שאלות נפוצות

מה זה PCI?

תקן זה מייצג אוסף משותף של נהלי אבטחה המסייעים להבטיח טיפול בטוח בנתוני כרטיס האשראי (עיבוד, שמירה והעברה). תקן זה כולל 12 דרישות שונות אשר נועדו לטפל במספר נקודות חלשות מעולם האשראי:

-בנייה ושמירה על תשתית מאובטחת.

-הקמה וניהול של תשתית ניהול סיכונים.

-ניהול, ניטור ובדיקה של תשתית הרשת בעסקים.

-שמירה על מערך אבטחת מידע מעודכן.

למי יישום התקן רלוונטי?

כל סוחר, ספק שירות, עסק או חנות שמשדרים מידע על כרטיסי אשראי חייבים להיות תואמי המדיניות ללא תלות בגודל העסק או בהיקף העסקאות המתבצעות. בנוסף, חובה על בתי עסק להפטר מחומר מודפס המכיל מידע על כרטיסי האשראי או בעליהם בצורה נאותה. בתאגידים וחברות גדולות שבהם פסולת מנוהלת על-ידי חברות חיצוניים למחזור יש לוודא שהשלכת הפסולת נעשית כהלכה למניעת זליגת מידע

איפה ניתן למצוא מידע מפורט על הסטנדרט של PCI?

ניתן למצוא את המידע המלא על התקן באתר:

https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml

מה היעד לעמידה בתקן?

כל בתי העסק אשר מעבדים או משדרים מספרי אשראי חייבים לעמוד בתקן. בתי עסק מדרגה 4, צריכים לבדוק מול החברה הסולקת איתה הם עובדים.

 http://usa.visa.com/download/merchants/payment_application_security_mandates.pdf.

אם בית העסק שלי סולק רק בטלפון, האם אני עדיין צריך לעמוד בPCI?

כן. כל בית עסק ששומר, מעבד או משדר פרטי מחזיק באשראי (-פרטי לקוח), חייב לעמוד בתקן.

האם ארגונים המשתמשים במעבדי פרטי לקוחות צד ג' (לדוגמא: service provider) בשביל לעמוד בתקן?

כן.  שימוש בחברה לא מונע מחברה את הצורך לעמוד בתקן, ייתכן שסיכון החשיפה ייפחת וכך גם  יקטנו המאמצים ליישום התקן.

לבית העסק שלי קיימים מספר סניפים. האם כל סניף צריך לעמוד בתקן?

אם בית העסק שלך סולק תחת אותו מספר עוסק מורשה, באופן כללי על בית העסק לאשר עמידה  בתקן פעם בשנה עבור כל הסניפים ולהגיש דוחות רבעוניים של הרשת שלהם באמצעות ASV.

 יש לי תעודת SSL, האם אני עומד בתקן?

לא. תעודות SSL לא מגנות על אתרים מפני התקפות זדוניות או חדירות. תעודות ברמת אבטחה גבוהה הן השלב הראשון בחווית הגלישה הבטוחה של הלקוח, אך יש שלבים נוספים הנחוצים לעמידה בתקן. קישור מאובטח בין הלקוח והשרת מהוות לגיטימציה שאכן מדובר בעוסק מורשה ולגיטימי.

מה יקרה אם לא אעמוד בתקן?

ההחלטה בידיי חברות הסליקה, אך קנס יכול לנוע בין 5,000 דולר ל-100,000 דולר עבור כל חודש של אי-עמידה. חברות הסליקה, יפסיקו את העבודה עם בית העסק כדי למנוע סכנה ללקוחותיו.

מה מוגדר כמידע על בעל הכרטיס (Cardholder data) ?

הכוונה לכל מידע על בעל כרטיס האשראי שעובר בטרנזקציה: מספר כרטיס מלא, שם בעל החשבון, תאריך תפוגת הכרטיס, מספר תעודת זהות, כתובת ועוד. אלו נתונים ששמורים בצורה דיגיטלית על הפס המגנטי של הכרטיס.

מי מוגדר כבית עסק? (merchant)

בית עסק מוגדר ככל גוף שמקבל תשלום באמצעות כרטיס אשראי (ויזה, מסטרקארד, אמקס).

מי מוגדר כספק שירות (service provider) ?

כל גוף שומר, מעבד ומעביר מידע על בעלי כרטיסים בשם חברה אחרת.

האם יש צורך לבצע סריקת פגיעויות כדי לאשר את העמידה בתקן (vulnerability scan) ?

במידה ונשמרים פרטי לקוחות בצורה דיגיטלית לאחר אישור העסקה או במידה ויש למערכות עיבוד הנתונים של בית העסק גישה אינטרנטית – יש לבצע סריקות רבעוניות באמצעות ASV- סורק מורשה.

מהי סריקת בטיחות אינטרנטית?

סריקה ברשת מכילה כלי בדיקה אוטומטי שנועד לבדוק כל בית עסק (או ספק שירות) במטרה למצוא פגיעויות. הכלי מבצע סריקה בלתי חודרנית כדי לבדוק מרחוק אפליקציות אינטרנט ורשתות. הסריקה תמצא פגיעויות במערכות הפעלה, שירותים ותוכנות שאותם האקרים יכולים לנצל.

בכל כמה זמן על בית עסק לבצע סריקה?

על בתי עסק וספקי-שירות לבצע סריקה בכל 90 יום, פעם אחת ברבעון ולהעביר את תוצאות הסריקה (דוחות סריקה חיוביים). סריקה חייבת להתבצע באמצעות סורק מורשה ומאושר (ASV).

מה קורה אם בית עסק מסרב לשתף פעולה עם התקן?

התקן אינו חוק. הסטנדרט נועד כדי ללהגן על הלקוחות ולשמור על נתוניהם. בתי עסק שלא יעמדו בתקן יקבלו קנסות נרחבים במידה ותתרחש חדירה לנתוניהם.

בית העסק שלי בבית, האם אני מטרה להאקרים?

כן. משתמשים ביתיים הם ככל הנראה המשתמשים הכי פגיעים רק מאחר שהם לא מוגנים כהלכה. משתמשים ביתיים רבים מפעילים צ'אטים, משחקי מחשב ושיתוף קבצים תוך כדי הפעלה קבועה של קו אינטרנט פגיע שהאקר יכול לנצל.