כראוי. הצעד הראשון של ניהול הפרוייקט יהיה לוודא את תמיכת ההנהלה הבכירה ולדאוג לאחראי מיוחד לפרוייקט כדי להבטיח שמוקד החברה והשקעתה אכן נמצאים במאמץ ההתאמה.
הצעד השני של ניהול הפרוייקט, שהוא קריטי להצלחתו הכוללת, הוא לנסח מסמך מתועד ופורמלי לפרוייקט. דבר זה צריך, לכל הפחות, להתייחס לכל הסעיפים הנ"ל:
• מה גרם להתחלת הפרוייקט
• מה נעשה בשביל מי
• מה מטרת הפרוייקט
• מה יעד הסיום שלו
• מה הם מאפייני הצלחתו
• כמה תקציב מוקצה לו
• מה הם אבני הדרך העיקריות בתהליך, ומה הם תאריכי היעד שלהן
• מה בטווח התהליך ומה מחוצה לו
• מי הם כל המעורבים
• מי יושפעו מהתהליך
• לאיזה מקרים ניתן להערך מראש
• מה הן הנחות הבסיס
• כיצד יש לתקשר בין הגורמים והמומחים ובאיזו שיטה
השלב השלישי וההכרחי מאוד של תהליך זה הוא לייסד צוות מיוחד, בו נציגים מכל גורמי המפתח בארגון המעורבים בתהליך. אחריותו של צוות זה היא לשמור על מיקוד ורציפות של התהליך בארגון ולבקר את קצב התנהלותו, הן במסמכים פורמלים ומבוקרים או לחליפין בתוכנה מיוחדת שתאפשר לכן לנהל את הסיכונים ואת אבני הדרך בארגונכם.
עצה מס' 3 - הגבל טווח "הסביבה" עד כמה שניתן
הטווח של תהליך ההתאמה לתקן נקבע לפי מיקומם הלוגי והפיסי של השרתים או המידע, מעובד ואו משודר אצל כל סוחר וספק שירותים. תריסר הדרישות של התקן תואמות לכל רכיבי המערכת. האחרונים מוגדרים ככל רכיב רשת, שרת או אפליקציה שמכילה או מחוברת לנתונים של סביבת המידע של מחזיקי הכרטיסים. אם אין סגמנטציה נכונה בין תתי הרשתות, כל הרשת של הארגון עלולה להכלל בטווח הבדיקה עבור התקן. סגמנטציה נכונה של הרשת יכולה להתבע ע"י התקנת חומות-אש (מוגדרות וממודרות כנדרש) בין כל תתי הרשתות השונות.
תקן הPCI מציין בבירור שסגמנטציה של הרשת שמאפשרת בידוד בין מערכות שמאחסנות, מעבדות ומשדרות נתוני אשראי מאלו שאינן, תתן הגנה מספקת שתצמצם באופן ניכר את טווח הפרוייקט.
ארגונים צריכים תמיד להפריד את סביבת נתוני האשראי באופן מקסימלי משאר מערכותיהם. אילולא יעשו זאת, טווח ההתאמה יגדל בתחומים אין ספור, דבר שיתבטא בהגברת המאמצים והארכת לוח הזמנים הנדרשים, הרבה מעבר למה שנצפה בתחילה.
עצה מס' 4 - אל תאחסן את מה שלא נחוץ לאחסן, היפטר מנתונים רגישים
ישנו כלל ברזל בהתאמת תקן הPCI - אם אתה לא צריך את זה (למשל נתוני בעלי האשראי, להלן CHD), אל תאחסן את זה. ארגונים רבים שומרים אצלם מידע רב מדי שבלי שיהיה להם כל שימוש בו.
לפי ממצאי תחקיר חדירה לנתונים שערכו בשנת 2010, 43% מהחדירות גילו לפחות סוג אחד של גורם בחזקת "לא ידוע". אחד מהגורמים הלא ידועים השכיחים היה "אחסון מידע שהמערכת עצמה לא יודעת שקיים אצלה". תגלית זו מראה את החשיבות שגלומה בידע נרחב לגבי כל נכסי החברה, זרימת הנתונים של פעילויות עסקיות והחובה להפטר מכל מידע באם אין בו צורך.
