האם אפשר לוותר על כרטיס האשראי בעסק?
85% מהישראלים משתמשים בכרטיסי אשראי וברור ש"הגיהוץ" עדיין כאן. אלא שיותר ויותר עסקים מתחילים להתרגל לתשלום ללא מגע דרך הנייד - ולמסופי EMV. מה חשוב לדעת?
לכתבה המלאהגניבת נתונים מכרטיסי אשראי באמצעות חדירה למאגרי מידע, היא בעיה שממשיכה להטריד עסקים רבים. הסיבות ברורות: גניבת נתוני אשראי גורמת נזקים כספיים קשים, מכניסה עסקים להוצאות תפעוליות בלתי צפויות ויוצרת משבר אמון מול הלקוחות, כתוצאה מסיקור נרחב בכלי התקשורת ושיח שלילי ביותר ברשתות החברתיות.
כדי להגן על בתי העסק וציבור הלקוחות ולשמור על האמינות של מערכת אמצעי התשלום, קבעו חברות האשראי הגדולות בעולם, בהובלת ויזה, מאסטרקארד ואמריקן אקספרס, תקן אחיד לקביעת סטנדרטים לבטיחות באבטחת נתוני אשראי. התקן, הקרוי PCI-DSS, חל על כל גורם אשר מעביר, מעבד או שומר נתוני כרטיסי אשראי. מכאן שהוא חל על בתי עסק, ספקי שירות צד שלישי וסולקים כאחד.
PCI-DSS בנוי מ-12 פרקים, המהווים דרישה כוללת לכל ההיבטים של אבטחת הנתונים של מחזיקי הכרטיס בבית העסק: אמצעי אבטחת רשת התקשורת, סיסמאות גישה למערכות מחשב, אבטחת נתונים מאוחסנים, אבטחה פיזית לבית העסק ועוד. לנוחיותכם ריכזנו בעמוד זה תשובות לשאלות נפוצות בנושא התקן.
אין עוררין שנתוני כרטיס אשראי הם אטרקטיביים מאד לפצחני מערכות מידע (האקרים). אנו עדים לריבוי הניסיונות (בחלקם הגדול מוצלחים) בתחום זה אשר זוכים להד תקשורתי רב. תקן PCI-DSS נועד להגן על הלקוחות שלך ואמונם באתר שלך (מוניטין בית עסק). אמון זה חיוני לנכונות של הלקוחות שלך "להפקיד בידיך" נתונים אישיים לרבות נתוני כרטיסי אשראי.
לאור החשיפה הגדולה בתחום זה, ויזה אירופה הוציאה הנחייה שעל כל בית עסק אינטרנטי לעמוד בתקן PCI-DSS או באופן עצמאי ומלא או לחלופין באמצעות REDIRECTING מדף התשלום לספק מוסמך SERVICE PROVIDER - SP אשר עומד בעצמו בתקן. max כזכיין של ויזה אירופה לסליקת כרטיסי ויזה – נדרש למלא אחר הנחייה זו.
*אם הינך בית עסק "מעורב" - הכוונה לבית עסק שמקבל כרטיסים ביותר מערוץ אחד (לדוגמא באתר וגם בקופה פיזית) - עדיין קיים צורך מיידי לאבטח את אתר בית העסק בהתאם להנחיה זו, גם אם עדיין לא השלמת את עמידתך בתקן בשאר הערוצים.
*גם אם קיימת באתר אבטחת SSL היא אינה מספקת אלא ממלאה רק חלק קטן של כלל דרישות התקן.
בית עסק אשר משתמש בשרות REDIRECTING נדרש למלא שאלון קצר מאד - שאלון A מורכב מ-14 שאלות בלבד. לעומת זאת בית עסק אשר בוחר לא להשתמש בשרות REDIRECTING נדרש למלא שאלון מלא - שאלון D מורכב מ-307 שאלות, ולעמוד בכל תקן PCI DSS על כל המשתמע מכך - שעות עבודה רבות והוצאות לא מבוטלות לסגירת פערים. בנוסף בית העסק גם נדרש לבצע סריקות רשת רבעוניות (בתשלום) באמצעות חברה אשר מוסמכת לכך - ASV.
רק ספק שרות ברמה הגבוהה ביותר -SERVICE PROVIDER LEVEL ONE מורשה ע"י max לספק שרות REDIRECTING לבית עסק אשר סולק איתה. רק LEVEL ONE SP עובר בדיקה והסמכה ע"י חברה ייעודית לכך - QSA אשר מנפיקה לו תעודת הסמכה. התעודה בתוקף לשנה מיום הנפקתה ועל בית העסק לוודא ששרות ה-REDIRECTING נכלל בהסמכה.
א. הגשת שאלון A - מלא וחתום (ניתן בעברית)
ב. הגשת אישור REDIRECTING - יש לצרף לשאלון אישור בכתב מה-SP שאכן נרשמתם לשרות REDIRECTING
I-FRAME הינו חלון שנמצא תחת הדומיין של בית העסק ולכן, להבדיל מ-REDIRECTING, הלקוח לא רואה שינוי ב-URL כאשר הוא מזין את פרטי כרטיסי האשראי שלו לשדות בחלון. בפועל שדות אילו יושבים בשרתי ספק השירות-SP.
