חפש מאמרים:
שלום אורח
10.07.2020
 
   
מאמרים בקטגוריות של:

   
 

10 טיפים לצליחת פרוייקט התאמה לתקן PCI DSS

מאת: Benjamin Baruchאבטחת מידע15/11/20101068 צפיות שתף בטוויטר |   שתף בפייסבוק

White Paper
פתרונות אבטחת מידע

10 טיפים לצליחת פרוייקט התאמה לתקן PCI DSS

Benjamin Baruch - Senior Security Consultant | CISSP, QSA, CCSE, MCSE-בנג'מין(בנימין) ברוך
שירותים מקצועיים, מחלקת יועצים ופתרונות "NSAP IT-CONSIDER IT DONE"
bb@nsapIT.com

מטרת המסמך
סטדנרט אבטחת המידע של תעשיית כרטיסי האשראי (PCI DSS) פותח אמנם כדי לכונןדרישות אבטחה מינימליות, אבל ישנן מספר רב של שיטות שחברות יכולות לאמץ עלמנת שכוונתו של הסטנדרט תובן ובנוסף כדי להבטיח מימוש חלק ויעיל שלו. מאמרזה מציין מספר קווים מנחים שנועדו לאפשר רמה גבוהה של הצלחה כאשר מבצעיםפרוייקט התאמה לסטנרט PCI DSS. עצות אלו אינם חוקים, אלא יותר תובנותשמבוססות על שנים של נסיון בתעשייה.
סטנדרט האבטחה של תעשיית כרטיסי האשראי הוא תקן תעשייתי שפותח כדי להקל עלאימוץ רחב של אמות מידה עקביות בתחום אבטחת מידע בקנה מידה עולמי. הPCI DSSנדרש מכל הסוחרים וספקי השירותים שאוספים, מעבדים או משדרים נתונים שלכרטיסי אשראי מאחת מחברות האשראי המשתתפות בתקן. חברות אשראי אלו מהוות אתרשות האשראי העליונה, מועצת תקני האבטחה של חברות האשראי
(PCI Security Standards Council) והינן: אמריקן אקספרס, דיסקאבר, JCB, MasterCard וויזה.
חברות רבות מאמינות שהתאמה לתקן הPCI  היא משימה מפרכת שיכולה להעשות רק עלידי ארגונים שמבזבזות הון על צוותי IT. גישה זו להתאמה לא משקפת מבט מנוסהעל התקן או על האסטרטגיות למימושו. תקן הPCI משרטט גישה מנהלתית להתאמתוע"י חלוקתו לרשימת תיוג של כ-12 דרישות. בכדי לראות מעבר לחשיבה הביקורתיתעליכם להבין מספר נקודות מפתח של התקן ואיך עליכם להתאימו לארגונכם או לעסקשלכם.
למרות שמאמר זה לא מציע פתרון קסם להתאמה ישירה של התקן, הוא כן מרכז בתוכוכמה גישות ותובנות חשובות שיספקו לכם מבט מעמיק יותר על תקן הPCI כדילהבטיח תאימות זו.

