לצד היתרונות הרבים של השימוש באינטרנט כזירת מסחר, המועילה לבית העסק הן מהבחינה הכלכלית והן מהבחינה השיווקית, מרחפת הסכנה המתמדת של גניבת נתוני כרטיסי האשראי שימצאו את דרכם לידיהם של מקורות עבריינים. דליפת נתונים רגישים אלו, לא מתבצעת בהכרח ע"י פריצת המחשב מרחוק (האקרים, למשל) שמירת מאגר הנתונים באמצעים לא נאותים (למשל על גבי קובץ אקסל) הינה כפרצה הקוראת לגנב, אשר במקרה זה, יכול להיות כל מי שיש לו גישה פיזית למחשב בית העסק, בין אם אלו עובדים, ספקים, או חלילה, במקרה של גניבת המחשב עצמו. חשוב להבין שפרצה בנתונים לא חייבת להיות בהכרח עניין טכנולוגי, נסו להזכר כמה פעמים הופיעו נתוני כרטיס האשראי שלכם על גבי קבלות התשלום בבתי קפה, מסעדות ועסקים נוספים. מחקרים של חברות האשראי הבינ"ל מראים כי כ-80% מבתי העסק שנכוו מדליפת נתוני כרטיסי האשראי של לקוחותיהם, חדלו להתקיים תוך שנה.
גניבת מידע, סכנה ברורה ומידית
על פי רוב, אירועים מסוג זה, זוכים לסיקור תקשורתי נרחב וגורמים לנזק בלתי הפיך במוניטין ובתדמית של בית העסק. גם ללא סיקור תקשורתי, סיכוייו של בית העסק לשרוד מפגיעה כזו אפסיים, במיוחד בישראל, בה מידע- בעיקר שלילי- עובר בין הלקוחות כאש בשדה קוצים.
מיותר לציין כי העלויות שיידרש בית העסק לשלם כתוצאה מהתביעות שיוגשו נגדו, הן מצד הלקוחות והן מצד חברות האשראי, יהיו גבוהות במאות, ויתכן שאף אלפי אחוזים, מעלותה של מערכת להצפנת כרטיסי האשראי. פן נוסף הוא, סירובן העתידי של חברות האשראי להתקשר עם בעל העסק, בכך יקטנו משמעותית סיכוייו להצליח, אם וכאשר יחליט לפתוח עסק חדש.
מה צריך לעשות?
כתוצאה ממקרים של דליפת נתוני כרטיסי האשראי שהתרחשו ברחבי העולם בעקבות אמצעי אבטחה לקויים, הנהיגו חברות האשראי הבינלאומיות תקן חדש ואחיד לשמירה על נתונים אלו. תקן זה, הנקרא PCI DSS (Payment Card Industry Data Security Standard), הנו תקן המחייב כל גוף אשר מעבד, מעביר או שומר כרטיסי אשראי, ובכלל זה בתי עסק, חברות סליקה, וספקי שרות.
התקן מורכב מששה יעדים שעל בית העסק להשיג המחולקים ל-12 פעולות:
יעדים
|
דרישות
|
הקמה ותחזוקה של רשת מאובטחת
|
1. הקמה ותחזוקה שוטפת של "חומת אש" (firewall) להגנה על נתונים.
2. איסור על שימוש בסיסמאות ברירת המחדל בכל ההתקנים והטכנולוגיות המסופקים ע"י גורם חיצוני.
|
שמירה על נתוני כרטיסי האשראי
|
3. שמירה והגנה על נתונים שמורים בבסיס הנתונים (database).
4. הצפנת תשדורות של נתוני הכרטיסים שעוברים ברשתות פתוחות וציבוריות.
|
הפעלת תוכנית לניהול פגיעות
|
5. התקנה ועדכון שוטף של תוכנית אנטי-וירוס.
6. פיתוח ושימור מערכות ואפליקציות מאובטחות.
|
יישום מדיניות בקרת גישה יעילה
|
7. הגבלת הגישה לבסיס הנתונים של כרטיסי האשראי אך ורק לאנשים הנדרשים לכך מתוקף תפקידם.
