White Paper
פתרונות אבטחת מידע
10 טיפים לצליחת פרוייקט התאמה לתקן PCI DSS
Benjamin Baruch - Senior Security Consultant | CISSP, QSA, CCSE, MCSE-בנג'מין(בנימין) ברוך
שירותים מקצועיים, מחלקת יועצים ופתרונות "NSAP IT-CONSIDER IT DONE"
bb@nsapIT.com
מטרת המסמך
סטדנרט אבטחת המידע של תעשיית כרטיסי האשראי (PCI DSS) פותח אמנם כדי לכונןדרישות אבטחה מינימליות, אבל ישנן מספר רב של שיטות שחברות יכולות לאמץ עלמנת שכוונתו של הסטנדרט תובן ובנוסף כדי להבטיח מימוש חלק ויעיל שלו. מאמרזה מציין מספר קווים מנחים שנועדו לאפשר רמה גבוהה של הצלחה כאשר מבצעיםפרוייקט התאמה לסטנרט PCI DSS. עצות אלו אינם חוקים, אלא יותר תובנותשמבוססות על שנים של נסיון בתעשייה.
סטנדרט האבטחה של תעשיית כרטיסי האשראי הוא תקן תעשייתי שפותח כדי להקל עלאימוץ רחב של אמות מידה עקביות בתחום אבטחת מידע בקנה מידה עולמי. הPCI DSSנדרש מכל הסוחרים וספקי השירותים שאוספים, מעבדים או משדרים נתונים שלכרטיסי אשראי מאחת מחברות האשראי המשתתפות בתקן. חברות אשראי אלו מהוות אתרשות האשראי העליונה, מועצת תקני האבטחה של חברות האשראי
(PCI Security Standards Council) והינן: אמריקן אקספרס, דיסקאבר, JCB, MasterCard וויזה.
חברות רבות מאמינות שהתאמה לתקן הPCI היא משימה מפרכת שיכולה להעשות רק עלידי ארגונים שמבזבזות הון על צוותי IT. גישה זו להתאמה לא משקפת מבט מנוסהעל התקן או על האסטרטגיות למימושו. תקן הPCI משרטט גישה מנהלתית להתאמתוע"י חלוקתו לרשימת תיוג של כ-12 דרישות. בכדי לראות מעבר לחשיבה הביקורתיתעליכם להבין מספר נקודות מפתח של התקן ואיך עליכם להתאימו לארגונכם או לעסקשלכם.
למרות שמאמר זה לא מציע פתרון קסם להתאמה ישירה של התקן, הוא כן מרכז בתוכוכמה גישות ותובנות חשובות שיספקו לכם מבט מעמיק יותר על תקן הPCI כדילהבטיח תאימות זו.
להלן כמה דרכים מומלצות להמנע מ"לאחר" לתאימות לתקן הPCI:
• החזיקו בקשרים קרובים עם צוות ההנהלה והפיתוחIT. פעמים רבות מאמץההתאמה לתקן מזוהה ומנוהל ע"י מטרות מפתח עסקיות ללא ההשתתפות של בעליתפקידים חשובים וצוות טכני כדי להכין מטרות אלו מראש, ההתאמה עלולה להדחותאו להתבצע בצורה לא נכונה.
• בצעו בדיקת פערים פנימים כחלק מההערכות לתקן הPCI וערכו הערכת מצבאיכותית לגבי המכשולים בדרך, במיוחד אלו שלדעתכם יהיו הקשים ביותר או יגזלואת הזמן הרב ביותר. הבנת מכשולים אלו, שדורשים את מירב הזמן בתהליך,יאפשרו לכם לסיים כמה מסלולי תהליכים במקביל. לדוגמה, אם תפנו למכשולים אלובצורה מנהלתית גרידא, אולי תזהו את דרישה 12.8 רק לקראת הסוף של תהליךהביקורת. דרישה זו עוסקת בהסכמים עם ספקי שירותים שיקחו זמן רב לשנות. ישלגשת לנושאים כמו דרישת תקן PCI 12.8 מוקדם ככל האפשר בתהליך הבדיקה בכדילהמנע מעיכובים בפרוייקט.
