לשיחה עם מומחה

יעוץ וליווי תקינה

PCI DSS

תקן PCI DSS הוא סט של 12 דרישות אבטחה של חברות כרטיסי האשראי, החלות על כל עסק שמעבד, מאחסן או משדר נתוני כרטיס, בכל גודל ובכל מיקום. כדי לאמת תאימות נדרש לפחות מילוי שאלון הערכה עצמית שנתי (SAQ), ולעיתים גם צעדים נוספים, כאשר אי־עמידה עלולה לגרור קנסות וסנקציות.

צוות המומחים של InfoGuard מלווה אתכם במילוי SAQ ובתהליך סגירת הפערים עד לאימות/הסמכה לפי הצורך – כדי להגן על המידע, לחזק אמון ולשפר תהליכי אבטחה.

ליווי לעמידה בתקן PCI DSS לסליקה בטוחה

למה זה קריטי

עמידה ב־PCI DSS נועדה להגן על נתוני כרטיס/נתוני חשבון תשלום בסביבות שבהן המידע נשמר, מעובד או מועבר, ולהבטיח אימוץ עקבי של דרישות אבטחה בארגון.
בפועל, האתגר האמיתי הוא לא “להציג מסמכים יפים” – אלא להוכיח שליטה, תהליך עובד וניהול סיכונים סביב סביבת הסליקה (CDE), הספקים והמערכות שמתחברות אליה.

מהו תקן סליקה PCI DSS

PCI DSS הוא סט דרישות טכניות ותפעוליות שמספק “בסיס” לאבטחת מידע בעולם התשלומים, ומוגדר סביב 12 דרישות עיקריות.
גרסת PCI DSS v4.0.1 היא עדכון מוגבל שמבהיר ומתקן ניסוחים – בלי להוסיף או להסיר דרישות.

מה נדרש כדי לאמת תאימות (SAQ ומה שמעבר)

תקני הציות של PCI מחייבים אותך, לכל הפחות, להשלים שאלון הערכה עצמית שנתי (SAQ) כדי לאמת תאימות ל-PCI DSS.
במקרים מסוימים ייתכן שתידרש לנקוט צעדים נוספים כדי לאמת תאימות ל-PCI.

סוחר שאינו עומד בסטנדרטים של התקן עלול לעמוד בפני קנסות וסנקציות מצד חברות כרטיסי האשראי.

12 הדרישות של תקן PCI DSS  – תרגום עסקי למה נבחן בפועל

להלן 12 הדרישות העיקריות (כותרות התקן), ומה אנחנו בדרך כלל “מחפשים” בשטח ביום מבדק:

  1. Network Security Controls – סגמנטציה, חומות אש/בקרות רשת, זרימות מאושרות ומנוטרות.

  2. Secure Configurations – הקשחות, ביטול ברירות מחדל, סטנדרט קונפיגורציה ושינוי מבוקר.

  3. Protect Stored Account Data – מינימיזציה, הצפנה/טוקניזציה, ניהול מפתחות, מדיניות שמירה.

  4. Protect Data in Transit – הצפנה חזקה בהעברה ברשתות פתוחות/ציבוריות.

  5. Malicious Software Protection – אנטי־מלוואר/EDR, תהליכי תגובה, חריגות ותחזוקה.

  6. Secure Systems & Software – תיקוני אבטחה, ניהול חולשות, SDLC/שינויים, הקשחות אפליקטיביות.

  7. Restrict Access (Need to Know) – הרשאות מינימליות, תפקידי גישה, ביקורות תקופתיות.

  8. Identify & Authenticate Users – MFA היכן שנדרש, ניהול זהויות, מדיניות סיסמאות/אימות.

  9. Physical Access – שליטה פיזית על אזורים/מדיה שמחזיקים נתוני סליקה.

  10. Log & Monitor Access – לוגים, ניטור, קורלציה, התראות, שמירת ראיות.

  11. Test Security Regularly – סריקות/בדיקות, אימות סגמנטציה, בדיקות אפליקציה/רשת לפי היקף.

  12. Policies & Programs – מדיניות, הדרכות, תהליכי ספקים, Governance שמחזיק לאורך זמן.

איך InfoGuard מסייעת – שני מסלולי ליווי עיקריים

צוות המומחים של InfoGuard מציע שירותי מומחה לארגונים כדי שיוכלו לעמוד ולפעול בתאימות לדרישות התקן בשני אופנים:

  1. סיוע וייעוץ במילוי שאלון הערכה עצמית (SAQ) השנתי
    ליווי מסודר במענה על הסעיפים, התאמת הראיות הנדרשות, וסגירת פערים שמונעים הגשה תקינה.

