כניסה לממשק האחסון

24/7

שירות ותמיכה טכנית. תגובה תוך- 10 דקות
03-6030055

תקן PCI – שאלות נפוצות

מהו תקן PCI ?

זהו תקן בינלאומי PCI (Payment Card Industry) של אבטחת מידע הנדרש מאתרי אינטרנט על מנת שאלה יהיו מורשים להשתמש ולסלוק כרטיסי אשראי.
זה לא מכבר, חברות האשראי בישראל החליטו ליישר קו ולדרוש מלקוחותיהם לעמוד בתקן הנ”ל,
ולכן כל מי שמבקש לסלוק כרטיסי אשראי מחברות האשראי מתבקש לעמוד בתקן ולענות על שאלות רבות בנושא אבטחת האתר, השרת ומנגנוני ההגנה והאבטחה של המערכת.

השאלון שמקבלים מחברות האשראי

להלן השאלות שמופיעות בשאלון שחברות האשראי מבקשות לדעת על ארגונכם במטרה לאשר שאתם עומדים בתקן ה PCI, ועזרים על מנת שתוכלו לענות נכונה על השאלות.

1. מיקום השרתים ותיאור אבטחה פיסית שלהם

השרתים ממוקמים בחוות השרתים של 012 smile ו-בזק בינלאומי.
בחוות השרתים ישנה אבטחה 24 שעות ביממה הכוללת כניסה למורשים בלבד, שומרים, מצלמות אבטחה ועוד

2. האם השרתים בבעלות האתר/חברה?

אם רכשתם את השרתים אזי השרתים בבעלות החברה. אם אתם משתמשים בשרתים וירטואלים או באיחסון שיתופי או בשרתים יעודיים בהשכרה אזי השרתים הינם בבעלות אבולוציה אונליין.

3. מי מתפעל את השרתים?

במידה והינכם מנויים על שירותי הניהול של אבולוציה , אז אבולוציה אונליין היא הגורם המתפעל את השרתים.

4. תיאור המערכת והתהליכים

כאן עליכם לפרט מהי בדיוק המערכת / האתר שלכם. כיצד עובדים איתו הן בממשק הניהול והן מצד הלקוח. יש לפרט את תהליך הקניה של לקוח הקצה וכיצד ההזמנה מטופל בממשק הניהול. אם יש מערכות נוספות (כמו מער’ הנהלת חשבונות שאליה מגיעים הנתונים וכו’) יש לכתוב פירוט. על פי רוב מי שידע לפרט את הנושאים הללו זה מי שכתב את המערכת שלכם / האתר שלכם.

5. תיאור מנגנוני האבטחה במערכת ברמת התקשורת

ללקוחות עם שרתים וירטואלים, שרתים יעודיים – ישנו Firewall שיתופי ב Cluster כפול (לשרידות ויתירות) של Juniper החוסם את כל הפורטים הלא רלוונטים לעולם ומאפשר גישה רק לבעלי כתובותIP מורשות
ללקוחות שיש להם יותר משרת אחד, לעיתים יש מערכת של Firewall / Firewall cluster יעודית = ובמקרים כאלה רמת האבטחה והשירותים שרצים מה firewall מורכבת וגדולה יותר (כמו לדוגמא deep inspection וכו’) – במקרים אלו יש ליצור קשר עם המשרד ולקבל את הפרטים המלאים.

6. האם מקבל שירותי ניטור שימוש לרעה (Fraud) מגורם כלשהו? מי?

נכון להיום אבולוציה אונליין איננה מספקת שירותים כאלה. במידה ואתם מתעדכנים מ feeds של fraud יש להתעדכן מול התוכניתן או מי שמנהל את האתר.

7. תיאור מנגנוני אבטחה ברמת מערכת ההפעלה:

אם הינכם ללקוחות שמנויים על שירותי הניהול:

  • מערכת ההפעלה מוקשחת בעת ההתקנה על ידי אבולוציה אונליין.
  • שינוי הרשאות ברירת המחדל של מערכת ההפעלה.
  • ביטול משתמשי ברירת מחדל ברמת מערכת ההפעלה ושירותים נפוצים.
  • מחיקת סקריפטים המותקנים כברירת מחדל ושיכולים לאפשר לפורצים להשתמש בהם.
  • מידור services עם משתמשים בעלי הרשאות On a need to know basis.
  • שינוי פורטים של ברירת מחדל עבור פרוטוקולים מסויימים.
  • ISAPI Filters המיועדים להגנה ראשונית בפני SQL Injections רצים ברמת ה IIS.
  • פתיחת פורטים נחוצים לעולם והגבלת שאר הפורטים לכתובות IP מורשות בלבד.
  • עדכוני אבטחה של מערכת ההפעלה מותקנים בשרת.
  • עדכוני אבטחה קריטים של מסדי נתונים מותקנים.

