התשלום באמצעות כרטיסי אשראי נעשה נפוץ יותר ויותר. עם זאת, הדבר דורש גם אמצעי אבטחה הדוקים בנוגע לכרטיסי אשראי ונתוני עסקאות כדי להעלות את אמון הצרכנים בשיטת תשלום זו. לפיכך, מומחי אבטחה של חברות כרטיסי האשראי ישבו יחד ופיתחו פתרון משותף. כל חברה שמעבדת, משדרת או מאחסנת נתוני כרטיסי אשראי חייבת לפעול לפי כמה הנחיות בטיחות לאבטחת נתונים. המטרה היא לגרום לכל הסוחרים שמקבלים כרטיסים של חברות אלה לציית באופן מלא ל'תעשיית כרטיסי תשלום - תקן אבטחת נתונים' (PCI), שנקרא בעבר 'תוכנית לאבטחת מידע למחזיקי כרטיסי אשראי' (CISP).

הגרסה הנוכחית של התקן פותחה במהלך תקופה של כמה שנים בלבד. VISA השיקה את התוכנית לאבטחת מידע למחזיקי כרטיסי אשראי (CISP) בשנת 2001. זו היתה התוכנית הראשונה מסוגה והיא חייבה את הסוחרים וספקי השירותים לציית לכמה תקנים ספציפים של אבטחת נתונים. לאחר כמה שנים, VISA, ‏MasterCard, ‏American Express, ‏Discover, ‏Diners Club ו-JCB יצרו תאימות בין נוהלי המדיניות שלהן והשיקו את 'תעשיית כרטיסי תשלום - תקן אבטחת נתונים' (PCI-DSS), גרסה מעודכנת ומקיפה יותר של התקן, שהפכה לדרישה מחייבת עבור כל הסוחרים וספקי השירותים ביוני 2005. לאחר העדכון הנוסף בספטמבר 2006, התקן כולל כעת כ-‏160 דרישות שהפכו למחייבות בסוף יוני 2007. הסכם זה אינו נמר של נייר: ב-‏2006 בלבד, VISA הגישה תביעות בסך 4.6 מיליון דולר כנגד סוחרים שלא צייתו לתקנים. זו עלייה של 35% בהשוואה לשנה הקודמת.

תקן PCI הנוכחי כולל כללים מחמירים לעיבוד ואחסון של נתוני כרטיסי אשראי. הסוחרים חייבים לפעול לפי כללים אלה כדי לשמר את מעמדם כשותפים של חברות כרטיסי האשראי וכדי להימנע מתשלום קנסות גדולים. ייתכן שהבנק שלך יצר איתך קשר בחודשים האחרונים עם מידע לגבי PCI והחשיבות שלו במניעת הונאות בכרטיסי אשראי.

בתחילת השנה, ארגוני כרטיסי האשראי VISA ו-MasterCard הגיעו להסכמה על תקנים משותפים כדי ליצור דרך פעולה אחידה ליישום דרישות אבטחה. תקני אבטחת נתונים אלה של תעשיית כרטיסי התשלום (PCI) תקפים לגבי כל תעשיית התשלום בכרטיסי אשראי.

תקנות PCI מציינות 12 דרישות לתאימות שכל הסוחרים וספקי השירותים שמקבלים כרטיסי VISA חייבים למלא:

בנייה וקיום של רשת מאובטחת
1. התקן וקיים תצורת חומת אש כדי להגן על הנתונים של מחזיקי כרטיסי האשראי
2. אל תשתמש בברירות מחדל של הספק עבור סיסמאות רשת ופרמטרים אחרים של אבטחה

הגנה על הנתונים של מחזיקי כרטיסי האשראי
3. הגן על הנתונים של מחזיקי כרטיסי האשראי המאוחסנים. אל תאחסן נתונים לא נחוצים של כרטיסים או עסקאות כגון מספרי כרטיסים מלאים, נתוני פסים מגנטיים, קודי אימות כרטיסים (CVV2) או מספרי PIN.
4. הצפן שידורים של נתונים של מחזיקי כרטיסי אשראי ומידע רגיש בעת השימוש ברשתות ציבוריות פתוחות.

