חפש מאמרים:
שלום אורח
22.11.2024
 
   
מאמרים בקטגוריות של:

   
 

PCI – לשמור על נתוני כרטיסי האשראי

מאת: חן נאמןאבטחת מידע13/01/20102287 צפיות שתף בטוויטר |   שתף בפייסבוק

לצד היתרונות הרבים של השימוש באינטרנט כזירת מסחר, המועילה לבית העסק הן מהבחינה הכלכלית והן מהבחינה השיווקית, מרחפת הסכנה המתמדת של גניבת נתוני כרטיסי האשראי שימצאו את דרכם לידיהם של מקורות עבריינים. דליפת נתונים רגישים אלו, לא מתבצעת בהכרח ע"י פריצת המחשב מרחוק (האקרים, למשל) שמירת מאגר הנתונים באמצעים לא נאותים (למשל על גבי קובץ אקסל) הינה כפרצה הקוראת לגנב, אשר במקרה זה, יכול להיות כל מי שיש לו גישה פיזית למחשב בית העסק, בין אם אלו עובדים, ספקים, או חלילה, במקרה של גניבת המחשב עצמו. חשוב להבין שפרצה בנתונים לא חייבת להיות בהכרח עניין טכנולוגי, נסו להזכר כמה פעמים הופיעו נתוני כרטיס האשראי שלכם על גבי קבלות התשלום בבתי קפה, מסעדות ועסקים נוספים. מחקרים של חברות האשראי הבינ"ל מראים כי כ-80% מבתי העסק שנכוו מדליפת נתוני כרטיסי האשראי של לקוחותיהם, חדלו להתקיים תוך שנה.


גניבת מידע, סכנה ברורה ומידית

על פי רוב, אירועים מסוג זה, זוכים לסיקור תקשורתי נרחב וגורמים לנזק בלתי הפיך במוניטין ובתדמית של בית העסק. גם ללא סיקור תקשורתי, סיכוייו של בית העסק לשרוד מפגיעה כזו אפסיים, במיוחד בישראל, בה מידע- בעיקר שלילי- עובר בין הלקוחות כאש בשדה קוצים.

מיותר לציין כי העלויות שיידרש בית העסק לשלם כתוצאה מהתביעות שיוגשו נגדו, הן מצד הלקוחות והן מצד חברות האשראי, יהיו גבוהות במאות, ויתכן שאף אלפי אחוזים, מעלותה של מערכת להצפנת כרטיסי האשראי. פן נוסף הוא, סירובן העתידי של חברות האשראי להתקשר עם בעל העסק, בכך יקטנו משמעותית סיכוייו להצליח, אם וכאשר יחליט לפתוח עסק חדש.  


מה צריך לעשות?

כתוצאה ממקרים של דליפת נתוני כרטיסי האשראי שהתרחשו ברחבי העולם בעקבות אמצעי אבטחה לקויים, הנהיגו חברות האשראי הבינלאומיות תקן חדש ואחיד לשמירה על נתונים אלו. תקן זה, הנקרא PCI DSS (Payment Card Industry Data Security Standard), הנו תקן המחייב כל גוף אשר מעבד, מעביר או שומר כרטיסי אשראי, ובכלל זה בתי עסק, חברות סליקה, וספקי שרות. 

התקן מורכב מששה יעדים שעל בית העסק להשיג המחולקים ל-12 פעולות:

יעדים

דרישות

הקמה ותחזוקה של רשת מאובטחת

1.     הקמה ותחזוקה שוטפת של "חומת אש" (firewall) להגנה על נתונים.

2.     איסור על שימוש בסיסמאות ברירת המחדל בכל ההתקנים והטכנולוגיות המסופקים ע"י גורם חיצוני.

שמירה על נתוני כרטיסי האשראי

3.     שמירה והגנה על נתונים שמורים בבסיס הנתונים (database).

4.     הצפנת תשדורות של נתוני הכרטיסים שעוברים ברשתות פתוחות וציבוריות.

הפעלת תוכנית לניהול פגיעות

5.     התקנה ועדכון שוטף של תוכנית אנטי-וירוס.

6.     פיתוח ושימור מערכות ואפליקציות מאובטחות.

