תקן אבטחת המידע של תעשיית כרטיסי התשלום הוא מערכת מוכרת בינלאומית של הנחיות אבטחה שנוצרו על ידי ויזה, מאסטרקארד, אמריקן אקספרס וגילוי כדי להגן על נתוני בעל הכרטיס מפני גניבה או הפרות.
תאימות היא חובה עבור עסקים המעבדים, מאחסנים או מעבירים נתוני בעל כרטיס. הוא מתאר דרישות להכשרת עובדים ולצעדי מינימום סיכונים, כמו גם יצירת מדיניות אבטחת מידע עם הגנות חזקות.
מדוע PCI DSS חשוב?
סוחרים וספקי שירותים המעבדים, משדרים או מאחסנים נתוני בעל כרטיס נדרשים לעמוד בתקן אבטחת הנתונים של תעשיית כרטיסי התשלום. זה כולל גופים המקבלים כרטיסי תשלום עבור סחורות או שירותים גם כאשר משתמשים בחברות עיבוד של צד שלישי לניהול עסקאות אלה.
הסטנדרט נשמר באמצעות הסדרים חוזיים בין סוחרים, רכישת בנקים המעבדים תשלומים ומותגי תשלום (מאסטרקארד, ויזה, דיסקובר, אמריקן אקספרס וג ' יי-סי-בי). אם קיימת הפרה של ציות על ידי בנק רוכש המעבד תשלומים מטעמם, למותגים אלה יש את הכוח לקנוס או למשוך קבלת כרטיסי אשראי מאותו עסק לחלוטין.
תאימות של פי-סי-איי יכולה לעזור לבנות אמון לקוחות. כאשר לקוחות מרגישים שהנתונים האישיים שלהם מאובטחים אצלך, סביר יותר שהם יישארו לקוחות נאמנים וימליצו על העסק שלך.
מחקרים מראים כי 87% מהצרכנים ינטשו חברה בעקבות הפרת נתונים; גם אם הם מחליטים להישאר, סביר יותר שהם יעברו לחברה עם תקני אבטחה גבוהים יותר.
כדי להגן מפני סיכון זה, עסקים חייבים להבטיח שהרשתות שלהם מאובטחות ככל האפשר. זה צריך לכלול שימוש בחומות אש, יישום תהליך ניהול מפתחות הצפנה יעיל ושדרוג גרסאות תוכנה באופן קבוע, כמו גם הגבלת גישה פיזית לסביבות נתונים של בעל הכרטיס והגנה באמצעות סיסמה על כל המערכות.
מתי חל תקן PCI DSS?
תקן אבטחת המידע של תעשיית כרטיסי התשלום, הידוע גם בשם תקן אבטחת המידע של תעשיית כרטיסי התשלום, הוא דרישה בינלאומית לאבטחת מידע המיועדת לסוחרים וספקי שירותים המאחסנים, מעבדים או מעבירים נתוני כרטיסי אשראי. הסטנדרטים הללו נוצרו בשנת 2004 על ידי חמישה מותגי תשלום גדולים (אמריקן אקספרס, דיסקברי שירותים פיננסיים, ג ' יי-סי-בי אינטרנשיונל מאסטרקארד וויזה), והם מפוקחים על ידי מועצת תקני האבטחה של תעשיית כרטיסי התשלום.
תקן זה נועד להילחם בהונאה על ידי הגדלת בקרות האבטחה סביב נתוני כרטיסי תשלום, ולספק לצרכנים הגנה מספקת מפני התקפות אבטחת סייבר.
כדי להיות תואם לתקן זה, על העסק שלך להרכיב רשימה כתובה של כל המשתמשים שניגשים לסביבת הנתונים של בעל הכרטיס. זה חייב לכלול את התפקידים וההגדרות שלהם, כמו גם את רמות ההרשאות הנוכחיות ואת רמות ההרשאות הצפויות.
כחלק מאמצעי אבטחה יעילים, חיוני שמזהי משתמש וסיסמאות יהיו ייחודיים מספיק כדי להגן על נתוני בעל הכרטיס מפני האקרים. סיסמאות ברירת מחדל עשויות להיות קלות לתוקפים לנחש; לכן אין לראות בהן פתרונות מאובטחים.
כדי להגן על נתוני בעל הכרטיס, חשוב שתפעיל אמצעי אבטחה כמו חומות אש ועדכונים על אמצעי אבטחה אלה על בסיס קבוע כדי להגן עליהם מפני איומים.
מי אחראי לעמידה בדרישות PCI DSS?
ארגונים מכל הגדלים חייבים לציית למחשבים אישיים כדי להגן על נתוני בעלי הכרטיס. אי ביצוע זה עלול לגרום לקנסות, עלויות החלפת כרטיסים, דמי ביקורת משפטית/חקירות וחקירות, נזק למותג וכן השלכות נוספות.
בהתבסס על הגודל והמבנה של העסק שלך, בעלי עניין שונים יהיו אחראים ליישום ושמירה על תאימות. עסקים קטנים יותר עשויים להפקיד מעבדי כרטיסי אשראי או חברות אבטחה במשימה זו, בעוד שארגונים גדולים יותר עשויים לכלול מנהלים, מערכות מידע, צוותים משפטיים, מנהלי יחידות עסקיות או אפילו מנהלי מחלקות כסוכני יישום לצורך ציות.
כדי לעמוד בציות של החברה, ארגונים חייבים להגן על נתוני בעלי הכרטיס על ידי שימוש באמצעי בקרת גישה חזקים, מעקב מקרוב אחר הרשתות שלהם, ורישום כל הפעילות הכוללת מספרי חשבון ראשיים (פאן) או מידע על בעלי הכרטיס.
בעיות תאימות נובעות לעתים קרובות משיטות ניהול רשומות ותיעוד לא מספקות. עליך לתעד כיצד רשת העיבוד והמערכות שלך מתפקדות, באיזו תדירות יש לגשת לנתוני בעל הכרטיס ואילו פעולות ננקטות בנתונים אלה.
פרטים נוספים בלינק המצורף: https://infoguard.co.il/%D7%AA%D7%A7%D7%9F-pci-dss/