19
ספט
08

סיכום קצר של כנס PCI-DSS

כאן ציינתי מה זה PCI-DSS.

מספר תובנות מהכנס שהתקיים ביום חמישי, 19/9/08, בחסות חברות האשראי.

  1. מהות התקן: כל ארגון המעבד נתוני כרטיסי אשראי ו/או שומר מידע הקשור בכרטיסים, מחויב לעמוד בדרישות אבטחת המידע המפורטים בתקן.

  2. רגולציה או תקן וולונטרי: התקן מחייב כל חברה, שכן יש בידי ארגון ה – PCI יכולת להטיל קנסות על חברות שלא עמדו בדרישות התקן ואף למנוע סליקת כרטיסים, כך שחברות לא יוכלו 'לנהל סיכונים' ולהחליט שלא שווה להשקיע באבטחת מידע כיוון שהעלות גבוהה מהקנס הצפוי.
    עם זאת, למרות שבכנס קראו לזה רגולציה, הייתי קורא לזה תקן מחייב. רגולציה נתפסת בעיני כאחת שנכתבת ע"י גוף ממשלתי. ההשלכות במקרה הזה הן זהות, כך שזה רק סמנטיקה.

  3. סטטיסטיקה: הנתונים שהוצגו, גם אם הם מוטים, מראים שעסק שסבל מגניבת נתוני כרטיסי אשראי, בד"כ חדל מלפעול תוך שנה. 75% מהלקוחות הפסיקו לרכוש מאותו בית עסק.

  4. קנסות: בהמשך לנקודה הקודמת, הארגון יכול להשית קנסות רק על ארגונים שאינם עומדים בדרישות התקן. כלומר, אם הארגון עומד בתקן, גם אם אירעה פריצה ונגנבו נתונים, הארגון לא יספוג קנס.

  5. סיפור לקוח: חברת שופרסל, המעבדת מיליונים של טרנזקציות של כרטיסי אשראי בשנה, הציגה את תהליך אימוץ התקן. היה מאוד מעניין לשמוע על התהליך. כיוון שמדובר בארגון עסקי שאינו מחויב ברגולציה הנהוגה במגזר הפיננסי, הם אימצו את ה – DSS כמדיניות ליישום אבטחת מידע בארגון. חשיבה נכונה.

  6. לוח זמנים: הזמן שנותר עד לעמידה בדרישות התקן קצר ביותר, בתחילת 2009, הארגונים צריכים להיות כבר עמוק בתהליך ההסמכה לתקן.

כיוון שמדובר בגוף עולמי חזק, אני מניח שלא יהיו הנחות או שינויים בלו"ז, וכדאי להתחיל לפעול במרץ לעמידה בתקן.

מודעות פרסומת

4 Responses to “סיכום קצר של כנס PCI-DSS”


  1. 1 ניב
    23/09/2008 ב- 3:45

    תוכל לפרט קצת, להבנתך, האם התקן דורש היערכות שונה מזו שנדרשת על ידי הרגולציות האחרות כגון ISO, 357, הוראת המפקח על הביטוח וכן הלאה? אני מניח שיש דגשים על תהליכי הסליקה והטרנזקציות הכרוכות בכרטיסי אשראי, אבל האם ארגון שכבר עומד בתקנים האחרים צריך להשקיע באופן מיוחד או שזה בעיקר יישור קו עם מספר הגדרות ממוקדות?

  2. 23/09/2008 ב- 7:39

    התקן הוא אינו אירגון רגולטיבי אולם חברות האשראי דורשות מחברות הסליקה לאלץ את לקוחותיהם הסולקים לעמידה בתקן.
    התקן כיום מנוהל ע"י קונסורציום ותוכל למצוא פרטים כאן: https://www.pcisecuritystandards.org/

    לגבי שירותי עמידה בתקן תוכל למצוא פרטים כאן:
    http://www.hackersafe.co.il או http://www.tranzila.com

  3. 23/09/2008 ב- 10:53

    כן ולא.
    הרגולציות האחרות הן יותר כלליות בעוד ש – DSS יורד לפרטים טכניים כגון הצפנת שדות של נתוני כרטיסי אשראי, התקנת Firewall ועוד.
    אם מיישמים הוראות כגון 357, הוראת הפיקוח על הביטוח באופן מחמיר ומלא, רוב הסיכויים שתהיה עמידה כמעט מלאה ב – DSS. בפועל, נוטים להקל בפרשנות ואז יצטרכו לפעול גם במישור של PCI.

  4. 23/09/2008 ב- 10:57

    נגב, תודה על התגובות. נאלצתי למחוק את התגובה השיווקית המציעה שירות בתשלום. הבלוג הזה אינו מיועד לפרסום שירותים בתשלום. כמובן שאשמח לקבל ממך תגובות מקצועיות.


להשאיר תגובה

הזינו את פרטיכם בטופס, או לחצו על אחד מהאייקונים כדי להשתמש בחשבון קיים:

הלוגו של WordPress.com

אתה מגיב באמצעות חשבון WordPress.com שלך. לצאת מהמערכת / לשנות )

תמונת Twitter

אתה מגיב באמצעות חשבון Twitter שלך. לצאת מהמערכת / לשנות )

תמונת Facebook

אתה מגיב באמצעות חשבון Facebook שלך. לצאת מהמערכת / לשנות )

תמונת גוגל פלוס

אתה מגיב באמצעות חשבון Google+ שלך. לצאת מהמערכת / לשנות )

מתחבר ל-%s


ספטמבר 2008
א ב ג ד ה ו ש
« אוג   אוק »
 123456
78910111213
14151617181920
21222324252627
282930  

%d בלוגרים אהבו את זה: