בעולם המודרני, שבו עסקאות פיננסיות מבוצעות יותר ויותר באינטרנט, הבטחת האבטחה של מידע פיננסי רגיש הפכה לחשיבות עליונה. תקן אבטחת המידע של תעשיית כרטיסי התשלום (PCI DSS) מנחה עסקים ברחבי העולם לקראת טיפול מאובטח בנתוני כרטיסי תשלום. תאימות עם PCI DSS לא רק מגינה על הלקוחות שלך מפני דליפות נתונים פוטנציאליות, אלא גם שומרת על המוניטין והאמינות של הארגון שלך. עם זאת, עמידה בדרישות תאימות PCI DSS והכנה לתהליך הביקורת יכולה להיות מסובכת.
במדריך מקיף זה, אנו מכסים את שיטות העבודה המומלצות שיעזרו לך להתכונן לתהליך הביקורת של PCI DSS ולשמור על תאימות.
PCI DSS: דרישות עיקריות
תקן אבטחת המידע של תעשיית כרטיסי התשלום (PCI DSS) הוא קבוצה של תקני אבטחה שנועדו להגן ולאבטח את נתוני בעלי הכרטיס ואת שלמותן של עסקאות בכרטיסי תשלום. הוא פותח על ידי חברות כרטיסי האשראי הגדולות, כולל ויזה, מאסטרקארד, אמריקן אקספרס, Discover ו-JCB. ה-PCI DSS חל על כל הישויות המאחסנות, מעבדות או מקבלות פרטי כרטיס חיוב/אשראי.
מאז הצגתו ב-2004, ה-PCI DSS התפתח באופן משמעותי. המהדורה האחרונה, PCI DSS v4.0, כוללת שתים עשרה דרישות טכניות ותפעוליות:
חשוב מאוד לעמוד בדרישות PCI DSS שכן הן מטפלות בפרצות אבטחה ונקודות פשרה פוטנציאליות שעלולות להוביל לפרצות נתונים ופעילויות הונאה.
אם חברה מפרה את דרישות ה-PCI DSS, העונשים עלולים להיות קשים ולהגיע עד 100,000$ לחודש בהתאם לגודל הארגון ולהיקף אי הציות. יתרה מכך, בנקים עשויים להגדיל את עמלות העסקאות או לסיים את מערכת היחסים שלהם עם ארגון שאינו מציית ל-PCI DSS.
ביקורת PCI DSS: מי צריך את זה
המטרה העיקרית של ביקורת PCI DSS היא לוודא שהארגון שלך יישם את אמצעי האבטחה והבקרות הדרושים כדי להגן על נתוני בעל הכרטיס במהלך עסקאות בכרטיס תשלום.
תהליך הביקורת עשוי להשתנות בהתאם לסטטוס ברמת הסוחר ולמותג התשלום שלהם. באופן כללי, ניתן לחלק ישויות לארבע רמות תאימות ל-PCI DSS :
| רמות תאימות PCI DSS | |
| רמה 1 | קריטריונים:
|
תדירות הביקורת:
|
|
תיעוד דיווח:
|
|
| רמה 2 | קריטריונים:
|
תדירות הביקורת:
|
|
תיעוד דיווח:
|
|
| רמה 3 | קריטריונים:
|
תדירות הביקורת:
|
|
תיעוד דיווח:
|
|
| רמה 4 | קריטריונים:
|
תדירות הביקורת:
|
|
תיעוד דיווח:
|
|
כפי שאתה רואה, רק ישויות המעבדות למעלה משישה מיליון עסקאות בכרטיסי תשלום בשנה חייבות לעבור ביקורת על תאימות PCI DSS באתר. ייתכן שארגונים המטפלים בהיקף קטן יותר של נתונים יצטרכו רק למלא שאלון להערכה עצמית ולמלא טופס אישור ציות שניתן למצוא באתר האינטרנט הרשמי של PCI .
אם ארגון מכל רמה חווה פרצת נתונים או מתקפת סייבר הפוגעת במידע על כרטיס תשלום, הוא צריך לעבור ביקורת מקומית שנתית כדי להבטיח תאימות ל-PCI. כעת, בואו נבדוק כיצד לעמוד בביקורת PCI DSS, מי מבצע אותה וכיצד להכין את העסק שלכם לביקורת PCI DSS.
