תקינת PCI-DSS מה זה ולמה אני צריך את זה ?

מאת קיו מאסטרס שרותי אבטחה בע"מ
בתאריך 17 אוגוסט, 2010

תקן ה- PCI-DSS התקן של תעשיית כרטיסי אשראי. החברות העיקריות הן ויזה, מאסטר קארד, אמריקן אקספרס ועוד.תקן ה-PCI-DSS הוא אחד התקנים היחידים בתחום אבטחת מידע שמפרט דרישות טכניות שעל הארגון ליישם. האגוד מגדיר עונשים הכוללים קנסות כבדים ו/או הפסקת הסליקה לארגונים אשר תתגלה אצלם פרצה באבטחת מידע אשר תוביל לאובדן מידע הקשור בכרטיסי אשראי. מועצת ה-PCI קבעה נהלים ברורים ו- 12 דרישות בהן כל ארגון המעביר, מעבד או שומרנתוני כרטיסי אשראי חייב לעמוד.

תקינת PCI-DSS מה זה ולמה אני צריך את זה ?
PCI -DSS תקן הPCI-DSS-הינו התקן של תעשיית כרטיסי אשראי. החברות העיקריות הן ויזה, מאסטר קארד, אמריקן אקספרס ועוד.תקן ה-PCI-DSSהוא אחד התקנים היחידים בתחום אבטחת מידע שמפרט דרישות טכניות שעל הארגון ליישם. האגוד מגדיר עונשים הכוללים קנסות כבדים ו/או הפסקת הסליקה לארגונים אשר תתגלה אצלם פרצה באבטחת מידע אשר תוביל לאובדן מידע הקשור בכרטיסי אשראי.  מועצת ה-PCI קבעה נהלים ברורים ו- 12  דרישות בהן כל ארגון המעביר, מעבד או שומרנתוני כרטיסי אשראי חייב לעמוד. 

12 דרישות אבטחת המידע כוללות הסבר טכני מפורט המסביר דרכי פעולה לבית עסק.

פירוט התקן:

  1. התקנת ותחזוקת   Firewall על מנת להגן על נתוני כרטיסי האשראי.
  2. אל תשתמש בסיסמאות ברירת מחדל של ספקי התוכנה.
  3. הגן על נתוני כרטיס השמורים בבסיס הנתונים.
  4. הצפן תשדורת נתוני כרטיס העוברים ברשת. הפעל תכנית ניהול פגיעות.
  5. השתמש ועדכן תוכנות אנטי וירוס.
  6. פתח ושמר מערכות ואפליקציות מאובטחות. ישם מדיניות בקרת גישה יעילה.
  7. הגבל גישה של עובדיך לנתוני כרטיסי אשראי על בסיס תפקידם בחברה.
  8. הענק שם משתמש ייחודי לכל בעל גישה למחשב.
  9. הגבל גישה פיסית לנתוני כרטיסי האשראי. פקח ובדוק את מערכותיך באופן שוטף.
  10. עקוב ופקח על הגישה למערכותיך ונתוני כרטיסי האשראי.
  11. בדוק באופן שוטף את מערכות אבטחת המידע שלך והתהליכים הרלוונטיים - הפעל מדיניות אבטחת מידע.
  12. הפעל מדיניות אבטחת מידע אפקטיבית העונה על איומים קיימים ועתידיים.

 

הפתרון – Tokenization & Redirecting

הערכות לעמידה בתקן ה- PCI דורשת מארגונים בעלי עסקים ובתי תוכנה הקצאת משאבי זמן ועלויות לא מבוטלות, הכרוכות לא פעם בפיתוח נוסף למערכות קיימות, ושינוי בתהליכים פנימיים, על מנת להקל על בתי התוכנה, מארגונים ובעלי עסקים לעבור את תקינת ה-  PCIבצורה הקלה והמהירה ביותר, רותם מערכות ביחד עם חברת D.C.Sבנו פתרון אשר מעביר (Redirect) את כל תהליך הסליקת כרטיסי האשראי למערכת Credit 2000של חברת D.C.S  אשר מאושרת PCI DSS LEVEL1.

התהליך הוא פשוט. כל מערכת כגון: קופות, אתר אינטרנט וכו'  לאחר סיום תהליך הקניה או בחירת המוצרים מופנת באופן מאובטח לפי כללי התקן ל- gateway  של Credit2000, במקרה של אתר אינטרנט הגולש מקבל אתר הדומה לאתר המקורי ושם תבוצע הכנסת פרטי כרט��ס האשראי, לאחר הסליקה מוקצה token חד ערכי לכרטיס אשראי לצורך חיוב חוזר של לקוחות.

הפתרון מאפשר לכל ארגון להתאים עצמו לעמידה בתקן PCI בצורה פשוטה ומהירה ללא צורך בשינויים מהותיים במערכות המידע ו/או בתוכנה.

הפתרון מציג חסכון משמעותי בכל עלויות הסמכה, עלויות תחזוקת התקן ברמה השנתית,Gap Analysis, זמן ומשאבים.

כל שבית עסק יהיה מחויב הוא לענות על שאלון Aלאחר ביצוע הפתרון .

נשמח לענות לכל שאלה 

בכבוד רב 

מנחם טאומן

יועץ אבטחת מידע

052-2757707

 

 

 

מאמרים נוספים...
 
  • לצפייה בכל המאמרים