אבטחת מידע

אבטחת מידע ירודה וגידול בפעילות לא חוקית הסבו לבתי עסק ותעשיית כרטיסי אשראי נזקים גבוהים בכסף ובמוניטין.

חברות כרטיסי האשראי פיתחו תקן המכיל את כלל הדרישות להיבטי אבטחת נתוני כרטיס אשראי.

התקן מחייב כל גוף שמעביר, מעבד או שומר נתוני כרטיסי אשראי, חברות סליקה, בתי עסק וספקי שירות צד שלישי כאחד.

 

בעבר חברות האשראי הנהיגו נהלי אבטחת מידע פרטיים. הצורך בתקן אחיד ומבוסס נבע מהתובנה שבנושא אבטחת מידע תעשיית האשראי מחויבת לפעול בהתאמה, בנחרצות וללא פשרות.

 

חברות האשראי חברו יחדיו והקימו את מועצת תעשיית האשראי PCI Council: ה-Council הינו פורום עולמי פתוח שהוקם ע"י חמש חברות אשראי בינלאומיות בשנת 2006.

מטרת הארגון לפתח, לנהל, להפיץ ולעדכן את תקן ה-PCI.

החברות הבינלאומיות מכירות במועצה כגורם הבלעדי המאשר בודקי אבטחה לתקן ה PCI:

 

  • חברות QSA - Qualified Security Assessor and
  • חברות ASV - Approved Scanning Vendors

 

מועצת ה PCI קבעה נהלים ברורים ו-12 דרישות בהן כל ארגון המעביר, מעבד או שומר נתוני כרטיסי אשראי חייב לעמוד. 12 דרישות אבטחת המידע כוללות הסבר טכני מפורט המסביר דרכי פעולה לבית עסק.

 

יתרונות התקן

 

  • הגנה בפני קנסות ותביעות מצד חברות האשראי הבינלאומיות במקרה של חדירת גורם עוין למערכות החברה וזליגת מידע (נתוני כרטיסי אשראי).
  • יישום תקן PCI הינו חלק מהטיפול השוטף בפעילות אבטחת מידע ויטופל במסגרת המשאבים שקיימים.
  • הגברת תחושת הביטחון של הצרכן, תרומה לשמירת וחיזוק מוניטין החברה.
  • יישור קו מול חברות מתחרות בחו"ל שכבר עומדות בתקן.

 

חלוקה לרמות 

 

רמה 1:

בית עסק שמעביר יותר מ-6,000,000 עסקאות בשנה ללא קשר לאמצעי העברת העסקה.

כל בית עסק שהותקף ע"י האקר או שסבל מהתקפה שהובילה לזליגת נתוני כרטיס.

כל בית עסק שחברת האם רואה לנכון לכלול ברמה אחת כולל הדרישות של רמה זו וזאת על מנת לצמצם את הסיכון.

כל בית עסק שחברת אם אחרת החליטה לקבוע כשייך לרמה אחת.

בית עסק ברמה זו מחויב בסקר סיכונים שנתי –AUDIT וסריקות רשת רבעוניות המבוצעות ע"י חברה (QSA) וחברה (ASV) שמוסמכות לכך ע"י מועצת ה- PCI.

רמה 2:

בית עסק שמעביר בין 1,000,000 ל 6,000,000 עסקאות בשנה ללא קשר לאמצעי העברת העסקה.

בית עסק ברמה זו מחויב בסקר סיכונים שנתי – AUDIT וסריקות רשת רבעוניות המבוצעות ע"י חברה (QSA) וחברה (ASV) שמוסמכות לכך ע"י מועצת ה-PCI.

רמה 3:

בית עסק שמעביר בין 20,000 ל 1,000,000 עסקאות במסחר אלקטרוני בשנה. בית עסק ברמה זו מחויב במילוי שאלון הערכה עצמית שנתי (SAQ) וסריקות רשת רבעוניות המבוצעות ע"י חברה (ASV) שמוסמכת לכך ע"י מועצת ה- PCI.

רמה 4:

בית עסק שמעביר פחות מ- 20,000 עסקאות במסחר אלקטרוני או פחות ממיליון עסקאות רגילות בשנה. בית עסק ברמה זו מחויב מילוי שאלון הערכה עצמית שנתי (SAQ) וסריקות רשת רבעוניות המבוצעות ע"י חברה (ASV) שמוסמכת לכך ע"י מועצת ה- PCI.

 

iCredit \ ריווחית - www.icredit.rivhit.co.il

http://www.menahel4u.com - go credit

טלאול - http://www.teleall.co.il

http://www.toptix.co.il/israel - Toptix

http://www.comax.co.il - Native data

http://www.comax.co.il - COMAX

http://www.zooz.com - ZOOZ

קשר - http://www.kesherhk.co.il

זד קרדיט - www.z-credit.com

טלרום - www.telerom.co.il

יעד סליקה - www.yaad.net

קרדיט גארד - www.creditguard.co.il

קרדיט 2000 - www.credit2000.co.il

נאייקס - www.dually.co.il

נטפיי - www.netpay-intl.com

פלאקארד - www.pelecard.com

קארדקום - www.cardcom.co.il

אי-דוקס בע"מ - www.edocs.co.il

http://www.mycheck.co.il - mycheck

www.knowledge4all.co.il - DTS

ארקום - www.arkom.co.il

ארנה פלוס - http://www.arenaplus.co.il

www.tixwise.co.il – Tixwise

טרנזילה - www.tranzila.com

וריפון – (וריפיי) - www.veripay.verifone.co.il

www.payplus.co.il - paypass

איש המשרד - www.myofficeguy.com 

רשימת Approved Scanning Vendors - ASV's מורשים ניתן למצוא באתר האינטרנט של ארגון PCI DSS העולמי

בנוסף, מצורפת רשימה חלקית של ASV's בעלי נציגות בישראל.
שימו לב: אין מדובר בהמלצה לספק שירות כזה או אחר.


QSA   הוא גוף שמוסמך על ידי מועצת PCI DSS  ללוות ולהסמיך בתי עסק לעמידה בתקן.
מצ"ב רשימה של QSA's העובדים בישראל.


• Avnet
Ziv Guterman, QSA
Head Of GRC Department
Avnet Information Systems Security & Risk Management
Zivg@avnet.co.il
M) 054-9016026 (T) 03-9560074 (F) 03-9508541
Please visit our web site at http://www.avnet.co.il


• Comsec
Shatz Nadav
Account Manager
Comsec Consulting
Tel: +972-(0)3-9234646
Mobile: +972-(0)52-4713613
Mailto: Nadavs@comsecglobal.com
http://www.comsecglobal.com/


• Tagar Liat
PCI Primary contact
Comsec Consulting
Tel: +972-(0)3-9234646
Mobile: +972-(0)52-4607030
Mailto: liatt@Comsecglobal.com
http://www.comsecglobal.com/


• Grsee
Ben Ben Aderet
QSA, PA QSA
Co-Founder
ben@grsee.co.il
http://www.grsee.co.il/


Cellphones:
972.52.3866591+
1.940.560.6982+
44.762.412.8628+


• Iftach Shapira
QSA, PA QSA
Co-Founder
iftach@grsee.co.il
http://www.grsee.co.il/


:Cellphones
972.54.2405700+
1.940.560.6982+
44.762.412.8628+