פלאקארד - סליקת אשראי לעסקים
 
 
חדש! לתמיכה ב- WhatsApp
שלח הודעה ל: 050-2345340
האם כל החיובים שביצעת שולמו על ידי חברות האשראי?
להפוך את הפעילות העסקית למהירה ושוטפת יותר
למצטרפים חדשים לשירות הסליקה - חודש חינם

סקירה של תקן PCI

להלן מידע מורחב אודות תקן PCI:

 
 

מהי מועצת ה- PCI ?

מועצת ה- PCI הוקמה במטרה לייצר סטנדרטים וחומרים תומכים להגברת בטיחות התשלומים בכרטיסי אשראי. חומרים אלה כוללים הגדות, כלים, מדדים ומשאבים שיסייעו לארגונים להבטיח טיפול בטוח יותר בפרטי המשלמים בכל שלב בדרך. הבסיס לפעילות המועצה הוא סטנדרט ה- PCI Data Security Standard , או בקיצור PCI DSS, המספק מסגרת פעולה לפיתוח תהליכי תשלום באשראי אמינים ובטוחים – כולל מניעה, זיהוי ותגובה מתאימה לבעיות אבטחת מידע.

הכלים לאימות העמידה של ארגונים בתקן ה- PCI DSS כוללים שאלון הערכה עצמית.

עבור ספקים של מכשירי סליקה, מועצת ה- PCI מספקת דרישות אבטחת מידע לגבי PIN Transaction, המכילים מערך דרישות עבור כל מכשירי הסליקה, כולל קופות ומכשירי מכירה אוטומטיים. עבור מפתחי תוכנה, המועצה מספקת סטנדרט PA-DSS ורשימת יישומים מאושרים לביצוע תשלומים.
 

משמעות PCI עבור עסקים

המשמעות של התקן במונחי אבטחת מידע, היא כי העסק עומד בדרישות התקן לגבי ניהול אבטחה, מדיניות הארגון, תהליכים, מבנה הרשת הארגונית, מבנה תוכנה, והפעלת אמצעי הגנה שונים. תפעולית, המשמעות היא שהעסק לוקח חלק פעיל בהגנה על נתוני האשראי של הלקוחות בכל עסקה, וכי גם לעסק וגם ללקוחות יש בטחון כי הם מוגנים.
 

עמידה בתקן PCI לעומת אימות התקן

על אף שכל הישויות המאחסנות, מעבדות או משדרגות נתונים בתהליך החיוב חייבות להטמיע את דרישות ה- PCI DSS, אימות התקן אינו חובה עבור כל הגורמים. כרגע מאסטרקארד וויזה דורשים מעסקים לבצע אימות על פי PCI DSS. בנקים אינם נדרשים לעבור אימות.
 

כיצד עומדים בתקן PCI

העמידה בתקן PCI היא תהליך מתמשך, הדורש הערכה מתמדת של פעילות הארגון, תיקון פרצות שזוהו, והכנת דוחות עבור הבנקים המעורבים וחברות כרטיסי האשראי. כדי לעמוד בתקן יש צורך למלא 12 דרישות.
 

מה קורה לעסקים שאינם עומדים בתקן PCI

מועצת ה- PCI מעודדת עסקים המאחסנים נתוני אשראי לעמוד בתקן כדי להפחית סיכונים העלולים לגרום לפגיעה כספית כתוצאה מדליפת נתונים, אך היא בעלת סמכות אכיפה של התקן. חברות האשראי הן המחזיקות בכח לקבוע נהלים, לוחות זמנים ודרישות לעמידה בתקן. לאחרונה, קבעו חברות האשראי כי החל מתחילת 2013 כל חברה המבצעת חיובים בכרטיסי אשראי תידרש לעמוד בתקן. חברה שתתקיים אצלה דליפה של נתוני אשראי ואשר לא עמדה בתקן תעמוד בפני מגבלות וקנסות מצד חברות האשראי.
 

היסטוריה של תקן PCI

ה- PCI DSS החל במקור כ- 5 תוכניות שונות של ויזה, מאסטרכארד, אמריקן אקספרס, דיסקאבר ו- JCB. המטרות של החברות היו זהות במהותן: ליצור רמה נוספת של הגנה עבור מנפיקי כרטיסי האשראי על ידי הבטחת רמה מינימלית של אבטחת מידע בעסקים, כאשר הם מאחסנים, מעבדים ומשדרים נתוני אשראי.

מועצת ה- PCI הוקמה ב- 15 בדצמבר 2004, כשהחברות החליטו לאחד מאמצעים ואת קווי המדיניות אל תוך תקן אחיד (PCI DSS). בספטמבר 2006, סטנדרט ה- PCI עודכן לגרסא 1.1 כדי לספק הבהרות ותיקונים לגרסה הראשונה. גרסה 1.2 יצאה ב-1 באוקטובר 2008 ולא שינתה את הדרישות, אלא רק סיפקה הבהרות, שיפרה את הגמישות וענתה על איומים מתפתחים. באוגוסט 2009, מועצת ה- PCI הכריזה על מעבר לגרסה 1.2.1 כדי להטמיע מספר תיקונים קטנים שנועדו ליצור אחידות לרוחב התקן.
 

משמעות ה- PCI עבור מוקדי שירות

במוקדי שירות, לקוחות מקריאים את נתוני האשראי, קוד CVV ותאריכי תפוגה לסוכני המכירות. ישנם רק מעט בקרים שניתן ליישם כדי למנוע הדלפה של הנתונים. נוסף על כך ניתן לציין את מערכות ההקלטה הפועלות במוקדי שירות. כדי לטפל בנושא זה, בינואר 2010, מועצת האשראי הוציאה מסמך שאלות ותשובות לגבי הקלטות במוקדי שירות, שמטרתו להתחיל תהליך שימנע הקלטות מספרי אשראי הכוללים את קוד הבקרה.
 

רשתות אלחוטיות

ביולי 2009 יצרה מועצת ה- PCI קווים מנחים עם המלצות לשימוש במערכות מניעת חדירה לרשתות אלחוטיות עבור ארגונים גדולים.
 
ייעוץ שיווקי ומיתוג - טלי גדי
onenet web apps