באופן כללי, תקן pci הוא מסמך חשוב המציין כיצד ניתן לבנות מערכות מחשב. מסמכים אלה כוללים דברים כמו כמה סיכות למחשב יכול להיות, כמה משבצות זיכרון יכולות להיות למחשב וכמה מהר המחשב יכול לבצע. תקן ה- PCI חשוב מכיוון שהוא נועד להבטיח שניתן לייצר מערכות מחשב ולהשתמש בהן בבטחה.
מהו תקן PCI?
בין אם אתם מטפלים בנתוני מחזיק כרטיסים לעסק גדול או קטן, PCI DSS הוא תקן אבטחה עולמי המגן על צרכנים מפני גניבת נתונים והונאה. מועצת ה- PCI יצרה רשימת סטנדרטים לעסקים לעקוב כדי להבטיח תאימות ל- PCI.
PCI DSS מורכב מ -300+ דרישות אבטחה שצריך לעמוד על ידי כל ארגון המאחסן, משדר או מעבד נתוני מחזיק כרטיסים. על מנת לעמוד ב- PCI DSS, עליכם להבטיח כי לארגון שלכם יש תהליך ניהול מפתח הצפנה חזק, רשת עיבוד מאובטחת, חומות אש ומערכת בקרת גישה חזקה.
עליכם להבטיח שכל נתוני מחזיק הכרטיסים מוצפנים במהלך השידור ואוחסנו בכספת מאובטחת. עליכם להבטיח שלכל נתוני מחזיקי הכרטיסים יש תעודת זהות ייחודית, מה שהופך אותו לרגיש פחות לתקיפה.
עליכם גם לאבטח את המערכות שלכם מפני פגיעויות על ידי עדכון קבוע של תוכנות אנטי -וירוס ופגיעות טלאים. אתה צריך ליישם חומת אש, שהיא קו הגנה ראשון נגד האקרים.
PCI DSS גם מחייב אותך לזהות את התפקידים הדורשים גישה לנתוני מחזיק כרטיסים רגישים. עליך לתעד רשימה של כל התפקידים, משאבי הנתונים שהם משתמשים בהם והרשאות שיש להם.
עליכם להיות מודעים לתקופת שמירת הנתונים. עליכם להיות מסוגלים להראות שיש לכם מדיניות ביקורת מאובטחת.
מה תקן ה- PCI הנוכחי?
במהלך שנת 2000 פיתחו ויזה ומותגי כרטיסי האשראי הגדולים, כגון MasterCard ו- Discover, תקן בשם PCI DSS (תקן אבטחת מידע על תעשיית התשלום). במקור, היא נועדה לעזור לארגונים לעבד תשלומי כרטיסי אשראי מבלי לחשוף אותם להונאה.
PCI DSS דורש עסקים המקבלים, אחסנים או מעבירים נתוני מחזיק כרטיסים בכדי לקבל בקרות גישה חזקות. נתוני מחזיק כרטיסים מעובדים בתהליך הצפנה ויש לאמציה. זה צריך להיות מאוחסן פיזית במיקום מאובטח.
בנוסף, PCI DSS דורש עסקים המאחסנים נתוני מחזיק כרטיסים כדי לשמור על רשומות ויומנים. תהליך שמירת הרשומות כולל רשימה של כל המשתמשים, הרשאותיהם והרשאות של אותם משתמשים. יש לעדכן את היומנים באופן קבוע.
PCI DSS מחייב גם עסקים לקבל חומות אש, שלעתים קרובות הם קו ההגנה הראשון נגד האקרים. חומות אש אלה מונעות מגורמים זרים גישה לנתונים פרטיים.
בנוסף, יש לחבב את נתוני מחזיק הכרטיסים. סוחרים שמזכירים ידנית עסקאות לחשבון סוחר חייבים להשתמש במסוף תשלומים וירטואלי מבוסס אינטרנט או במקלדת. עליהם גם להשתמש בספק שירותי צד שלישי של PCI DSS.
עסקים המעבדים מעל 6 מיליון עסקאות בשנה עשויים גם לעבור הערכה שנתית באתר. הערכה זו תקבע אם העסק תואם PCI DSS או לא.
מדוע תקן PCI חשוב?
בין אם אתה עסק גדול או קטן, תקן אבטחת המידע לתעשיית התשלום (PCI DSS) הוא כלי חשוב להגנה על נתוני תשלום לקוחות. זה חל על ארגונים המאחסנים או מעבדים נתוני מחזיק כרטיסים, כולל חברות כרטיסי אשראי, מוסדות פיננסיים וסוכנויות.
נתוני כרטיסי התשלום משמשים כמעט כל עסק. זה מקל על הצרכנים לבצע רכישות. זה גם מקטין את משך הזמן שנדרש כדי לקבל כספים.
תקן אבטחת המידע לתעשיית כרטיסי התשלום הוא קבוצה של כללים שעל כל הארגונים לבצע כדי להגן על נתוני מחזיק הכרטיסים. הכללים ישתנו ככל שהתעשייה יתפתחה. חשוב לארגונים להישאר עדכניים עם כל שינוי בכללים אלה.
בעת יצירת תשתית ה- IT שלך, אחד הדברים החשובים ביותר שיש לקחת בחשבון הוא תאימות לנתונים. אם אינך עוקב אחר תקני ה- PCI, אתה יכול להסתכן באובדן מידע לקוחות ואת המוניטין שלך. לא רק זה, אתה יכול גם להתמודד עם קנסות יקרים.
תקן אבטחת המידע לתעשיית כרטיסי התשלום הוצג לראשונה בשנת 2004. מועצת ה- PCI היא ארגון תקני אבטחה האוכף תקנים מקובלים בינלאומיים. השימוש בתקן תאימות PCI יפחית את הסיכון להפרות נתונים ואובדן נתוני כרטיסי אשראי.
תקן אבטחת המידע לתעשיית כרטיסי התשלום מכיל למעלה מ -200 דרישות פריטי קו שעל ארגונים לעקוב אחריהם כדי להגן על נתוני מחזיק הכרטיסים. אלה כוללים את הדרישות להצפנה, בקרת גישה ושיטות טכניות.