להלן כמה דרכים מומלצות להמנע מ"לאחר" לתאימות לתקן הPCI:
•    החזיקו בקשרים קרובים עם צוות ההנהלה והפיתוחIT. פעמים רבות מאמץההתאמה לתקן מזוהה ומנוהל ע"י מטרות מפתח עסקיות ללא ההשתתפות של בעליתפקידים חשובים וצוות טכני כדי להכין מטרות אלו מראש, ההתאמה עלולה להדחותאו להתבצע בצורה לא נכונה.
•    בצעו בדיקת פערים פנימים כחלק מההערכות לתקן הPCI וערכו הערכת מצבאיכותית לגבי המכשולים בדרך, במיוחד אלו שלדעתכם יהיו הקשים ביותר או יגזלואת הזמן הרב ביותר. הבנת מכשולים אלו, שדורשים את מירב הזמן בתהליך,יאפשרו לכם לסיים כמה מסלולי תהליכים במקביל. לדוגמה, אם תפנו למכשולים אלובצורה מנהלתית גרידא, אולי תזהו את דרישה 12.8 רק לקראת הסוף של תהליךהביקורת. דרישה זו עוסקת בהסכמים עם ספקי שירותים שיקחו זמן רב לשנות. ישלגשת לנושאים כמו דרישת תקן PCI 12.8 מוקדם ככל האפשר בתהליך הבדיקה בכדילהמנע מעיכובים בפרוייקט.
•    שימוש בשיטת סדר העדיפויות  לתקן הPCI הינה מאוד מומלצת, מכיוון שהיאמסייעת לפשט את התהליך. אופן השימוש בשיטה בצורה הטובה ביותר משתנה מארגוןלארגון. למשל, ארגון קמעונאות גדול ישים בתור עדיפות גבוהה דרישות שלהןהשפעה גדולה יותר על רשת נקודות המכירה ועל חנויות הרשת שלהם, בעוד מוקדטלפוני יתמקד בהחזקה וקידוד של נתונים. כל ארגון צריך להתאים את סדרהעדיפויות שלו על בסיס הסביבה המיוחדת לו ולמערכותיו ובנוסף ליכולתו לקבלעליו סיכונים (כמו למשל מה יהיו ההשלכות של החלטה כמו לא להתייחס לדרישהעקרונית של התקן? האם תהיו מוכנים לקחת על עצמכם סיכון זה?).
•    יש חשיבות רבה לבעל מקצוע מנוסה שיעזור לתכנן את מפת הדרכים של ההתאמהשל הארגון, שכן הוא יכול למנוע שימוש בארכיטקטורות, תצורות, ודרכי טיפולשעלולות להיות מיותרות. אם אין מומחה כזה בנמצא בארגונכם, יהיה זה נבוןליצור קשר עם בודק אבטחה מומחה (QSA) ועדיף מוקדם מאשר מאוחר. חברותמסויימות מרגישות שהן יכולות לחסוך כסף כשהן נמנעות ממומחים מגופיםחיצוניים ומבינות רק בחלק מאוחר של הפרוייקט שהדבר עומד בעוכריהן ועלוללעלות יותר כסף מאשר לחסוך – בין מהקלת ראש במאמץ הPCI, דבר שיגרור ביצועמחדש של התהליך מאוחר יותר, או ההפך – ביצוע שינויים גדולים מדי שיבזבזוזמן ומשאבים.
עצה מס' 2 – עקבו אחרי עקרונות של ניהול פרוייקטים: מצאו אחראי לפרוייקט, גייסו צוות מיוחד, הכינו מאבני דרך לפרוייקט
התאמה לתקן האבטחה PCI דורש מאמץ מרוכז. כוח העבודה, ההשקעה והזמן שלארגונים לעיתים מבוזבז לשווא אם כל האנרגיות אינן מנותבות בכיוון אחדומובלות ע"י דרך ניהול פרוייקטים בריאה.
התאמה לתקן היא "פרוייקט" אמיתי שצריך להערך אליו כראוי. הצעד הראשון שלניהול הפרוייקט יהיה לוודא את תמיכת ההנהלה הבכירה ולדאוג לאחראי מיוחדלפרוייקט כדי להבטיח שמוקד החברה והשקעתה אכן נמצאים במאמץ ההתאמה.


הצעד השני של ניהול הפרוייקט, שהוא קריטי להצלחתו הכוללת, הוא לנסח מסמךמתועד ופורמלי לפרוייקט. דבר זה צריך, לכל הפחות, להתייחס לכל הסעיפיםהנ"ל:
•    מה גרם להתחלת הפרוייקט
•    מה נעשה בשביל מי
•    מה מטרת הפרוייקט
•    מה יעד הסיום שלו
•    מה הם מאפייני הצלחתו
•    כמה תקציב מוקצה לו
•    מה הם אבני הדרך העיקריות בתהליך, ומה הם תאריכי היעד שלהן
•    מה בטווח התהליך ומה מחוצה לו
•    מי הם כל המעורבים
•    מי יושפעו מהתהליך
•    לאיזה מקרים ניתן להערך מראש
•    מה הן הנחות הבסיס
•    כיצד יש לתקשר בין הגורמים והמומחים ובאיזו שיטה
השלב השלישי וההכרחי מאוד של תהליך זה הוא לייסד צוות מיוחד, בו נציגים מכלגורמי המפתח בארגון המעורבים בתהליך. אחריותו של צוות זה היא לשמור עלמיקוד ורציפות של התהליך בארגון ולבקר את קצב התנהלותו, הן במסמכים פורמליםומבוקרים או לחליפין בתוכנה מיוחדת שתאפשר לכן לנהל את הסיכונים ואת אבניהדרך בארגונכם.


