אבטחת מידע בעסק: הכירו את תקן PCI DSS

בתי עסק רבים מדי, בעיקר הקטנים שביניהם, עדיין מרשים לעצמם אבטחת מידע ירודה ולא מקצועית, לפעמים אפילו סליקה לא חוקית דרך הרשת. תוצאותיה של הזנחה כזו עלולות 

להיות הרסניות, לפעמים אף קטלניות. עסקים שחווים דליפת מידע, גניבת נתונים או חדירה למאגרי מידע, סופגים מהלומה רב-שכבתית:

 

1. גניבה של מוצרים, שירותים או כסף מובילה להפסדים כספיים

2. הפריצה יוצרת לעסק הוצאות תפעוליות בלתי צפויות, שמכבידות על התזרים

3. הפריצה גורמת לפגיעה תדמיתית ולמשבר אמון מול הלקוחות. עסקים קטנים שלא ינהלו נכון את המשבר הזה עלולים לספוג פגיעה מותגית קש

4. הפריצה עלולה להוביל לקנסות וסנקציות מצד גופי אשראי גדולים, ספקים וגופים נוספים.

5. הפריצה עלולה להוביל לתביעות משפטיות מצד ספקים ולקוחות

 

תקן הגנה מתפתח ומתעדכן

איך עוצרים את כדור השלג הזה עוד לפני שהחל להתגלגל? משקיעים מראש זמן, כסף ומחשבה באבטחת מידע, בעיקר אם אתם עסק שמבצע סליקה בכרטיסי אשראי. למרבה המזל, אתם ממש לא צריכים להמציא מחדש את הגלגל כאן, אפילו לא את הצמיג במקרה זה. חמש חברות האשראי הגדולות בעולם: ויזה, מסטרקארד, אמריקן אקספרס, דיסקובר, ו-JCB ייסדו עוד ב-2004 את PCI DSS - תקן מתפתח ומתעדכן להגנה על נתונים בכרטיסי אשראי. אם אתם עומדים בתקן זה בעסק שלכם, תקטינו מאוד את הסיכוי לפריצה ותקבלו "חיסון" מפני תביעות ותלונות מצד חברות האשראי הגדולות בעולם.

המטרה הראשונית הייתה לכונן תקן בינלאומי להגנה על נתונים אישיים של לקוחות כרטיסי האשראי, כמו שמות, מספרי תעודות זהות, מין, כתובת ובעיקר מספרי הכרטיסים והפרטים המשלימים שלהם. והנה, כיום תקן PCI DSS מחייב כל עסק שסולק ומכבד כרטיסי אשראי בישראל.

תקן PCI-DSS חל על כל גורם המעביר, מעבד או שומר נתוני כרטיסי אשראי. כלומר, גם על בתי עסק, גם על ספקי שירות צד שלישי וגם על הסולקים. התקן בנוי מ-12 פרקים המכסים את כל ההיבטים של אבטחת הנתונים בבית העסק, החל ברשתות התקשורת ועבור לסיסמאות גישה, אבטחת נתונים מאוחסנים ועוד.

בית עסק שסולק כרטיסי אשראי דרך האינטרנט יכול לעמוד בעצמו באופן מלא בתקןPCI-DSS , או לבצע REDIRECTING (כיוון מחדש) של דף התשלום שלו לגורם מוסמך שעומד בתקן בעצמו.  REDIRECTING  הוא קוד שגורם לכך שדף התשלום של אתר אינטרנט נפתח בפועל באתר של ספק שירות צד ג'.

אל תסתכנו בפריצה

המעבר המואץ לעבודה מרחוק בעקבות מגפת הקורונה יצר הזדמנויות חדשות גם Hackers ולפורצי מערכות המידע והנתונים ברחבי בעולם. אין מה לעשות: כשעובדים או לקוחות מתחברים לעסק מרחוק, עולה הסבירות לפריצת נתונים. עסקים בכל הגדלים חייבים להשקיע יותר בתדרוך עובדיהם ובהגנה על לקוחותיהם. הסובלנות במקרה של מחדל ופריצה כמעט אפסיים – והעסק עלול לספוג קשה ומתמשכת. חבל.

אגב: עסקים זעירים (עובד אחד) הפעילים מבית העוסק המורשה או העוסק הפטור, אינם פטורים מעמידה בתקן. להיפך: עסקים ביתיים נחשבים לפגיעים ביותר, מאחר שהם על פי רוב לא מוגנים כיאות ומאפשרים "דלתות אחוריות" רבות ל-Hackers, כמו משחקי מחשב,  תוכנות לשיתוף קבצים ועוד.

אם בית העסק החליט משום מה לא לטרוח לעמוד בתקן, הוא חושף את עצמו לקנסות גבוהים מצד חברות הסליקה ובמקרה היותר חמור – להפסקת עבודה מול חברות הסליקה, שלא יהיו מוכנות לקחת אחריות לסכנה שבה העסק מעמיד את לקוחותיו.

להורדת הטופס - נספח Redirect