חפש מאמרים:
שלום אורח
18.10.2019
 
   
מאמרים בקטגוריות של:

   
 

3 עובדות על תקן PCI "PCI-DSS"

מאת: Benjamin Baruchאבטחת מידע10/01/2011960 צפיות שתף בטוויטר |   שתף בפייסבוק

3 עובדות על תקן PCI "PCI-DSS"
עמידה בתקינת ה PCI הינה מסורבלת לעיתים, הינה תקינה שגדלה ומשפיעה משמעותית בסביבה הטכנית של אותו גורם.
התקינה הינה תערובת של תקינות ידועות השמות דגש על תהליך סליקת כרטיסי ארשאי בארגון, להלן עובדות בסיסיות אודות תקן ה PCI-DSS (להלן: "PCI DSS"):
במהות
PCI DSS (להלן" PCI-DSS") הינה תקינה עם 12 דרישות המיועדות לבתי עסק ו\או ארגונים אשר מעבדים, משדרים או שומרים נתוני אשראי, אתם בטח אומרים לעצמכם "...גם מכולת משדרת כרטיסי אשראי"...אז התשובה היא כן, גם במכולך יש תקינה וגם המכולת צריכה לעמוד בו.
מנהלתי
אגוד הסטנדרים לאבטת המידע (להלן: "PCI-SSC") או ה STANDARD SECURITY COUNCIL  הינו איגוד שנוצר ופותח על ידי חברות האשראי העולמיות מאסטר קרד, ויזה, ג'י.סי.בי, אמריקן אקספרס ודיסקובר (להלן: "MASTER CARD, VISA, JCB, AMERICAN EXPRESS, DISCOVER"), הוא מנוהל על ידי עובדי חברות האשראי ברובד הטכני ועל ידי תמיכה של ארגונים גדולים אחרים כמו בנקים וחברות מוכרות אחרות. האיגוד נמצא בארה"ב – וויקפילד מסצו'סטס.
דרישה
התקן חל על כל ארגון אשר סולק כרטיסי אשראי(סולק=משדר עם נורית או עם מחשב או בטלפון, מעבד עם מנוע סליקה או עי גוף שלישי או כשירות, שומר נתונים לצורכי סליקה חוזרת בהוראת קבע או כשירות) משמע כל בית עסק. כדי להבין טוב יותר ולפשט את התקינה חילקו את בתי העסק לפי כמות השידורים השנתיים של אותו בית העסק ו\או לפי סיכון בית העסק, יותר שידורים יותר סיכון, פחות שידורים פחות סיכון, להלן ההגדרות לבתי עסק שאינם SERVICE PROVIDER:
בתי עסק שלב 1 הינם בתי עסק אשר מחוייבים לעבור ביקורת שנתית עי יועץ אבטת מידע מוסמך מטעם חברות האשראי (ולהלן: "QSA") או ("QUALIFIED SECURITY ASSESSOR"), אלו בתי עסק עם מעל ל 6 מיליון שידורים(להלן: "טרנזקציות" - "TRANSACTIONS") בשנה.
בתי עסק שלב 2 הינם בתי עסק אשר מחוייבים ביקורת שנתית עי יועץ אבטת מידע מוסמך מטעם חברות האשראי אך רלוונטי למאסטר קארד בלבד, ויזה ואחרים לא דורשים ביקורת פנים עי יועץ אלא מילוי שאלון בלבד. אלו בתי עסק עם מעל ל1 מיליון שידורים ועד 6 מיליון.
בתי עסק שלב 3 הינם בתי עסק המחוייבים בשאלון ולרשותך מעל ל20 אלף שידורים ועד מיליון שידורים
בתי עסק שלב 4 הינן בתי עסק המחוייבים בשאלון ולרשותם עד 20 אלף עסקאות.
בתי עסק השומרים נתוני אשראי עם פחות מ6 מיליון עסקאות מחוייבים בשאלון D.
בתי עסק אשר לא שומרים התונים מחוייבים בשאלון A,B,B-VT OR C תלוי באופי הפעילות.
אתם בטח שואלים "אז למה עוד לא פנו אלי?"...זהו עיניין של זמן עד שהתקן יחלחל עמוק אל בתי העסק הבינוניים והקטנים, בתי עסק גדולים ונותני שירות כאחד כבר מוסמכים ומודעים לתקן ולחשיבותו בשמירה על פרטיות כרטיסי האשראי שלנו
כמו כן כל מותג שומר לעצמו את הזכות לשנות את אופי ההגדרה וכך הם גם עושיםף במידה ונדרשת או בשברצונך לעמוד בסטנדרטים המקובלים לאבטת מידע אנא התייעץ ללא תשלום עם יועץ אבטחת מידע מוסמך: pci@pci-data-security-standard.com (ניתן לכתוב בכל שפה).
לחיפוש "QSA": https://www.pcisecuritystandards.org/approved_companies_providers/qsa_companies.php
מסמכים לחיפוש שאלונים: https://www.pcisecuritystandards.org/security_standards/documents.php

גישה לתקן
ניתן לגשת לאתר האיגוד באתר הבא: WWW.PCISECURITYSTANDARDS.ORG, מידע רב ויעיל באתר. בנוסף ניתן ליצור קשר עם חברות האשראי בישראל:
לאומי קארד: lewis_h@leumi-card.co.il
כאל: gilaf.hadar@icc.co.il
ישראכרט: sbendor@isracard.co.il   
מאמר זה נכתב עי מר בנג'מין(בנימין)ברוך יועץ אבטחת מידע מוסמך מטעם ויזה("QSA") WWW.NSAPIT.COM

 





 
     
     
     
   
 
אודות כותב המאמר:

Thank You!,

NSAP IT-consider IT done?
Benjamin Baruch - Senior Security Consultant | CISSP, QSA, CCSE, MCSE
Mail: BB@nsapIT.com
Phone :1599-599-596
Mobile :+972-50-260-7456
Fax :+972-3-647-9731

USA&CANADA: +1 315-608-6534
United Kingdom: +44 (0)20-3286-3563
Hong Kong: +852-8174-5947

St atidim, building 6, Tel-aviv, zip 61580 pob 58067, Israel
www.nsapIT.com

 
     
   
 

מאמרים נוספים מאת Benjamin Baruch

מאת: Benjamin Baruchאבטחת מידע21/06/11977 צפיות
Because NFC is a wireless communication interface it is obvious that eavesdropping is an important issue. An attacker can of course use an antenna to also receive the transmitted signals.

מאת: Benjamin Baruchאבטחת מידע20/06/111041 צפיות
NSAP הינה ספק שירותי אבטחת מידע מנוהלים המקנה לך כלים לחשיפת חולשות ברשת, אנו נפעל יחד איתך בהתאם למודל התקציבי ונפעל לעבוד מול האינטרס הארגוני ושלך כמנהל IT להשלמת המשימה

מאת: Benjamin Baruchאבטחת מידע05/12/101022 צפיות
The Payment Card Industry Data Security Standard (PCI DSS) sets forth the security requirements for organizations that store, process and/or transmit credit or debit card transactions. These requirements stem from a series of significant security incidents affecting databases of consumer credit information over the past decade.

מאת: Benjamin Baruchאבטחת מידע15/11/10972 צפיות
סטדנרט אבטחת המידע של תעשיית כרטיסי האשראי (PCI DSS) פותח אמנם כדי לכונן דרישות אבטחה מינימליות, אבל ישנן מספר רב של שיטות שחברות יכולות לאמץ על מנת שכוונתו של הסטנדרט תובן ובנוסף כדי להבטיח מימוש חלק ויעיל שלו. מאמר זה מציין מספר קווים מנחים שנועדו לאפשר רמה גבוהה של הצלחה כאשר מבצעים פרוייקט התאמה לסטנרט PCI DSS. עצות אלו אינם חוקים, אלא יותר תובנות שמבוססות על שנים של נסיון בתעשייה.

מאת: Benjamin Baruchאבטחת מידע15/11/10830 צפיות
סטדנרט אבטחת המידע של תעשיית כרטיסי האשראי (PCI DSS) פותח אמנם כדי לכונן דרישות אבטחה מינימליות, אבל ישנן מספר רב של שיטות שחברות יכולות לאמץ על מנת שכוונתו של הסטנדרט תובן ובנוסף כדי להבטיח מימוש חלק ויעיל שלו. מאמר זה מציין מספר קווים מנחים שנועדו לאפשר רמה גבוהה של הצלחה כאשר מבצעים פרוייקט התאמה לסטנרט PCI DSS. עצות אלו אינם חוקים, אלא יותר תובנות שמבוססות על שנים של נסיון בתעשייה.

מאת: Benjamin Baruchאבטחת מידע02/11/101192 צפיות
רבים מהלקוחות תוהים לעצמם מי מוסמך, מי לא מוסמך ומי פג תוקפו. איגוד חברות האשראי (להלן: PCI SSC או Payment Card Industry Security Standards Council) מסמיך מדי שנה חברות אבטחת מידע ליישום התקן, כל חברה והיבשת שאליה הוא משוייך(להלן: REGION), ישראל משוייכת ליבשת אירופה-europe region והחברות המוסמכות בישראל ואירופה רשאיות ליישם את תקן PCI-DSS.

