PCI DSS

PCI DSS – תקן אבטחת מידע לעוסקים בכרטיסי אשראי

PCI DSS (Payment Card Industry Data Security Standard) הוא תקן אבטחת מידע בינלאומי שמטרתו להגן על פרטי כרטיסי אשראי ולצמצם הונאות, דליפות מידע ופשיעת סייבר פיננסית.
התקן נוצר על ידי חברות האשראי הגדולות (Visa, MasterCard, American Express, Discover ו-JCB) והוא מחייב כל ארגון שמעבד, שומר או מעביר נתוני כרטיסי אשראי.

בעולם שבו תשלומים דיגיטליים הם חלק בלתי נפרד מכל פעילות עסקית — אתרי סחר, אפליקציות, מוקדי שירות, מערכות סליקה ואפילו קופות פיזיות — הגנה על פרטי תשלום היא קריטית להמשכיות העסקית ולאמון הלקוחות.

דליפה של פרטי אשראי אינה רק אירוע טכנולוגי — היא אירוע עסקי ומשפטי חמור שעלול לגרור קנסות כבדים, תביעות, חסימת אפשרות לסלוק כרטיסי אשראי ופגיעה משמעותית במוניטין.

מה נחשב "נתוני כרטיס אשראי"?

PCI DSS מתייחס לנתונים רגישים במיוחד הנקראים Cardholder Data (CHD) ו-Sensitive Authentication Data (SAD).

Cardholder Data כולל:

  • מספר כרטיס אשראי (PAN)

  • שם בעל הכרטיס

  • תוקף הכרטיס

  • קוד שירות (Service Code)

Sensitive Authentication Data כולל:

  • קוד אבטחה (CVV / CVC)

  • נתוני פס מגנטי

  • PIN וקוד אימות PIN

שמירה של SAD לאחר אישור העסקה – אסורה לחלוטין.

על מי חל התקן?

PCI DSS חל על כל ארגון שמקבל תשלומים בכרטיסי אשראי – בלי קשר לגודל החברה.

✔ אתרי איקומרס
✔ חנויות פיזיות
✔ מוקדי שירות טלפוניים
✔ אפליקציות תשלום
✔ חברות SaaS עם גבייה באשראי
✔ ספקי שירותי סליקה
✔ חברות שמפתחות מערכות תשלום
✔ ספקי IT או ענן שנוגעים בסביבת הסליקה

גם אם הסליקה נעשית דרך צד שלישי — ייתכן שהארגון עדיין נמצא תחת דרישות התקן.

מטרת התקן

PCI DSS נועד לצמצם סיכונים של:

🔓 גניבת פרטי אשראי
💻 פריצות למערכות תשלום
🕵️ הונאות פיננסיות
📉 פגיעה באמון לקוחות
⚖️ חשיפה משפטית וכלכלית

התקן יוצר סטנדרט אבטחה אחיד שמגן על שרשרת התשלומים כולה.

רוצים לדבר עכשיו?

או השאירו פרטים
ונחזור אליכם בהקדם

12 הדרישות המרכזיות של PCI DSS

התקן מחולק ל-12 דרישות אבטחה עיקריות, המאורגנות סביב 6 מטרות על:

🔥 בניית רשת מאובטחת

  1. התקנת והגדרת חומת אש

  2. אי שימוש בסיסמאות ברירת מחדל

🔐 הגנה על נתוני כרטיס

  1. הצפנת נתוני אשראי במנוחה

  2. הצפנת נתונים במעבר ברשתות ציבוריות

🛡 ניהול פגיעויות

  1. שימוש באנטי וירוס ועדכונים שוטפים

  2. פיתוח ותחזוקה מאובטחת של מערכות

👤 בקרת גישה

  1. גישה לפי עקרון הצורך לדעת

  2. זיהוי ייחודי לכל משתמש

  3. אבטחה פיזית של מערכות

📊 ניטור ובקרה

  1. מעקב ורישום גישות למידע

  2. בדיקות אבטחה שוטפות (סריקות ו-Pen Tests)

📋 מדיניות אבטחה

  1. ניהול מדיניות אבטחת מידע ארגונית

רמות תאימות (Merchant Levels)

היקף הדרישות משתנה לפי נפח העסקאות השנתי:

  • Level 1 – מעל 6 מיליון עסקאות בשנה

  • Level 2–4 – ארגונים קטנים יותר

ארגונים גדולים נדרשים לביקורת חיצונית (QSA), וקטנים יותר נדרשים למילוי שאלון SAQ וביצוע סריקות תקופתיות.

סיכונים באי עמידה בתקן

❌ קנסות של עשרות עד מאות אלפי דולרים
❌ העלאת עמלות סליקה
❌ שלילת אפשרות לסלוק כרטיסי אשראי
❌ חובת חקירה פורנזית יקרה
❌ פגיעה קשה באמון לקוחות
❌ תביעות משפטיות

במקרים חמורים – עסקים פשוט מפסיקים לפעול.

טעויות נפוצות של ארגונים

🚫 שמירת מספרי אשראי ללא צורך
🚫 היעדר הפרדה בין רשת משרדית לרשת תשלומים
🚫 שימוש בסיסמאות חלשות
🚫 חוסר בניטור לוגים
🚫 אי ביצוע בדיקות חדירות תקופתיות
🚫 תלות בספק חיצוני ללא בקרה פנימית

איך YL Solutions מסייעת בהטמעת PCI DSS?

YL Solutions מלווה ארגונים בתהליך יישום מקיף של דרישות התקן:

✔ מיפוי סביבת הסליקה והגדרת Scope
✔ ביצוע Gap Analysis מול דרישות התקן
✔ בניית ארכיטקטורה מאובטחת לסביבת תשלומים
✔ כתיבת נהלים ומדיניות אבטחת מידע
✔ ליווי ביישום הצפנה, הפרדות רשת וניהול גישה
✔ הכנה לסריקות רבעוניות (ASV)
✔ תיאום וליווי מבדקי חדירות
✔ הכנת הארגון למילוי SAQ או ביקורת QSA
✔ הדרכות עובדים בנושא טיפול במידע אשראי
✔ ליווי שוטף לשמירה על תאימות מתמשכת

המטרה היא לצמצם סיכונים, לעבור את הבדיקות בהצלחה ולשמור על סביבת תשלומים מאובטחת לאורך זמן.

הערך העסקי של עמידה ב-PCI DSS

✨ חיזוק אמון הלקוחות במערכות התשלום
✨ צמצום סיכונים פיננסיים ותפעוליים
✨ עמידה בדרישות חברות האשראי
✨ מניעת קנסות והפסדים עתידיים
✨ שיפור רמת אבטחת המידע הארגונית כולה

PCI DSS הוא לא רק דרישת חברות האשראי — הוא שכבת הגנה קריטית לעסק שמבצע פעילות פיננסית דיגיטלית.