PCI DSS חל על חנויות אם וסניפי כאחד, כמו כן גם קמעונאים. תהליך האימות מבוסס על כמו העסקאות השנתי שלך ולא על כמות העסקאו. ברמה הנמוכה ביותר, אתה צריך לאמת את התקן על ידי מילוי שאלון הערכה עצמית (SAQ) ולבצע סריקות רבעוניות באמצעות ספק סריקות אבטחת מידע שאושר עלי איגוד חברות האשראי (ASV). ברמה הגבוהה ביותר(ROC/ROV), מומחה אבטחת מידע מוסמך יבצע בדיקה באתר מדי שנה. כל הסוחרים צריכים לעמוד בדרישות ללא יוצא מה הכלל, סוחרים קטנים צריכים לוודא שיש להם אמצעי אבטחה מתאימים, מדיניות ונהלים, כספת הולמת, מגרסה ועוד ובמטרה למנוע כל דרך אפשרית של דליפה פיסית של פתקיות אשראי או גניבתם, אלו המשתמשים בעמדות קצה נופלת עליהם דרישות נוספות, דרישות טכניות והגדרות מחשב יעודיות, ור הקשחת המחשב(תוכנות).
בנקים רבים וחברות אשראי כבר כתבו ללקוחותיהם במטרה שיכלו תהליך תקינה ולא פעם באגרסיביות כדי לקדם את תוכנית הציות. חברות האשראי נושאות בהליך ארוך ולא פשוט של בירוקרטיה ועלויות בעת גניבת כרטיס, קנסות בנק, קנסות ויזה (אירופה, אסיה ארהב-תלוי היכן נגנב הכרטיס) עלויות החלפת כרטיס וכדומה. עם זאת, סוחרים קטנים חשים כי זה לא יכול לקרות להם אך בפועל מספר לא קטן של סוחרים, אתרי אינטרנט, מסעדות, בתי מלון, חנויות קטנות ועוד נקנסות ונדרשות עי חברות האשראי למלא שאלון לאלתר, לחתום עי יועץ אבטחת מידע מוסמך, לתת דין וחשבון לחברות האשראי בכל עת נתון וכל זה בזמן שאינך סולק, חברות האשראי פשוט סוגרות את המסופים, היתם מסוגלים לדמיין את העסק שלכם דורש רק מזומן בגלל מגבלה עסקית? זה לא נעים ובטח פוגע בתדמית שלך, שלתקנה אגב עולה לא פחות.
בארה"ב כ 98% מסוחרי שלב 1 (מעל ל 300 אלף עסקאות תשלום) כבר מוסמכים בזמן שסוחרי שלב 4(עד 20 אלף עסקאות) רחוקים מלהיות מוסמכים, בישראל המצב דומה וגם באירופה, אסיה בתחילת התהליך. חברות האשראי שמו לעצמם דגש השנה על סוחרי שלב 3-4 בתחום המלונאות בעיקר לאחר שנמצא שאלו סובלים לא מעת מהתקפות האקרים, תעשיית המלונאות הינה תעשייה דלת ידע בתחום המחשוב ובפרט באבטחת מידע וכמובן לא לשכוח את כמות שיחות הטלפון והאורחים שעוברים ביום, כל אלו מאפשרים יד קלה לגניבה או איבוד של נתוני אשראי. לא מעת בתי מלון חושפים את מחשב לכל,
אז איך סוחרים קטנים ועסקים קטנים יכולים לציית לתקן? ראשית צריך לזכור שלא מדובר בהנדסה גרעינית אלא בציות בסיסי לנהלי אבטחה ושמירה ראויה של נותני אשראי. האם אתה משתמש באתר לקבלת נתוני אשראי? אם כן אז מנע את זה בפעולות פשוטות ויעילות מאשר שליחתם דרך האתר, אתה לוודאי לא תרצה לפגוע בשמך ולהפוך לחנות הבאה באינטרנט שכול ישראל רושמת עליה שהיא מנוהלת עי האקר :) ...., האם אתה משתמש במסופים ניידים? אם כן, האם אתה מאבטח כראוי את המסוף? היכן אתה שומר את הקבלות? האם אתה גורס חומר רגיש כגון פקסים ופתקיות נרשמו עליהם נתוני אשראי? כל אלו ויותר צריכים להיבדק בקפדנות. התהליך זול יחסית ומהיר, מלמד ומאתגר וכמובן מרגיע בסופו שאכן אתה יודע שאתה שומר כראוי על הכסף של הלקוחות שלך.
Benjamin Baruch - Senior Security Consultant | CISSP, QSA, CCSE, MCSEBB@nsapIT.com Phone :1599-599-596Mobile :+972-50-260-7456Fax :+972-3-647-9731International callers(USA&CANADA): +1 315-608-6534St atidim, building 6, Tel-aviv, zip 61580 pob 58067, Israel http://www.nsapIT.com *Please consider the environment before printing this email.
