נכתב על ידי יניב

חברות האשראי בעולם הקימו פורום של אנשי מקצוע בשם PCI Security Standards Council.  בפורום חברים חברות האשראי וחברות אבטחה מהגדולות בעולם. הפורום הוקם לבדוק כיצד ניתן לצמצם את גנבות האשראי בעולם. לאחר זמן מה, הם הפיצו את תקן DSS. התקן מנחה ארגונים כיצד לעבוד עם נתוני כרטיס האשראי בעסק בצורה מאובטחת. התקן מבחין בין 4 סוגי עסקים, ולכל סוג עסק יש דרישות אבטחה שונות.

מהם הדירוגים השונים?

העסקים מדורגים מ - A עד D בתאם לאופן הפעילות מול חברות האשראי. כל דירוג מחולק 12 קטעים שונים שמכילים ביחד כ- 200 דרישות. עסק בדירוג D צריך לעמוד בכל הדרישות לעומת עסק בדירוג A שצריך לעמוד בחלקן. 

5 נקודות של אבטחה שכל אחד יכול וצריך לעמוד בהם:

1. חומת אש : חובה לתחזק חומת אש בין המחשבים שעובדים עם סליקת של כרטיסי אשראי לבין האינטרנט.
2. אנטי וירוס: יש לדאוג שבמחשבים ברשת מותקן אנטי וירוס והוא מתעדכן באופן שוטף.
3. שמירה של נתוני כרטיסי אשראי: ישנם נתונים שאסור לשמור כגון: ערך CVV  נתונים שמתקבלים מהעברת הכרטיס מקורא הכרטיסים. בכל מקרא אין לשמור מספר כרטיס שלא לצורך.
4. חשיפת המידע: יש לדאוג שרק אנשים מורשים יכלו לגשת לדוחות שמכילים את פרטי כרטיס האשראי.
5. הצפנה:  יש להצפין את מספר כרטיס האשראי העוברים ברשתות ציבורית כגון האינטרנט (בעזרת SSL).

אך זה קשור אלי?

תמיד טוב לעמוד בתקנים של אבטחה. זה מגן על הסחר ועל הלקוח מפני גנבות ואי נעימויות. כמובן צריך לדאוג שגם הספקים ואתה עובד מולם עומדים בתקן. מערכת הסליקה "אישורית זהב" עומדת בתקן בדירוג D, יותר 200 סעיפים של דרישות אבטחה. תעודת PCI.