מבוא

תהליך ההשגה והתחזוקה תאימות PCI DSS לא קל לאף ארגון. בין אם מדובר בארגון בקנה מידה גדול, חברה בגודל בינוני או חברה קטנה, PCI DSS יכולה להיות משימה מרתיעה מכיוון שהיא כוללת מערך מקיף של דרישות אבטחה. השגת תאימות דורשת הבנה טובה של מסגרת אבטחת התשלום ויישום דרישות בקרת האבטחה. ארגונים המעבדים נתוני כרטיסי תשלום צפויים לעמוד ב- דרישות PCI DSS 12 כדי להבטיח ציות ואבטחת סביבת התשלום. דרישות אלו פועלות כהנחיות לארגונים לאבטחת הרשת והתשתית שלהם מפני איומי סייבר ופצות מידע. בהרחבה על הדרישות הללו שיתפנו כמה טיפים שימושיים להתכונן אליהם ביקורת תאימות PCI DSS.

הבנת דרישות תאימות PCI DSS

תאימות PCI DSS הוא תקן אבטחה ומסגרת שנאכפת על ידי המועצה לתקן אבטחה PCI המתמקדת בהגנה על נתוני מחזיקי הכרטיס. התקן כולל 12 דרישות שהותווה על ידי המועצה המתמקדת באמצעים טכניים ותפעוליים לאבטחת נתוני בעל כרטיס תשלום רגישים. ארגונים צפויים ליישם אמצעי אבטחה אלה כדי להשיג ולתחזק תאימות PCI DSS. אז להלן 12 הדרישות המוסברות בקצרה להבנה טובה יותר של הדרכים להתכונן לתאימות PCI DSS.

דרישת PCI DSS 1: התקן ותחזק תצורת חומת אש כדי להגן על נתוני בעל הכרטיס
סוחרים וספקי שירות נדרשים לשמור על רשת מאובטחת עם התצורה המתאימה של חומות אש ונתבים. זה נועד להגן על סביבת נתוני הכרטיס ולמנוע התקפות סייבר.

דרישת PCI DSS 2: אל תשתמש בברירות המחדל שסופקו על ידי הספק עבור סיסמאות מערכת ופרמטרי אבטחה אחרים
מערכות ותוכנות מגיעות עם סיסמאות והגדרות ברירת מחדל. לכן, כדי להבטיח אבטחה, צפוי שהסוחרים יבטיחו את הקשחת המערכות, הרשת והמכשירים של הארגון עם סיסמאות ותצורות אבטחה חזקות. בנוסף, סוחרים צפויים לתעד את הליכי הקשחת המערכת ולפעול לפי הפרוטוקולים בהתאם.

דרישת PCI DSS 3: הגן על נתוני בעל כרטיס מאוחסנים
סוחרים וספקי שירות נדרשים ליישם אמצעים מתאימים להגנה על נתוני בעל הכרטיס המאוחסנים. באמצעות טכניקות של הצפנה יש לאבטח את נתוני ה-PAN מפני הפרת נתונים

דרישת PCI DSS 4: הצפנת שידור של נתוני בעל כרטיס ברשת פתוחה או ציבורית
סוחרים צפויים להצפין נתוני בעל כרטיס במעבר דרך רשת ציבורית או פתוחה. יתרה מכך, עליהם להבטיח שקיימים נהלים ותהליכים של מדיניות אבטחה כדי לאכוף את אמצעי האבטחה ודרישות ההצפנה.

דרישת PCI DSS 5: השתמש ועדכון תוכנת אנטי וירוס או תוכנית
הסוחרים צפויים לשמור על המערכות והיישומים שלהם מעודכנים ומאובטחים עם התקנת תוכנת האנטי-וירוס העדכנית ביותר במכשירים ובאפליקציות. זאת כדי להבטיח הגנה מפני תוכנות זדוניות והתקפות סייבר אחרות.

דרישת PCI DSS 6: פיתוח ותחזוקה של מערכות ואפליקציות מאובטחות
סקירת יישומי אבטחה והתקנת תיקוני אבטחה כדי להפחית סיכונים היא חיונית. עדכון קבוע של תיקוני האבטחה הללו חיוני כדי למנוע את הסיכון הפוטנציאלי של פריצה. הסוחרים נדרשים לתקן את כל המערכות בתוך סביבת נתוני הכרטיסים וליישם אבטחה בכל שלבי הפיתוח. בנוסף, תהליכים חייבים להיות במקום כדי לגלות נקודות תורפה חדשות במערכות ובאפליקציות.