עצה מס' 3 – הגבל טווח "הסביבה" עד כמה שניתן
הטווח של תהליך ההתאמה לתקן נקבע לפי מיקומם הלוגי והפיסי של השרתים אוהמידע, מעובד ואו משודר אצל כל סוחר וספק שירותים. תריסר הדרישות של התקןתואמות לכל רכיבי המערכת. האחרונים מוגדרים ככל רכיב רשת, שרת או אפליקציהשמכילה או מחוברת לנתונים של סביבת המידע של מחזיקי הכרטיסים. אם איןסגמנטציה נכונה בין תתי הרשתות, כל הרשת של הארגון עלולה להכלל בטווחהבדיקה עבור התקן. סגמנטציה נכונה של הרשת יכולה להתבע ע"י התקנת חומות-אש(מוגדרות וממודרות כנדרש) בין כל תתי הרשתות השונות.
תקן הPCI מציין בבירור שסגמנטציה של הרשת שמאפשרת בידוד בין מערכותשמאחסנות, מעבדות ומשדרות נתוני אשראי מאלו שאינן, תתן הגנה מספקת שתצמצםבאופן ניכר את טווח הפרוייקט.
ארגונים צריכים תמיד להפריד את סביבת נתוני האשראי באופן מקסימלי משארמערכותיהם. אילולא יעשו זאת, טווח ההתאמה יגדל בתחומים אין ספור, דברשיתבטא בהגברת המאמצים והארכת לוח הזמנים הנדרשים, הרבה מעבר למה שנצפהבתחילה.

עצה מס' 4 – אל תאחסן את מה שלא נחוץ לאחסן, היפטר מנתונים רגישים
ישנו כלל ברזל בהתאמת תקן הPCI - אם אתה לא צריך את זה (למשל נתוני בעליהאשראי, להלן CHD), אל תאחסן את זה. ארגונים רבים שומרים אצלם מידע רב מדישבלי שיהיה להם כל שימוש בו.
לפי ממצאי תחקיר חדירה לנתונים שערכו בשנת 2010, 43% מהחדירות גילו לפחותסוג אחד של גורם בחזקת "לא ידוע". אחד מהגורמים הלא ידועים השכיחים היה"אחסון מידע שהמערכת עצמה לא יודעת שקיים אצלה". תגלית זו מראה את החשיבותשגלומה בידע נרחב לגבי כל נכסי החברה, זרימת הנתונים של פעילויות עסקיותוהחובה להפטר מכל מידע באם אין בו צורך.
המאמצים להשיג תאימות תקן PCI יגדלו באופן משמעותי אם קיים כל סוג של מידעשל מחזיקי האשראי שמאוחסן ללא צורך. ארגונים חייבים להעריך בצורהאובייקטיבית איזה מידע הכרחי עבורם ביותר לשם תפקוד פעילות עסקיהם. על מידעמבעלי כרטיסי האשראי להיות מאוחסן בהיקף המינימלי האפשרי, כאשר מדובר אךורק בחלק שהוא ההכרחי ביותר ושבלעדיו לא ניתן יהיה לבצע כל פעילות.
חשוב לדעת מה נחשב בתור מידע של מחזיקי אשראי ולפיכך מה שצריך להיות מוגןואסור באחסון. גרסה 1.2 של מגדיר באופן ברור איזו אבטחה ותנאי אחסון דרושיםלנתונים מעין אלה בחלק “PCI DSS Applicablitiy Information".
אפילו אם ישנה הצדקה עסקית מחייבת לאחסונו של הCHD, ישנם דרכים להסיר אתנתוני וידוי האשראי כך שמידע זה יהיה מחוץ לטווח התקן. למשל, 4 הספרותהאחרונות  (xxxx-xxxx-xxxx-1234) של מספר הכרטיס או
Primary Account Number (PAN), אינו נחשב כCHD. כלומר, אפילו אם ישותמסויימת מחזיקה בשמו של בעל האשראי, בתוקפו ובמספרו, יחד עם ה PANהמקוצר(שצויין לעיל), תקן הPCI אינו מוחל על סוג כזה של אחסון מידע. שיטה נוספתלהמנע מאחסון של CHD היא צורה חזקה של טכניקות ערבול חד-צדדיות.(one wayhashing)
ישנו סוג אחר של מידע האסור לאחסון ללא הרשאה מיוחדת, אפילו אם הינו מוצפןאו מעורבל. מידע זה קרוי נתוני זיהוי רגישים . אף על פי כן, ישנן תפיסותשגויות בקרב ארגונים אשר טוענים כי אחסון מידע זה לאחר ביצוע האישור עצמונדרש למען מטרות עסקיות מסויימות (למשל עבור הדפסת העברות תכופות למעןהלקוח), מניעת קונפליקטים פיננסיים, ומצבי charge-back. לא קיימת סיבהעסקית מוצדקת להחזיק במידע שכזה לאחר ביצוע האישור מכיוון שלא אחד מהמצביםשמוצגים לעיל דורש הזנה מחדש של מידע רגיש זה. אחסון של מידע זה יכול לגרוםלדחיות מיותרות בפרוייקט ההתאמה ולהנדסה מחדש של תהליכים עסקיים.

