תאימות Pci

מהי ציות PCI

עמידה בתעשיית כרטיסי התשלום (PCI) מתייחסת לתקנים הטכניים והתפעוליים שעליהם עסקים חייבים לבצע כדי להבטיח שמוגנים על נתוני כרטיסי האשראי המסופקים על ידי מחזיקי הכרטיסים. תאימות PCI נאכפת על ידי מועצת התקנים של PCI וכל העסקים המאחסנים, מעבדים או מעבירים נתוני כרטיסי אשראי באופן אלקטרוני נדרשים לפעול על פי הנחיות הציות.

הבנת תאימות PCI

תקני עמידה בתעשיית כרטיסי התשלום (PCI) מחייבים סוחרים ועסקים אחרים לטפל במידע על כרטיסי אשראי בצורה מאובטחת המסייעת להפחית את הסבירות שלגבי כרטיס הכרטיסים יהיה נגנב נתונים פיננסיים רגישים. אם סוחרים אינם מטפלים במידע בכרטיסי אשראי כנדרש, ניתן יהיה לפרוץ את פרטי הכרטיס ולהשתמש בהם לצורך ביצוע רכישות הונאה. בנוסף, ניתן להשתמש במידע רגיש אודות בעל הכרטיס בהונאת זהות.

להיות תואם PCI פירושו לדבוק בעקביות בקבוצת ההנחיות שנקבעו על ידי חברות המנפיקות כרטיסי אשראי. ההנחיות מפרטות שורה של צעדים שעל מעבדי כרטיסי האשראי לבצע ללא הפסקה. החברות מתבקשות לראשונה להעריך את תשתיות טכנולוגיות המידע שלהן, תהליכים עסקיים ונהלי טיפול בכרטיסי אשראי כדי לעזור באיתור איומים פוטנציאליים העלולים לפגוע בנתוני כרטיסי האשראי. לאחר מכן מתבקשות החברות לטפל בפערים באבטחה ולהימנע מאחסון מידע רגיש של מחזיקי כרטיסים, כגון ביטוח לאומי ומספרי רישיון נהיגה, ככל שניתן. חברות נדרשות לספק דוחות ציות למותגי הכרטיסים איתם הם עובדים, כגון אמריקן אקספרס וויזה.

כל החברות המעבדות מידע על כרטיסי אשראי נדרשות לשמור על תאימות ל- PCI, ללא קשר לגודלן או למספר עסקאות כרטיסי האשראי שהם מעבדים. כל החברות מחולקות לרמות סוחר בהתבסס על מספר העסקאות שעובדות במהלך תקופה מוגדרת. ציות PCI מנוהל על ידי מועצת התקנים לאבטחת תעשיות כרטיסי התשלום, ארגון שהוקם בשנת 2006 לצורך ניהול אבטחת כרטיסי האשראי. הדרישות, המכונות תקני אבטחת מידע בתעשיית התשלומים (PCI DSS), מנוהלות על ידי חברות כרטיסי האשראי הגדולות, כולל VISA, American Express, Discover ו- MasterCard, בין היתר.

תאימות PCI והפרות נתונים

רבות מהפרות הנתונים הגדולות בהיסטוריה עשויות להימנע אם הסוחרים או המוסדות הפיננסיים שנפגעו היו תואמי PCI. להלן כמה ממצאים עיקריים מתוך דוח אבטחת התשלומים Verizon 2017, מחקר מעמיק של תאימות PCI DSS:

• ארגונים קמעונאיים הדגימו את הקיימות הנמוכה ביותר בתאימות ה- PCI בכל ענפי המפתח. ענף שירותי ה- IT השיג את התאימות המלאה ביותר של כל קבוצות המפתח בענף שנבדקו.77 אחוזים מהחברות שנבדקו לאחר שהפרת נתונים לא עמדה בדרישת ה- PCI מספר אחת: התקן ולשמור על תצורת חומת אש. המחקר מראה כי מתאם "ניתן להפגין" בין עסקים העדכניים בתקני PCI לבין עסקים שהגנו על עצמם בהצלחה מפני איומי סייבר. מספר העסקים התואמים 100 אחוז PCI הוא גדל במידה ניכרת על בסיס משנה לשנה.