יישום מדיניות בקרת גישה יעילה

7.     הגבלת הגישה לבסיס הנתונים של כרטיסי האשראי אך ורק לאנשים הנדרשים לכך מתוקף תפקידם.

8.     הענקת שם משתמש וסיסמה יחודיים לכל בעל גישה לבסיס הנתונים.

9.     הגבלת הגישה הפיזית לנתונים.

בדיקה שוטפת ופיקוח מתמיד על המערכות המחשוב

10.  מעקב, פיקוח וניטור על הגישה למערכות המחשוב ונתוני הכרטיסים.

11.  הפעלת מדיניות אבטחת מידע – בדיקה שוטפת של מערכות האבטחה, המנגנונים והתהליכים הנלווים לה.

הפעלת מדיניות אבטחת מידע

12.  יישום מדיניות לאבטחת מידע לעובדים בתוך העסק ושל ספקים חיצוניים.

תקן PCI מגדיר 4 דרגות סיכון של בתי עסק המחולקים, בין היתר, בהתאם לכמות העסקאות השנתיות שמתבצעות בסליקת כרטיסי אשראי ובהתאם לאופן העברת העסקה (רגיל או אלקטרוני). ככלל, נדרש כל בית עסק למלא שאלון הערכה עצמי (SAQ) ולבצע סריקות רשת רבעוניות ע"י חברה (ASV) המוסמכת מתאם המועצה של חברות האשראי הבינלאומיות (PCI Council). עבור בתי עסק בדרגת סיכון גבוהה- בין היתר, עסק המעביר מעל 6 מיליון עסקאות בשנה, או עסק שנפגע בעבר כתוצאה מדליפת נתונים- ביצוע סקר סיכונים שנתי (AUDIT) ע"י חברה (QSA) המוסמכת מתאם מועצת PCI.

לתת למומחים לשמור על הנתונים

למרות שעמידה בתקן דורשת זמן ומשאבים, במיוחד מכיוון שמדובר בפעילות שוטפת המתבצעת לאורך כל השנה, יישום תקן PCI בבתי העסק מהווה יתרון לא רק עבור חברות כרטיסי האשראי והלקוחות, אלא גם לבית העסק עצמו. ראשית, בית עסק שמיישם את התקנון זכאי להגנה מפני תביעות של חברות האשראי במקרה של גניבת נתונים. שנית, הוא מגביר את תחושת הביטחון של הלקוח ומהווה יתרון משמעותי מול עסק שלא עומד בתקן.

אחד הפתרונות לעמידה בתקן מבלי להשקיע בו משאבים רבים מדי, הוא להשתמש בשרותיה של חברת סליקה (חברה צד ג') אשר מתמחה בניהול נתונים ואבטחתם. כך נחסך "כאב הראש" של התעסקות בתחום שאינו קשור ישירות לתחום הפעילות של העסק, מצד אחד, והעסק יכול ליהנות מרמת אבטחה גבוהה וניהול מאגר הנתונים מקצועי ע"י גוף המתמחה בכך, מצד שני.

כדאי לזכור שבישראל כיום אין עדיין אכיפה משמעותית בתחום אבטחת מידע בכלל, ומסד הנתונים של כרטיסי האשראי בפרט. אולם אם לשפוט על פי המגמה העולמית, לא רחוק היום שבו עמידה בתקן תהווה תנאי הכרחי לפעילות העסק ואי עמידה בו אף יחשב עברה פלילית.

אילו פרטים מותר לשמור וכיצד?

   

מותר לשמור?

נדרשת הגנת נתונים?

נדרשת הצפנת נתונים

פרטי הלקוח

מספר כרטיס

כן

כן

כן

תוקף כרטיס

כן

כן

לא

קוד זיהוי

כן

כן

לא

שם לקוח

כן

כן

לא

מידע רגיש

פרטי פס מגנטי

לא

--

--

CV2/CVV/CID*

לא

--

--

קוד סודי

לא

--

--

*הספרות המופיעות בגב הכרטיס ומשמשות כאמצעי זיהוי נוסף

 





 
     
     
     
   
 
אודות כותב המאמר:

חן נאמן

איזיקארד - סליקת אשראי

 
     
   
 

מאמרים נוספים מאת חן נאמן

מאת: חן נאמןתוכנה13/01/101181 צפיות
סליקה וחיוב לקוחות מהווה תהליך ארוך ומייגע לעסק הכרוך בעלויות גבוהות. לא בהכרח. מערכת בילינג לעסקים קטנים ובינוניים נועדה לתת מענה לעסקים המתבססים על קהל לקוחות קבוע ולחסוך משמעותית בזמן ובעלויות.

