הנושאים החמים
הנושאים החמים
שנת 2008 הוגדרה כשנת בה חלה חובת יישום תקן PCI תקן אחוד לאבטחת נתוני כרטיסי האשראי הבינלאומי.
אי לכך הקימו חברות האשראי הבינלאומיות איגוד האחראי לטפל בכל הקשור לשמירת האמינות במערכות התשלום ולהוביל את יישום תקן זה.
גוף זה ששמו Payment Card Industry Security Standards Council פיתח תקן מוכר בעולם בשם Payment Card Industry Data Security Standard.
שנה 2008 החלה בהסמכות התקן בגרסת 1.1 וחידשה את תקנותיה במהלך השנה ועברה לגרסת 1.2.
חובת ההסמכה חלה על כל השותפים בתהליך הגביה של כרטיסי האשראי: חברות האשראי, הסולקים, בתי העסק, היצרנים-בתי התוכנה, המפיצים וספקי שירות צד שלישי כאחד.
הנהגתו של תקן PCI DSS באה כלקח מאירועים בעולם בהם נחשפו נתוני כרטיסי אשראי כתוצאה מאבטחה לקויה של המידע ומפעילות של גורמים עבריינים, חשיפה שהסבה נזקים כבדים בכסף ובמוניטין לבתי העסק ולתעשיית כרטיסי האשראי.
תקן PCI DSS קובע את הדרישות לכל היבטי אבטחת נתוני מחזיקי הכרטיס בבית העסק- אמצעי אבטחת רשת התקשורת, סיסמאות גישה למערכות מחשב, אבטחת נתונים מאוחסנים ועוד.
בין היתר, תקן קובע את כללי הטיפול, האחסון וההגנה על הנתונים הרגישים של כרטיסי האשראי שהם: מספר הכרטיס, תאריך תוקפו ונתוני הפס המגנטי המלא של הכרטיס.
הכללים חלים על המערכות בעמדת המכירה(POS) ובמערכות האחרות בבית העסק ומפרטים הוראות התנהגות בטרם שידור כל עסקה ולאחריו ע"י בית העסק לגורם האיסוף המקומי.
שלבי ההסמכה נוקשים ועל כן מלוות בתגובות זעם רבות מטעם הגורמים המשתתפים אך עלינו לזכור כי כל התהליך הינו לטובתינו הפרטית.
יש להבדיל בין סוגי ההסמכה:
התקן החל את הטמעתו בשוק הישראלי למעלה משנה וניתן למצוא גופים רבים הנמצאים כבר בתהליכים מתקדמים של הסמכה.
חברת ש.ב.א האחראית למסופי אשראית הכוללת בסביבות 30,000 מסופים נמצאת בשלבי סיום ההסמכה ובקבלתה תשחרר את גרסתה החדשה.
הדד-ליין ליישום הסמכות אלו יחל ביולי 2010 על כל מערכות האינטרנטיות ומתאריך זה לא תינתן אפשרות לפתיחת מסופים חדשים לחברות אשר אינן עומדות בתקן.
קיימות שתי חברות QSA האחראיות להסמיך את הארגונים בארץ בכל התקנים: Comsec ו- Deloitte. חברת Grsee תקבל בינואר הקרוב את הסמכתה להסמיך גם על פי תקן PA DSS.
החל מתקופת זמן שעדיין לא הוכרזה יהיה ניתן למצוא בחברות האשראי את הגופים המוסמכים עפ"י התקן הנדרש אשר יקבלו את האישור לעבודה באמצעותם.
עד כמה שהתקן חשוב והכרחי העלויות נמצאות בסקלה שאינה תואמת את בתי עסק הקטנים אשר לא יוכלו לעמוד בהוצאתם.
בחו"ל ניתן למצוא כי הבנקים מממנים את העלויות משום שהאינטרס כולו שלהם אך כאן בארץ נראה שהגופים השונים מגלגלים את ההוצאות מהאחד לשני ללא השתתפות מינימלית.
אתמול(09.09.09) התקיים כנס בעניין אשר השתתפו בו חברות ה-QSA, חברות האשראי: ישראכרט, לאומי קארד וויזה הבינלאומית וחברת ש.ב.א האחראית על איסוף העיסקאות בישראל.
בפאנל שהתקיים התשובות שהתקבלו היו מעורערות לחלוטין והמשתתפים בכנס יצאו נזעמים.
מה שנראה ברקע כי התהליך יהיה קשה ליישום בגופים הקטנים אשר יצטרכו להחליט האם להטמיע את ההסמכה ויתכן שיגוועו בעקבות התהליך או להתמזג עם צד ג' שיטפל בכל הדרוש לכך, מה שנראה הכי הגיוני כרגע.
מידע נוסף ניתן לקרוא באתר הבינלאומי לתקן זה.
אי לכך הקימו חברות האשראי הבינלאומיות איגוד האחראי לטפל בכל הקשור לשמירת האמינות במערכות התשלום ולהוביל את יישום תקן זה.