מי מבצע ביקורת?
מעריך אבטחה מוסמך (QSA) מבצע ביקורת PCI DSS. QSAs מאומתים על ידי מועצת PCI DSS ומכירים את שיטות העבודה והסטנדרטים הטובים ביותר של אבטחת מידע.
שימו לב שמבקר PCI DSS אחראי למניעת פגיעה בנתוני בעל הכרטיס, לא להעניש ארגון. המבקר בוחן תחומים שונים בארגון שלך כולל סביבת הנתונים של בעל הכרטיס שלך ומדיניות המתארת את השימוש במערכות הקריטיות שלך. המבקר גם יגיד לך כיצד לשפר את אבטחת הסייבר שלך ואולי אף יסייע לך בתהליך זה.
הכנה לביקורת PCI DSS היא תהליך מתמשך ומתמשך הדורש אסטרטגיה מקיפה. כדי לעזור לך, צמצמנו רשימה של שיטות עבודה מומלצות להתכונן לביקורת.
שלבים עיקריים להתכונן לביקורת PCI DSS
כדי לעבור בהצלחה ביקורת PCI DSS, ארגונים צריכים לנקוט בצעדים חיוניים כדי להעריך את אמצעי האבטחה שלהם, לטפל בנקודות תורפה ולהפגין עמידה בסטנדרטים המחמירים שנקבעו על ידי התעשייה. בחלק זה, אנו מתארים את השלבים העיקריים שינחו אותך כיצד להתכונן לביקורת PCI DSS ביעילות ולהבטיח את האבטחה של עסקאות כרטיס התשלום שלך.
1. הקפידו על התקן העדכני ביותר
הישאר מעודכן בדרישות העדכניות ביותר.
PCI DSS הוא תקן שמתפתח ללא הרף שמטרתו להסתגל לטכנולוגיות, איומים ושינויים מתפתחים בתעשיית התשלומים. מועצת תקני האבטחה של תעשיית כרטיסי התשלום מעדכנת ללא הרף תקן זה כדי לפתור בעיות ואתגרי אבטחה חדשים. סוחרים וספקי שירות צריכים לציית לגרסה העדכנית ביותר של PCI DSS v4.0 ששוחררה ב-31 במרץ 2022.
| השינויים העיקריים ב-PCI DSS v4.0 | |||||
| הרשאות גישה דורשות ביקורות דו-שנתיות | יש לנטר חשבונות צד שלישי באופן קבוע | סיסמאות חשבון חייבות להיות מורכבות מ-15 תווים לפחות | |||
| אימות רב-גורמי (MFA) הוא חובה עבור כל חשבונות המשתמש שיש להם גישה לנתוני כרטיסים רגישים | יש לשנות את כל הסיסמאות המשמשות למערכות תשלום מדי שנה ובמקרה של פרצת מידע | ||||
בהתחשב בשינויים אלה, עליך להבין שגם אם הארגון שלך היה תואם PCI DSS לפני כן, הוא לא יהיה תואם אוטומטית לאחר שחרורו של PCI DSS v4.0. שקול לבדוק את עדכוני PCI DSS באופן קבוע. לאחר שדרישות חדשות מופיעות, עליך לזהות פערי ציות ולעדכן את מדיניות ונהלי אבטחת המידע שלך .
2. ביצוע הערכת סיכוני אבטחת סייבר
דע את נקודות התורפה שלך.
מכיוון שהמטרה העיקרית של תאימות PCI DSS היא להפחית את הסיכון לפרצות נתונים של בעלי הכרטיס, עליך להעריך את רמות הסיכון שלך ולקבל תמונה ברורה של הפגיעויות הפוטנציאליות.
הערכת סיכוני אבטחת סייבר היא פרקטיקה שיכולה לעזור לך לזהות מקורות איומים ולהעריך את רמת ההגנה של הנתונים שלך. ניתוח סיכונים יסודי יספק לצוות האבטחה שלך תובנות מפורטות לגבי נקודות התורפה במערכת ה-IT שלך. לאחר זיהוי כל נקודות התורפה, צוות האבטחה שלך יוכל לתכנן ולתעדף תיקון איומים לפי רמות הסיכון הנשקפות לארגון שלך.
