ליווי לעמידה בתקן PCI DSS לסליקה בטוחה

מדוע התקן קריטי!

עמידה ב־PCI DSS נועדה להגן על נתוני כרטיס/נתוני חשבון תשלום בסביבות שבהן המידע נשמר, מעובד או מועבר, ולהבטיח אימוץ עקבי של דרישות אבטחה בארגון.
בפועל, האתגר האמיתי הוא לא “להציג מסמכים יפים” – אלא להוכיח שליטה, תהליך עובד וניהול סיכונים סביב סביבת הסליקה (CDE), הספקים והמערכות שמתחברות אליה.

מהו תקן סליקה PCI DSS

PCI DSS הוא סט דרישות טכניות ותפעוליות שמספק “בסיס” לאבטחת מידע בעולם התשלומים, ומוגדר סביב 12 דרישות עיקריות.
גרסת PCI DSS v4.0.1 היא עדכון מוגבל שמבהיר ומתקן ניסוחים – בלי להוסיף או להסיר דרישות.

מה נדרש כדי לאמת תאימות (SAQ ומה שמעבר)

תקני הציות של PCI מחייבים אותך, לכל הפחות, להשלים שאלון הערכה עצמית שנתי (SAQ) כדי לאמת תאימות ל-PCI DSS.
במקרים מסוימים ייתכן שתידרש לנקוט צעדים נוספים כדי לאמת תאימות ל-PCI.

סוחר שאינו עומד בסטנדרטים של התקן עלול לעמוד בפני קנסות וסנקציות מצד חברות כרטיסי האשראי.

12 הדרישות של תקן PCI DSS  – תרגום עסקי למה נבחן בפועל

להלן 12 הדרישות העיקריות (כותרות התקן), ומה אנחנו בדרך כלל “מחפשים” בשטח ביום מבדק:

1. Network Security Controls – סגמנטציה, חומות אש/בקרות רשת, זרימות מאושרות ומנוטרות.

2. Secure Configurations – הקשחות, ביטול ברירות מחדל, סטנדרט קונפיגורציה ושינוי מבוקר.

3. Protect Stored Account Data – מינימיזציה, הצפנה/טוקניזציה, ניהול מפתחות, מדיניות שמירה.

4. Protect Data in Transit – הצפנה חזקה בהעברה ברשתות פתוחות/ציבוריות.

5. Malicious Software Protection – אנטי־מלוואר/EDR, תהליכי תגובה, חריגות ותחזוקה.

6. Secure Systems & Software – תיקוני אבטחה, ניהול חולשות, SDLC/שינויים, הקשחות אפליקטיביות.

7. Restrict Access (Need to Know) – הרשאות מינימליות, תפקידי גישה, ביקורות תקופתיות.

8. Identify & Authenticate Users – MFA היכן שנדרש, ניהול זהויות, מדיניות סיסמאות/אימות.

9. Physical Access – שליטה פיזית על אזורים/מדיה שמחזיקים נתוני סליקה.

10. Log & Monitor Access – לוגים, ניטור, קורלציה, התראות, שמירת ראיות.

11. Test Security Regularly – סריקות/בדיקות, אימות סגמנטציה, בדיקות אפליקציה/רשת לפי היקף.

12. Policies & Programs – מדיניות, הדרכות, תהליכי ספקים, Governance שמחזיק לאורך זמן.

מדוע בכלל חשוב תקן PCI DSS

למרות היותו דרישת חובה, יש כמה סיבות טובות מאוד להיות תואם PCI:

• שקט נפשי – כי מערכות המידע שלך מוגנות טוב יותר מפני פושעי סייבר, איומים פנימיים ותוכנות זדוניות.
• הגנה על המוניטין של החברה – הימנעות מנפח גבוה של פרסום שלילי הקשור להפרת נתונים של כרטיסי אשראי.
• אמון הצרכנים – תאימות PCI DSS מוכיחה מחויבות עסקית אמיתית להגנה על מידע אישי, לא רק כרטיסי אשראי.
• הימנעות מקנסות כספיים הקשורים להפרות נתונים וסנקציות מצד גורמים רלוונטיים.
• שיפור תהליכים עסקיים בכל הקשור לאבטחת מידע ולהגנה על מידע רגיש.

מה זה SAQ (Self-Assessment Questionnaire)

שאלון הערכה עצמית שנתי לאימות תאימות ל-PCI DSS

SAQ הוא שאלון הערכה עצמית שנתי שמאפשר לעסק או לספק שירות לאמת תאימות ל-PCI DSS באמצעות דיווח מובנה על עמידה בדרישות האבטחה הרלוונטיות לסביבת הסליקה שלו. השאלון מותאם לסוג הסביבה והיקף החשיפה לנתוני כרטיס (למשל האם הנתונים נשמרים, מעובדים או עוברים דרך מערכות הארגון, או מטופלים אצל ספק תשלומים), וברוב המקרים דורש גם איסוף תיעוד וראיות תומכות. בפועל, SAQ מגדיר את ה-Scope, מציף פערים קריטיים, ומסייע לבנות תוכנית תיקון שמאפשרת להגיש דיווח תקין ולעמוד בדרישות התקן לאורך השנה.