קיום תוכנית לניהול סיכונים
5. השתמש ועדכן בקביעות תוכנות אנטי-וירוס
6. פתח וקיים מערכות ויישומים מאובטחים

יישום אמצעים רבי-עוצמה של בקרת גישה
7. הגבל גישה לנתונים של מחזיקי כרטיסי אשראי לפי סיווגים עסקיים
8. הקצה מזהה ייחודי לכל אדם שיש לו גישה למחשב
9. הגבל גישה פיזית לנתונים של מחזיקי כרטיסי אשראי

ניטור ובדיקה של רשתות באופן קבוע
10. עקוב אחר כל הגישה למשאבי הרשת ולנתונים של מחזיקי כרטיסי אשראי ונטר אותם
11. בדוק את המערכות והתהליכים של האבטחה בקביעות

קיום מדיניות של אבטחת מידע
12. קיים מדיניות שמטפלת באבטחת מידע

ניתן למצוא הסברים מפורטים של 12 הדרישות כאן.

אחד מהמרכיבים החשובים ביותר בתוכנית אבטחת הנתונים של PCI בעלת 12 הנקודות הוא האיסור על אחסון נתונים מלאים של כרטיסי אשראי ו-CW בצורה כלשהי לאחר האישור המוצלח. זו נקודה חיונית משום שהגישה לנתונים רגישים אלה מאפשרת זיוף של כרטיסי אשראי.

אם ביקורת כלשהי תגלה שאתה, כסוחר, אחסנת נתוני כרטיסי אשראי ב-POS (קופות), ב-PMS (מערכת משרד קבלה) או במשרדי החברה, קיימת סבירות גבוהה ש-VISA תקנוס את הבנק שלך, אשר יעביר את הקנס אליך בשל חוסר ציות לתקנים. VISA מודעת לכך שמוצרי POS ו-PMS מסוימים מאחסנים נתונים של כרטיסי אשראי.

מובן מאליו שכל ספקי ה-IT בתעשיה כולה מושפעים מכך, כמו גם ספקי שירותי העסקאות. בקש גם מספק שירותי העסקאות שלך לאשר את התאימות ל-PCI.

סוחרים וספקי שירותים נדרשים לציית ל'תקני אבטחת הנתונים של PCI' בעת עיבוד נתונים של כרטיסי אשראי ועסקאות. פירוש הדבר הוא ניהול תהליך אישור מצד סוכן מורשה מטעם VISA ו-MasterCard.

אנחנו ב-MICROS-Fidelio מתייחסים ליוזמה זו ברצינות רבה. עם ההכרזה על הקווים המנחים החדשים של האיגוד, שאסרו על האחסון הנפוץ של נתוני כרטיסי אשראי, ביצענו שינויים בכל יישומי התוכנה שלנו כדי לציית לתקנות החדשות.

מאז הוספנו מספר שינויים נוספים כדי ליצור תאימות מלאה ככל האפשר ל-PCI. אנו מציעים גרסאות תואמות ל-PCI של מוצרי MICROS-Fidelio בתור שדרוגים ללקוחות שלנו. ניתן לבצע שדרוגים קטנים יותר או תיקונים בעזרת התמיכה של MICROS-Fidelio. ברר בתמיכה אם ניתן להפיץ תיקון עבור המוצר שברשותך.

מאז 2006, MICROS-Fidelio נחשבת ליצרנית תוכנה מורשית של יישומי תשלום התואמים לתקני הבטיחות. ניתן למצוא רשימה של כל ספקי התוכנה המורשים והיישומים שלהם באתר האמריקני הרשמי של VISA, או ללחוץ כאן.

מומלץ לא להסתפק בבדיקה שגרסת המוצר שלך תואמת ל-PCI אלא גם לוודא שכל אפשרויות ההגדרה הדרושות לתאימות נקבעו כראוי. ניתן למצוא רשימה של כל המערכות המאושרות על-ידי PCI כאן.