עצה מס' 5 – הבטיחו עצמכם מעבר לרשימות ולכללים: עקבו אחרי המטרה שמאחורי האמצעים
מנהלי אבטת מידע בארגונים רבים נוטים לחפש רשימת משימות מוכנה מראש בכדילפשט את משימות ההתאמה האבטחתית שלו. מה שחברי הצוות בדרך כלל שוכחים הואשמאחורי כל רשימת משימות, ישנן סיבות אמיתיות.
רשימת משימות הינה רק דרך אחת לספק התאמה למשימה הניתנה. בזמן שרשימת תיוגו/או כל כלי אחר יכול לספק לארגון שיטה מהירה וקלה לביקורת של משימות, מהשחשוב הוא לא המשימות השונות שיש לבצע, אלא הכוונה מאחוריהן. פעמים רבות,רשימת משימות  וכל כלי אחר יכולה לצייר תמונה מושלמת, בעוד המצב כפי שהואבשטח רחוק מלהיות כזה. למרות שניתן להשתמש בכלים מסוג אלה, חשוב להפעילשיקול דעת האם המאמצים שהוקצו באמת תואמים את הכוונה המקורית של הדרישההספציפית.
דוגמה פשוטה של עניין זה היא דרישה של מעקב אחר התקשורת בחומת-אש לה אמצעיכיבוי חיצוני הנמצא בשליטת תוכנות ישנות. גישה מבוססת רשימת תיוג הדורשת אתקיומה בלבד של חומת-אש כזו לא תגלה שום בעיה במימוש החיצוני.
דוגמה נוספת תהיה השליטה באופן המנוי לעדכוני אבטחה. אם צוות האבטחה מטפלבנושא זה אך ורק ע"י התקנה תמידית של עדכוני אבטחה, כפי שמפורסמים באתריהיצרנים ולא מנתחים את השינויים וההתראות ולוקחים צעדים הנדרשים מכך, אזיכוונת הדרישה לא מתמלאת כהלכה וכל המאמצים שנעשו בה אבודים מראש.

עצה מס' 6 – ערבו את כל בעלי העניין בפרוייקט – ההתאמה היא לא המשימה של מנהל הIT בלבד
השגת התאמה עם תקן הPCI דורשת את מעורבות כל בעלי התפקידים בארגון. מכיווןשהיא מובלת כפרוייקט רשמי, התערבות של אחראי הפרויקט בצד העסקי היא חיוניתלהצלחתו. צוות הפרוייקט צריך להיות מורכב מנציגים ממחלקת אבטחת המידע,עסקים, ניהול (של שירותי המתקן), משאבי אנוש ואחרונה אך חשובה, מחלקתטכנולוגיית המידע.
מכיוון שתריסר הדרישות של תקן הPCI מקיפות פונקציות שונות בתוך הארגון,השתתפות פעילה של כל פונקציות אלו תעזור לשמור על התאימות עם התקן.
מומלץ בחום להמנע מהעברת האחריות השלמה של כלל תהליך ההתאמה לתקן הPCIלמנהל הIT ויכולה להיות מתכון לדיחויים לא צפויים ולמאמצים מיותרים – וישסבירות גבוהה שזה אכן יקרה. הרי, תקן הPCI מעורב בתשלומי האשראי ותשלומיהאשראי הם תוצאה של צורך עסקי כלשהו ולכן ההחלטות לשחרר או להגביל אחסוןמידע על מחזיקי האשראי, לאשר השבתת המערכת לעיצוב מחדש של הרשת, לנהלעדכונים, לבצע בדיקות חדירה וכו ולהצדיק צורך עסקי לאחסון, לעיבוד ולשידורשל מידע מחזיקי אשראי תמיד נעשה ע"י מנהלים. אלו הן רק דוגמאות מספרלפעולות שלא יכולות להעשות ע"י מנהל הIT בלבד. בדומה, אמצעי שליטה הקשוריםלאגף משאבי האנוש צריכים להיות מנוהלים ומתוכננים ע"י הגורמים המתאימים.
מומלץ ביותר לייחד צוות אחראי שיכיל נציגים מכל האגפים הרלוונטיים אשר מהווים חלק בתהליך ההתאמה לתקן הPCI.

