קריאת השכמה: מהו תקן PCI DSS והאם אנו ערוכים לו? 

קריאת השכמה: מהו תקן PCI DSS והאם אנו ערוכים לו?

בעידן בו מרבית מהפעולות שלנו נמצאות על הרשת, נדרשת ערנות ומודעות רבה יותר על-מנת לשמור על חיסיון המידע ועל אבטחת הנתונים הרגישים שלנו, הן כאנשים פרטיים והן כבעלי עסקים. ניהול הסיכונים והתגוננות מפני האיומים מוכתבים במרבית המקרים על-ידי חוקים, תקנות ואמצעים טכנולוגים. אחד מאותם אמצעים הוא PCI DSS, תקן לאבטחת כרטיסי אשראי ונתוני המשתמשים, אשר מיושם בימים אלה במרבית ממדינות העולם. מהו אותו תקן, מהן דרישותיו והיכן נמצאת ישראל מבחינת יישומו ואימוץ המנגנונים שבו?

עם התפתחות המסחר האלקטרוני בסוף שנות התשעים ותחילת שנות האלפיים, החלו יותר ויותר בעלי עסקים לטפל בנתוני תשלום של לקוחותיהם (מספרי כרטיסי אשראי, מספרי זהות וכדומה), ששימשו אותם בתהליך הקניה האלקטרונית או הטלפונית. מידע רגיש זה נשמר לא רק בחברות האשראי, אלא לתקופות מסוימות - גם בבית העסק שביצע את העסקה, וברוב המקרים המידע אף מועבר ברשת בין הגורמים השונים המעורבים בעסקה. הצורך להגן על מידע רגיש שכזה, כדי למנוע הונאות ענק, גרם לחברות האשראי הגדולות לפתח תקני אבטחת מידע שונים, ולחייב את בתי העסק דרכם סלקו את עסקאות האשראי - לעמוד בהם. בשנת 2004, לאחר שהתברר שחמשת חברות האשראי הגדולות: ויזה, מאסטר קארד, אמריקן אקספרס, דיסקוברי וג'יי.סי.בי, דורשות מבעלי העסקים דרישות מאוד דומות, החליטו החברות להקל על התעשייה ולבנות תקן אחיד בינלאומי, לאבטחת מידע כרטיסי אשראי ונתוני המשתמשים, תקן ה-Payment Card Industry Data Security Standard) PCI-DSS).

התקן קובע את הדרישות לאבטחת נתוני מחזיקי הכרטיס בבית העסק, ביניהן אמצעי אבטחת התקשורת, סיסמאות גישה למערכת, אבטחת נתונים מאוחסנים ועוד. בנוסף, התקן קובע את כללי הטיפול, האחסון וההגנה על הנתונים הרגישים של כרטיסי האשראי (מספר הכרטיס, נתוני הפס המגנטי של הכרטיס ומידע על בעליו). תקנים אלה חלים על המערכות בעמדת המכירה (POS) ועל המערכות שבבית העסק. תקן ה- PCI DSS פורסם לראשונה בדצמבר 2004. לפני כשנה, באוגוסט 2009, יצאה הגרסה העדכנית ביותר עד כה לתקן, גרסה 1.2.1, ולבעלי העסקים ניתנה שנה כדי להגיע לתאימות עם התקן. חשוב לציין כי תאריך היעד ליישום וציות לדרישות התקן חלף לאחרונה (30 בספטמבר, 2010), ואחד האתגרים העומדים כיום בפני תעשיות רבות בעולם הוא יישום מערך האבטחה וההצפנה של המידע הרגיש ביעילות מרבית ובהוצאה כספית מינימאלית.

האיומים הניצבים בפני בעלי העסקים המקבלים מהלקוח את נתוני כרטיסי האשראי, ובפני הבנקים הסולקים את העסקאות, הם רבים ומגוונים, ביניהם שיטות פריצה מתוחכמות כמו Phishing ו-Social Engineering. כדי להגן מפני סוגי התקפות מגוונות אלה דורש תקן ה-PCI DSS יישום של שנים עשר תהליכים:

1. התקנה ותחזוק מתמיד של חומת מגן על מקורות המידע.
2. הימנעות מהתקנה ושימוש בתצורת ברירות המחדל של מערכות ההגנה כמו גם שימוש בסיסמאות ראשוניות המונפקות על-ידי ספקי התוכנה לתוכנות השונות.
3. הגנה על מידע מאוחסן.
4. הצפנה שדר רשתי-ציבורי של מידע רגיש על בעלי כרטיסי האשראי.
5. שימוש ועדכון תמידי של תוכנות המגנות מפני וירוסים.
6. פיתוח ותחזוק של מערכות אבטחה ואפליקציות המגנות על המידע.
7. צמצום והגבלת אפשרויות הגישה למידע רק לאנשים שצריכים לדעת זאת (NEED TO KNOW).
8. הקצאת זיהוי ייחודי לכל אדם בעל גישה למחשבים בהם מאוחסן המידע.
9. הקשחת אפשרויות הגישה הפיזיות למקומות בהם נמצא מידע רגיש והגבלתן.
10. מעקב ופיקוח אחר כל מקור גישה למשאבים ומידע רגיש.
11. בחינה שגרתית של יעילות המערכות והתהליכים.
12. קביעה וביצוע מתמיד של מדיניות חברה בנוגע למידע מסווג.

