שחר גייגר-מאור 13.05.10 | 15:09

תקן PCI-DSS - תמונת מצב בשוק הישראלי

מהו תקן PCI-DSS, מה מצב התקן בישראל ואיך על ארגונים להתמודד עמו. סקירת מצב בתחום הסליקה האלקטרונית
Israeli Hi-Tech and Startups

| לדף הבית של TheMarker IT |

תקן PCI חל על כל גוף עסקי אשר סולק נתונים של כרטיסי אשראי במערכות שלו. התקן הוצג לראשונה בשנת 2006 על ידי חמישה גופים בינלאומיים שהתאחדו לטובת מטרה זו: Visa, MasterCard, American Experss, Discover ו- JCB. התקן עצמו מונהג על ידי חברות האשראי הגדולות בעולם באמצעות מועצת התקן ( PCI Security Standards Council). והן אלה שקובעות את מועדי העמידה בתקן ואת הענישה למי שאינו עומד בו. תפקיד המועצה לקדם את יישום התקן והיא עושה זאת באמצעות מספר כלים ומתודולוגיות שיסייעו לארגונים בעולם לעמוד בו. סדר העבודה הרצוי מבחינת מועצת התקן כולל מילוי שאלון הערכה עצמית, מיפוי פערים ובניית תוכנית עבודה לעמידה בתקן בהתאם לגישת התעדופים (prioritized approach).

מאז שנת 2008 מורגש בשוק הישראלי לחץ המופעל ע"י חברות הסליקה המקומיות המייצגות את חברות האשראי הבינלאומיות, לעמוד בתקן ה-PCI. רובם המוחלט של הארגונים המסחריים בארץ, אשר מחויבים לתקן, מראים התקדמות יפה בתחום, בעיקר משנת 2009 והלאה. עם זאת, התקדמות השוק הישראלית איטית מזו של ארגונים מקבילים במדינות אירופה וארה"ב, כשהסיבות לפער מגוונות. חלק מהסיבות אובייקטיביות ונובעות מקשיים טכנולוגיים ומתהליכים קשים בארגון, ואחרות הן תוצאה של מיקום פרויקט ה-PCI במשבצת נמוכה בסדר העדיפויות, היעדר מחויבות ההנהלה ואף משיכת זמן מצד הארגון.

קשה לצפות את התנהגות חברות האשראי ולדעת אם ואיך יוטלו קנסות על הארגונים שיפגרו אחרי מועד העמידה בתקן. עם זאת, חשוב לזכור שמסוף שנת 2010, בתי עסק ברמה 2 (ארגונים אשר מבצעים בין מליון לשישה מליון עסקאות אשראי בכל הערוצים) אשר לא יעמדו בתקן, יהיו חשופים לקנס משמעותי.

התקן, בניגוד לחלק מהתקנים האחרים, נחשב ל-"נשכני" במיוחד, משום שהוא מגיע מכיוון חברות האשראי ולא מגופים ממשלתיים, הנחשבים "רכים" וסלחניים יותר בנוגע לאי עמידה ברגולציות. מכאן, שכל ארגון צריך לשאוף לעשות כל שביכולתו כדי לעמוד בתקן. עם זאת, קיימים קשיים שהופכים את הדרישה לכמעט בלתי אפשרית עבור ארגון גדול ומורכב מחשובית.

נתון אחד מדאיג במיוחד: בכל החקירות שבוצעו עד היום על ידי חברות האשראי לאחר דליפת מידע מבתי עסק שטענו שהם עמדו בתקן הוכח שאותם ארגונים למעשה לא עמדו בדרישות בנקודת הזמן בה התבצעה הדליפה. איך הדבר אפשרי? בקלות. במציאות בה פועלות מרבית החברות בארץ ובעולם, מצב שבו כל מערכות הארגון עומדות בתנאי התקן בכל נקודת זמן הוא מצב אוטופי שאינו ניתן להגשמה. מבחינת מועצת ה-PCI, מספיק שלא כל טלאי האבטחה מעודכנים כדי שהמערכת לא תקיים את תנאי התקן. מרבית אנשי המקצוע ששמעו על כך מסכימים כי גישה שכזו לא תאפשר כמעט אף פעם עמידה אמיתית, לאורך זמן בתקן. מדאיג שחברות האשראי לא פיתחו עד היום מנגנון ריאלי שיגן על אותם ארגונים שהשקיעו מאמצים רבים בעמידה בתקן.