  2. סיוע וייעוץ מומחה בתהליך ה-SAQ עד למעבר הסמכה/אימות רשמי (במידת הצורך)
    ליווי מקצה לקצה: מיפוי פערים, תכנית סגירה, הכנה לאימות, וניהול תהליך ההוכחה מול הדרישות.

מדוע בכלל חשוב תקן PCI DSS

למרות היותו דרישת חובה, יש כמה סיבות טובות מאוד להיות תואם PCI:

  • שקט נפשי – כי מערכות המידע שלך מוגנות טוב יותר מפני פושעי סייבר, איומים פנימיים ותוכנות זדוניות.

  • הגנה על המוניטין של החברה – הימנעות מנפח גבוה של פרסום שלילי הקשור להפרת נתונים של כרטיסי אשראי.

  • אמון הצרכנים – תאימות PCI DSS מוכיחה מחויבות עסקית אמיתית להגנה על מידע אישי, לא רק כרטיסי אשראי.

  • הימנעות מקנסות כספיים הקשורים להפרות נתונים וסנקציות מצד גורמים רלוונטיים.

  • שיפור תהליכים עסקיים בכל הקשור לאבטחת מידע ולהגנה על מידע רגיש.

למי השירות מתאים במיוחד

  • מסחר וחנויות ONLINE (Merchants) שמבצעים סליקה באתר/אפליקציה/מערכת פנימית.

  • חברות SaaS / פלטפורמות שנוגעות בתשלומים או מתחברות ל־PSP/Payment Gateway.

  • נותני שירות (Service Providers) שנוגעים בסביבת סליקה של לקוחות (תפעול, פיתוח, תמיכה, אירוח).

  • ארגונים שרוצים להפחית Scope בעזרת סגמנטציה/הפרדה/מינימיזציה כדי להקטין עלויות תאימות לאורך זמן.

  • חברות שעובדות עם ספקים/מערכות צד ג’ שמתחברות לתשלומים ורוצות לעשות סדר בדרישות, תיעוד ואימות

  • כל ארגון שרוצה להפחית סיכון, למנוע אירועי דליפה, ולהתנהל נכון לאורך השנה — לא רק “לקראת דדליין”

מה אנחנו ב-Infoguard עושים בפועל

אנחנו מובילים תהליך שמחבר טכנולוגיה + תהליכים + אנשים, בצורה פרקטית פשוטה ושקופה על מנת ליצור סביבה ארגונית בטוחה יותר

תהליך עבודה ב- 6 שלבים

  1. Kickoff והגדרת Scope: מיפוי זרימות תשלום, CDE, אינטגרציות וספקים.

  2. Gap Assessment מול PCI DSS: מיפוי פערים לפי דרישות רלוונטיות להיקף שלכם.

  3. תכנית סגירה (Remediation Plan): מה מתקנים, מי אחראי, ומה הראיות שיידרשו.

  4. ליווי יישום: הקשחות, הרשאות, לוגים, ניהול חולשות, תהליכים והדרכות.

  5. הכנה לאימות/בדיקה: “Dry Run” – בדיקת מוכנות, תיקון פערים אחרונים, איסוף Evidence.

  6. תמיכה בתהליך ה־Validation: SAQ/ROC לפי הצורך, ותכנית תחזוקה שנתית.

הערה: אם אתם SAQ-Eligible – יש שאלוני Self-Assessment רשמיים (SAQs) שמסייעים בדיווח עצמי, בהתאם לסוג הסביבה.

מה מקבלים בסוף

  • מסמך Scope וסכמת CDE/זרימות נתונים (ברמת הארגון).

  • דוח GAP ממופה לדרישות הרלוונטיות + דירוג פערים (מהותי/בינוני/נמוך).

  • Remediation Plan מעשי (משימות, בעלים, תלויות).

  • סט תוצרים תומכי מבדק: מדיניות/נהלים נדרשים, תיעוד בקרות, Evidence Pack.

  • תכנית “Continuous Compliance” לתחזוקה חודשית/רבעונית/שנתית.

