תקן PCI-DSS

איך להגן על העסק שלך מפני גניבת נתונים

המידע בעמוד זה נמצא עדיין בתהליך הנגשה. לפניות בנושא נגישות בלאומי קארד

בשנים האחרונות חל גידול במקרי גניבת נתוני כרטיסי אשראי באמצעות חדירה למאגרי מידע שונים. גניבות אלו גורמות נזקים כספיים והוצאות תפעוליות בלתי צפויות לבתי העסק ולמוסדות הפיננסיים, ולתחושת חוסר אמון אצל הלקוחות כתוצאה מסיקור נרחב של התופעה בכלי התקשורת.

על מנת להגן על בתי העסק וציבור הלקוחות ולשמור על האמינות של מערכת אמצעי התשלום, הקימו חברות האשראי
הבינלאומיות(Mastercard/Europay, Visa, American Express) גוף חדש בשם PCI Security Standards Council, שמטרתו - קביעת תקן אחיד בכל הקשור לאבטחת נתוני כרטיס אשראי.

תקן זה חל על כל גורם אשר מעביר, מעבד או שומר נתוני כרטיסי אשראי. מכאן שהוא חל על בתי עסק, ספקי שירות צד שלישי וסולקים כאחד.

התקן, הנקרא Payment Card Industry Data Security Standard) PCI-DSS), בנוי מתריסר פרקים המהווים דרישה כוללת לכל ההיבטים של אבטחת הנתונים של מחזיקי הכרטיס בבית העסק – אמצעי אבטחת רשת התקשורת, סיסמאות גישה למערכות מחשב, אבטחת נתונים מאוחסנים, אבטחה פיזית לבית העסק ועוד.

לנוחיותכם ריכזנו בעמוד זה תשובות לשאלות נפוצות בנושא התקן.

הדפסתקן PCI-DSS שאלות ותשובות

כיצד נקבע האם בית עסק עומד בתקן?
על מנת לקבוע את עמידת בית עסק בדרישות התקן יש לפעול בדרך הבאה:

1.בהתייעצות עם רכז PCI DSS בלאומי קארד יש לקבוע את רמת בית העסק. בהתאם לרמה יידרש בית העסק לעבור AUDIT מלא או לחילופין למלא שאלון הערכה עצמית רלוונטי - SAQ (סוג השאלון נקבע בהתאם לסוג הפעילות של בית העסק והאם בית העסק שומר נתוני כרטיסי אשראי או לא). ראו "שאלונים להורדה" מטה.
2. בנוסף, התקן מחייב כל בית עסק אשר בוחר למלא שאלון C או D (ללא קשר לרמתו) לבצע סריקת רשת (NETWORK SCAN) לפחות אחת לרבעון. את הסריקה חייבת לבצע רק חברה שמופיעה ברשימה של מועצת PCI SECURITY STANDARTDS COUNCIL. שם הרשימה APPROVED SCANNING VENDOR או בקיצור ה- ASV. בסיום הסריקות, יש להעביר ללאומי קארד דו"ח נקי כפי שהופק ע"י ה-ASV.

לרשימת החברות המוסמכות לבצע סריקות רשת

את כל החומר המוזכר בסעיפים 1+2 מעלה יש להעביר באמצעות שליח -
לידי רכז PCI
מחלקת ניהול סיכונים ורגולציה
לאומי קארד
בן גוריון 11
בני ברק 51260
או למייל: PCI@leumi-card.co.il
(מומלץ לשלוח עם סיסמא בנפרד)
לכל שאלה או הבהרה נוספת ניתן לפנות ישירות לרכז עצמו ,03-6177860 או 054-5215347
מייל: PCI@leumi-card.co.il
הנחיות אבטחת מידע
לצפייה בהנחיות אבטחת המידע
רשימת חברות התומכות ביישום תקן PCI-DSS
לנוחיותכם, מצורפים קישורים לרשימות של חברות אשר יכולות לסייע לכם ביישום תקן PCI-DSS.
חברה מוסמכת (QSA-QUALIFIED SECURITY ASSESSOR) היא חברה שמופיעה ברשימת מועצת ה- PCI SSC, ומוסמכת ע"י אותו ארגון לבצע בקרות והסמכות (AUDIT) בבתי עסק. גם בית עסק שלא נדרש לעבור הסמכה (AUDIT) יכול להיעזר בה במילוי שאלון הערכה עצמית.
לרשימת החברות המוסמכות לבצע AUDIT

