עמידה בתקן PCI DSS מסייעת לסליקת כרטיסי אשראי באופן בטוח

תקן PCI DSS תורם לאבטחת המידע ומגן מפני סכנה של גנבת נתוני כרטיסי האשראי. בימינו, בתי העסק צריכים לעמוד בתקן, ובעזרת חברת הסליקה ניתן לעמוד בו ללא דאגה או השקעת משאבים מיותרים.

ככל שהטכנולוגיה התפתחה, כך התשלום בכרטיסי אשראי הפך לתשלום יותר נוח ומקובל בבתי העסק השונים, באתרים מאובטחים ודרך הטלפון. תשלום זה מספק יתרונות מבחינה כלכלית ושיווקית, אך אסור לשכוח כי קיימת סכנה מפני גניבת נתוני כרטיסי האשראי ע"י מקורות עבריינים. גניבת הנתונים עשויה לקרות במקרים שונים, כמו: פריצת המחשב מרחוק, גנבת המחשב, גניבה עקב השארת גישה פיזית לאנשים שאינם מיועדים לראות את הנתונים, שמירת מאגר הנתונים באמצעים לא נאותים (כמו קובץ אקסל) שמהווים כמו הזמנה לגנב, וגם בעקבות סוגים שונים של פרצות באבטחת המידע.

הנזקים החמורים לבית העסק בעקבות גנבת הנתונים

ישנה משמעות רבה לנושא אבטחת המידע, מכיוון שאפילו מעידה חד פעמית של עסק קטן עשויה לאיים על קיומו. חברות האשראי הבינלאומיות גילו במחקרים שערכו כי בסביבות 80% מבתי העסק שהתגלתה אצלם דליפת נתוני כרטיסי האשראי חדלו להתקיים תוך שנה מהדליפה. בין נזקי הגנבה ניתן לשים לב לנזק תדמיתי בלתי הפיך עקב סיקור תקשורתי / העברת המידע על הדליפה בין הלקוחות, התמודדות עם תביעות כנגד בית העסק, ואפילו סירוב מצד חברות האשראי להתקשרות נוספת עם בעל העסק במידה ויחליט לפתוח עסק חדש.

הגנה על נתוני כרטיסי האשראי – על תקן PCI DSS

על מנת לשמור על בטחון המידע ונתוני כרטיסי האשראי, אגוד חברות האשראי הבינלאומיות הנהיגו תקן אבטחת מידע:

PCI DSS – Payment Card Industry – Data Security Standard

התקן מציג דרישות טכניות אשר נועדו לשמור ולהגן על נתוני כרטיסי האשראי במערכות תוכנה ומערכות סליקת כרטיסי אשראי. על כל בית עסק וארגון המחזיק ומעבד / סולק נתוני כרטיסי אשראי לעמוד בתקן זה.

התקן כולל בקרות המחולקות ל- 12 תחומים: החל מאופן הגדרת החוקים ב- Firewall, וכלה בנהלי אבטחת המידע ובבדיקות חדירה למערכות בשימוש. ישנן 4 דרגות סיכון של בתי העסק לפי התקן. החלוקה מתבצעת בהתאם למספר הטרנזקציות בכרטיסי האשראי המבוצעות ע"י הארגון, וגם בהתאם לאופן העברת העסקה (רגיל או אלקטרוני). כמו כן, בית העסק צריך לבצע סריקות רשת רבעוניות ע"י חברה (ASV) ולמלא שאלון הערכה עצמי (SAQ).

כשבית עסק מיישם את התקנון, הוא יהיה זכאי להגנה מתביעות ע"י חברות האשראי במקרה של גנבת נתונים. בנוסף, יישום התקנון מגביר את תחושת הביטחון של הלקוחות, ומהווה יתרון משמעותי עבור בית העסק מול עסק שאיננו עומד בתקן.

עומדים בתקן ללא דאגה – בזכות חברת סליקה

כדי לעמוד בתקן ללא עזרה ולהבין את הנושא לעומק, יש צורך בהבנה וניסיון טכנולוגי, וגם ידע בתחום אבטחת מערכות מידע וביצוע ביקורות. למרות העובדה שמציגים בתקן כלים וכללים למשתמש, גם כללים אלו ניתנים לפרשנות. מילוי שאלון הערכה עצמית (SAQ) נשמע אולי כמשימה פשוטה, אך מדובר בפעילות בעלת אחריות רבה כלפי הלקוחות וחברות האשראי, ומצריכה עבודה דקדקנית וכובד ראש.

ניתן לעמוד בתקן מבלי להשקיע בו משאבים רבים מדי ולהעמיק בנושא שאיננו קשור ישירות לפעילות העסק – באמצעות פנייה לחברת סליקה. חברות הסליקה מתמחות בניהול נתונים ואבטחתם, ועל כן מאפשרות לבית העסק להתמקד בתחום הפעילות שלו, מתוך ידיעה שהוא נהנה מרמת אבטחה גבוהה וניהול מאגר באופן מקצועי ע"י גוף המתמחה בכך.