לעיתים, מעידה חד פעמית של עסק קטן יכולה להביא לאיום ממשי לקיומו. הדבר נכון במקרה של טיפול לקוי מאד בלקוחות, בשינוי מודל עסקי המביא לאבדן לקוחות קבועים וכמו כן, אי עמידה ברגולציה של אבטחת תשלומים.
ריבוי השימוש בכרטיסי אשראי בכל הממשקים, בין אם פיזיים ובין -Online, מציבה בפני עסקים רבים את חובת העמידה ברגולציה על מנת לשמור על אבטחת המידע המוגדרת כסטנדרט בתקן שתוקנן על ידי חברות כרטיסי האשראי בשנת 2004 ומוכר תחת השם PCI Compliance . התקן העולמי נאכף באופן נוקשה ומאומץ על ידי גופי הסליקה השונים בעולם. גופים להם הכנסות גדולות מכרטיסי אשראי מחוייבים לתקן, וכן לביצוע בדיקות הסמכה תקופתיות על ידי מומחים ומוסמכים בתחום הנמצאים תחת ביקורת תמידית.
גופים קטנים יותר יכולים לבצע את הבדיקות בעצמם על מנת לעמוד בתקן ונדרשים לבצע מעין Check list פנימי בלבד, אך עלייה וקוץ בה.
ביקורת פנימית וביקורת עצמית איננה הצד החזק של חברות ישראליות רבות, אפילו לא במודע, על אחת כמה וכמה חמור הדבר כאשר נעשה תוך זלזול בדרישות התקן לעיתים בשל חוסר הבנת משמעותו וחשיבותו.
במסגרת תפקידי בפלימוס, אני נתקל לא אחת בחברות אשר אוספות פרטי כרטיסי אשראי בטפסים בלתי מאובטחים ברשת, שומרות את נתוניהם בשרתי החברה, או במערכות לא מאובטחות. חברות אלה לא מבינות את גודל החשיפה שלהם לאבדן רישיונן למסחר.
חלק נוסף מדרישות התקן כלל לא מוכר לרבים, לדוגמא : חלק מהדרישות הוא לבצע Log Screen (מיפוי קבוע של מערכות הדיווח של מערכות האבטחה) רק לשם הדוגמא, Firewall בהגדרות סטנדרטיות מייצר כמה עשרות אירועים לדקה, הכפלה של מספר הלוגים בדקות , שעות וימים מביאה לכמות גדולה של אירועים שנדרשים לניטור. גם אם הארגון ירצה לבצע את הניטור אין ביכולתו - על אחת כמה וכמה ארגון קטן- לבצע את התהליך בעצמו שידרוש מומחיות וזמן עבודה רב.
הפתרון במקרים אלו הוא ל"הוציא" את שירות התשלומים והסליקה מחוץ לארגון כמיקור חוץ ועל ידי כך להוריד את הנטל במספר תחומי אחריות:
1. אי עמידה בתקן - אין צורך להבין בתקינת PCI ואין צורך לעמוד בדרישות התקן.
2. התמקדות בעיסקי הליבה- מעבר לשירות תשלומים חיצוני המטפל בכל היבטי ה- ) Payment Life Cycle החל מהמכירה, הוצאת הנפקת חשבוניות, תשלומי מס גלובליים, הזדכויות והתמודדות מול הכחשות עסקה, חיובים חוזרים, ועוד) שימוש במערכת חיצונית, מאפשר לארגון לעסוק בתחומי הליבה שלו תוך הקטנת עליות ניכרות בפיתוח, כח אדם, רכישות תוכנה וחומרה, וכד'.
3. ביטחון – הגברת תחושת הביטחון של הקונה וחיזוק הקשר העסקי איתו. מסחר ובמיוחד באינטרנט מתאפשר בשל רמת הביטחון של הרוכש במוכר הסחורה או השירות.
4. תשלום פר הצלחה - מודל המאפשר תשלום על פי רכישות מוצלחות בלבד ללא עלויות הקמה, בטחונות ותשלומים קבועים על תעבורה ונסיונות סליקה כגון מערכת פלימוס. ארגונים רבים, במיוחד בינוניים וקטנים, אינם מודעים למשמעות אי עמידה ברגולציה ושמירת פרטי כרטיסי אשראי. המשמעויות יכולות להיות גורליות לאירגונם, אם בקנסות גדולים מחברות כרטיסי האשראי שיכולות למוטט עסקים שלא נהגו כשורה בשמירה על התקן ועד לאישום פלילי במידה ופרטי הלקוחות "זלגו" מעבר לארגון. התקן מחייב כל ארגון, בכל גודל, האוסף, מעביר או שומר פרטי כרטיסי אשראי כחלק מאמצעי התשלום שלו, וכן חל על מלכ"רים וארגונים שהכנסותיהם מתרומות.
בנוסף, התקן חל גם על יצרני חומרה שונים המאפשרים שירות העברת כרטיס האשראי בצורה פיזית, לדוגמא, התקנים(Devices) השומרים את פרטי הכרטיס על מדיה מגנטית אינם תקניים היום עקב היכולת הפשוטה יחסית לשליפת המידע.
ההתקדמות הטכנולוגית בתחום מרתקת ומאפשרת למשל לקבל את פרטי כרטיס האשראי בצורה מאובטחת בפעם הראשונה בלבד, לאשרו ואז "למחוק" את הפרטים ולייצר Token המוצמד אוטומטית לפרטי הלקוח. ה- Token מאפשר זיהויי חד ערכי של הלקוח ומאפשר לעסק או החנות לבצע פעולות כספיות נוספות ללא איסוף מחדש של נתוני הכרטיס, כמו ברכישות חוזרות, מנוי מתחדש אוטומטית או במקרה שהלקוח רוצה לבצע מעבר בין תוכניות מנוי או בקשה להחזר כספי. שירות מסוג זה הושק לאחרונה על ידי חברת RSA. היתרון בשיטה זו הוא שבמקרה של זליגת המידע או גניבתו ה- Token הינו חסר משמעות כיוון שאינו מכיל מידע רגיש.
לסיכום , נראה כי מומלץ לארגונים או חנויות המאפשרים תשלום בכרטיסי אשראי בייחוד באינטרנט, שיתמקדו במוצר או בשירות הליבה שלהם, ויותירו את "כאב הראש" האבטחתי והתיקני לחברות המתמחות בזה.
קישור למידע נוסף על תקן PCI
למידע נוסף: www.plimus.co.il
פלימוס, מהמובילות בתחומה בעולם, הינה חברת אינטרנט מבוססת ומצליחה המפעילה פלטפורמה מאובטחת למסחר אלקטרוני וסליקה עבור מוצרים דיגיטלים ושירותים און-ליין כגון: תוכנות, משחקים, e-books ,SaaS מוזיקה, וכד',. פלימוס עוזרת לחברות לנהל ולהגדיל את עסקיהם ברחבי העולם בעזרת מערכת מסחר מקיפה וחדשנית המציעה מגוון רחב של כלים ושירותים, ביניהם: כלים לניהול הזמנות, ניהול רישיונות, ניהול חיובים וסליקה, מגוון רחב של אמצעי תשלום בנוסף לכרטיסי אשראי ו ,PayPal תמיכה בעסקאות בכמה סוגי מטבעות ובממשקים מרובי שפות, הגנה נגד הונאות, שירות לקוחות 24*7*365 ועוד..
עמית כהן, מנהל תחום פתרונות סחר אלקטרוני פלימוס ישראל.