חברת סריקות רשת (ASV-APPROVED SCANNING VENDOR) - חברה שמופיעה ברשימת מועצת ה- PCI-DSS, ומוסמכת ע"י אותו ארגון לבצע סריקות רשת.
לרשימת החברות המוסמכות לבצע סריקות רשת

*הרשימות אינן מהוות חובה ו או/המלצה של לאומי קארד.* לאומי קארד לא תהיה אחראית ולא תישא בכל נזק עקב התקשרות בית עסק או כל גורם אחר לאחת החברות המוזכרות ברשימות.

בכל שאלה/הבהרה אודות התקן ניתן לפנות לרכזי PCI בטלפונים 03-6177860/6178550 או במייל PCI@leumi-card.co.il

טבלת רמות

רמה	קריטריונים	פעולות הדרושות לעמידה בתקן	גורם מבצע
1	א. כל בית עסק שמעביר יותר מ-6,000,000 עסקות בשנה ללא קשר לאמצעי העברת העסקה ב. כל בית עסק שהותקף ע"י האקר או שסבל מהתקפה שהובילה לזליגת נתוני כרטיס ג. כל בית עסק שחברת האם רואה לנכון לכלול ברמה אחת כולל הדרישות של רמה זו וזאת על מנת לצמצם את הסיכון למערכת ויזה ומאסטרקארד ד. כל בית עסק שחברת אם אחרת החליטה לקבוע כשייכת לרמה אחת	- סקר סיכונים שנתי-AUDIT - סריקות רשת רבעונית	חברה (QSA) שמוסמכת לכך ע"י מועצת ה- PCI ראה רשימה מעודכנת באתר חברה (ASV) שמוסמכת לכך ע"י מועצת הPCI ראה רשימה מעודכנת באתר
2	כל בית עסק שמעביר בין מליון לשישה מליון עסקות בשנה ללא קשר לאמצעי העברת העסקה	מילוי שאלון הערכה עצמית שנתי (SAQ) סריקות רשת רבעונית	בית העסק בעצמו. את השאלון המתאים והסבר נוסף ניתן למצוא באתר חברה (ASV) שמוסמכת לכך ע"י מועצת ה- PCI ראה רשימה מעודכנת באתר
3	כל בית עסק שמעביר בין 20,000 למיליון עסקות במסחר אלקטרוני בשנה	מילוי שאלון הערכה עצמית שנתי (SAQ) סריקות רשת רבעונית	בית העסק בעצמו. את השאלון המתאים והסבר נוסף ניתן למצוא באתר חברה (ASV) שמוסמכת לכך ע"י מועצת ה- PCI ראה רשימה מעודכנת באתר
4	כל בית עסק שמעביר פחות מ- 20,000 עסקות במסחר אלקטרוני או פחות ממיליון עסקות רגילות בשנה	מילוי שאלון הערכה עצמית שנתי (SAQ) סריקות רשת רבעונית	בית העסק בעצמו. את השאלון המתאים והסבר נוסף ניתן למצוא באתר חברה (ASV) שמוסמכת לכך ע"י מועצת ה- PCI ראה רשימה מעודכנת באתר

בכל שאלה/הבהרה אודות התקן ניתן לפנות לרכזי PCI בטלפונים 03-6177860/6178550 או במייל PCI@leumi-card.co.il

שאלונים להורדה
החל מ- 1.1.2015 כל השאלונים אשר מבוססים על גרסה 2.0 של התקן אינם תקפים עוד. רק השאלונים אשר מבוססים על גרסה 3.0 של התקן בתוקף והם אילו אשר מופיעים מטה.
הסבר אודות השאלונים החדשים ניתן למצוא במסמך "Understanding SAQ's"
ריכוז התנאים לקביעת איזה שאלון רלוונטי ניתן למצוא במסמך "ELIGIBILITY"

רק השאלונים בשפה האנגלית הם המחייבים.