עצה מס' 7 – שאננות בעקבות תאימות עם תקנים אחרים, יכולה להזיק
תקן הPCI הינו ייחודי בכך שהוא הומצא, מתוחזק ונאכף הודות לסיבה אחתספציפית: הגנה של נתוני אשראי. למרות שהתקן מתמקד בשיטות מועדפות של אבטחתמידע, הוא עדיין דורש תשומת לב מיוחדת ומיקוד.
ארגונים מסויימים נדהמים מכמות הפירוט שבתקן הPCI. החל בהגדרות של מאפייניבסיס בחומת-אש, דרך ניהול מפתחות הצפנה וקידוד ושמירה על כללי OWASP לאבטחת אפליקציות ועד לבדיקות חולשות רבעוניות ובדיקות חדירה שנתיות, תקןהPCI משאיר מעט מאוד מקום להנחות והתגמשות בזמן מימוש דרישות האבטחה שלו.
פעמים רבות תהליך ההתאמה מתבצע לאחר שהארגון כבר מימש תקני אבטחה אחרים,כדוגמת תקן ISO/IEC 27001 . בעוד שתקן ISO 27001 הוא תקן ציון דרך לאבטחתמידע ולו פרספקטיבה כללית, הוא אינו נכתב במיוחד על מנת להתמודד עם סיכוניםהקשורים ישירות למידע של מחזיקי אשראי. טיפולו הייחודי של תקן הPCI הואשמבדיל אותו מהאחרים ולכן דורש מאמץ נוסף ולעיתים שינוי בהתנהלות העסקוברכיבי הטכנולוגיה שלו על מנת להתאים לדרישות התאמה אלו.
לכן, גם אם הארגון כבר התאים עצמו לתקני אבטחה אחרים, הוא עדיין צריךלהעריך בחריצות ולהסיק על פעילויות ו/או השקעות נוספות בתוכניתו לפרוייקטהתאמה לתקן הPCI בכדי להמנע מלחץ ותוהו ובוהו של הרגע האחרון. מאמץ מוקדםזה ישיג כברת דרך למען העלאת רמת האבטחה הקיימת וישיג הבנה טובה לגבי מהבאמת מושג בשטח – ומה עוד נדרש כדי להיות מידה אחת יותר מכפי שנדרש.

עצה מס' 8 – התאמה לנותן שירות היא המפתח
במסעיהם הממוקד לקראת התאמה לתקן הPCI, ארגונים שוכחים מהתהליך התואם שלהסוחר ושל ספקי השירות שלהם. התאמת ספקי השירות היא חשובה בדיוק כמו שלהארגון עצמו, מאחר והאחריות על ניהול העבודה שכוללת מידע על מחזיקי האשראימועברת לגורמי צד ג' הדין וחשבון עדין נשאר אצל הארגון עצמו.
תקן PCI הינו תקן עם תוצאת תאימות בינארית ועל כן אם אפילו אחד מדרישותיולא מתממשת, הארגון המועמד ייחשב כאחד ש"לא תואם" לתקן. אין מונח המתאיםעבור ארגון "תואם חלקית". לכן, הקניית חשיבות זהה להתאמת גורמי צד ג' היאקריטית.
הערכות התאמה לסוחרים ולספקי השירות צריכה להעשות במקביל, מבלי לחכותשהשינויים התוך ארגוניים יושלמו. הנ"ל מומלץ ביותר, מכיוון שהשגת התאמהלשליטה מתאימה מצידו של נותן השירותים יכולה לדרוש תכנון מחדש של הפתרוןשמומש, שינוי/ עדכון של המוצר המוצע, ו/או שינוי מנהלי של תנאי חוזה.האחרון הוא המאתגר ביותר, זה שדורש את מירב הזמן והינו עלול לסכן את מפתהדרכים של הארגון לתאימות מלאה עם תקן הPCI.
מכיוון שתחום שליטתו של הארגון הינה מוגבלת, וידוי התאמתו של ספק השירות עםתקן הPCI חשובה ביותר וקריטית להובלה בראשית פרוייקט ההתאמה של הארגון.

