1-700-70-10-88 התחברות חודשיים חינם מ-ע-כ-ש-י-ו

מהו תקן PCI?

מהו תקן PCI ולמה הוא משפיע על העסק שלך?

מהו תקן PCI? מי חייב לעמוד בתקן זה? מה הדרישות העיקריות של תקן PCI לכלל תהליכי סליקה בבית העסק? איך מבצעים סליקה באינטרנט לפי דרישות התקן? צוות המומחים של Invoice4u, המערכת המובילה להפקת חשבוניות דיגיטליות, הכינו עבורנו מדריך בנושא סליקה מאובטחת לפי דרישות תקן PCI.

מהו תקן PCI?

חברות האשראי דורשות מכל בית עסק המבצע סליקה של כרטיסי אשראי לעבוד עם סליקה מאובטחת על מנת להגן על נתוני כרטיסי האשראי. התקן כולל סט דרישות מפורט לכלל תהליכי סליקה המבוצעים בבית העסק.

תקן PCI DSS הוא התקן שתוכנן ונוצר על ידי חמש חברות כרטיסי האשראי הגדולות, ובהן ויזה, מסטרקארד, ג'י.סי.בי, דיסקובר ואמריקן אקספרס. PCI DSS הוא ראשי תיבות של Payment Card Industry Data Security Standard, התקן נועד להבטיח הגנה יעילה על נתוני כרטיסי האשראי ולצורך יישום בקרה אפקטיבית של אבטחת מידע בארגונים המטפלים בנתוני כרטיסי האשראי כמו קופה רושמת, אתרי מכירות עם מערכת סליקה באינטרנט, ארנקים אלקטרוניים, מכונות ממכר ייעודיות, כספומטים וכדומה.

מי חייב לעמוד בתקן PCI?

הדרישה לתקן PCI חלה על כל ארגון המבצע סליקת אשראי, ומעביר או מעבד את הנתונים ופרטי כרטיסי האשראי, וכל ארגון שמחזיק, מעבד ו/או מאחסן את נתוני כרטיסי האשראי.

מה הדרישות העיקריות של תקן PCI?

התקן המחייב כולל דרישות מפורטות שונות לכלל תהליכי סליקה בבתי העסק. התקן כולל 12 פרקים ובהם פירוט נרחב על הפעולות שיש לבצע כדי לאבטח את נתוני האשראי. הדרישות העיקריות על פי תקן PCI הן:

הגנה על הרשת

חובה להשתמש בתוכנת חומת אש (FireWall), לרבות שימוש נכון בסיסמאות ובמערכת מאובטחת. כמו כן, התקן מפרט פרטים על הגנת המידע של מחזיקי כרטיסי האשראי ודרישה להצפנת מידע זה.

ניהול פגיעויות

התקן מחייב שימוש בתוכנת אנטי וירוס יעילה.

בחינה תקופתית של המערכות

יש לוודא תחזוקת קצת האבטחה של המערכות והאפליקציות השונות.

שימוש בבקרת גישה חזקה

התקן מחייב הגבלת הגישה למידע על מחזיקי כרטיסי האשראי לצורך העסקי בלבד, יש להקצות שם משתמש ייחודי לכל בכל גישה למערכת המחשוב. כמו כן, התקן מחייב להגביל את הגישה הפיזית למערכות המחזיקות מידע על מחזיקי כרטיסי האשראי ולהפריד בין שרת האפליקציות לבין השרת בו מאחסנים א מסד הנתונים. יש לבצע מעקב ורישום של בעלי ההרשאות למידע החסוי והרגיש ולקבוע תהליך מוסדר ותקופתי של רמת האבטחה.

מדיניות

התקן מחייב תחזוקה, עדכון, פיתוח ואכיפה של מדיניות אבטחת המידע.

חשוב לדעת כי סליקת אשראי באינטרנט מאפשרת לבתי העסק לעבוד באמצעות סליקה מאובטחת, בהתאם לדרישות של תקן PCI. יש לחבר את האתר למערכת סליקה באינטרנט באמצעות עמוד סליקה (כלומר דף הפניה), כל עוד ספק שירות סליקה באינטרנט מוסמך לתקן המחייב. לכן, בעת התחברות למערכת סליקה באינטרנט חשוב לדרוש מספק שירותי סליקה תעודה המוכיחה שהוא עומד בתקן PCI .

הסמכה לתקן PCI

יש לציין כי תהליך ההסמכה לתקן PCI משתנה בהתאם לגודל הארגון ואופי הפעילות המתקיימת בו. לעסקים קטנים מומלץ לבצע בדיקה עצמאית ולמלא טפסים לצורך ביצוע סריקות חדירות אחת לרבעון. לארגונים המבצעים סליקה ועסקאות רבות חשוב לקבל הסמכה מגוף חיצוני המוסמך לתהליך זה. תוקף ההסמכה ניתן לשנה ויש לבצע סריקות רבעוניות.

יש אפשרות לעמוד בתקן PCI באמצעות חיוב באמצעות יחידה חיצונית, כך בית העסק יכול לצמצם באופן משמעותי את היקף הבדיקות וההסמכה לתקן הייעודי, והעסק חוסך עלויות הכרוכות ביישום התקן ובתחזוקה השוטפת הנדרשת.