מאמרים נוספים בנושא אבטחת מידע

מאת: אלעד סאעת אבטחת מידע31/07/161955 צפיות
במאמר הבא נסביר קצת על אבטחת מידע אישי ופרטי שלך ברשת. כיצד נגן על פרטיותינו באמצעות מספר צעדים פשוטים.

מאת: ליאור מזוראבטחת מידע14/02/161813 צפיות
תפקיד מנהל אבטחת מידע (CISO) שונה מארגון לארגון ואופי התפקיד משתנה בהתאם לסוג הארגון, גודלו, תחום עיסוקו, הרגולציה שאליה כפוף ומאפייני הנהלתו. אך יותר מכל משפיע מנהל אבטחת מידע עצמו על התפקיד אותו הוא ממלא. כישוריו האישיים, יכולותיו המקצועיות והניהוליות ואופן התנהלותו בארגון בונים את תפקיד מנהל אבטחת מידע בארגון ואת מידת השפעתו על התהליכים, על העובדים ועל ההנהלה.

מאת: יוני שוורץ אבטחת מידע02/07/152436 צפיות
תגי קרבה פועלים בטכנולוגיית RFID. זו טכנולוגיה ותיקה יחסית לזיהוי באמצעות תדרי רדיו, אך בשנים האחרונות היא חוזרת למרכז הבמה. הסיבה העיקרית לכך היא מידת ההתאמה של הטכנולוגיה לשימוש בתוך כרטיסי עובד. בנוסף, בעזרת הטכנולוגיה ניתן לאתר פריטים ולזהות חפצים בצורה אלחוטית וללא צורך בשדה ראייה או מגע ישיר

מאת: ליאור מזוראבטחת מידע14/03/1511851 צפיות
עובדים בארגון מתוקף תפקידם נחשפים למידע מסווג כגון: מידע רפואי, מידע מסווג אישי ומידע עסקי ארגוני, נתוני כרטיסי אשראי, תשלומי לקוחות ועוד. בין אם ניתן להם אישור לגשת למידע או שמדובר בגישה לא מורשית, הדבר עלול להוות בסיס להוצאת המידע מתוך מערכות הארגון השונות למקורות שאינם מורשים. לחלופין, עובד עלול להעתיק תוכן מסמך מסווג למסמך אחר מבלי להיות מודע לכך שהתוכן מסווג ולהוצאת המידע מחוץ לארגון ביודעין או בעקיפין.

מאת: אלכסייאבטחת מידע18/01/153389 צפיות
מה זה אבטחת מידע? מי אחראי על אבטחת מידע? ATTGM Consulting חברת אבטחת מידע. www.attgm.com

מאת: אלכסייאבטחת מידע18/01/153346 צפיות
טיפים ליצירת סיסמאות חזקות, להגברת מודעות אבטחת מידע ומניעת זליגת מידע אישי ורגיש. ATTGM Consulting www.attgm.com חברת אבטחת מידע

מאת: ליאור מזוראבטחת מידע19/07/143762 צפיות
לוחמת סייבר היא פעולה מלחמתית, הננקטת על ידי מדינה, ארגון טרור וכדומה, על מנת לחדור ולהסב נזק למערכת המחשוב של היריב או למערכות אחרות המסתמכות עליה. לאור הלחימה באזור הדרום במבצע "צוק איתן", בימים האחרונים מתקיימות מתקפות סייבר על ארגונים וחברות שונות במדינת ישראל. בין המתקפות ניתן לראות מתקפות כגון: DOS (Denial Of Service), Defacement (השחתת אתרים) ופישינג (דיוג).

 
 
 

כל הזכויות שמורות © 2008 ACADEMICS
השימוש באתר בכפוף ל תנאי השימוש  ומדיניות הפרטיות. התכנים באתר מופצים תחת רשיון קראייטיב קומונס - ייחוס-איסור יצירות נגזרות 3.0 Unported

christian louboutin replica