עם התקרבות המועד המחייב לעמידה בתקן PCI על ידי כל חברות כרטיסי האשראי בישראל, גובר הבלבול וכמות הדיסאינפורמציה בקרב בעלי עסקים אשר מבצעים סליקת כרטיסי אשראי בעסק ודרישות התקן מחייבות אותם.
אחת הטעויות הנפוצות המתייחסת לדרישות ה- PCI מבעל עסק קטן או בינוני, המבצע סליקה באינטרנט, נובעת מהבלבול בין סריקות אבטחה (בדיקת חדירות - Penetration Test) לבין ההסמכה עצמה.
בדיקת חדירות – Penetration Test
תקן PCI כולל סט דרישות מפורט המתייחס לכלל תהליכי סליקת כרטיסי אשראי בבית העסק.
כשמדובר בעסק המבצע סליקה באינטרט, בדיקת חדירות היא אחד המרכיבים בתהליך ההסמכה, ולאו דווקא החשוב ביניהם.
הבדיקה נועדה לוודא שאתר האינטרנט מוגן מפני אפשרות של חדירה מבחוץ או התקפות זדוניות .
כל איש אבטחת מידע מתחיל יודע שהסכנה מגורמים חיצוניים מכסה רק כ- 20% מהסכנה הכללית וכל עוד יש אפשרות גישה לפרטי כרטיס אשראי לגורמים שונים בתוך הארגון
הרי שלא באמת ביצענו פעולת הגנה מלאה ואמיתית.
הסמכה לתקן PCI
בכדי לעמוד בדרישות התקן יש לבצע תהליך הסמכה מלא שיאשר כי אין פרצות בתהליך הזנת פרטי כרטיסי האשראי ובהעברת הנתונים לחברה הסולקת. יש לאשר כי למעט הגורמים המוסמכים לכך לאיש בארגון ומחוצה לו,
אין דרך לחשוף את פרטי כרטיסי האשראי.
יתרה מזאת, מדובר בהסמכה שיש לחדשה מדי שנה ושחובה לשמר אותה לכל אורך השנה, קרי: עשיתם שינוי באתר, חייבים להסמיך את השינוי וכן הלאה.
במילים אחרות: בתקן PCI כמו בחיים, אין באמת קסמים. קיצורי הדרך אינם אלא חלק מהדרך וההסמכה ניתנת רק למי שמבצע את כולה.
סריקות אבטחה, גם אם הן מטעם חברה מוכרת בתחום אינן מספיקות כדי לאפשר לאתר שמבצע סליקה באינטרנט לקבל הסמכה לתקן PCI, ואינן מכסות את דרישות אבטחת המידע של חברות כרטיסי האשראי בהקשר לתקן.
המסקנה היא ברורה, אל תתפתו למי שמציע לכם פתרון חלקי.
הדרך הנכונה עבור סוחר קטן ובינוני כדי לעמוד בתקן PCI היא פשוט להימנע משמירה של מספרי כרטיסי אשראי ולדאוג שנקודת ההזנה של פרטי כרטיס האשראי תפעל על מערכת סליקה שעומדת בתקן
כדוגמאת דף הפניה (re-direct page). סוחר שאיננו מעוניין לעבוד עם דף הפניה חייב לבצע הסמכה מלאה לכל האתר שלו, כולל דף התשלום.
דף הפניה Redirect
כדי להקל על הסוחרים בתחום הסחר האלקטרוני, ממליצות חברות כרטיסי האשראי לעבוד עם עמוד סליקה - הפנית redirect, שזהו דף חיצוני לאתר הסחר האלקטרוני, אשר הוסמך לתקן PCI .
הרעיון הוא שהזנת פרטי כרטיס האשראי של הלקוח תתבצע בדף תשלום חיצוני שהוסמך לתקן וממשיך לעמוד בתנאי התקן באופן קבוע.
השימוש בדף הפניה חוסך מידה רבה של עבודה הכרוכה בהסמכה לתקן ואם הסוחר מקפיד לא לשמור כרטיסי אשראי באף מקום אחר בארגון הרי שהוא מוסמך למעשה. מה שנותר להלכה הוא למלא שאלון שיינתן לו על ידי חברות כרטיסי האשראי.
קרדיט גארד מובילה את שוק סליקת כרטיסי אשראי בישראל כבר למעלה מ-12 שנה. בין מוצרינו תמצאו פתרונות מתקדמים ל: סליקה בטוחה, סליקת כרטיסי אשראי באינטרנט, התאמות אשראי ופתרונות אבטחה המותאמים לכל סוגי הארגונים.
