6 עובדות על תקן "PCI-DSS"
עמידה בתקינת ה PCI הינה מסורבלת לעיתים, הינה תקינה שגדלה ומשפיעה משמעותית בסביבה הטכנית של אותו גורם.
התקינה הינה תערובת של תקינות ידועות השמות דגש על תהליך סליקת כרטיסי ארשאי בארגון, להלן עובדות בסיסיות אודות תקן ה PCI-DSS (להלן: "PCI DSS"):
במהות
PCI DSS (להלן" PCI-DSS") הינה תקינה עם 12 דרישות המיועדות לבתי עסק ואו ארגונים אשר מעבדים, משדרים או שומרים נתוני אשראי, אתם בטח אומרים לעצמכם "...גם מכולת משדרת כרטיסי אשראי"...אז התשובה היא כן, גם במכולך יש תקינה וגם המכולת צריכה לעמוד בו.
מנהלתי
אגוד הסטנדרים לאבטת המידע (להלן: "PCI-SSC") או ה STANDARD SECURITY COUNCIL הינו איגוד שנוצר ופותח על ידי חברות האשראי העולמיות מאסטר קרד, ויזה, ג'י.סי.בי, אמריקן אקספרס ודיסקובר (להלן: "MASTER CARD, VISA, JCB, AMERICAN EXPRESS, DISCOVER"), הוא מנוהל על ידי עובדי חברות האשראי ברובד הטכני ועל ידי תמיכה של ארגונים גדולים אחרים כמו בנקים וחברות מוכרות אחרות. האיגוד נמצא בארה"ב – וויקפילד מסצו'סטס.
דרישה
התקן חל על כל ארגון אשר סולק כרטיסי אשראי(סולק=משדר עם נורית או עם מחשב או בטלפון, מעבד עם מנוע סליקה או עי גוף שלישי או כשירות, שומר נתונים לצורכי סליקה חוזרת בהוראת קבע או כשירות) משמע כל בית עסק. כדי להבין טוב יותר ולפשט את התקינה חילקו את בתי העסק לפי כמות השידורים השנתיים של אותו בית העסק ואו לפי סיכון בית העסק, יותר שידורים יותר סיכון, פחות שידורים פחות סיכון, להלן ההגדרות לבתי עסק שאינם SERVICE PROVIDER:
בתי עסק שלב 1 הינם בתי עסק אשר מחוייבים לעבור ביקורת שנתית עי יועץ אבטת מידע מוסמך מטעם חברות האשראי (ולהלן: "QSA") או ("QUALIFIED SECURITY ASSESSOR"), אלו בתי עסק עם מעל ל 6 מיליון שידורים(להלן: "טרנזקציות" - "TRANSACTIONS") בשנה.
בתי עסק שלב 2 הינם בתי עסק אשר מחוייבים ביקורת שנתית עי יועץ אבטת מידע מוסמך מטעם חברות האשראי אך רלוונטי למאסטר קארד בלבד, ויזה ואחרים לא דורשים ביקורת פנים עי יועץ אלא מילוי שאלון בלבד. אלו בתי עסק עם מעל ל1 מיליון שידורים ועד 6 מיליון.
בתי עסק שלב 3 הינם בתי עסק המחוייבים בשאלון ולרשותך מעל ל20 אלף שידורים ועד מיליון שידורים
בתי עסק שלב 4 הינן בתי עסק המחוייבים בשאלון ולרשותם עד 20 אלף עסקאות.
בתי עסק השומרים נתוני אשראי עם פחות מ6 מיליון עסקאות מחוייבים בשאלון D.
בתי עסק אשר לא שומרים התונים מחוייבים בשאלון A,B,B-VT OR C תלוי באופי הפעילות.
אתם בטח שואלים "אז למה עוד לא פנו אלי?"...זהו עיניין של זמן עד שהתקן יחלחל עמוק אל בתי העסק הבינוניים והקטנים, בתי עסק גדולים ונותני שירות כאחד כבר מוסמכים ומודעים לתקן ולחשיבותו בשמירה על פרטיות כרטיסי האשראי שלנוכמו כן כל מותג שומר לעצמו את הזכות לשנות את אופי ההגדרה וכך הם גם עושים, במידה ונדרשת או בשברצונך לעמוד בסטנדרטים המקובלים לאבטת מידע אנא התייעץ ללא תשלום עם יועץ אבטחת מידע מוסמך: pci@pci-data-security-standard.com (ניתן לכתוב בכל שפה).
לחיפוש "QSA": https://www.pcisecuritystandards.org/approved_companies_providers/qsa_companies.php
מסמכים לחיפוש שאלונים: https://www.pcisecuritystandards.org/security_standards/documents.php
גישה לתקן
ניתן לגשת לאתר האיגוד באתר הבא: WWW.PCISECURITYSTANDARDS.ORG, מידע רב ויעיל באתר. בנוסף ניתן ליצור קשר עם חברות האשראי בישראל:
לאומי קארד: lewis_h@leumi-card.co.il
כאל: gilaf.hadar@icc.co.il
ישראכרט: sbendor@isracard.co.il
מאמר זה נכתב עי מר בנג'מין(בנימין)ברוך יועץ אבטחת מידע מוסמך מטעם ויזה("QSA")
Benjamin Baruch - Senior Security Consultant | CISSP, QSA, CCSE, MCSEBB@nsapIT.comPhone :1599-599-596Mobile :+972-50-260-7456Fax :+972-3-647-9731International callers(USA&CANADA): +1 315-608-6534St atidim, building 6, Tel-aviv, zip 61580 pob 58067, Israelwww.nsapIT.com*Please consider the environment before printing this email.