דרישת PCI DSS 7: הגבל גישה לנתוני בעל כרטיס על ידי עסקי שצריך לדעת
סוחרים נדרשים ליישם בקרות גישה חזקות כדי להגביל את הגישה לנתוני בעל הכרטיס. זה מונע גישה בלתי מורשית לנתוני כרטיסים רגישים ואת הסיכון הפוטנציאלי של הפרת נתונים או גניבה. לשם כך, יש לקבוע תהליכים נחוצים כדי להבטיח שהגישה לנתוני בעל הכרטיס מוגבלת על סמך הצורך העסקי לדעת.

דרישת PCI DSS 8: זיהוי ואימות גישה לרכיבי מערכת
יש לעקוב ולנטר גישה למערכות ולנתונים באופן קבוע. לכל עובד מורשה יש להקצות מזהה ייחודי כחלק מאמצעי בקרת אבטחה חזקים. זה נועד לעקוב אחר הפעילויות סביב גישה למערכות ונתונים בסביבת הכרטיס כדי לשמור על אחריות

דרישת PCI DSS 9: הגבל גישה פיזית לנתוני בעל הכרטיס
הגבלת הגישה הפיזית לנתוני בעל הכרטיס היא חלק חיוני ביישום אמצעי בקרת אבטחה. הדבר מצריך יישום של בקרות גישה באתר, ניטור של יומנים, וקיום מדיניות ותהליכי אבטחה נחוצים. בנוסף, סוחרים נדרשים לאבטח את כל המכשירים והמערכות באמצעי אבטחה פיזיים ולשמור גיבויים של כל הנתונים.

דרישת PCI DSS 10: עקוב אחר כל הגישה למשאבי רשת ונתוני בעל כרטיס ומעקב אחר כל גישה
PCI DSS דורש מעקב והנעה בזמן אמת של כל נקודות הגישה כולל מערכות ורשת הכוללת נתוני כרטיסים. זאת על מנת לזהות ולמנוע ניצול של פגיעויות ואיומים על סביבת נתוני הכרטיס. עבור השתלה זו של היומן, הניהול חיוני למעקב קבוע אחר הפעילות.

דרישת PCI DSS 11: בדוק באופן קבוע מערכות אבטחה ותהליכים
ביצוע קבוע של הערכות פגיעות ובדיקות חדירה חיוניים לבדיקת כל תהליכי המערכת לאיתור פגיעויות. זאת כדי להבטיח ולשמור על רמת אבטחה קבועה בתוך סביבת נתוני הכרטיס. כל המערכות והתהליכים חייבים להיבדק לעתים קרובות כדי להבטיח שאבטחת הנתונים נשמרת כל הזמן.

דרישת PCI DSS 12: לשמור על מדיניות המתייחסת לאבטחת מידע לכל הצוות
יצירה ותחזוקה של מדיניות המתייחסת לתהליכי אבטחת מידע היא הכרחית מבחינת האכיפה. לכל עובד וספק צד שלישי צריכה להיות גישה למדיניות זו כדי להכיר טוב יותר את האחריות שלהם. יתרה מכך, מדיניות אבטחת המידע חייבת להיבדק מדי שנה כדי להתאים את תוכנית אבטחת הסייבר של הסוחר עם הדרישה של PCI DSS.

עכשיו כשאנחנו יודעים את הדרישות הטכניות והתפעוליות שיש ליישם להשגת PCI DSS, בואו נראה כיצד ארגונים יכולים להתכונן לקראת ביקורת תאימות PCI DSS.

שלבים להתכונן לביקורת PCI DSS

ההכנה לביקורת תאימות PCI DSS יכולה להיות ממש מלחיצה. זה דורש סבבים מדוקדקים של סקירות הערכה ויישום תהליכים כדי להבטיח שהביקורת הסופית תהיה הצלחה. עם זאת, הנה כמה שלבים שניתן לבצע כדי להתכונן אליהם ביקורת PCI DSS וכדי להבטיח שזה יהיה הצלחה.

