Secoz - PCI - כרטיס למידע בטוח יותר

דרושים

יצירת קשר

PCI - כרטיס למידע בטוח יותר

מאת גלעד ירון, , SECOZ
IT Governance, Risk & Compliance (IT GRC)

במרץ 2007 התפרסם סיפורה של אחת מחשיפות המידע הגדולות ביותר בהיסטוריה.

נתונים של למעלה מ-90 מיליון כרטיסי אשראי נגנבו באופן שיטתי במשך תקופה בת 18 חודשים. הנתונים נגנבו מחברת TJX, שהיא חברת האם של רשתות שיווק ענקיות כולל MAXX ו-Marshals.

ההאקרים שלפו למעלה מ GB 80 של מידע משרתי TJX. הם התקינו תכנת האזנה שפעלה על מחשבי החברה במשך למעלה משבעה חדשים. תכנה זו העבירה לרשותם מידע בלתי מוצפן אשר עבר ברשת. TJX לא הבחינה בכל אלה.

חברות כרטיסי האשראי, ברשות ויזה, מסטר-כארד ואמריקן אקספרס, זיהו כבר בשנת 2005 את הסיכון הגדול הנובע משימוש לא אחראי במידע כרטיסי אשראי ואת החשיבות הרבה של שימוש בבקרות אשר יצמצמו את הסיכון הזה.

חברות אלה הקימו גוף משותף אשר הגדיר סט של דרישות מהחברות העושות שימוש במידע זה. הדרישות התגבשו לידי תקן המכונה PCI DSS. תקן זה תקף גם בישראל.

התקן כולל את הנושאים הבאים:

·         הגנה על הרשת

1.      שימוש בתכנת Firewall

2.      שימוש נכון בסיסמאות ותצורת מערכות מאובטחת

·         הגנה על מידע כרטיסי האשראי

3.      הגנה על המידע של מחזיקי כרטיסי האשראי

4.      הצפנת מידע זה

·         ניהול פגיעויות

5.      שימוש בתכנת Anti-Virus

6.      תחזוקת רמת האבטחה של המערכות והאפליקציות

·         שימוש בבקרת גישה חזקה

7.      הגבלת הגישה למידע על בעלי כרטיסי האשראי לצורך עסקי בלבד

8.      הקצאת שם משתמש ייחודי לכל בעל גישה למערכות מחשוב

9.      הגבלת גישה פיזית למערכות המחזיקות מידע על בעלי כרטיסי האשראי

·         בחינה תקופתית של המערכות

10. מעקב ורישום של הניגשים למידע רגיש זה

11. תהליך מוסדר ותקופתי של בחינת רמת האבטחה

·         מדיניות

12. פיתוח, תחזוקה, עדכון ואכיפה של מדיניות אבטחת מידע

תקן נוסף אשר פורסם לאחרונה על ידי גוף זה נקרא PCI PA-DSS והוא עוסק בבחינה של מוצרים המבצעים תשלומים ומאחסנים מידע על כרטיסי אשראי.

בבדיקה שנעשתה בעקבות סיפור TJX נמצא כי החברה לא עמדה בתשע מתוך שתים-עשרה הדרישות שהוצגו להלן!

מבט בוחן בדרישות התקן מבהיר כי אין בו אפילו דרישה אחת שאינה חשובה והכרחית לכל ארגון העוסק במידע רגיש.

ארגון העומד בסטנדרטים גבוהים של אבטחת מידע ונדרש לעמוד גם ב-PCI אינו צריך לעשות דבר!

מאידך, גם ארגון אשר אינו נדרש לעמוד בתקן זה, מומלץ לו בחום לבחון את דרישות התקן, כמו גם תקנים אחרים בנושא כגון 27001 ISO, ולבחון מה רמת האבטחה של המידע האצור בו.

העומדים בתקן PCI זוכים בכרטיס למידע בטוח יותר.

גרסה להדפסה שליחה לחבר