cyberoot

תקן PCI DSS

תקן PCI DSS (Payment Card Industry Data Security Standard) הוא תקן אבטחת מידע גלובלי, שנוצר על ידי מועצת ה-PCI (המורכבת מחברות האשראי הגדולות: Visa, MasterCard, American Express, Discover, JCB) במטרה להגן על נתוני כרטיסי אשראי ולהפחית סיכוני הונאות.
צרו קשר לקבלת פרטים נוספים והצעת מחיר

מה מטרת התקן?

התקן מיועד להבטיח שעסקים המטפלים, שומרים, מעבדים או מעבירים מידע של כרטיסי אשראי (מספר כרטיס, CVV, תוקף, ועוד) יפעלו לפי סטנדרטים גבוהים מאוד של אבטחת מידע.

מהם הנתונים המוגנים תחת PCI DSS?

  • מספרי כרטיס אשראי (PAN – Primary Account Number)
  • שם בעל הכרטיס
  • תאריך תפוגה
  • CVV (קוד אימות הכרטיס)

דרישות מרכזיות בתקן PCI DSS:

התקן כולל 12 דרישות עיקריות, המחולקות ל-6 קטגוריות מרכזיות:

א. בנייה ותחזוקה של רשת מאובטחת

  1. התקנת וניהול פיירוולים לאבטחת רשתות
  2. אי שימוש בסיסמאות ברירת מחדל של יצרנים במערכות ואפליקציות

ב. הגנה על מידע רגיש של כרטיסי אשראי 3. הגנה על הנתונים הרגישים (הצפנת נתונים, אחסון מאובטח) 4. הצפנת העברת מידע בכרטיסי אשראי ברשת ציבורית (SSL/TLS)

ג. ניהול תוכניות בקרת פגיעויות 5. שימוש באנטי-וירוס ועדכון סדיר 6. פיתוח ואחזקה של מערכות ואפליקציות מאובטחות

ד. אמצעי בקרת גישה מחמירים 7. הגבלת גישה פיזית ולוגית לנתוני כרטיסים לפי הצורך בלבד ("Need-to-know") 8. אימות וזיהוי גישה למערכות באמצעות משתמשים ייחודיים 9. הגבלת הגישה הפיזית למידע כרטיסי אשראי

ה. ניטור ובדיקות תקופתיות 10. ניטור לוגים של גישה ופעילות במערכות 11. ביצוע בדיקות אבטחת מידע סדירות (סריקות חולשות, בדיקות חדירה)

ו. מדיניות אבטחת מידע ארגונית 12. שמירה על מדיניות אבטחת מידע ברורה ועדכנית בארגון

למי התקן רלוונטי?

כל ארגון או חברה המעבד, מעביר או מאחסן פרטי כרטיסי אשראי נדרש לעמוד בתקני PCI DSS. התקן חל על:

  • חנויות (פיזיות ואינטרנטיות)
  • נותני שירותי סליקה (Payment Gateways)
  • מוסדות פיננסיים (בנקים, חברות אשראי)
  • ספקי שירותים המגיעים במגע עם נתוני כרטיסים

רמות תאימות לתקן PCI DSS:

התקן מגדיר 4 רמות, בהתאם להיקף הפעילות של העסק או הארגון:

  • Level 1: עסקים גדולים מאוד (מעל 6 מיליון עסקאות בשנה)
  • Level 2: בין מיליון ל-6 מיליון עסקאות בשנה
  • Level 3: בין 20 אלף למיליון עסקאות בשנה
  • Level 4: פחות מ-20 אלף עסקאות בשנה

כל רמה קובעת אילו דרישות אימות ואכיפה נדרשות (סריקות רבעוניות, דוחות שנתיים, בדיקות חדירה תקופתיות וכו').

למה זה חשוב לעסק?

  • מניעת הונאות: התקן מסייע במניעת גניבת פרטי כרטיס אשראי.
  • הימנעות מקנסות: עסקים שלא עומדים בתקן חשופים לקנסות משמעותיים ואף להשהיית שירותי סליקה.
  • שיפור אמון הלקוחות: תאימות לתקן PCI DSS מחזקת את אמון הצרכנים.

 

Facebook
Twitter
LinkedIn
דילוג לתוכן