• שימוש בשיטת סדר העדיפויות לתקן הPCI הינה מאוד מומלצת, מכיוון שהיאמסייעת לפשט את התהליך. אופן השימוש בשיטה בצורה הטובה ביותר משתנה מארגוןלארגון. למשל, ארגון קמעונאות גדול ישים בתור עדיפות גבוהה דרישות שלהןהשפעה גדולה יותר על רשת נקודות המכירה ועל חנויות הרשת שלהם, בעוד מוקדטלפוני יתמקד בהחזקה וקידוד של נתונים. כל ארגון צריך להתאים את סדרהעדיפויות שלו על בסיס הסביבה המיוחדת לו ולמערכותיו ובנוסף ליכולתו לקבלעליו סיכונים (כמו למשל מה יהיו ההשלכות של החלטה כמו לא להתייחס לדרישהעקרונית של התקן? האם תהיו מוכנים לקחת על עצמכם סיכון זה?).
• יש חשיבות רבה לבעל מקצוע מנוסה שיעזור לתכנן את מפת הדרכים של ההתאמהשל הארגון, שכן הוא יכול למנוע שימוש בארכיטקטורות, תצורות, ודרכי טיפולשעלולות להיות מיותרות. אם אין מומחה כזה בנמצא בארגונכם, יהיה זה נבוןליצור קשר עם בודק אבטחה מומחה (QSA) ועדיף מוקדם מאשר מאוחר. חברותמסויימות מרגישות שהן יכולות לחסוך כסף כשהן נמנעות ממומחים מגופיםחיצוניים ומבינות רק בחלק מאוחר של הפרוייקט שהדבר עומד בעוכריהן ועלוללעלות יותר כסף מאשר לחסוך – בין מהקלת ראש במאמץ הPCI, דבר שיגרור ביצועמחדש של התהליך מאוחר יותר, או ההפך – ביצוע שינויים גדולים מדי שיבזבזוזמן ומשאבים.
עצה מס' 2 – עקבו אחרי עקרונות של ניהול פרוייקטים: מצאו אחראי לפרוייקט, גייסו צוות מיוחד, הכינו מאבני דרך לפרוייקט
התאמה לתקן האבטחה PCI דורש מאמץ מרוכז. כוח העבודה, ההשקעה והזמן שלארגונים לעיתים מבוזבז לשווא אם כל האנרגיות אינן מנותבות בכיוון אחדומובלות ע"י דרך ניהול פרוייקטים בריאה.
התאמה לתקן היא "פרוייקט" אמיתי שצריך להערך אליו כראוי. הצעד הראשון שלניהול הפרוייקט יהיה לוודא את תמיכת ההנהלה הבכירה ולדאוג לאחראי מיוחדלפרוייקט כדי להבטיח שמוקד החברה והשקעתה אכן נמצאים במאמץ ההתאמה.
הצעד השני של ניהול הפרוייקט, שהוא קריטי להצלחתו הכוללת, הוא לנסח מסמךמתועד ופורמלי לפרוייקט. דבר זה צריך, לכל הפחות, להתייחס לכל הסעיפיםהנ"ל:
• מה גרם להתחלת הפרוייקט
• מה נעשה בשביל מי
• מה מטרת הפרוייקט
• מה יעד הסיום שלו
• מה הם מאפייני הצלחתו
• כמה תקציב מוקצה לו
• מה הם אבני הדרך העיקריות בתהליך, ומה הם תאריכי היעד שלהן
• מה בטווח התהליך ומה מחוצה לו
• מי הם כל המעורבים
• מי יושפעו מהתהליך
• לאיזה מקרים ניתן להערך מראש
• מה הן הנחות הבסיס
• כיצד יש לתקשר בין הגורמים והמומחים ובאיזו שיטה
השלב השלישי וההכרחי מאוד של תהליך זה הוא לייסד צוות מיוחד, בו נציגים מכלגורמי המפתח בארגון המעורבים בתהליך. אחריותו של צוות זה היא לשמור עלמיקוד ורציפות של התהליך בארגון ולבקר את קצב התנהלותו, הן במסמכים פורמליםומבוקרים או לחליפין בתוכנה מיוחדת שתאפשר לכן לנהל את הסיכונים ואת אבניהדרך בארגונכם.