המאמצים להשיג תאימות תקן PCI יגדלו באופן משמעותי אם קיים כל סוג של מידע של מחזיקי האשראי שמאוחסן ללא צורך. ארגונים חייבים להעריך בצורה אובייקטיבית איזה מידע הכרחי עבורם ביותר לשם תפקוד פעילות עסקיהם. על מידע מבעלי כרטיסי האשראי להיות מאוחסן בהיקף המינימלי האפשרי, כאשר מדובר אך ורק בחלק שהוא ההכרחי ביותר ושבלעדיו לא ניתן יהיה לבצע כל פעילות.
חשוב לדעת מה נחשב בתור מידע של מחזיקי אשראי ולפיכך מה שצריך להיות מוגן ואסור באחסון. גרסה 1.2 של מגדיר באופן ברור איזו אבטחה ותנאי אחסון דרושים לנתונים מעין אלה בחלק "PCI DSS Applicablitiy Information".
אפילו אם ישנה הצדקה עסקית מחייבת לאחסונו של הCHD, ישנם דרכים להסיר את נתוני וידוי האשראי כך שמידע זה יהיה מחוץ לטווח התקן. למשל, 4 הספרות האחרונות (xxxx-xxxx-xxxx-1234) של מספר הכרטיס או
Primary Account Number (PAN), אינו נחשב כCHD. כלומר, אפילו אם ישות מסויימת מחזיקה בשמו של בעל האשראי, בתוקפו ובמספרו, יחד עם ה PANהמקוצר (שצויין לעיל), תקן הPCI אינו מוחל על סוג כזה של אחסון מידע. שיטה נוספת להמנע מאחסון של CHD היא צורה חזקה של טכניקות ערבול חד-צדדיות.(one way hashing)
ישנו סוג אחר של מידע האסור לאחסון ללא הרשאה מיוחדת, אפילו אם הינו מוצפן או מעורבל. מידע זה קרוי נתוני זיהוי רגישים . אף על פי כן, ישנן תפיסות שגויות בקרב ארגונים אשר טוענים כי אחסון מידע זה לאחר ביצוע האישור עצמו נדרש למען מטרות עסקיות מסויימות (למשל עבור הדפסת העברות תכופות למען הלקוח), מניעת קונפליקטים פיננסיים, ומצבי charge-back. לא קיימת סיבה עסקית מוצדקת להחזיק במידע שכזה לאחר ביצוע האישור מכיוון שלא אחד מהמצבים שמוצגים לעיל דורש הזנה מחדש של מידע רגיש זה. אחסון של מידע זה יכול לגרום לדחיות מיותרות בפרוייקט ההתאמה ולהנדסה מחדש של תהליכים עסקיים.
עצה מס' 5 - הבטיחו עצמכם מעבר לרשימות ולכללים: עקבו אחרי המטרה שמאחורי האמצעים
מנהלי אבטת מידע בארגונים רבים נוטים לחפש רשימת משימות מוכנה מראש בכדי לפשט את משימות ההתאמה האבטחתית שלו. מה שחברי הצוות בדרך כלל שוכחים הוא שמאחורי כל רשימת משימות, ישנן סיבות אמיתיות.
רשימת משימות הינה רק דרך אחת לספק התאמה למשימה הניתנה. בזמן שרשימת תיוג ו/או כל כלי אחר יכול לספק לארגון שיטה מהירה וקלה לביקורת של משימות, מה שחשוב הוא לא המשימות השונות שיש לבצע, אלא הכוונה מאחוריהן. פעמים רבות, רשימת משימות וכל כלי אחר יכולה לצייר תמונה מושלמת, בעוד המצב כפי שהוא בשטח רחוק מלהיות כזה. למרות שניתן להשתמש בכלים מסוג אלה, חשוב להפעיל שיקול דעת האם המאמצים שהוקצו באמת תואמים את הכוונה המקורית של הדרישה הספציפית.