לתקן, אם כן, ישנן מספר מטרות עיקריות. ראשית, חינוך הצרכן והספק בנוגע לחשיבות הציות לתקנות אבטחת המידע והבנה כיצד העסק עצמו יכול להרוויח מכך, במיוחד במדינות מתקדמות. שנית, לגרום לתעשיות לדאוג לאבטחת המידע במידה דומה לזו שדואגים לעסק שלהם, שכן שמירה על התקנות הללו היא למעשה הגנה על התעשייה שלהם. כל זאת ניתן לעשות על-ידי שימוש ב"חבילת מוצרים" הכוללת מוצרי אימות ואבטחת גישה, הצפנת מידע ותקני אבטחה.

לאחרונה פג כאמור תאריך היעד הבינלאומי בו כל התעשיות בעולם אמורות היו להיות בעלות אמצעים לשמירת התקן ולהפעלת מעקב אחר איומים וסכנות העלולים לפגוע בו ובלקוחותיהם. למרות זאת, נראה כי המצב בישראל רחוק מלהיות מושלם. נשאלת השאלה, אם כן, מה יקרה לתעשיות הגדולות שלא עמדו בתאריך היעד? האם חברות האשראי באמת יטילו קנסות על אלה אשר לא עומדים בתקנים? כיצד ניתן לזרז תהליך זה?

בדומה למדינות רבות בעולם, הבעיה המרכזית בישראל היא שעד היום לא היו היטלי קנסות על אי-ציות לסטנדרטים ולתקנות, ולא היו פרסומים שלילים על חברות אשר לא פעלו בהתאם לתקנות - פרסומים אשר היו יכולים להוביל למיתוג שלילי של החברות וליצירת מוניטין נמוך. בארצות הברית, מאז החלה החקיקה לגבי פגיעה וחשיפת מידע, ניתנו למעלה מ-350 מיליון דוחות מתועדים. ייתכן והמצב באירופה דומה, אולם עד שהחוק לא יאושר בפרלמנטים השונים באירופה לא ניתן יהיה לבצע מעקב או תיעוד מדויק של המקרים.

בין השנים 2007-2009 נראה כי לא הייתה התקדמות משמעותית ביישום התקן בעולם. הציות לתקן PCI DSS עלה מ-46% ל-51% בלבד בחברות הגדולות, ומ-35% ל-47% בעסקים קטנים ובינוניים (SMB). מצב העמידה בתקן בארצות צפון אמריקה אינו מעודד ומצבן של מדינות אירופה אף עגום יותר. המדינות המובילות במדד המודעות וההשפעה על יישום התקן הן אנגליה, צרפת, גרמניה ומעט מדינות במזרח התיכון.

חשוב להעלות את מודעות התעשיות בנוגע לנחיצות התקן ולגרום להן לציית לו יותר. על-מנת לעשות כך, יש לבחון ולהציג בפני בעלי התעשיות והעסקים את התמריצים לאימוץ התקן ואת היתרונות הגלומים בו. כלומר, לעודד את התעשיות להסתכל על תאריך היעד כהזדמנות לבחון את מסגרת העבודה שלהן והתקציבים המיועדים, ובהתאם לכך לבנות תוכנית פעולה אשר תגן על הנתונים שלהם, על הלקוחות ועל העסק עצמו. כמה מרכיבים חשובים יש לזכור כאשר בונים תוכנית פעולה זו:

1. מוניטין - היתרון הראשון והבולט ביותר בציות לתקן  PCI DSSהוא שמירה על אמינות החברות בעיני הלקוח. חברות צריכות לשאול את עצמן "כיצד נוכל להמשיך להתקיים בשוק תחרותי אם אנו ידועים כחברה שאיבדה אלפי מספרי כרטיסי אשראי?". מרבית החברות צריכות לבנות את המוניטין שלהן כבר מההתחלה. שמירה וציות לתקנות ה- PCI DSSיכולים לקדם זאת. על-פי ממצאי מכון פונמון (The Ponemon Institute), החוקר מדיניות ויישום הגנה ואבטחת מידע, לא רק שפריצה למידע מסווג עולה לארגון כ-204$ בממוצע, היא עלולה אף למוטט את האמינות של החברה ולגרום לנזק במוניטין שלה.
2. אבטחת מידע - בעולם בו מידע אישי הוא נכס יקר כל-כך, יצירת סביבה מאובטחת לחלוטין מבטיחה כי התעשייה תוכל להגן, לשלוט ולנהל את המידע הרגיש ביותר כפעולה שבשגרה ללא תלות במקום הימצאו. מחקר שבוצע לאחרונה על ידי Verizon Business בבריטניה מראה שמספר פריצות האבטחה בחברות שצייתו לתקן ה-PCI DSS קטן בחמישים אחוז לעומת ממוצע פריצות האבטחה בבריטניה. מניעת הפריצות נעשתה גם באזורים שלאו דווקא היו קשורים לאבטחת מידע כרטיסי האשראי. הסקר מוכיח שוב את החשיבות בתקני אבטחת מידע, לא רק בשמירה על מידע ספציפי אלא גם ביצירת תהליכי עבודה טובים יותר.
3.  שינוי בהתנהגות הצרכנים - אם שוק הצרכנים יאבד את אמונו במערכת, הוא ימצא חלופות ושיטות אחרות לעשות עסקים, חלופות אשר עלולות להשפיע על התעשייה ועל התנהלותה העסקית כפי שהיא כיום.

כותב המאמר הוא יוסי פישלר, מנהל בחטיבת אבטחת ארגונים בסייפנט, מובילה עולמית בתחום של אבטחת מידע.