עצה מס' 9 – הערכות פנים ארגוניות הינן הרבה יותר ממועילה
התאמה עם תקן הPCI איננה קשה אם היא מתוכננת ומבוצעת בצורה יעילה. לפנישארגון ניגש להערכה סופית ע"י QSA חיצוני, עליו לבצע בעצמו בדיקת קדםפנימית. בדיקה עצמית זו, שיש להתייחס אליה כאל ביקורת מדומה, מבוצעת ע"יגורמים מוסמכים מטעם הארגון לביצוע בחינת התאמה לתקן בצורה רשמית.
בחינת קדם פנימית הינה מלאכה מורכבת שעוזרת לזהות מלכודות ופעריםפוטנציאלים אשר באם מתגלים בזמן הופכים את ההגעה לתאימות מלאה לתקן להיותקלה יותר.
לביצוע משימת בדיקת קדם, לארגון נדרש צוות מוסמך, בעל ידע בכל דרישות תקןהPCI ובכל נוהלי האבטחה שלו. צוות זה יבצע את הערכותיו בדרך רשמית כךשכוונתה, קפדונתה ומבנהה של הבדיקה יישמרו.

עצה מס' 10 – תעד את מעשיך ועשה את שתיעדת
עצה זו מתאימה באופן אוניברסלי לכל מבחן, הערכה ויוזמת הסמכה. למרות שהיאנראית כדרישה פשוטה וקלה להבנה, זו העצה שלרוב זוכה להתעלמותה הגדולה ביותרבארגונים מסויימים.
דרישות תקן הPCI ונוהלי בדיקתו מדגישה בצורה רבה עדויות לתיעוד בדיוק כמוליעילות המימוש. שתי הדרישות ההכרחיות הללו הינן ברות-השגה אם ורק הארגוןמתעד באופן מוקפד את כל בקרי הארגון.
תיעוד ומימוש תואמים הינם קריטיים, מאחר ותיעוד מספק אפשרות שחזור והדירותשל הכוונה בעוד המימוש מראה על ביצוע התיעוד לפי כוונתו. כחלק מהדיווחהסופי, הQSA צריך לזהות בבירור מה אובחן באמצעות בדיקת התיעוד, יבדוק ידניתאת יעילות המימוש ויראיין גורמי מפתח רלוונטיים. חלק או כל נוהלים אלוישמשו כדי להוכיח את טענתו של הארגון להיות תואם לכל אחת מתריסר דרישותהתקן.
מכלול התיעוד צריך להיות מתוחזק בצורה תקנית מסודרת שתדגיש באופן ברור אתשליטת התיעוד במידע שמוכל בו, באופן שיכלול אך לא יוגבל ע"י:
•    שם המסמך
•    תאריך שחרור המסמך
•    פרטי גרסת המסמך
•    היסטוריית שינוי המסמך
•    הפניות המסמך
•    מחברי, בודקי ומאשרי המסמך
דרך מומלצת להבטיח את המשך התאמתו של המסמך לקיים בפועל היא לקבוע ולמדודמספר אינדיקציות מפתח לביצוע עבור כל מדיניות, תהליך ונוהל. מנהג זה יעזורבמדידתו ושיפורו של תהליך, כמו גם יאשש את קירבתו של המימוש לתיעוד ולכןישיג את "תעד את מעשיך ועשה את שתיעדת".
כדי לקבל התאמה לתקן הPCI, ארגון צריך למלא את כל דרישות התקן כלשונן. יש להשתמש במסמך זה אך ורק כעזר לאסטרטגיה נכונה להתאמה זו.

