כל חברה אשר מחליטה להפעיל אתר מסחר אלקטרוני (חנות וירטואלית) ובו מערכת חיוב אשראי חייבת לדאוג לכך שהאתר יהיה מאובטח ברמה הנדרשת. מאמר זה ידון בתחום אבטחת המידע באתרי מסחר מקוונים ובתקן PCI הבינלאומי. תקן זה שמטרתו הוא להבטיח שפעולת סליקת האשראי תתבצע בצורה בטוחה הוא תקן אשר מחייב את כל אתרי המסחר המקוונים, קופות רושמות, בנקטים ומכונות ממכר אוטומטיות בהן ניתן לשלם באמצעות כרטיסי אשראי.
מהו תקן PCI
כל אדם אשר מעוניין לבצע פעולות הקשורות אל סליקה של אשראי משלושת חברת האשראי של ישראל, חייב לעמוד בתקן זה. PCI הוא ראשי תיבות של PAYMENT CARD INDUSTRY', תעשיית חיוב אשראי. כאן מדובר על תקן בינלאומי אשר דורש מכל אתר אינטרנט להוכיח כי אבטחת המידע באתר היא מקסימאלית ורק לאחר מכן הוא יקבל אישור להטמיע מערכת חיוב אשראי באתר.
הבדיקה של חברות האשראי באשר לאבטחת המידע של אתר האינטרנט תכלול את התחומים הבאים:
- שרתים- בעל האתר יידרש לציין מה המיקום של השרתים בהם הוא משתמש ומהי האבטחה של שרתים אלו. בנוסף, הוא יצטרך לציין מהם סוגי השרתים בהם הוא משתמש: האם מדובר בשרתים אשר רכש ונמצאים בבעלותו, האם מדובר בשרתים וירטואליים, ייעודיים או בשרתים הממוקמים במקום אחסון שיתופי, ומיהו האדם האחראי על התפעול של השרתים ומהי רמת האבטחה שלהם.
- עסקאות באתר- כל בעל אתר יצטרך לפרט מהי הבקרה הנעשית על מנת למנוע פעולות שעיקרן הוא שימוש חיצוני לרעה.
- פרטי לקוחות- כיצד נשמרים כל הפרטים שלהלקוחות המזינים את פרטיהם בטופס באתר ומהי ההגנה בו בעל האתר נוקט על מנתשפרטים אלו לא ייחשפו לעיני הציבור והאקרים.
- פרטי כרטיסי אשראי- בעל האתר יצטרך לאשר כיכל הפרטים של כרטיסי האשראי נשמרים כקובץ מוצפן וכיצד דבר זה נעשה. בנוסף,הוא יצטרך לדווח כל כמה זמן מתבצעת פעולת מחיקה של מספרי כרטיסי האשראי מאותו קובץ מוצפן וכיצד זה נעשה.
- שרתים נפרדים- האם השרת המאגד את האפליקציות הקשורות אל סליקת אשראי וחיוב אשראי מופרדות מהשרת המאגד את דפי הממשק וקבצי התוכן של האתר. הפרדה זו חשובה שכן היא מגדילה את אבטחת האתר.
- מערכת האתר- בעל האתר ימסור דיווח ובו הוא ירשום האם מערכת הכספים ומערכת ניהול הלקוחות מקושרות למערכות אחרות של האתר, דבר אשר יכול לגרום להנמכת האבטחה באתר.
- רמת האבטחה- מדי כמה זמן מתבצעת בדיקה המוודאה כי המערכות של האתר עמידות, השרת תקין ורמות האבטחה בהן לא נפגמו.
לסיכום, אתרי מסחר מקוונים בעלי תקן PCI הם אתרים בהם הצרכנים יכולים לשלם בכרטיסי אשראי בביטחון מלא שפרטי כרטיסי האשראי שלהם לא יחשפו ולא יעשה בהם ניצול לרעה. ההערכה היא כי בשנת 2013 תקן זה יוגדר כתקן חובה במדינתנו ובמדינות שונות ברחבי היבשת האירופאית.