שירותים נוספים בתשלום שניתן להוסיף:

  • סריקת לאיתור חולשות אבטחה ופירצות אבטחה ברמת הרשת ומערכת ההפעלה – עלות השירות 700$ ל-2 סריקות בשנה וטיפול בממצאים ברמת ה high ומעלה (ללקוחות מנוהלים).
  • אנטי וירוס ל File server– עלות 100$ לשרת לשנה
  • IPS – מערכת IPS שמותקנת על השרת (Intrusion Prevention System – מערכת למניעת חדירות). מערכת זו מומלצת לכל שרת (מנוהל או לא) בכדי שיגן באופן מלא על האפליקציה שלו מפני התקפות שונות (למשל SQL Injection ). המערכת מתעדכנת באופן תמידי על חתימות התקפה חדשות ומביאה כל שרת לתקן PCI . אבולוציה מאפשר את השימוש במערכת מחיר חודשי מוזל בצורה משמעותית עבור לקוחותיה.

8. פירוט אופן בקרת עסקאות כנגד שימוש לרעה (Fraud) ברמת בית-העסק

יש לשאול את התוכניתן של האתר

9. תיאור אופן ההגנה על פרטי לקוחות האתר (כולל פרטיי-אשראי):

יש לשאול את התוכניתן של האתר

10. האם מספרי הכרטיסים נשמרים כקובץ מוצפן?

יש לשאול את התוכניתן של האתר

11. האם ובאיזה תדירות נמחקים מספרי כרטיסי האשראי מהקובץ?

יש לשאול את התוכניתן של האתר

12. תיאור הגנת ה- SOURCE של המערכת:

יש לשאול את התוכניתן של האתר[

13. האם שרת האפליקציה מופרד משרת ה- WEB?

על פי רוב מערכות אינטרנטיות הינן מערכות Web ולכן מערכות קטנות ובינוניות בדר”כ לא מופרדות משרת ה Web.
כן נהוג להפריד בין השרת שמחזיק את מסד הנתונים לבין השרת שמריץ את דפי האינטרנט (IIS או Apache)
תוכניתנים שרוצים להגדיל את האבטחה של האתר מחלקים את פיתוח האתר לשכבות ומפרידים בין ה GUI (מה שהלקוח רואה) לבין הלוגיקה (שרת האפליקציה) ואותה שומרים בשרת אחר כך שהיא רצה כ Web service או Service רגיל.

התשובה לשאלה זו היא מאוד אינדבדואלית ויש לשאול את התוכניתן. לקוחות שרוצים להפריד בין השכבות השונות ועל ידי כך לתת אלמנט אבטחה נוסף יכולים לעשות כן בקלות יחסית (במיוחד שמדובר בין מסד הנתונים לבין שרת ה Web)

14. תיאור מנגנוני בקרה למקרה שהמערכת נפרצה:

ללקוחות שיש שירותי גיבוי (שירות בתוספת תשלום שאינו מגיע עם שירותי הניהול) נהנים מ-3 מגיבוים מלאים! של המערכת ומסדי הנתונים שלהם. בהם הם יכולים להשתמש במידת הצורך לשחזר מידע / קבצים. עלות השירות 25$ לחודש לשרת.

15. האם המערכת מקושרת למערכות אחרות?

יש לשאול את התוכניתן של האתר

16. האם ישנה גישה מרחוק למערכת לצרכי תחזוקה?

לקוחות עם שירותי ניהול: גישה מרחוק קיימת לצוות הטכני ב אבולוציה שהווסמך לכך.
(אלא אם כן ביקשתם גישה בעצמכם לשרת, דבר שאנו לא ממליצים עליו)

17. האם ומתי בוצעה בדיקת חוסן לבחינת עמידות המערכת ורמת האבטחה המיושמת בה?

בדיקת חוסן לשרתים מתבצעת לאחר התקנתם (ללקוחות עם שרתים מנוהלים)
בדיקות חוסן ניתן לבצע באופן חד פעמי או תקופתי (אנא קראו את סעיף מספר 7)

אז למה אתה מחכה? לחץ כאן לפתיחת חשבון!

התחל עכשיו >