מהו תקן אבטחת המידע של תעשיית כרטיסי התשלום?
תקן אבטחת המידע של תעשיית כרטיסי התשלום הוא מערך דרישות שנועד להגן על פרטי בעל כרטיס האשראי והחיוב. תקן זה מתייחס לכל היבט של טיפול, אחסון, העברת נתוני לקוחות רגישים.
ציות למדיניות הפרטיות מחייב עסקים לבנות ולשמור על רשתות ומערכות מאובטחות, להשתמש בתוכנות הצפנה כדי למנוע נתונים מלהיות חשופים על ידי האקרים ולהשתמש באמצעים אחרים כדי לאבטח חשבונות לקוחות.
מהו התקן הנוכחי?
תקן אבטחת מידע בתעשיית כרטיסי התשלום הוא מערך בינלאומי של תקני אבטחת סייבר הנתמכים על ידי חברות גדולות לעיבוד כרטיסי אשראי ותשלומים שמטרתם לשמור על מספרי כרטיסי אשראי וחיוב. הוא מכיל דרישות טכניות ותפעוליות שארגונים חייבים ליישם להגנה אופטימלית על אבטחת סייבר.
כצעד הראשון של תאימות עבור כל חברה קטנה עד בינונית, הם צריכים להעריך את רמת התאימות שלהם. זה כרוך בחישוב כמה עסקאות הארגון שלך מעבד מדי שנה וזיהוי אילו מבין ארבעת הסטנדרטים שהם חייבים לעמוד בהם כדי להישאר תואמים.
ראשית, יש צורך לזהות את כל הציוד ומוצרי התוכנה עם גישה לנתונים רגישים של בעל הכרטיס, ולרשום מידע זה למטרות ביקורת.
תעד את זרימת הנתונים שנכנסת לחברה שלך, מאיפה היא מגיעה, איפה היא מאוחסנת ואיך היא מנוצלת לאחר המכירה. מערכת לשמירת יומנים וכן תוכנה לתיעוד זה יכולה לסייע בתהליך תיעוד זה.
לבסוף, חשוב כי מיקומים פיזיים שבהם מאוחסנים נתוני בעל כרטיס רגישים מאובטחים באמצעי אבטחה נאותים. פירוש הדבר עשוי להשתמש בחומרה המוגנת באמצעות סיסמה או להגביל מי יכול לגשת פיזית למיקום שלך.
מהם התקנים של 4 PCI?
כל עסק המאחסן, מעביר או מעבד את פרטי כרטיס האשראי חייב לעמוד בתקן אבטחת המידע של תעשיית כרטיסי התשלום, שנוצר על ידי מועצת תקני האבטחה של כרטיס האשראי כדי להגן על נתוני בעלי הכרטיס הרגישים.
תקנים אלה מכסים שיקולים תפעוליים וטכניים כאחד עם עין לשמירה על נתוני בעל הכרטיס, החל מהכשרת עובדים וכלה ביצירת מדיניות אבטחה יעילה.
עסקים שנמצאו עוסקים באי ציות עשויים להתמודד עם קנסות חמורים ממותגי כרטיסי תשלום והבנקים המחזיקים בחשבונות שלהם, כאשר קנסות בדרך כלל נעים בין 5,000 ל -100,000 דולר לחודש – הדבר עלול להיות בעל השלכות חמורות על פעילותם.
מותגי כרטיסי תשלום עשויים לנקוט פעולה נוספת נגד כל עסק שנמצא שאינו תואם, כולל סיום חשבון הסוחר שלהם והגדלת דמי העסקה בהתאם. עונשים עלולים לפגוע במוניטין של העסק כמו גם בהכנסות המכירות שלו.
התקן מציע ארבע רמות של תאימות עבור סוחרים וספקי שירות אשר לציית לו, כל אחד מבוסס על כמה עסקאות כרטיס הם מעבדים מדי שנה. תאימות רמה 4 חלה על סוחרים המעבדים פחות מ-20,000 עסקאות ויזה או מאסטרקארד מדי שנה.
מהו תקן PCI רמת 1?
רמת 1 היא הרמה הגבוהה ביותר והיא חלה על סוחרים המעבדים יותר מ-6 מיליון עסקאות כרטיסים בשנה, כגון בנקים או קמעונאים המאחסנים ומעבדים נתונים במדינות רבות.
ככזה, ארגונים חייבים לשכור ולהכשיר צוות מיוחד של מומחי אבטחה כדי לפקח על תוכנית התאימות שלהם. צוות זה חייב לעבוד על פני טכנולוגיה, תשלומים ופיננסים על מנת ליצור סביבה שבה ניתן לשמור על נתונים רגישים ביעילות.
כחלק מהדרישות של הארגון, ארגונים חייבים ליצור ולאכוף מדיניות אבטחת מידע רשמית הכוללת את כל מי שדורש גישה לנתונים רגישים-עובדים וקבלנים כאחד. מדיניות כזו צריכה לספק סקירה כללית של האופן שבו המידע מאוחסן, נגיש ומועבר לפני שמתווה צעדים שיש לנקוט כדי להגן עליו מפני הפרות.
משרד התקשורת גם מחייב עסקים להתקין ולשמור על חומות אש כדי להגן על נתונים מפני גישה לא מורשית, במיוחד מכיוון שהאקרים מנצלים פגיעות ברשת כדי להיכנס. זה עוזר להבטיח שהנתונים יישארו בטוחים.
סוחרים ברמה 1 חייבים לציית לנוהלי אבטחה מרכזיים בנוסף לביצוע סריקות רשת רבעוניות המנוהלות על ידי ספק סריקה מאושר ולהגיש הן דוח שנתי על תאימות (סין) והן אישור של מסמך תאימות לבנק הרוכש שלהם כהוכחה למצב תאימות של פי.סי. אס. אס.
פרטים נוספים בלינק המצורף: https://infoguard.co.il/%D7%AA%D7%A7%D7%9F-pci-dss/