180 likes | 390 Views
PCI DSS. צידה להמשך הדרך. כללים לשמירת נתונים. הקם ותחזק רשת בטוחה 1. התקנת ותחזוקת Firewall על מנת להגן על נתוני כרטיסי האשראי 2. אל תשתמש בסיסמאות ברירת מחדל של ספקי התוכנה הגן על נתוני כרטיס 3. הגן על נתוני כרטיס השמורים בבסיס הנתונים 4. הצפן תשדורת נתוני כרטיס העוברים ברשת
E N D
PCI DSS צידה להמשך הדרך..
הקם ותחזק רשת בטוחה 1. התקנת ותחזוקת Firewallעל מנת להגן על נתוני כרטיסי האשראי 2. אל תשתמש בסיסמאות ברירת מחדל של ספקי התוכנה הגן על נתוני כרטיס 3. הגן על נתוני כרטיס השמורים בבסיס הנתונים 4. הצפן תשדורת נתוני כרטיס העוברים ברשת הפעל תכנית ניהול פגיעות 5. השתמש ועדכן תוכנות אנטי וירוס 6. פתח ושמר מערכות ואפליקציות מאובטחות התקן מורכב מ 12 דרישות בסיס
ישם מדיניות בקרת גישה יעילה 7. הגבל גישה של עובדיך לנתוני כרטיסי אשראי על בסיס תפקידם בחברה 8. הענק שם משתמש ייחודי לכל בעל גישה למחשב 9. הגבל גישה פיסית לנתוני כרטיסי האשראי פקח ובדוק את מערכותיך באופן שוטף 10. עקוב ופקח על הגישה למערכותיך ונתוני כרטיסי האשראי 11. בדוק באופן שוטף את מערכות אבטחת המידע שלך והתהליכים הרלוונטיים הפעל מדיניות אבטחת מידע 12. הפעל מדיניות אבטחת מידע אפקטיבית העונה על איומים קיימים ועתידיים התקן מורכב מ 12 דרישות בסיס
הגנה בפני קנסות ותביעות מצד חברות האשראי הבינלאומיות במקרה של חדירת גורם עוין למערכות החברה וזליגת מידע (נתוני כרטיסי אשראי) יישום תקן PCI הינו חלק מהטיפול השוטף בפעילות אבטחת מידע ויטופל במסגרת המשאבים שקיימים הגברת תחושת הביטחון של הצרכן, תרומה לשמירת וחיזוק מוניטין החברה יתרונות התקן
התקן מחייב כל גוף שמעביר, מעבד או שומר נתוני כרטיסי אשראי – סולקים, בתי עסק וספקי שירות צד שלישי כאחד על מי חלה חובת יישום התקן ?
מה המשמעות של אי יישום התקן ? • אתה עלול לפגוע באופן משמעותי במוניטין שבנית לאורך שנים • במקרה של פריצה/דליפת נתונים בית העסק יהיה אחראי באופן ישיר לנזקים שיגרמו בגין הדליפה, סך הפיצויים בגין כל מספר כרטיס שדלף נע בין 30-40 דולר • חברות הבינלאומיות מפעילות תוכנית קנסות כנגד גורמים אשר אינם עומדים בתקן • במקרים קיצונים ייאסר על חברות האשראי לסלוק את בית העסק האם שווה לך לקחת סיכון שכזה ?!
התקן אפליקציית תשלום/ מסוף העומדת בתקן דאג לאבטח את כל מערכת המסופים בעלי גישה מרחוק דאג לביצוע סריקות לאיתור נקודות חולשה במערכות אם יש לך חיבור לאינטרנט - התקן מערכת FIREWALL התקן תוכנת אנטי וירוס ועדכן אותה בקביעות שנה סיסמאות לעיתים קרובות התעדכן ולמד על השינויים והסיכונים שבפעילותך! מה ניתן לעשות עוד היום על מנת להקטין את הסיכון ?
ייתכן שאתה שומר פרטי הפס המגנטי ואתה אפילו לא מודע לכך. ודא עם ספק המסופים/יישום התשלום שלך האם המערכות שלך שומרות את פרטי הפס המגנטי או פרטים רגישים אחרים כגון CVV2 לפי התקן אסור לשמור את פרטי הפס המגנטי אחרי שידור העסקה. If you don’t need it don’t store it ! "לא נחוץ? שיישאר בחוץ!"
לפי נתוני חברות האשראי הבינלאומיות 80% מכל בתי העסק שעברו דליפת נתוני כרטיסי אשראי חדלו להתקיים תוך שנה. הצפנת נתוני כרטיסי אשראי זולה בממוצע פי 15 מההוצאות בעקבות דליפה. בסקר בארה"ב 72% מהמשיבים הביעו חשש ממסירת נתוני כרטיסי האשראי שלהם באינטרנט בגלל האפשרות של דליפה אפשרית בעתיד. 3 מתוך 4 פריצות מתבצעות בבתי עסק פיזיים לעומת אינטרנטיים. קרוב ל 50% מהפריצות קשורות למערכת לא מעודכנת המופעלת ע"י גורם שלישי. 40,000 מספרי כרטיס נגנבים בממוצע בעת פריצה. מספר עובדות שכדאי לדעת ולזכור
שאלון הערכה עצמית- SAQ כנס לאתר של מועצת PCI :www.pcisecuritystandards.org ב- QUICK LINKS יש לבחור GET THE.. ..SAQ שם תקבל הסבר על הקריטריונים בבחירת השאלון הרלוונטי עבורך מתוך ארבעת האופציות A-D. בנוסף תמצא עוד חומר רקע ועזר בנושא זה . יש למלא את השאלון הרלוונטי ולחזיר אותו לחברה שאיתה אתה סולק בהקדם. אין לדחות את החזרתהשאלון אם כרגע אינך עומד בסעיף זה או אחר.השאלון הוא סקר פערים- gap analysis ראשוני שעליו יש לבסס תכנית תיקונים. הצעדים הבאים שלך
סריקות רשת כנס לאתר של מועצת PCI : www.pcisecuritystandards.org ב- QUICK LINKS יש לבחור ב-FIND …. AN ASV ברשימה זו מופיעות כל החברות שהוסמכו על ידי המועצה לבצע סריקות רשת עבורך אתה רשאי לבחור כל חברה שמופיעה ברשימה זו הצעדים הבאים שלך- המשך
מידע נוסף אודות התקן וישומו ניתן למצוא באתרים הבאים : pcisecuritystandards.org visaeurope.com/aboutvisa/security/ais/resourcesanddownloads sdp.mastercardintl.com לנוחיותכם צרבנו דיסק שנמצא בתיקים שחולקו במועד ההרשמה ובו תמצאו חומר הדרכה נוסף ואת המצגות שהוצגו במהלך הכנס. פנה לנציג המכירות בחברת הסליקה שלך על מנת שיעביר את בקשתך/שאלתך לגורם המוסמך בחברה. אתה לא לבד
אנו מודים לכם על השתתפותכם היום בכנס ומאחלים לכם דרך צלחה במסע ליישום PCI DSS