מאת: Benjamin Baruchאבטחת מידע02/11/10983 צפיות
DSS חל על חנויות אם וסניפי כאחד, כמו כן גם קמעונאים. תהליך האימות מבוסס על כמו העסקאות השנתי שלך ולא על כמות העסקאו. ברמה הנמוכה ביותר, אתה צריך לאמת את התקן על ידי מילוי שאלון הערכה עצמית (SAQ) ולבצע סריקות רבעוניות באמצעות ספק סריקות אבטחת מידע שאושר עלי איגוד חברות האשראי (ASV).

מאמרים נוספים בנושא אבטחת מידע

מאת: אלעד סאעת אבטחת מידע31/07/16981 צפיות
במאמר הבא נסביר קצת על אבטחת מידע אישי ופרטי שלך ברשת. כיצד נגן על פרטיותינו באמצעות מספר צעדים פשוטים.

מאת: ליאור מזוראבטחת מידע14/02/16808 צפיות
תפקיד מנהל אבטחת מידע (CISO) שונה מארגון לארגון ואופי התפקיד משתנה בהתאם לסוג הארגון, גודלו, תחום עיסוקו, הרגולציה שאליה כפוף ומאפייני הנהלתו. אך יותר מכל משפיע מנהל אבטחת מידע עצמו על התפקיד אותו הוא ממלא. כישוריו האישיים, יכולותיו המקצועיות והניהוליות ואופן התנהלותו בארגון בונים את תפקיד מנהל אבטחת מידע בארגון ואת מידת השפעתו על התהליכים, על העובדים ועל ההנהלה.

מאת: יוני שוורץ אבטחת מידע02/07/151411 צפיות
תגי קרבה פועלים בטכנולוגיית RFID. זו טכנולוגיה ותיקה יחסית לזיהוי באמצעות תדרי רדיו, אך בשנים האחרונות היא חוזרת למרכז הבמה. הסיבה העיקרית לכך היא מידת ההתאמה של הטכנולוגיה לשימוש בתוך כרטיסי עובד. בנוסף, בעזרת הטכנולוגיה ניתן לאתר פריטים ולזהות חפצים בצורה אלחוטית וללא צורך בשדה ראייה או מגע ישיר

מאת: ליאור מזוראבטחת מידע14/03/152489 צפיות
עובדים בארגון מתוקף תפקידם נחשפים למידע מסווג כגון: מידע רפואי, מידע מסווג אישי ומידע עסקי ארגוני, נתוני כרטיסי אשראי, תשלומי לקוחות ועוד. בין אם ניתן להם אישור לגשת למידע או שמדובר בגישה לא מורשית, הדבר עלול להוות בסיס להוצאת המידע מתוך מערכות הארגון השונות למקורות שאינם מורשים. לחלופין, עובד עלול להעתיק תוכן מסמך מסווג למסמך אחר מבלי להיות מודע לכך שהתוכן מסווג ולהוצאת המידע מחוץ לארגון ביודעין או בעקיפין.

מאת: אלכסייאבטחת מידע18/01/152299 צפיות
מה זה אבטחת מידע? מי אחראי על אבטחת מידע? ATTGM Consulting חברת אבטחת מידע. www.attgm.com

מאת: אלכסייאבטחת מידע18/01/152351 צפיות
טיפים ליצירת סיסמאות חזקות, להגברת מודעות אבטחת מידע ומניעת זליגת מידע אישי ורגיש. ATTGM Consulting www.attgm.com חברת אבטחת מידע

מאת: ליאור מזוראבטחת מידע19/07/142851 צפיות
לוחמת סייבר היא פעולה מלחמתית, הננקטת על ידי מדינה, ארגון טרור וכדומה, על מנת לחדור ולהסב נזק למערכת המחשוב של היריב או למערכות אחרות המסתמכות עליה. לאור הלחימה באזור הדרום במבצע "צוק איתן", בימים האחרונים מתקיימות מתקפות סייבר על ארגונים וחברות שונות במדינת ישראל. בין המתקפות ניתן לראות מתקפות כגון: DOS (Denial Of Service), Defacement (השחתת אתרים) ופישינג (דיוג).

 
 
 

כל הזכויות שמורות © 2008 ACADEMICS
השימוש באתר בכפוף ל תנאי השימוש  ומדיניות הפרטיות. התכנים באתר מופצים תחת רשיון קראייטיב קומונס - ייחוס-איסור יצירות נגזרות 3.0 Unported

christian louboutin replica