יתרונו של תקן PCI הוא באובייקטביות ובבטחון של הלקוחות שספקי שירותי סליקה אכן נבדקו על ידי גורמים מקצועיים ומוסמכים.
יחד עם זאת המורכבות של הדירוגים השונים מאפשרת משחק מסוים וכנהוג במקומותינו: ספקים מסוימים נותנים מיצג שווא וטוענים שהם "מכוסים" בעוד שרמת ההסמכה האמיתית שלהם איננה מתאימה.
ספק שירותי סליקה חייב להיות דרג 1 (להבדיל מסוחר שיכול להסתפק בדרג 4 לדוגמא).
מהו תקן PCI DSS
Payment Card Industry - Data Security Standard.
בעברית מדוברת: תקן אבטחת מידע של אגוד תעשיית כרטיסי התשלום (אשראי)
המפרט דרישות טכניות על מנת להגן ו/או לשמור על נתוני כרטיסי אשראי במערכות תוכנה ומערכות סליקת כרטיסי אשראי
החברות העיקריות הן ויזה, מאסטר קארד ואמריקן אקספרס.
חברות כרטיסי האשראי זיהו כבר בשנת 2005 את הסיכון הגדול הנובע משימוש לא אחראי במידע כרטיסי אשראי
ואת החשיבות הרבה של שימוש בבקרות לתהליך סליקת כרטיסי אשראי.
חברות כרטיסי האשראי הבינלאומיות הקימו גוף משותף PCI, אשר הגדיר סט של דרישות מהחברות המבצעות סליקת כרטיסי אשראי. הדרישות התגבשו לידי תקן המכונה PCI DSS.
ב- 1.1.09 הוכר תקן PCI על ידי חברות כרטיסי האשראי בעולם, כתקן מחייב את כל בתי העסק אשר סולקים אשראי,
והחל מה- 30.9.09 הוחל באכיפת העמידה בתקן בכל העולם וגם בישראל.
תקן PCI - מי חייב לעמוד בתקן?
--- כל ארגון שמחזיק ומעבד נתוני כרטיסי אשראי.
--- כל בית עסק אשר סולק כרטיסי אשראי ו/או מאחסן פרטי כרטיס אשראי.
זהו אחד התקנים היחידים בתחום אבטחת מידע שמפרט דרישות טכניות ליישום.
בנוסף, בצעד לא שגרתי, האגוד מגדיר עונשים לארגונים אשר תתגלה אצלם פרצה באבטחת מידע,
אשר תוביל לאובדן מידע הקשור בכרטיסי אשראי.
הארגון/הקמעונאי אינו מחויב ליישם את דרישות התקן, אך במקרה של אובדן נתונים הקנס יהיה כבד אם יוכח שהתקן לא יושם.
תקן PCI מטפל בדרישות הבאות:
הגנה על הרשת
1. שימוש בתוכנת Firewall
2. שימוש נכון בסיסמאות ותוצרת מערכות מאובטחת
הגנה על מידע כרטיסי אשראי
3. הגנה על מידע של מחזיקי כרטיסי האשראי
4. הצפנת מידע זה
ניהול פגיעויות
5. שימוש בתכנת אנטי-וירוס
6. תחזוקת רמת האבטחה של המערכות והאפליקציות
שימוש בבקרת גישה חזקה
7. הגבלת הגישה למידע על בעלי כרטיסי האשראי לצורך עסקי בלבד
8. הקצאת שם משתמש ייחודי לכל בעל גישה למערכות מחשוב
9. הגבלת גישה פיזית למערכות המחזיקות מידע על בעלי כרטיסי האשראי
בחינה תקופתית של המערכות
10. מעקב ורישום של הניגשים למידע רגיש זה
11. תהליך מוסדר ותקופתי של בחינת רמת האבטחה מדיניות
12. .פיתוח, תחזוקה, עדכון ואכיפה של מדיניות אבטחת מידע
אל תהססו לדרוש מספק שירותי סליקה תעודה מתאימה המוכיחה את העמידה בתקן הרלבנטי מעל לכל ספק.
וריפיי היא מערכת סליקה היחידה מסוגה,
המוסמכת לתקן אבטחת מידע ונתונים, המחמיר ביותר של חברות האשראי, PCI: DSS Level 1
שירותי סליקה באינטרנט VeriPAY.מערכת סליקה הבטוחה מסוגה מאושרת תקן PCI.סליקת כרטיסי אשראי לאתרי מסחר אלקטרוני,סליקת כרטיסי אשראי לעסקים קטנים וביתיים עם מסוף אשראי וירטואלי.
