חברות כרטיסי האשראי יישמו תקן אבטחת מידע חדש

התקן מבחין בין ארבע רמות חשיפה של בתי עסק, בהתאם להיקף הפעילות (מחזור העסקות) של בית העסק ■ ככל שהיקף העסקות ומספרן גבוהים יותר, כך דרישות האבטחה מבית העסק מחמירות יותר

חברות כרטיסי האשראי בישראל - ישראכרט, לאומי קארד וכאל - יתחילו ליישם עד סוף השנה תקן אבטחת מידע חדש לתשלומים בכרטיסי אשראי. התקן החדש שנקרא PCI DSS (Payment Card Industry Data Security Standard) הוא תקן בינלאומי לאבטחת נתוני כרטיסי אשראי, שהגדירו חברות כרטיסי האשראי הבינלאומיות אמריקן אקספרס, ויזה ומאסטרקארד. התקן חל על סולקים, בתי עסק וחברות המפעילות נקודות מכירה אלקטרוניות.

החברות הישראליות ו-ויזה הבינלאומית פעלו יחד כדי לפתור את בעיית ההתאמה של התקן לשוק בישראל. לפני כמה שבועות הגיעו נציגי ויזה הבינלאומית לישראל, על מנת לוודא שהסוגיה מטופלת בארץ בדחיפות, ושהחברות הישראליות יעמדו בלוח הזמנים הנדרש להטמעת התקן בבתי עסק גדולים (מחזור עסקים גבוה מ-100 מיליון שקל) עד סוף השנה. חברות האשראי הבינלאומיות עלולות להטיל קנסות במקרה של אי-עמידה בלוחות הזמנים.

תקן PCI DSS נוצר כלקח מאירועים שבהם נחשפו נתוני כרטיסי אשראי, כתוצאה מאבטחה לקויה של המידע ומפעילות של גורמים עבריינים, אשר הסבו נזקים גבוהים בכסף ובמוניטין לבתי העסק ולתעשיית כרטיסי האשראי. התקן מבחין בין ארבע רמות חשיפה של בתי עסק, בהתאם להיקף הפעילות (מחזור העסקות) של בית העסק. ככל שהיקף העסקות ומספרן גבוהים יותר, כך דרישות האבטחה מבית העסק מחמירות יותר.

הדרישה הבסיסית היא מחיקת נתוני הלקוחות ממחשב בית העסק לאחר השימוש. כלומר נתוני כרטיס האשראי, כמו נתוני פס מגנטי ומספר CW2, לא יישמרו בבית העסק לאחר סיום הקנייה. חברות האשראי הבינלאומיות הגדירו לוחות זמנים לעמידה בתקן PCI DSS, כאשר בכל שנה יצטרפו להטמעת התקן בתי עסק קטנים יותר.