בכל שאלה/הבהרה אודות השאלונים ניתן לפנות לרכזי ה- PCI בטלפונים: 6177860/03-6178550- 03 או במייל PCI@leumi-card.co.il

Understanding SAQ`s
ELIGIBILTY
SAQ_A
SAQ_A-EP
SAQ_B
SAQ_B-IP
SAQ_C
SAQ_C-VT
SAQ_P2PE-HW
SAQ_D
Redirecting
- שאלות ותשובות
- SAQ A - עברית
- חברות Redirecting

בכל שאלה/הבהרה אודות התקן ניתן לפנות לרכזי PCI בטלפונים 03-6177860/6178550 או במייל PCI@leumi-card.co.il
צור קשר
בכל שאלה/הבהרה אודות התקן ניתן לפנות לרכזי PCI בטלפונים
03-6177860/6178550
או במייל: PCI@leumi-card.co.il

הדפסשאלות נפוצות בנושא PCI באתרי אינטרנט

למה דורשים ממני לעמוד בתקן PCI-DSS?
אין עוררין שנתוני כרטיס אשראי הם אטרקטיביים מאד לפצחני מערכות מידע (האקרים). אנו עדים לריבוי הניסיונות (בחלקם הגדול מוצלחים) בתחום זה אשר זוכים להד תקשורתי רב. תקן PCI-DSS נועד להגן על הלקוחות שלך ואמונם באתר שלך (מוניטין בית עסק). אמון זה חיוני לנכונות של הלקוחות שלך "להפקיד בידיך" נתונים אישיים לרבות נתוני כרטיסי אשראי.
לאור החשיפה הגדולה בתחום זה, ויזה אירופה הוציאה הנחייה שעל כל בית עסק אינטרנטי לעמוד בתקן PCI-DSS - או באופן עצמאי ומלא או לחלופין באמצעות REDIRECTING מדף התשלום לספק מוסמך SERVICE PROVIDER - SP אשר עומד בעצמו בתקן. לאומי קארד, כזכיין של ויזה אירופה לסליקת כרטיסי ויזה – נדרשת למלא אחר הנחייה זו.
שים לב: אם הינך בית עסק "מעורב" - הכוונה לבית עסק שמקבל כרטיסים ביותר מערוץ אחד (לדוגמא באתר וגם בקופה פיזית) - עדיין קיים צורך מיידי לאבטח את אתר בית העסק בהתאם להנחיה זו, גם אם עדיין לא השלמת את עמידתך בתקן בשאר הערוצים.
שים לב: גם אם קיימת באתר אבטחת SSL היא אינה מספקת אלא ממלאה רק חלק קטן של כלל דרישות התקן.
מה זה REDIRECTING?
REDIRECTING הוא קוד אשר גורם לכך שדף התשלום של אתר אינטרנט נפתח בפועל באתר של ספק שרות -SP . שרות זה ידוע גם כ-HOSTED PAYMENT PAGE או בעברית "דף נחיתה".
מה זה I-FRAME?
I-FRAME הינו חלון שנמצא תחת הדומיין של בית העסק ולכן, להבדיל מ-REDIRECTING, הלקוח לא רואה שינוי ב-URL כאשר הוא מזין את פרטי כרטיסי האשראי שלו לשדות בחלון. בפועל שדות אילו יושבים בשרתי ספק השירות-SP
מה היתרונות ב-REDIRECTING?