למה לעבוד איתנו

  • ליווי שמייצר שליטה,

  • Tailor-Made לפי היקף וסיכון – כולל הקטנת Scope איפה שאפשר, כדי לחסוך עלויות לאורך זמן.

  • שקיפות מלאה: מה חובה, מה Best Practice, ומה באמת חשוב וייבדק.

  • הוליסטיות 360° – אנשים, תהליכים וטכנולוגיה בתמונה אחת.

  • כחלק מ־IDOR Group, כשצריך אפשר לחבר גם טכנולוגיות אבטחה או תגבור כוח אדם – בלי לאבד אחריות וניהול אצל Infoguard.

שאלות נפוצות בתקינה PCI DSS

האם התקן חל גם על עסק קטן?
כן. התקן חל על כל עסק שמעבד/מאחסן/משדר נתוני כרטיס אשראי — ללא קשר לגודל או מיקום.

האם כל ארגון חייב PCI DSS?
מי שנמצא בסביבה שבה נתוני תשלום/כרטיס נשמרים/מעובדים/מועברים – לרוב יידרש לעמידה כלשהי לפי הדרישות והיקף הפעילות.

מה ההבדל בין “לעמוד בתקן” לבין “לעבור מבדק”?
לעבור מבדק זה אירוע. לעמוד בתקן זה תהליך מתמשך: בקרות, ניטור, תיקונים, הרשאות, ספקים והדרכות.

מה זה CDE ולמה Scope חשוב?
CDE הוא אזור/סט רכיבים שנוגעים לנתוני תשלום. Scope נכון מקטין סיכון ועלויות – ו”מיישר” את כל הפרויקט.

האם PCI DSS v4.0.1 משנה את 12 הדרישות?
לא – זו גרסת הבהרות/תיקונים ללא הוספה/הסרה של דרישות.

אפשר לעשות את זה בלי להחזיק נתוני כרטיס אצלנו?
לעיתים כן, באמצעות תכנון ארכיטקטורה והסתמכות על ספקי תשלומים/טוקניזציה – ואז גם היקף הדרישות עשוי להשתנות. (נבדוק יחד לפי ה־flow בפועל.)

האם SAQ מספיק?
במינימום נדרש SAQ שנתי, אבל במקרים מסוימים יש צעדים נוספים לאימות. אנחנו מסייעים להבין מה נדרש אצלכם.

מה הסיכון אם לא עומדים בתקן?
חשיפה לסנקציות וקנסות מצד חברות כרטיסי האשראי, לצד סיכוני אבטחה ומוניטין במקרה של אירוע.

רוצים להבין מהר מה ההיקף שלכם, מה הפערים הקריטיים, ומה נדרש כדי להתקדם ל־PCI DSS בצורה רגועה?
השאירו פרטים ונקבע שיחת אבחון קצרה.

Share
יצירת קשר

שלחו לנו הודעה ונדאג לחזור אליכם בהקדם.

אינפוגארד איש ליד מחשב
  • כל המאמרים, סקרי סיכונים

5 דק׳ קריאה

נוהל אבטחת מידע

ה־GDPR הוא הרבה יותר מ"חוק אירופאי". הוא קובע סטנדרטים בינלאומיים להגנת הפרטיות שיכולים להשפיע גם על ארגונים בישראל. נסביר מה דורש החוק, למי הוא חל, ואיך להתכונן לעמידה בתקנות.
קראו עוד
  • כל המאמרים, סקרי סיכונים

5 דק׳ קריאה

נוהל אבטחת מידע

ה־GDPR הוא הרבה יותר מ"חוק אירופאי". הוא קובע סטנדרטים בינלאומיים להגנת הפרטיות שיכולים להשפיע גם על ארגונים בישראל. נסביר מה דורש החוק, למי הוא חל, ואיך להתכונן לעמידה בתקנות.
קראו עוד
אינפוגארד איש ליד מחשב
  • כל המאמרים, סקרי סיכונים

5 דק׳ קריאה

סקר אבטחת מידע

ה־GDPR הוא הרבה יותר מ"חוק אירופאי". הוא קובע סטנדרטים בינלאומיים להגנת הפרטיות שיכולים להשפיע גם על ארגונים בישראל. נסביר מה דורש החוק, למי הוא חל, ואיך להתכונן לעמידה בתקנות.
קראו עוד
לשיחה עם מומחה