הקפד לבצע ניתוח סיכונים מפורט של נכסי החומרה והתוכנה לפחות פעם בשנה ולאחר כל שינוי משמעותי ברשת שלך.
למה לשים לב במיוחד:
- כשל במערכת . בדוק אם המערכות הקריטיות שלך פועלות על ציוד איכותי והאם יש להן תמיכה טובה בחומת האש.
- טעות אנוש . ודא שהמערכות שלך עם נתוני בעל הכרטיס מוגדרות כהלכה. כמו כן, ודא שמדיניות החינוך שלך מכסה שיטות פושעות סייבר כמו תוכנות זדוניות, דיוג והנדסה חברתית.
- איומים יריבים . הערכת סיכונים הנשקפים על ידי ספקי צד שלישי, גורמים פנימיים ומשתמשים מועדפים. ודא שיש לך בקרות גישה חזקות כדי להגביל מי יכול לגשת למידע רגיש.
בעת ביצוע הערכת סיכונים, אנו ממליצים לנקוט בצעדים הבאים:
3. קבע מדיניות ונהלים חזקים
מדיניות ונהלים אחראים לדרישות PCI DSS רבות.
הערכת סיכונים תעניק לך הבנה של מצב האבטחה של הארגון שלך, תאפשר לך לקבוע מדיניות ונהלים יעילים כדי לעמוד ב-PCI DSS. לדוגמה, ייתכן שתיצור כלל בקרת אבטחת רשת חדש המאפשר קישוריות בין מערכת ב-CDE למערכת אחרת כדי להכניס רשתות נוספות לתחום של PCI DSS.
מתן תיעוד על מדיניות האבטחה והנהלים שלך הוא גם חלק חשוב בביקורת PCI DSS. עליך לתעד את כל פרוטוקולי ההצפנה, הניתוחים והנהלים לאחסון מידע. שמור תיעוד שוטף של כל פגיעות מזוהות, סיכונים, שינויים במערכת ומידע רלוונטי אחר. דוגמאות לתיעוד רלוונטי עשויות לכלול מדיניות עבור:
- אבטחת נתונים
- ניהול נתונים
- אחסון נתונים
4. לבצע הדרכת עובדים
מודעות עובדים היא משימה בעדיפות גבוהה.
לאחר יישום מדיניות ונהלי האבטחה, אתה מוכן לטפל באלמנט האנושי באמצעות חינוך עובדים.
הדרכת העובדים שלך בנושאים כמו הגנה על סיסמה וסיבוב, כמו גם על הדרכים לזהות התקפות פישינג או הנדסה חברתית.
באופן אידיאלי, עליך לבצע הדרכה כל 3-6 חודשים או לאחר עדכון פרוטוקולי האבטחה והנהלים שלך. בנוסף, עליך לבצע בדיקות תקופתיות למודעות אבטחת הסייבר של העובדים שלך.
ייתכן שמבקר ה-PCI מחפש ראיות להדרכה בנושא מודעות אבטחה, לכן הקפד לתעד ולתעד את כל המידע הנוגע לבדיקות אבטחה של עובדים, עדכונים ושיטות להכשרת עובדים לגבי כללי אבטחה חדשים.
5. עקוב אחר פעילות המשתמשים בתשתית ה-IT שלך
הכל עניין של נראות מלאה.
ניטור פעילות המשתמש הוא היבט בסיסי בשמירה על סביבה מאובטחת ותואמת בעת טיפול בנתוני כרטיסי תשלום. הוא ממלא תפקיד חיוני בשמירה על מידע רגיש, זיהוי איומים פוטנציאליים והפגנת עמידה בדרישות PCI DSS במהלך תהליך הביקורת.
על ידי מעקב אחר פעילות המשתמש, תוכל לעשות זאת
- זהה כל התנהגות חריגה או חשודה שעלולה להצביע על גישה לא מורשית.
- זיהוי תנועות נתונים חריגות.
- הפחיתו איומים פנימיים, גם לא מכוונים וגם זדוניים.
- הפגינו ציות.