טענה נוספת שהעלו ארגונים בארץ היא שתקן ה-PCI לא מתייחס להיבטי ניהול הסיכונים הכרוכים במושאי התקן. לשם השוואה, תקנים אחרים שהסקטור הפיננסי נדרש לעמוד בהם, כמו 357\באזל 2 ו-257 (בנקים וחברות ביטוח), לוקחים בחשבון את נושא ניהול הסיכונים ומשאירים לארגונים הנדרשים לעמידה בתקן "חופש פעולה" מסוים בבחירת אופי העמידה בו. תקן ה-PCI חד משמעי ברוב המובנים ואינו לוקח בחשבון קשיים אובייקטיביים שיש לחברות מורכבות במיוחד. גישה דיכוטומית זו מקשה על העמידה בתקן באותם ארגונים ו"דוחפת" אותם לאמץ מדיניות של ניהול סיכונים עצמאית. במקרים מסוימים קיים חשש שארגונים ייאלצו להסתכן בקנסות של מועצת התקן מול אלטרנטיבה בלתי אפשרית ליישם את התקן "כמו שצריך".

בתקן קיימות לא מעט בעיות שמועצת התקן וחברות האשראי ייאלצו לתת להן מענה, ומבחן הזמן יוכיח אם ניתן בכלל לעמוד בתקן במתכונתו הנוכחית או שיוזמיו ייאלצו להגמיש את תנאי העמידה כדי לאפשר התאמה אמיתית ולאורך זמן. מצד שני, כדאי להתחשב גם בצדדים החיוביים שלו. ארגונים אשר ביצעו מיפוי פערים, כשלב ראשון לעמידה בתקן, מדווחים כי המיפוי לכשעצמו מהווה צעד בעל ערך עצום לארגון ולביצוע בדק בית במנגנוני העבודה והאבטחה בארגון.

עוד בנושא:

• ישראכארט, כ.א.ל ולאומיקארד ערכו כנס משותף בנושא אבטחת נתוני אשראי

פורמט להדפסה

שלח באימייל

חזרה למעלה

מאמרים קודמים של שחר גייגר-מאור

ה"האקרים הסעודיים": הגזמנו קצת, לא?
04.01.12 | 13:48
אם יש משהו שאפשר ללמוד (גם) מהאירוע הנוכחי, זה שאיכות אבטחת המידע נמדדת קודם כל בטיפול הבסיסי במערכות המידע ובאנשים סביבן
שינוי טכנולוגי הוא שינוי ארגוני
25.07.11 | 14:45
עולם התשתיות נמצא בפתחה של מהפכה טכנולוגית. ארגון שלא יידע להתאים עצמו עלול לשלם מחיר יקר
בין "1984" לפרטיות והמאגר הביומטרי
14.06.11 | 18:23
שלא בדומה למתואר בספרו של ג'ורג' אורוול, שראה אור השבוע לפני 62 שנה, הפגיעה בפרטיות בהפעלת המאגר הביומטרי אינה המטרידה ביותר, אלא היהירות והזלזול הבוטה של מקבלי ההחלטות

מאמרים נוספים >>

0 תגובות ב-0 דיונים

בהגיבי על הכתבה הנני מסכים לתוכן ההצהרה

הרשמו לניוזלטר של TheMarker IT

הרשמו ל RSS של TheMarker IT

הצטרפו אלינו בפייסבוק

עקבו אחרינו בטוויטר

כתבו לנו לאימייל האדום

עשרת הגדולים




שימושים: דף הבית \| RSS \| אודות האתר \| פרסום באתר \| תקנון האתר
TheMarker: העמוד הראשון \| הייטק \| שוק ההון \| וול סטריט \| בעולם \| קריירה \| פרסום ומדיה \| צרכנות \| נדל"ן \| משפט \| רכב \| המדריך למשקיע
Cafe: ראשי \| העמוד שלי \| אנשים \| קהילות \| בלוגים \| תמונות \| וידאו \| קהילת תמיכה
עכבר העיר: עכבר העיר \| סרטים \| קולנוע \| מסעדות \| מתכונים \| הופעות \| פעילויות ילדים \| הצגות \| לילה \| מסיבות \| עכבר העיר: סרטים, לילה, מסעדות
לוח העיר: דרושים \| דרושים הייטק \| נדל"ן \| פרוייקטים חדשים \| רכב \| בעלי מקצוע \| קח תן

האתר פותח ע"י