אל תניח להיות תואם - דרישות תאימות PCI DSS מתעדכנות לעתים קרובות על ידי מועצת PCI. עדכונים אלו מבוססים על נוף הטכנולוגיה והאיומים המתפתחים בתעשייה. עם הגרסה העדכנית ביותר של PCI DSS 4.0 אמור לצאת ברבעון הראשון של 1, ארגונים צריכים להיות ערניים לגבי הדרישות החדשות שיוצגו וייאכף על ידי המועצה. לא משנה אם הייתם תואמים קודם לכן ל-PCI DSS, רק הביקורת הקרובה תציע אם תמשיך להישאר תואם או לא. ביקורת התאימות היא הערכה כדי לוודא אם כל אמצעי האבטחה מיושמים ובהתאם לדרישת אבטחת המידע העדכנית ביותר. לכן, בהנחה שאתה תואם בהתבסס על ביקורת ה-PCI DSS הקודמת שלך יכולה להיות הסיבה לכך שהארגון שלך לא עומד בדרישות הביקורת הקרובה.

ניתוח פערי ציות - אם הארגון שלך עובר הערכת PCI DSS בפעם הראשונה, חשוב לך מאוד לזהות היכן נמצאת רמת התאימות שלך על בסיס "כפי שהוא", מה הפערים העיקריים שלך וגם ההשקעות הדרושות. לשם כך, על הארגון שלך להמשיך ולבצע ניתוח פערים מול דרישות תאימות PCI DSS באופן מיידי. זאת על מנת להעריך ולאמת ליקויים בדרישות ולפעול לגישור על הפערים במערכת. PCI DSS הוא תהליך מתמשך ודורש סקירה ועדכון שוטפים של נהלי מדיניות ותהליכים כדי להתאים את הפעילות העסקית לתקן האבטחה וליעדי אבטחת הסייבר. לכן ביצוע ניתוח פערים ותיקון פער התאימות הפוטנציאלי הוא חיוני, במיוחד לפני הביקורת הסופית כדי להבטיח תאימות ל-PCI DSS. שוב, זה לא רק מנקודת מבט של תאימות אלא גם מנקודת מבט של חיזוק האבטחה של מערכות, רשתות ותשתיות.

ענה על כל דרישות PCI DSS - ארגונים צריכים להבטיח שהם התייחסו לכל 12 הדרישות המפורטות במסגרת PCI DSS כדי להבטיח עמידה במסגרת תקן האבטחה. הבנת הדרישות וההשלכות שלהן חיונית לארגונים ליישם את האמצעים הדרושים לעמידה בדרישות. יש לעמוד בכל הדרישות באופן מלא לפי העניין. חוסר עמידה אפילו באחת מהדרישות הללו עלול לגרום לביקורת לא מוצלחת ואי ציות ל-PCI DSS. לכן, חובה לעמוד ב-12 הדרישות וכל אמצעי האבטחה הדרושים מיושמים בסביבת נתוני הכרטיס של הארגון.

צור תרשים רשת וזרימת נתונים - ארגונים חייבים ליצור ולתחזק דיאגרמת רשת מדויקת כדי להבין את קישוריות הרשת ברחבי הארגון וכן את זרימת נתוני הכרטיסים ברחבי רשת הארגון. זה נותן תובנה על הרשת והמערכות של הארגון העוסקות בנתוני כרטיסים לרבות אחסון, עיבוד והעברת נתוני כרטיסים. יצירת דיאגרמת רשת עם ייצוג חזותי של תרשים זרימת הנתונים המשקף את תהליך הארגון שלך ואת זרימת נתוני הכרטיסים הרגישים מסייעת בזיהוי חסרונות בפעולות. לכן, בהתבסס על תרשים רשת מפורט כל כך, ארגונים יכולים לתעדף אמצעי אבטחה בין מערכות, יישומים, רשתות וכל נקודות הגישה העוסקות בנתוני כרטיסים.