סימוכין ומידע עזר נוסף
אודות תקן תעשיית כרטיסי האשראי והסטנדרט לאבטחת נתונים רגישים(PCI-DSS)     
https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml
עשרת המיטוסים של תקן ה PCI DSS
https://www.pcisecuritystandards.org/pdfs/pciscc_ten_common_myths.pdf
תעדוף ואבני דרך נכונים לתקן DSS גרסה 1.2
https://www.pcisecuritystandards.org/education/prioritized.shtml
אחסון והגנה על נתוני אשראי, כיצד
https://www.pcisecuritystandards.org/pdfs/pci_fs_data_storage.pdf

 





 
     
     
     
   
 
אודות כותב המאמר:

Thank You!,

NSAP IT-consider IT done?
Benjamin Baruch - Senior Security Consultant | CISSP, QSA, CCSE, MCSE
Mail: BB@nsapIT.com
Phone :1599-599-596
Mobile :+972-50-260-7456
Fax :+972-3-647-9731

USA&CANADA: +1 315-608-6534
United Kingdom: +44 (0)20-3286-3563
Hong Kong: +852-8174-5947

St atidim, building 6, Tel-aviv, zip 61580 pob 58067, Israel
www.nsapIT.com

 
     
   
 

מאמרים נוספים מאת Benjamin Baruch

מאת: Benjamin Baruchאבטחת מידע21/06/111053 צפיות
Because NFC is a wireless communication interface it is obvious that eavesdropping is an important issue. An attacker can of course use an antenna to also receive the transmitted signals.

מאת: Benjamin Baruchאבטחת מידע20/06/111123 צפיות
NSAP הינה ספק שירותי אבטחת מידע מנוהלים המקנה לך כלים לחשיפת חולשות ברשת, אנו נפעל יחד איתך בהתאם למודל התקציבי ונפעל לעבוד מול האינטרס הארגוני ושלך כמנהל IT להשלמת המשימה

מאת: Benjamin Baruchאבטחת מידע10/01/111066 צפיות
3 עובדות על תקן PCI "PCI-DSS" עמידה בתקינת ה PCI הינה מסורבלת לעיתים, הינה תקינה שגדלה ומשפיעה משמעותית בסביבה הטכנית של אותו גורם. התקינה הינה תערובת של תקינות ידועות השמות דגש על תהליך סליקת כרטיסי ארשאי בארגון, להלן עובדות בסיסיות אודות תקן ה PCI-DSS (להלן: "PCI DSS"):

מאת: Benjamin Baruchאבטחת מידע05/12/101146 צפיות
The Payment Card Industry Data Security Standard (PCI DSS) sets forth the security requirements for organizations that store, process and/or transmit credit or debit card transactions. These requirements stem from a series of significant security incidents affecting databases of consumer credit information over the past decade.

מאת: Benjamin Baruchאבטחת מידע15/11/10897 צפיות
סטדנרט אבטחת המידע של תעשיית כרטיסי האשראי (PCI DSS) פותח אמנם כדי לכונן דרישות אבטחה מינימליות, אבל ישנן מספר רב של שיטות שחברות יכולות לאמץ על מנת שכוונתו של הסטנדרט תובן ובנוסף כדי להבטיח מימוש חלק ויעיל שלו. מאמר זה מציין מספר קווים מנחים שנועדו לאפשר רמה גבוהה של הצלחה כאשר מבצעים פרוייקט התאמה לסטנרט PCI DSS. עצות אלו אינם חוקים, אלא יותר תובנות שמבוססות על שנים של נסיון בתעשייה.

מאת: Benjamin Baruchאבטחת מידע02/11/101286 צפיות
רבים מהלקוחות תוהים לעצמם מי מוסמך, מי לא מוסמך ומי פג תוקפו. איגוד חברות האשראי (להלן: PCI SSC או Payment Card Industry Security Standards Council) מסמיך מדי שנה חברות אבטחת מידע ליישום התקן, כל חברה והיבשת שאליה הוא משוייך(להלן: REGION), ישראל משוייכת ליבשת אירופה-europe region והחברות המוסמכות בישראל ואירופה רשאיות ליישם את תקן PCI-DSS.