עצה מס' 3 – הגבל טווח "הסביבה" עד כמה שניתן
הטווח של תהליך ההתאמה לתקן נקבע לפי מיקומם הלוגי והפיסי של השרתים אוהמידע, מעובד ואו משודר אצל כל סוחר וספק שירותים. תריסר הדרישות של התקןתואמות לכל רכיבי המערכת. האחרונים מוגדרים ככל רכיב רשת, שרת או אפליקציהשמכילה או מחוברת לנתונים של סביבת המידע של מחזיקי הכרטיסים. אם איןסגמנטציה נכונה בין תתי הרשתות, כל הרשת של הארגון עלולה להכלל בטווחהבדיקה עבור התקן. סגמנטציה נכונה של הרשת יכולה להתבע ע"י התקנת חומות-אש(מוגדרות וממודרות כנדרש) בין כל תתי הרשתות השונות.
תקן הPCI מציין בבירור שסגמנטציה של הרשת שמאפשרת בידוד בין מערכותשמאחסנות, מעבדות ומשדרות נתוני אשראי מאלו שאינן, תתן הגנה מספקת שתצמצםבאופן ניכר את טווח הפרוייקט.
ארגונים צריכים תמיד להפריד את סביבת נתוני האשראי באופן מקסימלי משארמערכותיהם. אילולא יעשו זאת, טווח ההתאמה יגדל בתחומים אין ספור, דברשיתבטא בהגברת המאמצים והארכת לוח הזמנים הנדרשים, הרבה מעבר למה שנצפהבתחילה.
עצה מס' 4 – אל תאחסן את מה שלא נחוץ לאחסן, היפטר מנתונים רגישים
ישנו כלל ברזל בהתאמת תקן הPCI - אם אתה לא צריך את זה (למשל נתוני בעליהאשראי, להלן CHD), אל תאחסן את זה. ארגונים רבים שומרים אצלם מידע רב מדישבלי שיהיה להם כל שימוש בו.
לפי ממצאי תחקיר חדירה לנתונים שערכו בשנת 2010, 43% מהחדירות גילו לפחותסוג אחד של גורם בחזקת "לא ידוע". אחד מהגורמים הלא ידועים השכיחים היה"אחסון מידע שהמערכת עצמה לא יודעת שקיים אצלה". תגלית זו מראה את החשיבותשגלומה בידע נרחב לגבי כל נכסי החברה, זרימת הנתונים של פעילויות עסקיותוהחובה להפטר מכל מידע באם אין בו צורך.
המאמצים להשיג תאימות תקן PCI יגדלו באופן משמעותי אם קיים כל סוג של מידעשל מחזיקי האשראי שמאוחסן ללא צורך. ארגונים חייבים להעריך בצורהאובייקטיבית איזה מידע הכרחי עבורם ביותר לשם תפקוד פעילות עסקיהם. על מידעמבעלי כרטיסי האשראי להיות מאוחסן בהיקף המינימלי האפשרי, כאשר מדובר אךורק בחלק שהוא ההכרחי ביותר ושבלעדיו לא ניתן יהיה לבצע כל פעילות.
חשוב לדעת מה נחשב בתור מידע של מחזיקי אשראי ולפיכך מה שצריך להיות מוגןואסור באחסון. גרסה 1.2 של מגדיר באופן ברור איזו אבטחה ותנאי אחסון דרושיםלנתונים מעין אלה בחלק “PCI DSS Applicablitiy Information".
אפילו אם ישנה הצדקה עסקית מחייבת לאחסונו של הCHD, ישנם דרכים להסיר אתנתוני וידוי האשראי כך שמידע זה יהיה מחוץ לטווח התקן. למשל, 4 הספרותהאחרונות (xxxx-xxxx-xxxx-1234) של מספר הכרטיס או
Primary Account Number (PAN), אינו נחשב כCHD. כלומר, אפילו אם ישותמסויימת מחזיקה בשמו של בעל האשראי, בתוקפו ובמספרו, יחד עם ה PANהמקוצר(שצויין לעיל), תקן הPCI אינו מוחל על סוג כזה של אחסון מידע. שיטה נוספתלהמנע מאחסון של CHD היא צורה חזקה של טכניקות ערבול חד-צדדיות.(one wayhashing)
ישנו סוג אחר של מידע האסור לאחסון ללא הרשאה מיוחדת, אפילו אם הינו מוצפןאו מעורבל. מידע זה קרוי נתוני זיהוי רגישים . אף על פי כן, ישנן תפיסותשגויות בקרב ארגונים אשר טוענים כי אחסון מידע זה לאחר ביצוע האישור עצמונדרש למען מטרות עסקיות מסויימות (למשל עבור הדפסת העברות תכופות למעןהלקוח), מניעת קונפליקטים פיננסיים, ומצבי charge-back. לא קיימת סיבהעסקית מוצדקת להחזיק במידע שכזה לאחר ביצוע האישור מכיוון שלא אחד מהמצביםשמוצגים לעיל דורש הזנה מחדש של מידע רגיש זה. אחסון של מידע זה יכול לגרוםלדחיות מיותרות בפרוייקט ההתאמה ולהנדסה מחדש של תהליכים עסקיים.