פעילות זו יכולה לעזור לך להבטיח את האבטחה והשלמות של נתוני בעל הכרטיס ולהוכיח למבקר שלך עמידה בדרישות PCI DSS.
6. דאגו לרשת שלכם
הכר את ארכיטקטורת הרשת שלך.
בחינת הרשת שלך וביצוע התאמות בה יכולים להבטיח את אבטחת עיבוד הנתונים ושמירה על תאימות ל-PCI DSS.
אתה יכול להוסיף חומות אש או לפלח את הרשת שלך כדי לשפר את אבטחת המידע הפיננסי שלך . לדוגמה, אם אתה מיישם את טכניקת פילוח הרשת , תפריד את הרשת שלך לתת-רשתות עצמאיות שמטרתן להגן על נתוני בעל הכרטיס גם אם תת-רשת אחת נפגעת.
שים לב שאם אתה משתמש בארכיטקטורת ריבוי דיירים , הרשתות המפולחות שלך יפעלו בסביבה אחת, תוך שמירה על נתוני כל תת רשת נפרדים מאלו של רשתות משנה אחרות.
7. הערכת תאימות של צד שלישי
סמוך, אבל תוודא.
מספר לא מבוטל של פרצות מידע מתרחשות עקב נקודות תורפה שהוצגו על ידי ספקי שירות של צד שלישי. על פי תאימות PCI DSS, ארגונים המוציאים למיקור חוץ את סביבת הנתונים של בעלי הכרטיס (CDE) או את פעולות התשלום לצדדים שלישיים חולקים איתם אחריות.
הערכת תאימות PCI DSS של ספקי השירותים של הצד השלישי שלך תעזור לך לזהות נקודות תורפה פוטנציאליות במערכות שלהם ולאכוף אמצעי אבטחה נחוצים כדי למנוע פרצות נתונים ברשת הארגונית שלך.
זכור כי הערכות תאימות של צד שלישי אינן אירועים חד פעמיים אלא תהליך מתמשך.
כיצד Syteca יכולה לעזור עם ביקורת PCI DSS
Syteca היא פלטפורמת ניהול סיכונים פנימיים הכל-באחד המספקת פונקציונליות ניטור מקיפה. זה יכול לשפר משמעותית את האבטחה של ה-CDE ולהגדיל את הנראות של פעולות המשתמש, ובכך לסייע בהעברת ביקורת לתאימות PCI DSS.
ניהול סיסמאות . Syteca יכולה לעזור לכסות את רוב הכללים מדרישה 2 (כל רכיבי המערכת חייבים להיות מוגדרים ומנוהלים בצורה מאובטחת) הודות לפונקציונליות עשירה של ניהול סיסמאות. כספת סיסמאות, סיבוב סיסמאות, גישה בדיוק בזמן ותכונות אחרות מבטיחות אחסון וסיבוב אישורים בטוחים.
ניהול זהויות . Syteca מאפשרת לארגונים להגדיר מדיניות גישה וליישם אימות רב-גורמי ומשני, כמו גם להעניק סיסמאות חד פעמיות לשלוט בגישה של משתמשים למערכות ונתונים קריטיים. זה יביא אותך לעמידה בהרבה מדרישה 8 לבקרת גישה וניהול זהויות.
ניהול גישה מועדפת (PAM) עם פונקציונליות ה-PAM החזקה שלה, Syteca יכולה לעזור לך להבטיח שגישה לרכיבי מערכת קריטיים ונתוני מחזיקי כרטיס מסופקת רק למשתמשים שצריכים לדעת זאת. התוכנה שלנו מאפשרת הענקת זכויות גישה מוגברות, מתן גישה פרטנית לנכסים המאובטחים ביותר, ניהול אישורי משתמש, ציון נקודות קצה זמינות עבור משתמשים מסוימים ועוד כדי לעזור לך לעמוד בדרישות PCI DSS 7.1 ו-7.2.
ניטור פעילות המשתמש . PCI DSS דורש מארגונים לנטר ברציפות את בקרות האבטחה המובנות ב-CDE שלהם. דרישת PCI DSS 10, בפרט, דורשת מארגונים לרשום ולנטר כל גישה לרכיבי המערכת ולנתוני בעל הכרטיס. Syteca עוזרת לך להשיג יעדים אלו על ידי איסוף יומנים ומעקב רציף אחר פעילות המשתמשים.