דוגמה פשוטה של עניין זה היא דרישה של מעקב אחר התקשורת בחומת-אש לה אמצעי כיבוי חיצוני הנמצא בשליטת תוכנות ישנות. גישה מבוססת רשימת תיוג הדורשת את קיומה בלבד של חומת-אש כזו לא תגלה שום בעיה במימוש החיצוני.
דוגמה נוספת תהיה השליטה באופן המנוי לעדכוני אבטחה. אם צוות האבטחה מטפל בנושא זה אך ורק ע"י התקנה תמידית של עדכוני אבטחה, כפי שמפורסמים באתרי היצרנים ולא מנתחים את השינויים וההתראות ולוקחים צעדים הנדרשים מכך, אזי כוונת הדרישה לא מתמלאת כהלכה וכל המאמצים שנעשו בה אבודים מראש.
עצה מס' 6 - ערבו את כל בעלי העניין בפרוייקט - ההתאמה היא לא המשימה של מנהל הIT בלבד
השגת התאמה עם תקן הPCI דורשת את מעורבות כל בעלי התפקידים בארגון. מכיוון שהיא מובלת כפרוייקט רשמי, התערבות של אחראי הפרויקט בצד העסקי היא חיונית להצלחתו. צוות הפרוייקט צריך להיות מורכב מנציגים ממחלקת אבטחת המידע, עסקים, ניהול (של שירותי המתקן), משאבי אנוש ואחרונה אך חשובה, מחלקת טכנולוגיית המידע.
מכיוון שתריסר הדרישות של תקן הPCI מקיפות פונקציות שונות בתוך הארגון, השתתפות פעילה של כל פונקציות אלו תעזור לשמור על התאימות עם התקן.
מומלץ בחום להמנע מהעברת האחריות השלמה של כלל תהליך ההתאמה לתקן הPCI למנהל הIT ויכולה להיות מתכון לדיחויים לא צפויים ולמאמצים מיותרים - ויש סבירות גבוהה שזה אכן יקרה. הרי, תקן הPCI מעורב בתשלומי האשראי ותשלומי האשראי הם תוצאה של צורך עסקי כלשהו ולכן ההחלטות לשחרר או להגביל אחסון מידע על מחזיקי האשראי, לאשר השבתת המערכת לעיצוב מחדש של הרשת, לנהל עדכונים, לבצע בדיקות חדירה וכו ולהצדיק צורך עסקי לאחסון, לעיבוד ולשידור של מידע מחזיקי אשראי תמיד נעשה ע"י מנהלים. אלו הן רק דוגמאות מספר לפעולות שלא יכולות להעשות ע"י מנהל הIT בלבד. בדומה, אמצעי שליטה הקשורים לאגף משאבי האנוש צריכים להיות מנוהלים ומתוכננים ע"י הגורמים המתאימים.
מומלץ ביותר לייחד צוות אחראי שיכיל נציגים מכל האגפים הרלוונטיים אשר מהווים חלק בתהליך ההתאמה לתקן הPCI.
עצה מס' 7 - שאננות בעקבות תאימות עם תקנים אחרים, יכולה להזיק
תקן הPCI הינו ייחודי בכך שהוא הומצא, מתוחזק ונאכף הודות לסיבה אחת ספציפית: הגנה של נתוני אשראי. למרות שהתקן מתמקד בשיטות מועדפות של אבטחת מידע, הוא עדיין דורש תשומת לב מיוחדת ומיקוד.
ארגונים מסויימים נדהמים מכמות הפירוט שבתקן הPCI. החל בהגדרות של מאפייני בסיס בחומת-אש, דרך ניהול מפתחות הצפנה וקידוד ושמירה על כללי OWASP לאבטחת אפליקציות ועד לבדיקות חולשות רבעוניות ובדיקות חדירה שנתיות, תקן הPCI משאיר מעט מאוד מקום להנחות והתגמשות בזמן מימוש דרישות האבטחה שלו.