הערכת סיכונים - הערכת סיכונים היא חלק חיוני ובלתי נפרד מכל תוכנית תאימות ואבטחת סייבר. חשוב שארגונים יקבעו ויבינו את החשיפה לסיכון איתה הם מתמודדים. הערכת הסיכון וסיווג רמת החשיפה לסיכון על פי חומרה חיוניים לעסק לתעדף את יישום האבטחה שלו. לשם כך, ארגונים חייבים לערוך מדי שנה הערכת סיכונים כדי לזהות נכסים קריטיים החשופים לאיומים ולפגיעויות. הערכות כאלה עוזרות לארגונים לנקוט באמצעים יזומים כדי לאבטח את רשת המערכות והנתונים שלהם מפני איומי סייבר מתפתחים. זה גם עוזר להתאים את תוכנית אבטחת הסייבר שלהם לדרישות PCI DSS ללא הרף.

מדיניות ותהליך מסמכים - מסמכים הנוגעים למדיניות הציות, תהליכים, נהלים וחוזים והסכמי ספקים צריכים להיות עדכניים ומעודכנים מעת לעת. שמירה על כל המסמכים הרלוונטיים כראיה בביקורת PCI DSS היא חיונית. המסמכים צריכים לכלול את כל אמצעי האבטחה המיושמים, הנהלים והתהליכים האוכפים את יישום מדיניות הציות שנקבעה בתוך הארגון. רישומים כאלה מראים בבירור את מאמצי הארגון ליישום ותחזוקת PCI DSS Compliance. ביקורת PCI DSS כוללת אימות מסמכים הקשורים לנהלים, למדיניות ולרשומות הרלוונטיות ליישום המדיניות. לכן, ארגונים חייבים להבטיח שכל התיעוד מעודכן ותואם את הפעילות היומיומית. כמו כן, חשוב לציין כי כל שינוי במדיניות, בנהלים או בתהליך הפעולה צריך להיות מתועד ומתעדכן ברשומות באופן שוטף.

תאימות של ספקי צד שלישי - למרות שארגונים מיקור חוץ את פעילויות עיבוד הנתונים לספקי צד שלישי, עדיין באחריותם לוודא שהם עומדים בדרישות. סוחרים צריכים להבטיח שהספקים של צד שלישי איתם הם מתמודדים מודעים לאחריותם ומעבדים נתונים בהתאם לדרישות PCI DSS. אי הבטחת תאימותם עלולה לגרום להפרת נתונים ואי ציות ל-PCI DSS גם עבור הארגון שלך. הדבר יעלה לארגון הון תועפות אם לא ייושמו צעדים הדרושים למעקב אחר פעילותם. מסיבות אלה המעורבות ספקי צד שלישי ובעלי עניין אחרים בתאימות ובאבטחת סייבר, התוכנית היא חיונית.

ביצוע הערכה פנימית - ביצוע הערכה פנימית מעת לעת חיונית לאיתור פערים בתהליכים וחולשות במערכות. זה עוזר בתהליך השיקום ומגשר על הפערים בתוכנית הציות. עריכת הערכה פנימית שנתית חיונית מכיוון שהיא הופכת את ביקורת התאימות הסופית של PCI DSS ללא טרחה. לארגון יהיה סיכוי טוב יותר להגיע ל-PCI DSS Compliance על ידי ביצוע הערכות מוקדמות וביקורות פנימיות כאלה לפני הבדיקה הסופית. ארגונים יהיו מוכנים עם המסמכים הדרושים כראיה ויישמו אמצעי אבטחה הנדרשים כדי להבטיח תאימות ל-PCI DSS.

מחשבה סופית
תאימות PCI DSS היא בלתי נמנעת עבור סוחרים וספקי שירותים בתעשיית כרטיסי התשלום. הם צריכים לוודא כל הזמן שהם עומדים בכל הדרישות ולהבטיח עמידה בתקן ובמסגרת אבטחת התשלום בכל עת. מסיבות אלו, אנו ממליצים בחום לארגונים לשקול להצטרף ליועץ ומבקר ציות מקצועי ומנוסה כדי להבטיח שתוכנית הציות שלהם תקינה ובהתאם לדרישת PCI DSS. ביקורות והערכות פנימיות קבועות על ידי איש מקצוע מנוסה משקפות את המחויבות והמאמצים של הארגון שלך לאבטח את נתוני הכרטיס והסביבה ומשקפות את הגישה והיוזמה היזומה שלהם לעמוד בהתחייבויות הציות שלהם להגנה על נתונים רגישים.

הודות ל:

נרנדרה סהו