בית עסק אשר משתמש בשרות REDIRECTING נדרש למלא שאלון קצר מאד - שאלון A מורכב מ-14 שאלות בלבד. לעומת זאת בית עסק אשר בוחר לא להשתמש בשרות REDIRECTING נדרש למלא שאלון מלא - שאלון D מורכב מ-307 שאלות, ולעמוד בכל תקן PCI DSS על כל המשתמע מכך - שעות עבודה רבות והוצאות לא מבוטלות לסגירת פערים. בנוסף בית העסק גם נדרש לבצע סריקות רשת רבעוניות (בתשלום) באמצעות חברה אשר מוסמכת לכך - ASV.
מי מוסמך לבצע עבור בית העסק שרות REDIRECTING?
רק ספק שרות ברמה הגבוהה ביותר -SERVICE PROVIDER LEVEL ONE מורשה ע"י לאומי קארד לספק שרות REDIRECTING לבית עסק אשר סולק איתה. רק LEVEL ONE SP עובר בדיקה והסמכה ע"י חברה ייעודית לכך - QSA אשר מנפיקה לו תעודת הסמכה. התעודה בתוקף לשנה מיום הנפקתה ועל בית העסק לוודא ששרות ה-REDIRECTING נכלל בהסמכה.
מה הדרישות מבית עסק שבחר ב- REDIRECTING?
א. הגשת שאלון A - מלא וחתום (ניתן בעברית)
ב. הגשת אישור REDIRECTING יש לצרף לשאלון אישור בכתב מה-SP שאכן נרשמת לשרות REDIRECTING.
מה הדין לגבי אתר שאין בו סליקה ישירה של כרטיסי אשראי?
חובת העמידה בתקן DSS PCI חלה גם כאשר אין סליקה ישירה של כרטיסי אשראי באתר. אם אין סליקה בפועל באתר שלך, דהינו אתה "אוסף" כל פעם את הנתונים שהושארו ע"י הלקוחות שלך ומחייב אותם באמצעות המסוף בחנות/משרד ע"י הקלדת מספר הכרטיס+תוקפו, עליך לבחור בין שרות REDIRECTING+TOKENISATION (ראה שאלה 8 להסבר אודות TOKENISATION) לבין הסרת האפשרות להשאיר נתוני כרטיסי אשראי באתר כלל. במקרה השני ניתן לבקש מהלקוח להשאיר מספר טלפון בלבד ולחזור אליו מאוחר יותר כאשר את נתוני כרטיסי האשראי תקבל במעמד השיחה.
שים לב: לפי תקן PCI DSS חל איסור לשלוח נתוני כרטיסי אשראי במייל ללא הצפנה לכן אין לבקש מהלקוח לשלוח נתונים אילו במייל.
מה הדין לגבי אתר עם עסקאות חוזרות/הוראות קבע שאליו הלקוחות לא נכנסים כל פעם מחדש?
במקרה כזה, מעבר לשירות REDIRECTING, יש לברר מול ה-SERVICE PROVIDER שלך האם הסמכתו כוללת גם שירות TOKENISATION. מדובר בשרות שבו במקום מספר כרטיס האשראי בית העסק מקבל מספר אחר שהוא חסר משמעות - TOKEN. בית העסק (אתה) שומר רק את ה-TOKEN הזה ובכל פעם שיש צורך לחייב/לזכות את הלקוח בית העסק נדרש לשלוח בחזרה ל-SP את ה-TOKEN עם הוראה מתאימה (חיוב/זיכוי) והסכום הרלוונטי. הוא (ספק השירות - SP) יודע "לתרגם" את ה-TOKEN למספר כרטיס האשראי ולשלוח לשב"א את העסקה.


	סגור לקוח יקר, לצורך ביצוע הזמנה הינך מועבר לאתר ההטבות של לאומי קארד. בטל האתר מתופעל על ידי א.ר.נולדג' פור אול בע"מ