הגידול הרב שחל בשנים האחרונות במקרה ההונאה של כרטיסי אשראי והגניבה ממערכות מידע ומאתרי אינטרנט המאפשרים חיוב באינטרנט, כמו גם הרצון להוביל תהליך תקינה באופן עצמאי ולא מוכתב ע"י הממשל, הובילו את חברות כרטיסי האשראי להתאגד ולהקים גוף תקינה ולקבוע תקן מחייב הנקרא או בקצרה PCI-DSS.
דרישות תקן Payment Card Industry Data Security Standard מדרגות את כל החברות הסולקות כרטיסי אשראי בארבע רמות (1-4) על-פי מספר הטרנזקציות השנתיות המתבצעות על-ידי החברה וכן על-פי רמת החשיפה של החברה. התקן מחולק ל-12 דרישות האבטחה של תקן PCI-DSS ומחייב את החברות הסולקות כרטיסי אשראי לנקוט פעולות אבטחת מידע בטיפול השוטף במספרי כרטיסי האשראי הן בזמן ביצוע הפעולות והן בשמירת הנתונים.
באופן כללי, מחוייבות החברות לענות על שאלון (המכיל מעל 200 שאלות מקצועיות), לבצע סריקות רבעוניות של כל כתובות ה-IP החיצוניות ולבצע מבדק חדירה אחת לשנה. חברת איי פי וי סקיוריטי הינה בקשר רציף עם חברות כרטיסי האשראי. לבירור רמת הדירוג של ארגונכם ומהן דרישות התקן ולוחות הזמנים ליישומם בהם הינכם נדרשים לעמוד, ניתן לפנות אלינו בדוא"ק This e-mail address is being protected from spambots. You need JavaScript enabled to view it..
דו"ח Verizon 2014 PCI Compliance Report אשר חקר את מידת עמידתם של ארגונים בתקן ה-PCI מצא כי רק 11.1% (!) מהארגונים שמחויבים לתקן עומדים בכל דרישותיו (12 במספר) באופן מלא. 31.1% מהארגונים עונים על 10 מדרישות התקן, ו-51.1% בלבד עונים על 7 מדרישותיו; כלומר, מחצית מהחברות עונות על פחות מ-60% מכלל דרישות התקן. כדי לשפר את רמת העמידה בדרישות התקן אנו ממליצים על בדיקות חיצוניות בלתי תלויות שיספקו תמונת מצב.
להלן תמצית 12 דרישות התקן:
הקמה ותחזוקה של רשתות מאובטחות
דרישה 1 - יש להתקין ולתחזק באופן שוטף חומת-אש (Firewall)להגנה על נתוני כרטיסי האשראי
דרישה 2 - אין להשתמש בהגדרות ברירת המחדל (defaults) של כל ההתקנים והטכנולוגיות שסופקו ע"י ספקים חיצוני
שמירה על נתוני כרטיסי האשראי
דרישה 3 - יש לשמור ולהגן על נתוני כרטיסי האשראי
דרישה 4 - יש לוודא הצפנה של כל נתוני כרטיסי האשראי הנמצאים ב"תנועה" ברשתות פתוחות וציבוריות
תחזוקה של תוכנית לניהול פגיעויות/חשיפות (Vulnerabilities)
דרישה 5 - יש להשתמש ולעדכן באופן שוטף תוכנת אנטי וירוס
דרישה 6 - נדרש לפתח ולתחזק מערכות ואפליקציות באופן מאובטח
יישום ובקרות של מנגנוני גישה חזקים
דרישה 7 - יש להגביל גישה לנתוני כרטיסי אשראי רק לאותם אנשים אשר נדרשים לכך מתוקף תפקידם
דרישה 8 - כל עובד הנדרש לגישה לנתוני כרטיסי אשראי נדרש לזיהוי ייחודי חד-ערכי בכניסה לכל המערכות והאפליקציות המטפלות בכרטיסי האשראי
דרישה 9 - יש להגביל את הגישה הפיזית לנתוני כרטיסי האשראי
ניטור שוטף ובחינה של רשתות המיחשוב
דרישה 10 - נדרש לבצע מעקב וניטור שוטף לכל הגישות למשאבי רשתות המיחשוב ולנתוני כרטיסי אשראי
דרישה 11 - באופן שוטף נדרש לבדוק את מערכות ומנגנוני אבטחת המידע והתהליכים הנלווים
מדיניות אבטחת מידע
דרישה 12 - יש ליישם בארגון מדיניות אבטחת מידע לכל העובדים וקבלני המשנה של הארגון
לחברת איי פי וי סקיוריטי לקוחות המחוייבים לעמוד בדרישות התקן ואשר להם מספקת החברה סט נרחב של שירותים אשר מטרתם לעזור בעמידה בכל דרישות התקן ובמקביל להעלות את רמת אבטחת המידע בארגון, להקטין את ר
מת החשיפה של הנכסים העסקיים בפני פגיעויות ממקורות איום שונים וכל זאת תוך אופטימיזציה של כמות המשאבים הנדרשים לתיקון הליקויים.
מסגרת הבדיקות, ליווי וייעוץ בנושאי אבטחת מידע במסגרת דרישות תו התקן PCI-DSS משלבת את מתודולוגיית הבדיקות מבוססת נכסים של חברת איי פי וי סקיוריטי עם הטכנולוגיות המתקדמות ביותר לבדיקת תשתיות ומערכי מיחשוב. מסגרת הסריקות כוללת שימוש במוצרי בדיקות בעלי תעודת הסמכה מארגון ה-PCI.
חברת איי פי וי סקיוריטי נבחרה על ידי התאחדות המלונות בישראל כחברה המומלצת ליישום תקן PCI-DSS בבתי המלון בישראל.
