כיצד נפחית את עלויות יישום ה-PCI DSS? 

האם מספיק טוב, הוא טוב מספיק? כשמדובר באבטחת מידע, התשובה היא ללא ספק "לא". ידוע כי "החוליה החלשה ביותר" היא זו שמאפשרת את הפריצה למקור המידע. תשתית האינטרנט והאפשרויות הטמונות בה מתפתחות במהירות וכך מתגלה כל יום איום נוסף. כל שינוי או תקנה חדשה דורשים הערכות מערכתית מחודשת הגוזלת לעיתים זמן ומשאבים רבים. המתח התמידי בין עלות ותועלת גובר: מימון הקצאת כוח אדם, תקציבים וזמן - או הגנה על המידע, הלקוחות וכמובן - על מוניטין החברה? 

תקן PCI DSS (Payment Card Data Security Standard) שנכנס לאחרונה לתוקף, הוא תקן בינלאומי אחיד לאבטחת כרטיסי אשראי ונתוני המשתמשים. כזכור התקן קובע את הדרישות לאבטחת נתוני מחזיקי הכרטיס בבית העסק, ביניהן אמצעי אבטחת התקשורת, סיסמאות גישה למערכת, אבטחת נתונים מאוחסנים ועוד. בנוסף, התקן קובע את כללי הטיפול, האחסון וההגנה על הנתונים הרגישים של כרטיסי האשראי (מספר הכרטיס, נתוני הפס המגנטי של הכרטיס ומידע על בעליו). תקנים אלה חלים על המערכות בעמדת המכירה (POS) ועל המערכות שבבית העסק. במאמר הקודם עסקנו בתקן עצמו ובפתרונות שהוא מחייב. במאמר זה נחפש את הפתרון היעיל ביותר ליישום תקן PCI DSS. יתרה מזאת, במאמר זה נציג פתרון המשלב שינוע של מידע מובנה (Structured) ורגיש, ללא הסרבול המלווה בהצפנה הפשוטה של המידע. לפי השיטה המוצעת, נותיר את ההצפנה הפשוטה למידע לא מובנה (Unstructured). אולם ראשית נבחן מהן אבני הבניין מהן מורכב פתרון אבטחת מידע שמגן  על מידע רגיש לפי תקן PCI DSS.

הצפנה

הפתרון הבסיסי ביותר לשמירה על כל מידע, כמו גם בתקן PCI DSS, הוא הצפנת המידע הרגיש של בעלי כרטיסי האשראי. זו כאמור גם הדרישה הבסיסית מארגונים בתחום הנדרשים לעמוד בתקן. למרות זאת, לעיתים, נדרשים עסקים המחזיקים במידע רגיש של כרטיסי אשראי להצפין את המידע שברשותם ואז להעביר אותו ברשת לאחסון חיצוני. אם מערכת ההצפנה אינה מותאמת לכך מראש - המידע יאבד ולא ניתן יהיה לשחזר אותו. בנוסף, מערכת ההצפנה דורשת עמידה בתקנים רבים ויישומם. מדי פעם ישנם עדכונים לתקנים הדורשים שינוי ואינטגרציה של מערכת ההצפנה על-מנת להתאימם לשטח מחדש. עלות חלופה זו היא, אם כן, גבוהה יחסית.

"שיטת האסימון" (טוקניזאציה)

"שיטת האסימון" היא תהליך במהלכו נוצר מידע חלופי (אסימון או "טוקן") בעל מאפיינים לוגים שווים למידע הרגיש של כרטיס האשראי, כאשר ארבע הספרות האחרונות של האסימון נותרות זהות למספר האשראי המקורי. האסימון משמר את הפורמט של הערך המקורי (מספר כרטיס האשראי) וניתן להשתמש בו בכל הקבצים, מסדי הנתונים או היישומים הרלבנטיים של הארגון, ובכך לשמר את התהליכים העסקיים הקיימים בארגון.

עם קבלת מספר כרטיס האשראי, מתבצעת למעשה הצפנתו והוא נשלח לשרת הטוקניזאציה. כך המידע המקורי נשמר בצד אחד ומונפק בפורמט של אסימון בצד השני. מעתה ואילך יתבצעו כל הפעולות על-בסיס האסימון, מבלי להסגיר את מספר כרטיס האשראי. כאשר יהיה  צורך בעדכון כלשהו, יישלח המידע לשרת הטוקניזאציה. כיוון שהאסימון עומד מראש בכל קריטריוני הסף של תקן ה-PCI, הפעולה תתבצע באופן אוטומטי גם בחברות האשראי.

בשנים האחרונות, שיטת האסימון הפכה להיות חלק אינטגראלי מתהליך אבטחת הנתונים שבכרטיסי האשראי. השימוש באסימון מאפשר לחברות להגן על המידע הרגיש שברשותם תוך שמירה על עדכון מתמיד של התקנות והדרישות מחד, ושמירה על עלויות נמוכות מאידך. 

ביישום הבסיסי שלה, מאפשרת שיטת האסימון הגנה על מספרי כרטיסי אשראי ומספרי זהות בלבד. אנחנו מאמינים שההתפתחות באיומים תחייב את מפתחי תקן ה- PCI DSSלכלול בגרסאות עתידיות של התקן גם דרישה להגן על תמונות, שיחות טלפון הכוללות זיהוי של הלקוח ומידע בלתי מובנה אחר.

למרות שנראה כי "שיטת האסימון" היא פתרון טוב ויעיל לבית העסק, היא עלולה להתברר כפתרון קצר טווח בלבד. בעלי עסקים המעוניינים בפתרון יעיל לדרישות הנוכחיות ולדרישות העתידיות של התקן, צריכים לשקול מערכת המשלבת טוקניזאציה למידע מובנה והצפנה רגילה למידע לא מובנה. מערכת משולבת שכזו מציעה יישום יעיל מצד אחד, והתאמה קלה לתקנות עתידיות ואיומים פוטנציאלים מאידך. הצורך בשדרוג המערכות קטן ומכאן החיסכון בעלויות. האסימון מאפשר לארגון לפשט את פתרונות האבטחה לכדי מספר מצומצם של מנגנונים, ומותיר בידיו כלי יעיל לניהול גמיש של המערכות וליישום המדיניות בטווח הקצר, בעוד שההצפנה מבטיחה את התאימות לדרישות העתידיות. 

כותב המאמר הוא יוסי פישלר, מנהל בחטיבת אבטחת ארגונים בסייפנט, מובילה עולמית בתחום של אבטחת מידע.