כיצד InfoGuard מסייעת בשני מסלולי ליווי עיקריים

צוות המומחים של InfoGuard מציע שירותי מומחה לארגונים כדי שיוכלו לעמוד ולפעול בתאימות לדרישות התקן בשני אופנים:

1. סיוע וייעוץ במילוי שאלון הערכה עצמית (SAQ) השנתי
   ליווי מסודר במענה על הסעיפים, התאמת הראיות הנדרשות, וסגירת פערים שמונעים הגשה תקינה.

2. סיוע וייעוץ מומחה בתהליך ה-SAQ עד למעבר הסמכה/אימות רשמי (במידת הצורך)
   ליווי מקצה לקצה: מיפוי פערים, תכנית סגירה, הכנה לאימות, וניהול תהליך ההוכחה מול הדרישות.

מה אנחנו ב-Infoguard עושים בפועל

אנחנו מובילים תהליך שמחבר טכנולוגיה + תהליכים + אנשים, בצורה פרקטית פשוטה ושקופה על מנת ליצור סביבה ארגונית בטוחה יותר

תהליך עבודה ב- 6 שלבים:

1. Kickoff והגדרת Scope: מיפוי זרימות תשלום, CDE, אינטגרציות וספקים.

2. Gap Assessment מול PCI DSS: מיפוי פערים לפי דרישות רלוונטיות להיקף שלכם.

3. תכנית סגירה (Remediation Plan): מה מתקנים, מי אחראי, ומה הראיות שיידרשו.

4. ליווי יישום: הקשחות, הרשאות, לוגים, ניהול חולשות, תהליכים והדרכות.

5. הכנה לאימות/בדיקה: “Dry Run” – בדיקת מוכנות, תיקון פערים אחרונים, איסוף Evidence.

6. תמיכה בתהליך ה־Validation: SAQ/ROC לפי הצורך, ותכנית תחזוקה שנתית.

הערה: אם אתם SAQ-Eligible – יש שאלוני Self-Assessment רשמיים (SAQs) שמסייעים בדיווח עצמי, בהתאם לסוג הסביבה.

מה מקבלים בסוף:

• מסמך Scope וסכמת CDE/זרימות נתונים (ברמת הארגון).

• דוח GAP ממופה לדרישות הרלוונטיות + דירוג פערים (מהותי/בינוני/נמוך).

• Remediation Plan מעשי (משימות, בעלים, תלויות).

• סט תוצרים תומכי מבדק: מדיניות/נהלים נדרשים, תיעוד בקרות, Evidence Pack.

• תכנית “Continuous Compliance” לתחזוקה חודשית/רבעונית/שנתית.

מדוע לעבוד איתנו

• ליווי שמייצר שליטה, בטחון וודאות

• Tailor-Made לפי היקף וסיכון – כולל הקטנת Scope איפה שאפשר, כדי לחסוך עלויות לאורך זמן.

• שקיפות מלאה – מה חובה, מה Best Practice, ומה ייבדק ומה באמת חשוב לארגון שלכם.

• הוליסטיות 360° – אנשים, תהליכים וטכנולוגיה בתמונה אחת.

• חלק מקבוצה מתמחה – IDOR Group – כשצריך אפשר לחבר גם טכנולוגיות אבטחה או תגבור כוח אדם – בלי לאבד אחריות וניהול אצל Infoguard.

שאלות נפוצות בתקינה PCI DSS

האם התקן חל גם על עסק קטן?
כן. התקן חל על כל עסק שמעבד/מאחסן/משדר נתוני כרטיס אשראי — ללא קשר לגודל או מיקום.

האם כל ארגון חייב PCI DSS?
מי שנמצא בסביבה שבה נתוני תשלום/כרטיס נשמרים/מעובדים/מועברים – לרוב יידרש לעמידה כלשהי לפי הדרישות והיקף הפעילות.

מה ההבדל בין “לעמוד בתקן” לבין “לעבור מבדק”?
לעבור מבדק זה אירוע. לעמוד בתקן זה תהליך מתמשך: בקרות, ניטור, תיקונים, הרשאות, ספקים והדרכות.

מה זה CDE ולמה Scope חשוב?
CDE הוא אזור/סט רכיבים שנוגעים לנתוני תשלום. Scope נכון מקטין סיכון ועלויות – ו”מיישר” את כל הפרויקט.

האם PCI DSS v4.0.1 משנה את 12 הדרישות?
לא – זו גרסת הבהרות/תיקונים ללא הוספה/הסרה של דרישות.

אפשר לעשות את זה בלי להחזיק נתוני כרטיס אצלנו?
לעיתים כן, באמצעות תכנון ארכיטקטורה והסתמכות על ספקי תשלומים/טוקניזציה – ואז גם היקף הדרישות עשוי להשתנות. (נבדוק יחד לפי ה־flow בפועל.)

האם SAQ מספיק?
במינימום נדרש SAQ שנתי, אבל במקרים מסוימים יש צעדים נוספים לאימות. אנחנו מסייעים להבין מה נדרש אצלכם.

מה הסיכון אם לא עומדים בתקן?
חשיפה לסנקציות וקנסות מצד חברות כרטיסי האשראי, לצד סיכוני אבטחה ומוניטין במקרה של אירוע.

רוצים להבין מהר מה ההיקף שלכם, מה הפערים הקריטיים, ומה נדרש כדי להתקדם ל־PCI DSS בצורה רגועה?
השאירו פרטים ונקבע שיחת אבחון קצרה.