עצה מס' 5 – הבטיחו עצמכם מעבר לרשימות ולכללים: עקבו אחרי המטרה שמאחורי האמצעים
מנהלי אבטת מידע בארגונים רבים נוטים לחפש רשימת משימות מוכנה מראש בכדילפשט את משימות ההתאמה האבטחתית שלו. מה שחברי הצוות בדרך כלל שוכחים הואשמאחורי כל רשימת משימות, ישנן סיבות אמיתיות.
רשימת משימות הינה רק דרך אחת לספק התאמה למשימה הניתנה. בזמן שרשימת תיוגו/או כל כלי אחר יכול לספק לארגון שיטה מהירה וקלה לביקורת של משימות, מהשחשוב הוא לא המשימות השונות שיש לבצע, אלא הכוונה מאחוריהן. פעמים רבות,רשימת משימות וכל כלי אחר יכולה לצייר תמונה מושלמת, בעוד המצב כפי שהואבשטח רחוק מלהיות כזה. למרות שניתן להשתמש בכלים מסוג אלה, חשוב להפעילשיקול דעת האם המאמצים שהוקצו באמת תואמים את הכוונה המקורית של הדרישההספציפית.
דוגמה פשוטה של עניין זה היא דרישה של מעקב אחר התקשורת בחומת-אש לה אמצעיכיבוי חיצוני הנמצא בשליטת תוכנות ישנות. גישה מבוססת רשימת תיוג הדורשת אתקיומה בלבד של חומת-אש כזו לא תגלה שום בעיה במימוש החיצוני.
דוגמה נוספת תהיה השליטה באופן המנוי לעדכוני אבטחה. אם צוות האבטחה מטפלבנושא זה אך ורק ע"י התקנה תמידית של עדכוני אבטחה, כפי שמפורסמים באתריהיצרנים ולא מנתחים את השינויים וההתראות ולוקחים צעדים הנדרשים מכך, אזיכוונת הדרישה לא מתמלאת כהלכה וכל המאמצים שנעשו בה אבודים מראש.
עצה מס' 6 – ערבו את כל בעלי העניין בפרוייקט – ההתאמה היא לא המשימה של מנהל הIT בלבד
השגת התאמה עם תקן הPCI דורשת את מעורבות כל בעלי התפקידים בארגון. מכיווןשהיא מובלת כפרוייקט רשמי, התערבות של אחראי הפרויקט בצד העסקי היא חיוניתלהצלחתו. צוות הפרוייקט צריך להיות מורכב מנציגים ממחלקת אבטחת המידע,עסקים, ניהול (של שירותי המתקן), משאבי אנוש ואחרונה אך חשובה, מחלקתטכנולוגיית המידע.
מכיוון שתריסר הדרישות של תקן הPCI מקיפות פונקציות שונות בתוך הארגון,השתתפות פעילה של כל פונקציות אלו תעזור לשמור על התאימות עם התקן.
מומלץ בחום להמנע מהעברת האחריות השלמה של כלל תהליך ההתאמה לתקן הPCIלמנהל הIT ויכולה להיות מתכון לדיחויים לא צפויים ולמאמצים מיותרים – וישסבירות גבוהה שזה אכן יקרה. הרי, תקן הPCI מעורב בתשלומי האשראי ותשלומיהאשראי הם תוצאה של צורך עסקי כלשהו ולכן ההחלטות לשחרר או להגביל אחסוןמידע על מחזיקי האשראי, לאשר השבתת המערכת לעיצוב מחדש של הרשת, לנהלעדכונים, לבצע בדיקות חדירה וכו ולהצדיק צורך עסקי לאחסון, לעיבוד ולשידורשל מידע מחזיקי אשראי תמיד נעשה ע"י מנהלים. אלו הן רק דוגמאות מספרלפעולות שלא יכולות להעשות ע"י מנהל הIT בלבד. בדומה, אמצעי שליטה הקשוריםלאגף משאבי האנוש צריכים להיות מנוהלים ומתוכננים ע"י הגורמים המתאימים.