Syteca עוקבת אחר לא רק העובדים שלך אלא גם צדדים שלישיים כדי לוודא שפעולותיהם עומדות בדרישות PCI DSS. הפלטפורמה מספקת תצוגה ברורה של מה שהספקים שלך עושים בתוך המערכות שלך וכיצד הם מטפלים בנתונים קריטיים.
הקלטת מפגש . יכולת הקלטת הפעלות של Syteca מאפשרת לך להשמיע שוב הפעלות של משתמשים, ובכך לספק תצוגה מפורטת של פעולות המשתמש ואינטראקציות עם נתונים רגישים. אתה או מעריך אבטחה מוסמך יכולים לצפות בכל פעולה של העובדים ושל צדדים שלישיים שלך באמצעות נגן ידידותי למשתמש דמוי YouTube. פונקציונליות זו יכולה לסייע בחקירות שלאחר האירוע ולהקל על ניתוח משפטי אם מתרחשים תקריות אבטחה.
הפקת דוחות מסלול ביקורת . מלבד רישום, איסוף יומנים וניטור פעילות המשתמש בנקודות הקצה שלך, Syteca מספקת מסלולי ביקורת המבטיחים רישום מדויק ומוגן מפני חבלה של כל פעולות המשתמש. מסלולי ביקורת אלה יכולים לשמש ראיה מכרעת במהלך ביקורת PCI DSS כדי להוכיח עמידה בדרישות רישום וניטור.
Syteca מאפשרת לך לייצא תוצאות ניטור – אתה יכול לייצא הפעלת משתמש מלאה או חלקית בפורמט מוגן לחקירה משפטית.
זיהוי ותגובה של איומים פנימיים . Syteca מזהה ומתריע בפניך על התנהגות משתמש חשודה, מזהה איומים פוטנציאליים ואירועי אבטחת סייבר. אתה יכול גם להגדיר את הפלטפורמה לשלוח התראות מותאמות בזמן אמת כאשר מתרחשות פעילויות ספציפיות או הפרות מדיניות. לכן, צוות האבטחה שלך יוכל להגיב מיידית לאיומי אבטחה על ידי חסימת משתמשים, סיום יישומים ושליחת התראות בזמן אמת כדי לאתר שימוש לרעה בגישה.
אנונימיזציה של נתונים . כדי לעמוד בדרישת PCI DSS 3 בנוגע להגנה על מידע רגיש, Syteca מספקת את היכולת להסוות תוכן ספציפי במהלך ההקלטה וההשמעה של הפגישה, ומבטיחה שמידע רגיש לא ייחשף בהקלטות. ניתן להפוך את כל נתוני הפגישה לאנונימיים, כולל צילומי מסך, נתוני משתמש ומטא נתונים.
מַסְקָנָה
הכנה לביקורת PCI DSS אינה הליך קל והיא מצריכה גישה מקיפה הנותנת מענה לכל דרישות התקן. על ידי ביצוע השלבים המרכזיים המתוארים במאמר זה, ארגונים יכולים לעמוד בדרישות הביקורת של PCI DSS, לשפר את עמדת האבטחה שלהם, להפחית סיכונים ולהפגין את מחויבותם לשמירה על מידע רגיש של בעל הכרטיס.
מינוף פתרונות תאימות PCI DSS יכול לחזק את מאמצי התאימות שלך ולתרום לביקורת PCI DSS מוצלחת, להבטיח הגנה על נתוני מחזיקי הכרטיס ושיפור אמון הלקוחות. Ekarn System היא פתרון מקיף המספק ניטור חזק של פעילות משתמשים, יכולות זיהוי איומים פנימיים ויצירת מסלול ביקורת מקיף. זה יכול לעזור לך לעמוד בדרישות PCI DSS חיוניות ולהגן על נתוני בעל כרטיס יקרי ערך.
בנוסף ל-PCI DSS, Syteca יכולה לסייע לך בעמידה בדרישות אחרות כגון SOX , SWIFT , ISO 27001 ועוד .