פעמים רבות תהליך ההתאמה מתבצע לאחר שהארגון כבר מימש תקני אבטחה אחרים, כדוגמת תקן ISO/IEC 27001 . בעוד שתקן ISO 27001 הוא תקן ציון דרך לאבטחת מידע ולו פרספקטיבה כללית, הוא אינו נכתב במיוחד על מנת להתמודד עם סיכונים הקשורים ישירות למידע של מחזיקי אשראי. טיפולו הייחודי של תקן הPCI הוא שמבדיל אותו מהאחרים ולכן דורש מאמץ נוסף ולעיתים שינוי בהתנהלות העסק וברכיבי הטכנולוגיה שלו על מנת להתאים לדרישות התאמה אלו.
לכן, גם אם הארגון כבר התאים עצמו לתקני אבטחה אחרים, הוא עדיין צריך להעריך בחריצות ולהסיק על פעילויות ו/או השקעות נוספות בתוכניתו לפרוייקט התאמה לתקן הPCI בכדי להמנע מלחץ ותוהו ובוהו של הרגע האחרון. מאמץ מוקדם זה ישיג כברת דרך למען העלאת רמת האבטחה הקיימת וישיג הבנה טובה לגבי מה באמת מושג בשטח - ומה עוד נדרש כדי להיות מידה אחת יותר מכפי שנדרש.
עצה מס' 8 - התאמה לנותן שירות היא המפתח
במסעיהם הממוקד לקראת התאמה לתקן הPCI, ארגונים שוכחים מהתהליך התואם של הסוחר ושל ספקי השירות שלהם. התאמת ספקי השירות היא חשובה בדיוק כמו של הארגון עצמו, מאחר והאחריות על ניהול העבודה שכוללת מידע על מחזיקי האשראי מועברת לגורמי צד ג' הדין וחשבון עדין נשאר אצל הארגון עצמו.
תקן PCI הינו תקן עם תוצאת תאימות בינארית ועל כן אם אפילו אחד מדרישותיו לא מתממשת, הארגון המועמד ייחשב כאחד ש"לא תואם" לתקן. אין מונח המתאים עבור ארגון "תואם חלקית". לכן, הקניית חשיבות זהה להתאמת גורמי צד ג' היא קריטית.
הערכות התאמה לסוחרים ולספקי השירות צריכה להעשות במקביל, מבלי לחכות שהשינויים התוך ארגוניים יושלמו. הנ"ל מומלץ ביותר, מכיוון שהשגת התאמה לשליטה מתאימה מצידו של נותן השירותים יכולה לדרוש תכנון מחדש של הפתרון שמומש, שינוי/ עדכון של המוצר המוצע, ו/או שינוי מנהלי של תנאי חוזה. האחרון הוא המאתגר ביותר, זה שדורש את מירב הזמן והינו עלול לסכן את מפת הדרכים של הארגון לתאימות מלאה עם תקן הPCI.
מכיוון שתחום שליטתו של הארגון הינה מוגבלת, וידוי התאמתו של ספק השירות עם תקן הPCI חשובה ביותר וקריטית להובלה בראשית פרוייקט ההתאמה של הארגון.
עצה מס' 9 - הערכות פנים ארגוניות הינן הרבה יותר ממועילה
התאמה עם תקן הPCI איננה קשה אם היא מתוכננת ומבוצעת בצורה יעילה. לפני שארגון ניגש להערכה סופית ע"י QSA חיצוני, עליו לבצע בעצמו בדיקת קדם פנימית. בדיקה עצמית זו, שיש להתייחס אליה כאל ביקורת מדומה, מבוצעת ע"י גורמים מוסמכים מטעם הארגון לביצוע בחינת התאמה לתקן בצורה רשמית.