8. הענקת שם משתמש וסיסמה יחודיים לכל בעל גישה לבסיס הנתונים.
9. הגבלת הגישה הפיזית לנתונים.
|
בדיקה שוטפת ופיקוח מתמיד על המערכות המחשוב
|
10. מעקב, פיקוח וניטור על הגישה למערכות המחשוב ונתוני הכרטיסים.
11. הפעלת מדיניות אבטחת מידע – בדיקה שוטפת של מערכות האבטחה, המנגנונים והתהליכים הנלווים לה.
|
הפעלת מדיניות אבטחת מידע
|
12. יישום מדיניות לאבטחת מידע לעובדים בתוך העסק ושל ספקים חיצוניים.
|
תקן PCI מגדיר 4 דרגות סיכון של בתי עסק המחולקים, בין היתר, בהתאם לכמות העסקאות השנתיות שמתבצעות בסליקת כרטיסי אשראי ובהתאם לאופן העברת העסקה (רגיל או אלקטרוני). ככלל, נדרש כל בית עסק למלא שאלון הערכה עצמי (SAQ) ולבצע סריקות רשת רבעוניות ע"י חברה (ASV) המוסמכת מתאם המועצה של חברות האשראי הבינלאומיות (PCI Council). עבור בתי עסק בדרגת סיכון גבוהה- בין היתר, עסק המעביר מעל 6 מיליון עסקאות בשנה, או עסק שנפגע בעבר כתוצאה מדליפת נתונים- ביצוע סקר סיכונים שנתי (AUDIT) ע"י חברה (QSA) המוסמכת מתאם מועצת PCI.
לתת למומחים לשמור על הנתונים
למרות שעמידה בתקן דורשת זמן ומשאבים, במיוחד מכיוון שמדובר בפעילות שוטפת המתבצעת לאורך כל השנה, יישום תקן PCI בבתי העסק מהווה יתרון לא רק עבור חברות כרטיסי האשראי והלקוחות, אלא גם לבית העסק עצמו. ראשית, בית עסק שמיישם את התקנון זכאי להגנה מפני תביעות של חברות האשראי במקרה של גניבת נתונים. שנית, הוא מגביר את תחושת הביטחון של הלקוח ומהווה יתרון משמעותי מול עסק שלא עומד בתקן.
אחד הפתרונות לעמידה בתקן מבלי להשקיע בו משאבים רבים מדי, הוא להשתמש בשרותיה של חברת סליקה (חברה צד ג') אשר מתמחה בניהול נתונים ואבטחתם. כך נחסך "כאב הראש" של התעסקות בתחום שאינו קשור ישירות לתחום הפעילות של העסק, מצד אחד, והעסק יכול ליהנות מרמת אבטחה גבוהה וניהול מאגר הנתונים מקצועי ע"י גוף המתמחה בכך, מצד שני.
כדאי לזכור שבישראל כיום אין עדיין אכיפה משמעותית בתחום אבטחת מידע בכלל, ומסד הנתונים של כרטיסי האשראי בפרט. אולם אם לשפוט על פי המגמה העולמית, לא רחוק היום שבו עמידה בתקן תהווה תנאי הכרחי לפעילות העסק ואי עמידה בו אף יחשב עברה פלילית.
אילו פרטים מותר לשמור וכיצד?
|
|
מותר לשמור?
|
נדרשת הגנת נתונים?
|
נדרשת הצפנת נתונים
|
פרטי הלקוח
|
מספר כרטיס
|
כן
|
כן
|
כן
|
תוקף כרטיס
|
כן
|
כן
|
לא
|
קוד זיהוי
|
כן
|
כן
|
לא
|
שם לקוח
|
כן
|
כן
|
לא
|
מידע רגיש
|
פרטי פס מגנטי
|
לא
|
--
|
--
|
CV2/CVV/CID*
|
לא
|
--
|
--
|
קוד סודי
|
לא
|
--
|
--
|
*הספרות המופיעות בגב הכרטיס ומשמשות כאמצעי זיהוי נוסף