תקן PCI DSS

מתוך ויקיפדיה, האנציקלופדיה החופשית
קפיצה אל: ניווט, חיפוש

תקן PCI DSS (ראשי תיבות של Payment Card Industry Data Security Standard) הוא תקן שנוצר על ידי 5 חברות כרטיסי האשראי הגדולות (ויזה, מסטרקארד, JCB, Discover ואמריקן-אקספרס) כדי להבטיח הגנה על נתוני כרטיסי אשראי בכל סביבה בה הם מאוחסנים, מועברים או מעובדים. התקן כולל דרישות שונות ליישום בקרות אבטחת מידע במטרה ליישם הגנה בארגונים המטפלים בפרטי כרטיסי אשראי באמצעים שונים כגון קופה רושמת, ארנקים אלקטרוניים, אתרי אינטרנט, מכונות ממכר אוטומטיות וכספומטים.

התקן מוגדר על ידי מועצת PCI (ר"ת: Payment Card Industry Security Standard Council), אשר הוקמה כדי להגביר את השליטה בנתוני אשראי ולהפחית את הסיכון להונאות כרטיס האשראי הנגרמות מחשיפה לא מבוקרת של נתונים. אימות העמידה בתקן נעשה בצורה שנתית על ידי מעריך עצמאי (QSA) עבור ארגונים המבצעים מספר גדול של פעולות חיוב, ועל ידי שאלון עצמי עבור ארגונים המחזיקים בפעילות קטנה יותר. בישראל ובאירופה התקן צפוי לחייב את כל העסקים במהלך שנת 2013 - בהתאם לגודל העסק ודרך החיוב.

מועצת PCI[עריכת קוד מקור | עריכה]

מועצת PCI הוקמה במטרה לייצר תקנים וחומרים תומכים להגברת בטיחות התשלומים בכרטיסי אשראי. אלה כוללים כלים, מדדים ומשאבים שנועדו לסייע לארגונים להבטיח טיפול בטוח יותר בפרטי המשלמים בכל שלב בדרך. הבסיס לפעילות המועצה הוא סטנדרט PCI Data Security Standard, או בקיצור PCI DSS, המספק מסגרת פעולה לפיתוח תהליכי תשלום באשראי אמינים ובטוחים – כולל מניעה, זיהוי ותגובה מתאימה לבעיות אבטחת מידע.

בין הכלים לאימות העמידה של ארגונים בתקן PCI DSS נכלל שאלון הערכה עצמית, המספק אפשרות לעסקים קטנים לבצע בדיקה של העמידה בתקן.

עבור ספקים של מכשירי סליקה, מועצת PCI מספקת דרישות אבטחת מידע לגבי PIN Transaction, המכילים מערך דרישות עבור כל מכשירי הסליקה, כולל קופות ומכשירי מכירה אוטומטיים. עבור מפתחי תוכנה, המועצה מספקת סטנדרט PA-DSS ורשימת יישומים מאושרים לביצוע תשלומים.

היסטוריה[עריכת קוד מקור | עריכה]

תקן PCI DSS החל במקור כ-5 תוכניות שונות של חברות האשראי ויזה, מאסטרכארד, אמריקן אקספרס, דיסקאבר ו-JCB. המטרות של החברות היו זהות במהותן: ליצור רמה נוספת של הגנה עבור מנפיקי כרטיסי האשראי על ידי הבטחת רמה מינימלית של אבטחת מידע בעסקים, כאשר הם מאחסנים, מעבדים ומשדרים נתוני אשראי.

מועצת PCI הוקמה ב-15 בדצמבר 2004, כשהחברות החליטו לאחד מאמצים ואת קווי המדיניות אל תוך תקן אחיד (PCI DSS). בספטמבר 2006, סטנדרט PCI עודכן לגרסה 1.1 כדי לספק הבהרות ותיקונים לגרסה הראשונה. גרסה 1.2 יצאה ב-1 באוקטובר 2008 ללא שינוי בדרישות אלא הוספת הבהרות; הגרסה שיפרה את הגמישות וענתה על איומים מתפתחים. באוגוסט 2009, מועצת PCI הכריזה על מעבר לגרסה 1.2.1 כדי להטמיע מספר תיקונים קטנים שנועדו ליצור אחידות לרוחב התקן.

משמעות PCI עבור עסקים[עריכת קוד מקור | עריכה]

המשמעות של התקן במונחי אבטחת מידע, היא כי העסק עומד בדרישות התקן לגבי ניהול אבטחה, מדיניות הארגון, תהליכים, מבנה הרשת הארגונית, מבנה תוכנה, והפעלת אמצעי הגנה שונים. תפעולית, המשמעות היא שהעסק לוקח חלק פעיל בהגנה על נתוני האשראי של הלקוחות בכל עסקה, וכי גם לעסק וגם ללקוחות יש ביטחון כי הם מוגנים.

עמידה בתקן PCI לעומת אימות התקן[עריכת קוד מקור | עריכה]

על אף שכל הישויות המאחסנות, מעבדות או משדרגות נתונים בתהליך החיוב חייבות להטמיע את דרישות PCI DSS, אימות התקן אינו חובה עבור כל הגורמים. כרגע מאסטרקארד וויזה דורשים מעסקים לבצע אימות על פי PCI DSS. בנקים אינם נדרשים לעבור אימות.

אי עמידה בתקן[עריכת קוד מקור | עריכה]

מועצת PCI מעודדת עסקים המאחסנים נתוני אשראי לעמוד בתקן כדי להפחית סיכונים העלולים לגרום לפגיעה כספית כתוצאה מדליפת נתונים, אך היא אינה בעלת סמכות אכיפה של התקן. חברות האשראי הן המחזיקות בכוח לקבוע נהלים, לוחות זמנים ודרישות לעמידה בתקן. לאחרונה, קבעו חברות האשראי כי החל מתחילת 2013 כל חברה המבצעת חיובים בכרטיסי אשראי תידרש לעמוד בתקן. חברה שתתקיים אצלה דליפה של נתוני אשראי ואשר לא עמדה בתקן תעמוד בפני מגבלות וקנסות מצד חברות האשראי.

משמעות ה- PCI עבור מוקדי שירות[עריכת קוד מקור | עריכה]

במוקדי שירות, לקוחות מקריאים את נתוני האשראי, קוד CVV ותאריכי תפוגה לסוכני המכירות. ישנם רק מעט בקרים שניתן ליישם כדי למנוע הדלפה של הנתונים. נוסף על כך ניתן לציין את מערכות ההקלטה הפועלות במוקדי שירות. כדי לטפל בנושא זה, בינואר 2010, מועצת האשראי הוציאה מסמך שאלות ותשובות לגבי הקלטות במוקדי שירות, שמטרתו להתחיל תהליך שימנע הקלטות מספרי אשראי הכוללים את קוד הבקרה.

רשתות אלחוטיות[עריכת קוד מקור | עריכה]

ביולי 2009 יצרה מועצת PCI קווים מנחים עם המלצות לשימוש במערכות מניעת חדירה לרשתות אלחוטיות עבור ארגונים גדולים.

ראו גם[עריכת קוד מקור | עריכה]

קישורים חיצוניים[עריכת קוד מקור | עריכה]