גוף זה ששמו Payment Card Industry Security Standards Council פיתח תקן מוכר בעולם בשם Payment Card Industry Data Security Standard.
שנה 2008 החלה בהסמכות התקן בגרסת 1.1 וחידשה את תקנותיה במהלך השנה ועברה לגרסת 1.2.
חובת ההסמכה חלה על כל השותפים בתהליך הגביה של כרטיסי האשראי: חברות האשראי, הסולקים, בתי העסק, היצרנים-בתי התוכנה, המפיצים וספקי שירות צד שלישי כאחד.
הנהגתו של תקן PCI DSS באה כלקח מאירועים בעולם בהם נחשפו נתוני כרטיסי אשראי כתוצאה מאבטחה לקויה של המידע ומפעילות של גורמים עבריינים, חשיפה שהסבה נזקים כבדים בכסף ובמוניטין לבתי העסק ולתעשיית כרטיסי האשראי.
תקן PCI DSS קובע את הדרישות לכל היבטי אבטחת נתוני מחזיקי הכרטיס בבית העסק- אמצעי אבטחת רשת התקשורת, סיסמאות גישה למערכות מחשב, אבטחת נתונים מאוחסנים ועוד.
בין היתר, תקן קובע את כללי הטיפול, האחסון וההגנה על הנתונים הרגישים של כרטיסי האשראי שהם: מספר הכרטיס, תאריך תוקפו ונתוני הפס המגנטי המלא של הכרטיס.
הכללים חלים על המערכות בעמדת המכירה(POS) ובמערכות האחרות בבית העסק ומפרטים הוראות התנהגות בטרם שידור כל עסקה ולאחריו ע"י בית העסק לגורם האיסוף המקומי.
שלבי ההסמכה נוקשים ועל כן מלוות בתגובות זעם רבות מטעם הגורמים המשתתפים אך עלינו לזכור כי כל התהליך הינו לטובתינו הפרטית.
יש להבדיל בין סוגי ההסמכה:
- בתי העסק- הסמכה הכוללת בדיקת אבטחת מידע אירגוני הן במערכות המחשוב והן בניהול הארגוני.
- PA DSS- חל על בתי התוכנה המוכרים מוצרי מדף עם אפשרות אמצעי תשלום בכרטיס אשראי ומחובתם למנוע זליגת נתוני אשראי רגישים וכולל את השמדתם ואו הצפנתם.
- PCI DSS- חל על ספקיות שרות אמצעי תשלום ורטואלים(שימוש בפרוטוקולי HTTPS) וספקי שרות צד ג'.
התקן החל את הטמעתו בשוק הישראלי למעלה משנה וניתן למצוא גופים רבים הנמצאים כבר בתהליכים מתקדמים של הסמכה.
חברת ש.ב.א האחראית למסופי אשראית הכוללת בסביבות 30,000 מסופים נמצאת בשלבי סיום ההסמכה ובקבלתה תשחרר את גרסתה החדשה.
הדד-ליין ליישום הסמכות אלו יחל ביולי 2010 על כל מערכות האינטרנטיות ומתאריך זה לא תינתן אפשרות לפתיחת מסופים חדשים לחברות אשר אינן עומדות בתקן.
קיימות שתי חברות QSA האחראיות להסמיך את הארגונים בארץ בכל התקנים: Comsec ו- Deloitte. חברת Grsee תקבל בינואר הקרוב את הסמכתה להסמיך גם על פי תקן PA DSS.
החל מתקופת זמן שעדיין לא הוכרזה יהיה ניתן למצוא בחברות האשראי את הגופים המוסמכים עפ"י התקן הנדרש אשר יקבלו את האישור לעבודה באמצעותם.
עד כמה שהתקן חשוב והכרחי העלויות נמצאות בסקלה שאינה תואמת את בתי עסק הקטנים אשר לא יוכלו לעמוד בהוצאתם.
בחו"ל ניתן למצוא כי הבנקים מממנים את העלויות משום שהאינטרס כולו שלהם אך כאן בארץ נראה שהגופים השונים מגלגלים את ההוצאות מהאחד לשני ללא השתתפות מינימלית.
אתמול(09.09.09) התקיים כנס בעניין אשר השתתפו בו חברות ה-QSA, חברות האשראי: ישראכרט, לאומי קארד וויזה הבינלאומית וחברת ש.ב.א האחראית על איסוף העיסקאות בישראל.
בפאנל שהתקיים התשובות שהתקבלו היו מעורערות לחלוטין והמשתתפים בכנס יצאו נזעמים.
מה שנראה ברקע כי התהליך יהיה קשה ליישום בגופים הקטנים אשר יצטרכו להחליט האם להטמיע את ההסמכה ויתכן שיגוועו בעקבות התהליך או להתמזג עם צד ג' שיטפל בכל הדרוש לכך, מה שנראה הכי הגיוני כרגע.
מידע נוסף ניתן לקרוא באתר הבינלאומי לתקן זה.
