נתונים ועובדות
רב הפריצות (כמעט 50%) לבתי עסק בארה"ב מתגלות ע"י חברות האשראי ולא בית העסק עצמו.
שליש מהפריצות מתגלות ע"י גופי אכיפת החוק (משטרה, גופי מודיעין) .
פחות משליש ע"י בתי העסק. וחלק קטן מאוד ע"י לקוחות בית העסק.
רב הפריצות הם לאתרים בתחום המזון, מסחר קמעונאי ואירוח במטרה לגנוב פרטים אישיים ופרטי כרטיסי אשראי.
דרישות עיקריות בתקן PCI
PCI הוא איגוד של חברות האשראי.
PCI DSS הוא תקן של PCI במכיל 12 דרישות עיקריות.
משטרתו לצמצם רמאיות בכרטיסי אשראי.
כל חברות שמטפלות בכרטיסי אשראי מחויבות לעמוד בתקן (בתי עסק, בנקים, סולקים, וחברות שרותי סליקה)
חברות האשראי והבנקים אחראים לעקיפת התקן על בתי העסק.
רמות PCI
רמה 1 - מעל 6 מיליון עסקאות בשנה.
רמה 2 - מעל מיליון עסקאות בשנה.
רמה 3 - מעל 20,000 עסקאות בשנה.
רמה 4 מתחת ל 20,000 עסקאות בשנה.
פעולות שצריך לבצע בשביל לעמוד בתקן PCI
שאלון PCI למילוי עצמי SAQ
Self-Assessment Questionnaire או SAQ הוא שאלון למילוי עצמי בו בית העסק עונה על שאלות שונות המאורגנות ב 12 פרקים. השאלות קשורות למערכות המידע בבית העסק, נוהלי עבודה ואיך כרטיס האשראי נשמרים בבית העסק.
בדיקה ע"י QSA
בתי עסק ברמה 2 עד 5 אינם חייבם בבדיקה זו.
מבוצעת ע"י בודק שהוסמך לכך ע"י PCI ונקרא Qualified Security Assessor) QSA).
ממצאי הבדיקה מועבדים בדוח שנקרא ROC שזה Report on Compliance.
הדוח מכיל ממצאים שבית העסק עמוד בכל אחד מ-12 הסעיפים בתקן PCI DSS. הממצאים יכולים להיות העתקי נהלים פנימיים, דוחות פנימיים, העתק יומני פעולול (לוגים). צילום מתוך בסיס הנתונים, העתקי קוד תוכנה.
מבוצעת ע"י בודק שהוסמך לכך ע"י PCI ונקרא Qualified Security Assessor) QSA).
ממצאי הבדיקה מועבדים בדוח שנקרא ROC שזה Report on Compliance.
הדוח מכיל ממצאים שבית העסק עמוד בכל אחד מ-12 הסעיפים בתקן PCI DSS. הממצאים יכולים להיות העתקי נהלים פנימיים, דוחות פנימיים, העתק יומני פעולול (לוגים). צילום מתוך בסיס הנתונים, העתקי קוד תוכנה.
בדיקה חיצונית
נקראת גם Vulnerability Scan. בדיקה הבודקת ששין בעיות ידועות בחיבור בין בית העסק לאינטרנט.
הבדיקה מבוצעת על ASV שזה Authorized Scanning Vendor.
את הבדיקה זו צריך לעבור בהצלחה כל 3 חודשים.
איזה פרטי כרטיס אשראי מותר ואסור לשמור
בעקרון בעל עסק יוכל לשמור רק את פרטי הכרטיס שמופיעים בחזית הכרטיס וגם זה צריך להיות בצורה מאובטחת ואם יש צורך עסקי בכך.
מספר הכרטיס - Primary Account Number - PAN
מותר לשמור את הספר הכרטיס בצורה מוצפנת כאשר אין ברירה אחרת.
לדוגמא כאשר החיוב יעשה בשלב מאוחר יותר.
תאריך פג תוקף - Expiry Date
מותר לשמור. בצורה בטוחה אך אם שומרים בצמוד למספר הכרטיס אז זה צריך להיות שמור בצורה מוצפנת.
שם בעל הכרטיס
צריך לשמור בצורה בטוחה.
מידע מפס המגנטי שעל הכרטיס
אסור לשמור בשום מקרה ולשום מטרה.
קוד אבטחה - Card Validation Code
אסור לשמור לשום מטרה.
אין תגובות:
הוסף רשומת תגובה