PCI-DSS הוא קיצור באנגלית ל- Payment Card Industry Data Security Standard, כלומר – תקן אבטחה למידע בתעשיית כרטיסי התשלום. התקן נוסד על ידי ה-PCI-SSC, שהוא ארגון ללא כוונות רווח עצמאי המבוסס בבוסטון, ארה"ב.
תקן ה-PCI-DSS מציב רשימה של דרישות המגדירות כיצד ארגון צריך לשמור, לעבד ולשלוח כרטיסי תשלום.
מה זה PCI-QSA?
QSA הוא Qualified Security Assessor, או סוקר אבטחה מוסמך, מה שאומר שזה אדם אנושי – מומחה אבטחה, שהוכשר והוסמך על ידי מועצת תקני האבטחה של PCI, לבצע את ההערכה ולייצר אישור תאימות עבור הסביבה שלכם.
מי צריך לעמוד בתקן?
הדרישות לתאימות בדרך כלל מגיעות מהרוכשים המקומיים, אשר אחראים על סטטוס התאימות של הסוחרים וספקי השירותים שלהם. לפעמים, הדרישות מגיעות מלקוחות גדולים אשר מחויבים לעקוב אחרי סטטוס התאימות של השותפים שלהם.
תאימות משמע מזעור רמת הסיכון וזו הסיבה שישויות רבות מעדיפות לעשות עסקים עם חברות תואמות, ולא עם חברות שאינן עומדות בתקן.
רמת התאימות הנדרשת משתנה בהתאם לכמות עסקאות האשראי המבוצעת על ידי הארגון שלכם באופן שנתי.
מה כולל תהליך ההסמכה?
ניתן לפרק את תהליך ההסמכה למספר שלבים:
השלב הראשון יהיה שלב התיחום (scoping). בשלב זה מתחילים בהגדרה של מה צריך לבחון ומה צריך לעמוד בתקן PCI-DSS. לא כל מערכות ה- IT שלכם בהכרח יצטרכו להיות חלק מהתיחום.
השלב השני הוא ניתוח הפערים (gap analysis). כעת עליכם לזהות את הפערים בין המצב הנוכחי של הסביבה שלכם לבין מצב של תאימות לדרישות PCI-DSS. יחד אנו נגדיר תכנית עבודה. אנחנו, ה-QSA שלכם, נהיה שם אתכם לאורך כל הדרך במהלך תקופת התיקון הזו, ונגדיר את הדרך לתאימות.
לאחר שכל הפערים הושלמו, ניתן יהיה להתחיל את השלב השלישי – הערכה (assessment). ה-QSA יסקור את המצב המעודכן של הסביבה שלכם ויאסוף את המידע הנדרש על מנת לעבור לשלב הרביעי, שהוא דו"ח תאימות (ROC – report of compliance).
הדו"ח הזה מתאר את התיחום ואת ההוכחות לתאימות. זהו מסמך שממלא ה-QSA, ובהתבסס עליו ה-QSA מחליט האם ניתן להתקדם הלאה לשלב החמישי והאחרון בתהליך ההסמכה – הוכחת סיום (AOC – attestation of completion).
ה-AOC מיוצר ונחתם על ידי ה-QSA, והוא מהווה המסמך הסופי המוכיח את התאימות שלכם עם תקן PCI-DSS.
כמה זמן לוקח לקבל תעודת תאימות?
תאימות יכולה לקחת בין שבועיים לכמה שנים – יש מספר גורמים משפיעים על טווח הזמן: מספר השירותים שיש להעריך, מורכבות הסביבה, סטטוס הפערים ההתחלתי, מספר השינויים הנדרשים, סביבה תרבותית וכו'.
התעודה תקפה למשך שנה אחת ויש לחדש אותה בכל שנה.
מדוע לבחור בקומסק?
שלוש הסיבות הטובות ביותר שניתן לבקש!
- עם רמת המומחיות של הצוות שלנו, נוכל לעזור לכם להיות תואמי PCI-DSS עם פגישה מינימלית לסביבת הייצור שלכם.
- צוות ה-PCI-DSS שלנו מלווה אתכם לאורך כל שלבי ההסמכה – אנו נספק לכם את ניתוח הפערים, אל חשוב מכך – אנו נמצאים שם אתכם על מנת לבצע עמכם את השינויים ולוודא שדבר לא נשכח.
- יש לנו זמני ביצוע מהירים ביותר ונוכל להתחיל תוך זמן קצר על מנת להגיע לסיום התהליך במהירות הגדולה ביותר!
אם אתם מעוניינים לשמוע עוד על PCI-DSS, אתם מוזמנים להשאיר כאן הערה, או ליצור איתנו קשר ישירות.