התמודדות עם תקן ה - PCI ולא רק עמידה בו 

תקן ה-PCI הנו תקן אבטחת מידע עולמי המרכז סט דרישות טכניות ותפעוליות, אשר נקבעו במסגרת מיזם משותף של חברות האשראי הבינלאומיות. התקן מתבסס על עקרונות אבטחת מידע מוכרים ומטרתו העיקרית היא להגן על מידע של מחזיקי כרטיסי האשראי. תקן  זה הוקם בעקבות מקרי פריצה רבים שבמהלכם נגנבו נתוני כרטיסי אשראי ממאגרי נתונים של בתי עסק, מקרים אשר הסבו נזקים לבתי העסק וחברות האשראי הן בכספים והן במוניטין. התקן חל על כל ישות אשר מעבדת, משדרת ו/או שומרת נתוני כרטיסי אשראי ובכלל זה מנפיקים, סולקים, סוחרים, מפתחי חומרה ותוכנה וספקי שירות. החל משנת 2009 החלו חברות האשראי באכיפה מוגברת של תקן ה - PCI וכיום תאריך היעד לעמידה בתקן הנו אוגוסט 2010.  

התרחבות מודעות והאכיפה בנושא תקני ה - PCI וה - PA תוך הצבת יעד רשמי לעמידה מטעם הארגונים האוכפים, הפכו את התקן לחלק אינטגראלי מפרקטיקות אבטחת מידע וחוללו שינוי אמיתי, הנובע מהיותם תקנים אשר  מחייבים את שילובם של אותם פרקטיקות מקובלות באורח החיים ובהתנהלות השגרתית של הארגון. ארגונים רבים בארץ ובעולם מוצאים  עצמם כיום עומדים אל מול אתגר העמידה בתקן ה- PCI. אתגר זה דורש לעיתים שינויים נרחבים  והערכות מחודשת ברמה הארגונית, התשתיתית, האפליקטיבית ואף בפיתוח הקוד (כאשר מדובר בעמידה בתקן ה - PA). במסגרת זו, ארגונים מוצאים עצמם תלויים לחלוטין בפרשנות החברה המסמיכה, וזאת בשל חוסר הכרות של הארגון  עם הדרישות המעשיות של התקן.   

קבוצת קומסק אבטחת מידע בע"מ מחזיקה בהסמכה רשמית מטעם ארגון ה PCI להסמכת ארגונים לתקן PCI:DSS, עם היווסדו של התקן ואף החזיקה בהסמכת PABP (Payment Application Best Practices) של חברת ויזה אשר קדמה לתקן ה - PCI. כמו כן, קומסק היא הראשונה בארץ להחזיק בהסמכה רשמית לתקן ה- PA:DSS ואף הייתה שותפה פעילה בתהליך גיבוש התקן.  קומסק ליוותה ומלווה מאות ארגונים ומסייעת להם בתהליך העמידה בתקן ה- PCI:DSS ו PA:DSS.  

כחלק מהקשר היומיומי של קומסק עם חברות רבות בישראל ובעולם אשר מצויות בתהליך עמידה בתקנים אלו, הצטיירה בפנינו תמונה של ארגונים אשר יישום התקן נתפס בעיניהם כאתגר מורכב וההתמודדות עם אספקטים מסוימים בתקן נראים להם כקשים ליישום באופן מיוחד. זאת כאשר, בפועל קיימים פתרונות שניתן לעשות בהם שימוש בקלות יחסית ומגמות הרווחות בקרב ארגונים שונים אשר יש ביכולתם לפשט את תהליך העמידה בתקן. לא מין הנמנע כי אותם פתרונות ודרכי פעולה צריכים להיבחן אל מול הארגון המדובר ואל מול דרישות התקן הנקודתיות ופה למעשה נדרשים הידע המצטבר והניסיון בכדי להביא לתוצאה האופטימאלית ובעלת יחס עלות-תועלת מרבי זאת תוך שמירה על רמת מקצועיות ואבטחת מידע בלתי מתפשרים.  