מאת: Benjamin Baruchאבטחת מידע02/11/101067 צפיות
DSS חל על חנויות אם וסניפי כאחד, כמו כן גם קמעונאים. תהליך האימות מבוסס על כמו העסקאות השנתי שלך ולא על כמות העסקאו. ברמה הנמוכה ביותר, אתה צריך לאמת את התקן על ידי מילוי שאלון הערכה עצמית (SAQ) ולבצע סריקות רבעוניות באמצעות ספק סריקות אבטחת מידע שאושר עלי איגוד חברות האשראי (ASV).

מאמרים נוספים בנושא אבטחת מידע

מאת: אלעד סאעת אבטחת מידע31/07/161118 צפיות
במאמר הבא נסביר קצת על אבטחת מידע אישי ופרטי שלך ברשת. כיצד נגן על פרטיותינו באמצעות מספר צעדים פשוטים.

מאת: ליאור מזוראבטחת מידע14/02/16953 צפיות
תפקיד מנהל אבטחת מידע (CISO) שונה מארגון לארגון ואופי התפקיד משתנה בהתאם לסוג הארגון, גודלו, תחום עיסוקו, הרגולציה שאליה כפוף ומאפייני הנהלתו. אך יותר מכל משפיע מנהל אבטחת מידע עצמו על התפקיד אותו הוא ממלא. כישוריו האישיים, יכולותיו המקצועיות והניהוליות ואופן התנהלותו בארגון בונים את תפקיד מנהל אבטחת מידע בארגון ואת מידת השפעתו על התהליכים, על העובדים ועל ההנהלה.

מאת: יוני שוורץ אבטחת מידע02/07/151556 צפיות
תגי קרבה פועלים בטכנולוגיית RFID. זו טכנולוגיה ותיקה יחסית לזיהוי באמצעות תדרי רדיו, אך בשנים האחרונות היא חוזרת למרכז הבמה. הסיבה העיקרית לכך היא מידת ההתאמה של הטכנולוגיה לשימוש בתוך כרטיסי עובד. בנוסף, בעזרת הטכנולוגיה ניתן לאתר פריטים ולזהות חפצים בצורה אלחוטית וללא צורך בשדה ראייה או מגע ישיר

מאת: ליאור מזוראבטחת מידע14/03/153693 צפיות
עובדים בארגון מתוקף תפקידם נחשפים למידע מסווג כגון: מידע רפואי, מידע מסווג אישי ומידע עסקי ארגוני, נתוני כרטיסי אשראי, תשלומי לקוחות ועוד. בין אם ניתן להם אישור לגשת למידע או שמדובר בגישה לא מורשית, הדבר עלול להוות בסיס להוצאת המידע מתוך מערכות הארגון השונות למקורות שאינם מורשים. לחלופין, עובד עלול להעתיק תוכן מסמך מסווג למסמך אחר מבלי להיות מודע לכך שהתוכן מסווג ולהוצאת המידע מחוץ לארגון ביודעין או בעקיפין.

מאת: אלכסייאבטחת מידע18/01/152454 צפיות
מה זה אבטחת מידע? מי אחראי על אבטחת מידע? ATTGM Consulting חברת אבטחת מידע. www.attgm.com

מאת: אלכסייאבטחת מידע18/01/152511 צפיות
טיפים ליצירת סיסמאות חזקות, להגברת מודעות אבטחת מידע ומניעת זליגת מידע אישי ורגיש. ATTGM Consulting www.attgm.com חברת אבטחת מידע

מאת: ליאור מזוראבטחת מידע19/07/142968 צפיות
לוחמת סייבר היא פעולה מלחמתית, הננקטת על ידי מדינה, ארגון טרור וכדומה, על מנת לחדור ולהסב נזק למערכת המחשוב של היריב או למערכות אחרות המסתמכות עליה. לאור הלחימה באזור הדרום במבצע "צוק איתן", בימים האחרונים מתקיימות מתקפות סייבר על ארגונים וחברות שונות במדינת ישראל. בין המתקפות ניתן לראות מתקפות כגון: DOS (Denial Of Service), Defacement (השחתת אתרים) ופישינג (דיוג).

 
 
 

כל הזכויות שמורות © 2008 ACADEMICS
השימוש באתר בכפוף ל תנאי השימוש  ומדיניות הפרטיות. התכנים באתר מופצים תחת רשיון קראייטיב קומונס - ייחוס-איסור יצירות נגזרות 3.0 Unported

christian louboutin replica