מומלץ ביותר לייחד צוות אחראי שיכיל נציגים מכל האגפים הרלוונטיים אשר מהווים חלק בתהליך ההתאמה לתקן הPCI.
עצה מס' 7 – שאננות בעקבות תאימות עם תקנים אחרים, יכולה להזיק
תקן הPCI הינו ייחודי בכך שהוא הומצא, מתוחזק ונאכף הודות לסיבה אחתספציפית: הגנה של נתוני אשראי. למרות שהתקן מתמקד בשיטות מועדפות של אבטחתמידע, הוא עדיין דורש תשומת לב מיוחדת ומיקוד.
ארגונים מסויימים נדהמים מכמות הפירוט שבתקן הPCI. החל בהגדרות של מאפייניבסיס בחומת-אש, דרך ניהול מפתחות הצפנה וקידוד ושמירה על כללי OWASP לאבטחת אפליקציות ועד לבדיקות חולשות רבעוניות ובדיקות חדירה שנתיות, תקןהPCI משאיר מעט מאוד מקום להנחות והתגמשות בזמן מימוש דרישות האבטחה שלו.
פעמים רבות תהליך ההתאמה מתבצע לאחר שהארגון כבר מימש תקני אבטחה אחרים,כדוגמת תקן ISO/IEC 27001 . בעוד שתקן ISO 27001 הוא תקן ציון דרך לאבטחתמידע ולו פרספקטיבה כללית, הוא אינו נכתב במיוחד על מנת להתמודד עם סיכוניםהקשורים ישירות למידע של מחזיקי אשראי. טיפולו הייחודי של תקן הPCI הואשמבדיל אותו מהאחרים ולכן דורש מאמץ נוסף ולעיתים שינוי בהתנהלות העסקוברכיבי הטכנולוגיה שלו על מנת להתאים לדרישות התאמה אלו.
לכן, גם אם הארגון כבר התאים עצמו לתקני אבטחה אחרים, הוא עדיין צריךלהעריך בחריצות ולהסיק על פעילויות ו/או השקעות נוספות בתוכניתו לפרוייקטהתאמה לתקן הPCI בכדי להמנע מלחץ ותוהו ובוהו של הרגע האחרון. מאמץ מוקדםזה ישיג כברת דרך למען העלאת רמת האבטחה הקיימת וישיג הבנה טובה לגבי מהבאמת מושג בשטח – ומה עוד נדרש כדי להיות מידה אחת יותר מכפי שנדרש.
עצה מס' 8 – התאמה לנותן שירות היא המפתח
במסעיהם הממוקד לקראת התאמה לתקן הPCI, ארגונים שוכחים מהתהליך התואם שלהסוחר ושל ספקי השירות שלהם. התאמת ספקי השירות היא חשובה בדיוק כמו שלהארגון עצמו, מאחר והאחריות על ניהול העבודה שכוללת מידע על מחזיקי האשראימועברת לגורמי צד ג' הדין וחשבון עדין נשאר אצל הארגון עצמו.
תקן PCI הינו תקן עם תוצאת תאימות בינארית ועל כן אם אפילו אחד מדרישותיולא מתממשת, הארגון המועמד ייחשב כאחד ש"לא תואם" לתקן. אין מונח המתאיםעבור ארגון "תואם חלקית". לכן, הקניית חשיבות זהה להתאמת גורמי צד ג' היאקריטית.
הערכות התאמה לסוחרים ולספקי השירות צריכה להעשות במקביל, מבלי לחכותשהשינויים התוך ארגוניים יושלמו. הנ"ל מומלץ ביותר, מכיוון שהשגת התאמהלשליטה מתאימה מצידו של נותן השירותים יכולה לדרוש תכנון מחדש של הפתרוןשמומש, שינוי/ עדכון של המוצר המוצע, ו/או שינוי מנהלי של תנאי חוזה.האחרון הוא המאתגר ביותר, זה שדורש את מירב הזמן והינו עלול לסכן את מפתהדרכים של הארגון לתאימות מלאה עם תקן הPCI.