חובת העמידה בתקן DSS PCI חלה גם כאשר אין סליקה ישירה של כרטיסי אשראי באתר. אם אין סליקה בפועל באתר שלך, דהינו אתה "אוסף" כל פעם את הנתונים שהושארו ע"י הלקוחות שלך ומחייב אותם באמצעות המסוף בחנות/משרד ע"י הקלדת מספר הכרטיס+תוקפו, עליך לבחור בין שרות REDIRECTING+TOKENISATION (ראה שאלה 8 להסבר אודות TOKENISATION) לבין הסרת האפשרות להשאיר נתוני כרטיסי אשראי באתר כלל. במקרה השני ניתן לבקש מהלקוח להשאיר מספר טלפון בלבד ולחזור אליו מאוחר יותר כאשר את נתוני כרטיסי האשראי תקבל במעמד השיחה.
שימו לב: לפי תקן PCI DSS חל איסור לשלוח נתוני כרטיסי אשראי במייל ללא הצפנה לכן אין לבקש מהלקוח לשלוח נתונים אילו במייל.
במקרה כזה, מעבר לשירות REDIRECTING, יש לברר מול ה-SERVICE PROVIDER שלך האם הסמכתו כוללת גם שירות TOKENISATION. מדובר בשרות שבו במקום מספר כרטיס האשראי בית העסק מקבל מספר אחר שהוא חסר משמעות - TOKEN. בית העסק (אתה) שומר רק את ה-TOKEN הזה ובכל פעם שיש צורך לחייב/לזכות את הלקוח בית העסק נדרש לשלוח בחזרה ל-SP את ה-TOKEN עם הוראה מתאימה (חיוב/זיכוי) והסכום הרלוונטי. הוא (ספק השירות - SP) יודע "לתרגם" את ה-TOKEN למספר כרטיס האשראי ולשלוח לשב"א את העסקה.
לצפייה בהנחיות אבטחת מידע - לחצו כאן
לרשימות של חברות אשר יכולות לסייע לכם ביישום תקן PCI-DSS לחצו כאן.
חברה מוסמכת (QSA-QUALIFIED SECURITY ASSESSOR) היא חברה שמופיעה ברשימת מועצת ה- PCI SSC, ומוסמכת ע"י אותו ארגון לבצע בקרות והסמכות (AUDIT) בבתי עסק. גם בית עסק שלא נדרש לעבור הסמכה (AUDIT) יכול להיעזר בה במילוי שאלון הערכה עצמית.
חברת סריקות רשת (ASV-APPROVED SCANNING VENDOR) - חברה שמופיעה ברשימת מועצת ה- PCI-DSS, ומוסמכת ע"י אותו ארגון לבצע סריקות רשת.
לרשימת החברות המוסמכות לבצע סריקות רשת לחצו כאן.
*הרשימות אינן מהוות חובה ו/או המלצה של max | max לא תהיה אחראית ולא תישא בכל נזק עקב התקשרות בית עסק או כל גורם אחר לאחת החברות המוזכרות ברשימות.
בכל שאלה/הבהרה אודות התקן ניתן לפנות לרכזי PCI ב-max בטלפונים: 03-6177860/6178550 או במייל
רמה 1 - קריטריונים:
א. כל בית עסק שמעביר יותר מ-6,000,000 עסקאות בשנה ללא קשר לאמצעי העברת העסקה
ב. כל בית עסק שהותקף ע"י האקר או שסבל מהתקפה שהובילה לזליגת נתוני כרטיס
ג. כל בית עסק שחברת האם רואה לנכון לכלול ברמה אחת כולל הדרישות של רמה זו וזאת על מנת לצמצם את הסיכון למערכת ויזה ומאסטרקארד
ד. כל בית עסק שחברת אם אחרת החליטה לקבוע כשייכת לרמה אחת
פעולות הדרושות לעמידה בתקן:
גורם מבצע: חברה (QSA) שמוסמכת לכך ע"י מועצת ה- PCI
רמה 2 - קריטריונים: כל בית עסק שמעביר בין מליון לשישה מליון עסקאות בשנה ללא קשר לאמצעי העברת העסקה
פעולות הדרושות לעמידה בתקן:
גורם מבצע: בית העסק בעצמו/חברה (QSA) שמוסמכת לכך ע"י מועצת ה- PCI
רמה 3 - קריטריונים: כל בית עסק שמעביר בין 20,000 למיליון עסקאות במסחר אלקטרוני בשנה
פעולות הדרושות לעמידה בתקן:
גורם מבצע: בית העסק בעצמו/חברה (QSA) שמוסמכת לכך ע"י מועצת ה- PCI
רמה 4 - קריטריונים: כל בית עסק שמעביר פחות מ- 20,000 עסקאות במסחר אלקטרוני או פחות ממיליון עסקות רגילות בשנה
פעולות הדרושות לעמידה בתקן:
גורם מבצע: בית העסק בעצמו/חברה (QSA) שמוסמכת לכך ע"י מועצת ה- PCI
החל מ- 1.1.2015 כל השאלונים אשר מבוססים על גרסה 2.0 של התקן אינם תקפים עוד. רק השאלונים אשר מבוססים על גרסה 3.0 של התקן בתוקף והם אילו אשר מופיעים מטה.
הסבר אודות השאלונים החדשים ניתן למצוא במסמך "Understanding SAQ's"
ריכוז התנאים לקביעת איזה שאלון רלוונטי ניתן למצוא במסמך "ELIGIBILITY"
רק השאלונים בשפה האנגלית הם המחייבים.
בכל שאלה/הבהרה אודות השאלונים ניתן לפנות לרכזי ה- PCI בטלפונים: 6177860/03-6178550- 03 או במייל