בשל מורכבות דרישות התקן הסוקר המוסמך (QSA) נדרש להכיר את התקן לעומקו על כל דקויותיו ובכך לתפור עבור הארגון את מארג השינויים הטכנולוגיים, המנהלתיים והפרוצדוראליים המתאים.  QSA אשר מביא עימו לתהליך ההסמכה ידע וניסיון בתחום הסמכות PCI, ידע להמליץ לארגון ולברור מבין דרישות התקן את השינויים המהותיים והנדרשים ביותר.  אז יוכל הארגון ליישם את המלצותיו המקצועיות של ה  QSA ביעילות ותחושת בטחון.  

הניסיון, הידע המקצועי וההכרות עם פתרונות ומגמות המושרשות בארגונים אותם רכשה קומסק בתחום ההסמכה לתקן ה - PCI, מקנה לה את היכולת לזהות את אותם אזורים אפורים בתהליך העמידה בתקן ובהתאם להציג בפני הארגון פתרונות פוטנציאלים פשוטים יותר, שאינם בהכרח מוכרים לארגון  ועומדים לרשותו. להלן מספר הצעות עקרוניות אשר קומסק גיבשה לאורך השנים, ואותן אנו משלבים בתהליכי הליווי לעמידה בתקן בכדי להפוך את התהליך ל'ידידותי' יותר בעבור הארגון ולמטרה בת השגה: 

• לא לפחד מהתקן: קראו ולמדו את דרישות התקן המהותיות. היכרות עם דרישות התקן מחד ועם התהליכים העסקיים בארגונכם מאידך, תאפשר לכם לנהל דיאלוג בנושא מול ה - QSA ואף להציע פתרונות יצירתיים או חלופיים התואמים לארגונכם,  כך תזכו לתחושת מעורבות ושליטה בתהליך.
•  יש לאמוד את חסרונותיהם של טכנולוגיות מגוונות ושונות החל ממערכות ישנות וכלה בפלטפורמות מבוססות אינטרנט אל מול דרישות התקן ולהבין את השפעותיהם והשלכותיהם על תהליך העמידה בתקן.
• יש לשים דגש על מיפוי מדויק של סביבת כרטיסי האשראי. מיפוי מדויק יסייע לארגון להחיל את דרישות התקן רק על המערכות המתחייבות לכך במסגרתו.
• בחינת הפונקציונאליות הנדרשת בשמירת נתוני כרטיסי אשראי במערכות השונות, תאפשר צמצום היקף המערכות השומרות נתוני אשראי רגישים ובכך למעשה צמצום הדרישות, שאמורות להיות מוכלות על אותן מערכות.
• זיהוי הצורך בהגדרת בקרות מפצות לרב במערכות ישנות, אשר עבור רובן נמצא כי הפיתרון היעיל ביותר אינו שינוי של מבנה האפליקציה או התשתית אלא הוספת מנגנוני ניהול גישה, חלוקה לסיגמנטים ויישום בקרות גישה.
• שימוש בפתרון טוקניזציה, המאפשר שימור התהליכים העסקיים בארגון, באמצעות יצירת מספר חלופי למספר כרטיס האשראי בעל פורמט זהה למספר כרטיס האשראי וארבע ספרות אחרונות שזהות למספר המקורי. 
• גיבוש תוכנית עבודה על פי אבני דרך ותעדוף משימות לשם עמידה אופטימאלית במסגרת לוחות הזמנים המוגדרים.
• בחינת פתרונות טכנולוגים חדשים (לעתים יעודיים) והתאמתם לארגון.
• בחינת פתרונות מיקור חוץ של תהליכי שידור ותשלום אשר יפשטו את תהליך העמידה בתקן. 

QSA המספק שירות יסודי ומקצועי לארגון, יידע למקד את דרישות התקן עבור בארגון ולנתח באופן יצירתי את כלל השפעותיהן ודרכי הפתרון האפשריות. בכך יש בכוחו להקל עבור הארגון את התהליך המאתגר של עמידה בתקן. חשוב לציין כי התקן אינו חייב בהכרח להוות עבור הארגון משימה מורכבת, מסורבלת וכזו הצורכת משאבים רבים. עלינו לזכור כי בסופו של דבר מטרת התקן הינה להגן על ארגונכם מפני גורמים זדוניים השואפים לגנוב את המידע הרגיש הזה שנמצא ברשותכם, להגן על המוניטין אותו בנה הארגון לאורך השנים ובכך לשמר את קהל לקוחותיכם, אשר יזכה בתחושת ביטחון בעת התקשרותם העסקית עמכם.