מכיוון שתחום שליטתו של הארגון הינה מוגבלת, וידוי התאמתו של ספק השירות עםתקן הPCI חשובה ביותר וקריטית להובלה בראשית פרוייקט ההתאמה של הארגון.
עצה מס' 9 – הערכות פנים ארגוניות הינן הרבה יותר ממועילה
התאמה עם תקן הPCI איננה קשה אם היא מתוכננת ומבוצעת בצורה יעילה. לפנישארגון ניגש להערכה סופית ע"י QSA חיצוני, עליו לבצע בעצמו בדיקת קדםפנימית. בדיקה עצמית זו, שיש להתייחס אליה כאל ביקורת מדומה, מבוצעת ע"יגורמים מוסמכים מטעם הארגון לביצוע בחינת התאמה לתקן בצורה רשמית.
בחינת קדם פנימית הינה מלאכה מורכבת שעוזרת לזהות מלכודות ופעריםפוטנציאלים אשר באם מתגלים בזמן הופכים את ההגעה לתאימות מלאה לתקן להיותקלה יותר.
לביצוע משימת בדיקת קדם, לארגון נדרש צוות מוסמך, בעל ידע בכל דרישות תקןהPCI ובכל נוהלי האבטחה שלו. צוות זה יבצע את הערכותיו בדרך רשמית כךשכוונתה, קפדונתה ומבנהה של הבדיקה יישמרו.
עצה מס' 10 – תעד את מעשיך ועשה את שתיעדת
עצה זו מתאימה באופן אוניברסלי לכל מבחן, הערכה ויוזמת הסמכה. למרות שהיאנראית כדרישה פשוטה וקלה להבנה, זו העצה שלרוב זוכה להתעלמותה הגדולה ביותרבארגונים מסויימים.
דרישות תקן הPCI ונוהלי בדיקתו מדגישה בצורה רבה עדויות לתיעוד בדיוק כמוליעילות המימוש. שתי הדרישות ההכרחיות הללו הינן ברות-השגה אם ורק הארגוןמתעד באופן מוקפד את כל בקרי הארגון.
תיעוד ומימוש תואמים הינם קריטיים, מאחר ותיעוד מספק אפשרות שחזור והדירותשל הכוונה בעוד המימוש מראה על ביצוע התיעוד לפי כוונתו. כחלק מהדיווחהסופי, הQSA צריך לזהות בבירור מה אובחן באמצעות בדיקת התיעוד, יבדוק ידניתאת יעילות המימוש ויראיין גורמי מפתח רלוונטיים. חלק או כל נוהלים אלוישמשו כדי להוכיח את טענתו של הארגון להיות תואם לכל אחת מתריסר דרישותהתקן.
מכלול התיעוד צריך להיות מתוחזק בצורה תקנית מסודרת שתדגיש באופן ברור אתשליטת התיעוד במידע שמוכל בו, באופן שיכלול אך לא יוגבל ע"י:
• שם המסמך
• תאריך שחרור המסמך
• פרטי גרסת המסמך
• היסטוריית שינוי המסמך
• הפניות המסמך
• מחברי, בודקי ומאשרי המסמך
דרך מומלצת להבטיח את המשך התאמתו של המסמך לקיים בפועל היא לקבוע ולמדודמספר אינדיקציות מפתח לביצוע עבור כל מדיניות, תהליך ונוהל. מנהג זה יעזורבמדידתו ושיפורו של תהליך, כמו גם יאשש את קירבתו של המימוש לתיעוד ולכןישיג את "תעד את מעשיך ועשה את שתיעדת".
כדי לקבל התאמה לתקן הPCI, ארגון צריך למלא את כל דרישות התקן כלשונן. יש להשתמש במסמך זה אך ורק כעזר לאסטרטגיה נכונה להתאמה זו.
סימוכין ומידע עזר נוסף
אודות תקן תעשיית כרטיסי האשראי והסטנדרט לאבטחת נתונים רגישים(PCI-DSS)
https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml
עשרת המיטוסים של תקן ה PCI DSS
https://www.pcisecuritystandards.org/pdfs/pciscc_ten_common_myths.pdf
תעדוף ואבני דרך נכונים לתקן DSS גרסה 1.2
https://www.pcisecuritystandards.org/education/prioritized.shtml
אחסון והגנה על נתוני אשראי, כיצד
https://www.pcisecuritystandards.org/pdfs/pci_fs_data_storage.pdf