מומחי אבטחת מידע שהתייחסו היום לפריצת כרטיסי האשראי המדוברת שבו וציינו כמה חשוב שאתר קניות המאחסן מספרי כרטיסי אשראי ישתמש בתקן PCI. התקן הזה מבטיח כי עסקים שאוספים נתוני האשראי מלקוחות שומרים עליהם בצורה מאובטחת וטובה. זאת בניגוד למצב שעדיין שכיח כיום, בו עסקים אוספים נתוני אשראי ושומרים אותם גם במחשבים שאינם מאובטחים ויכולים להידבק בווירוסים ובשאר פירצות קוראות להאקרים.
מאחר והתמודדות עם סיכונים היא העבודה העיקרית של חברות האשראי, כבר לפני למעלה מעשור הן צפו את הסיכון הרב שמהוות התקפות שמטרתן גניבת כרטיסי אשראי. לכן הן פעלו כדי ליצור תקן שיגדיר כיצד על עסקים להגן על נתוני האשראי שברשותם בצורה הטובה ביותר. בשלב מסוים החליטו להתאגד כל החברות יחדיו כדי ליצור תקן אחיד, ולבסוף אכן הושג תקן משביע רצון. מתחילת 2013 הוא יחייב כל עסק שמקבל אשראי, וכך יעביר את האחריות מחברות האשראי אל העסקים.
לא חייבים להפסיק לקנות ברשת
תקן PCI מורכב מ-12 דרישות יסודיות המפורטות על פני עשרות מסמכים טכניים. עסק שמעוניין לעמוד בו יכול לבחור בין שתי אפשרויות:
האפשרות הראשונה היא להקים מערך אבטחת מידע הכולל הפעלה של פתרונות מחשוב להגנה על הנתונים, בין השאר על ידי פיירוול, אנטי וירוס הצפנה ומערכות מתקדמות אחרות. דרישה מורכבת יותר של התקן היא הגנה מפני גישה פיזית לנתונים כך שעובדים בחברה לא יוכלו להגיע אליהם ויתבצע ניטור שוטף של כל מגע של עובד עם הנתונים. כדי לקבל את התקן, חברות נדרשות לעמוד בביקורת של חברות האשראי בכל תקופה שתקבע על פי סוג העסק וגודלו לרוב פעם בשנה.
האפשרות השנייה שעומדת בפני העסקים היא להיעזר בשירות חיצוני לסליקת האשראי, כאשר מפעיל שירות זה מקבל בעצמו את התקן. כך גם העסק עצמו למעשה נהנה מקבלה כמעט אוטומטית של ה-PCI. כאשר מדובר בסליקה באינטרנט - שלב הכנסת פרטי האשראי של הלקוח יתבצע ב"טופס מתווך" - דף אינטרנט שפועל בשרת מאובטח של חברת הסליקה, ולא באתר הרכישה עצמו (גם אם ויזואלית העמוד נראה כחלק אינטגרלי מהאתר). בנוסף מתבצע תהליך בשם "טוקניזציה" - מספר האשראי יקר הערך נשמר אצל חברת הסליקה, כאשר בית העסק מקבל במקומו רק מספר עסקה. באמצעות מספר זה הוא יכול לבצע את כל הפעולות, ללא צורך לדעת מה מספר הכרטיס שהזין הלקוח. רוב העסקים יעדיפו להשתמש בשירות חיצוני, באותו אופן שרובם מעדיפים לשמור את הכסף בבנק ולא להחזיק כספת בעסק ולשלם לחברת שמירה שתגן עליה.
תקן ה-PCI כבר אומץ על ידי עסקים רבים. ניתן לקבוע כמעט בביטחון שאף אחד מאלו לא כיכב היום בכותרות על הפריצה הגדולה. מבחינת הלקוחות, אין צורך להפסיק עכשיו לבצע רכישות ברשת מומלץ פשוט לשים לב שבמהלך התשלום הטופס דרכו נשלחים פרטי האשראי נמצא תחת תקן PCI וכן כי הוא מוצפן בעצמו.
גיל ארתר הוא סמנכ"ל פיתוח עסקי בחברת סליקת כרטיסי האשראי פלאקארד.
עוד בנושא:
- לא האקינג עם ערך אמיתי
- מספרי האשראי שנגנבו: כל הפרטים
- האקרים חשפו כרטיסי אשראי ישראליים