בחינת קדם פנימית הינה מלאכה מורכבת שעוזרת לזהות מלכודות ופערים פוטנציאלים אשר באם מתגלים בזמן הופכים את ההגעה לתאימות מלאה לתקן להיות קלה יותר.
לביצוע משימת בדיקת קדם, לארגון נדרש צוות מוסמך, בעל ידע בכל דרישות תקן הPCI ובכל נוהלי האבטחה שלו. צוות זה יבצע את הערכותיו בדרך רשמית כך שכוונתה, קפדונתה ומבנהה של הבדיקה יישמרו.
עצה מס' 10 - תעד את מעשיך ועשה את שתיעדת
עצה זו מתאימה באופן אוניברסלי לכל מבחן, הערכה ויוזמת הסמכה. למרות שהיא נראית כדרישה פשוטה וקלה להבנה, זו העצה שלרוב זוכה להתעלמותה הגדולה ביותר בארגונים מסויימים.
דרישות תקן הPCI ונוהלי בדיקתו מדגישה בצורה רבה עדויות לתיעוד בדיוק כמו ליעילות המימוש. שתי הדרישות ההכרחיות הללו הינן ברות-השגה אם ורק הארגון מתעד באופן מוקפד את כל בקרי הארגון.
תיעוד ומימוש תואמים הינם קריטיים, מאחר ותיעוד מספק אפשרות שחזור והדירות של הכוונה בעוד המימוש מראה על ביצוע התיעוד לפי כוונתו. כחלק מהדיווח הסופי, הQSA צריך לזהות בבירור מה אובחן באמצעות בדיקת התיעוד, יבדוק ידנית את יעילות המימוש ויראיין גורמי מפתח רלוונטיים. חלק או כל נוהלים אלו ישמשו כדי להוכיח את טענתו של הארגון להיות תואם לכל אחת מתריסר דרישות התקן.
מכלול התיעוד צריך להיות מתוחזק בצורה תקנית מסודרת שתדגיש באופן ברור את שליטת התיעוד במידע שמוכל בו, באופן שיכלול אך לא יוגבל ע"י:
• שם המסמך
• תאריך שחרור המסמך
• פרטי גרסת המסמך
• היסטוריית שינוי המסמך
• הפניות המסמך
• מחברי, בודקי ומאשרי המסמך
דרך מומלצת להבטיח את המשך התאמתו של המסמך לקיים בפועל היא לקבוע ולמדוד מספר אינדיקציות מפתח לביצוע עבור כל מדיניות, תהליך ונוהל. מנהג זה יעזור במדידתו ושיפורו של תהליך, כמו גם יאשש את קירבתו של המימוש לתיעוד ולכן ישיג את "תעד את מעשיך ועשה את שתיעדת".
כדי לקבל התאמה לתקן הPCI, ארגון צריך למלא את כל דרישות התקן כלשונן. יש להשתמש במסמך זה אך ורק כעזר לאסטרטגיה נכונה להתאמה זו.
סימוכין ומידע עזר נוסף
אודות תקן תעשיית כרטיסי האשראי והסטנדרט לאבטחת נתונים רגישים(PCI-DSS)
https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml
עשרת המיטוסים של תקן ה PCI DSS
https://www.pcisecuritystandards.org/pdfs/pciscc_ten_common_myths.pdf
תעדוף ואבני דרך נכונים לתקן DSS גרסה 1.2
https://www.pcisecuritystandards.org/education/prioritized.shtml
אחסון והגנה על נתוני אשראי, כיצד
https://www.pcisecuritystandards.org/pdfs/pci_fs_data_storage.pdf
Benjamin Baruch - Senior Security Consultant | CISSP, QSA, CCSE, MCSEBB@nsapIT.comPhone :1599-599-596Mobile :+972-50-260-7456Fax :+972-3-647-9731International callers(USA&CANADA): +1 315-608-6534St atidim, building 6, Tel-aviv, zip 61580 pob 58067, Israelwww.nsapIT.com*Please consider the environment before printing this email.