מחלקות התמיכה שלנו ישמחו לסייע לך באפשרויות התצורה. ניתן ליצור איתנו קשר במהלך שעות העבודה הרגילות של התמיכה במסגרת אפשרויות יצירת הקשר הרגילות של התמיכה. במקרה שנדרש שדרוג תוכנה, נסייע לך בתכנון ובקביעת לוח הזמנים.

כדי לפנות למרכז התמיכה המקומי של MICROS-Fidelio EAME, לחץ כאן לקבלת פרטים מקומיים.

MICROS-Fidelio או ספק השירות שלך אינם אחראים לנזקים הקשורים לשימוש במוצרים שאינם תואמים.

צר לנו שהשוק מפעיל לחץ רב כל כך על בנקים וסוחרים המקבלים כרטיסי אשראי. עם זאת, אנו חשים שזו חובתנו ליידע אותך בנושא.

נשמח לסייע לך בכל דרך אפשרית.

PCI DSS (תעשיית כרטיסי תשלום - תקן אבטחת נתונים) משפיע על כל הסוחרים/עסקים שמקבלים תשלומים בכרטיסי אשראי ומאחסנים נתונים של כרטיסי אשראי.

כדי לעמוד בתקן PCI, דרושה גרסת תוכנה תואמת. עיין ברשימת התאימות שלנו לקבלת רשימה עדכנית של גרסאות תואמות.

אם אתה מטפל בנתונים של כרטיסי אשראי ומאחסן אותם, קיימת אפשרות לשדרג גרסאות תוכנה ישנות יותר כדי לעמוד בתקן.

היקף השדרוג הדרוש תלוי בגרסה של התוכנה שברשותך. מחלקות התמיכה והמכירות שלנו ישמחו לסייע לך.

שים לב גם לאבטחת הרשת וודא שאין עותקים מאובטחים או מערכת הכשרה שאינן מוגנות/אינן מוצפנות ברשת.

אתה מתבקש לבצע שינויים שכאלה רק בהתאם להנחיה מהתמיכה. אנו נסייע לך לגלות אם נדרשים שינויים כלשהם בהגדרה או בתצורה.

מספר הגרסה מוצג בדרך כלל על המסך בעת הפעלת התוכנה. אם אתה מתקשה במציאת מספר הגרסה, בקש סיוע מהתמיכה.

אם יש לך חוזה תמיכה פעיל, העדכונים מתבצעים ללא תשלום.

במקרים רבים, בהתאם למוצר, ניתן לבצע את העדכון מרחוק בעזרת מחלקת התמיכה האחראית לנושא.

במקרה שהגרסה שפועלת אצלך היא ישנה מאוד, ייתכן שיהיה צורך לבצע את העדכון במקום, שירות שנעשה בתשלום. בהתאם להיקף השדרוג, ייתכן שיחולו תשלומים נוספים, כגון בגין חומרה חדשה.

כדי לעמוד בדרישות האבטחה, אל תאחסן/תזין נתוני כרטיסי אשראי ועדכן את המערכת לגרסת תוכנה שתואמת ל-PCI.

פנה לניהול ה-IT המרכזי כדי לתאם עדכונים.

הנפקת אישורים בודדים לא תתבצע. כל ספקי התוכנה שמוצריהם מורשים מוזכרים באתר הרשמי של VISA (רשימת ספקי תוכנה מורשים) יחד עם גרסאות התוכנה הרלוונטיות. חברות שאינן מופיעות ברשימה אינן מורשות באופן רשמי ואינן עומדות בדרישות המחמירות של PCI. הרשימה מעודכנת בקביעות על-ידי VISA.

התשובה תלויה בגרסת התוכנה. צוות התמיכה שלנו יכול לספק לך מידע מפורט על מצב הגרסה שפועלת אצלך. בנוסף, ייתכן ששדות אישיים וספציפיים לעסקים נוספו למסד הנתונים/ממשק המשתמש שלך לפי בקשתך, וייתכן שהם מתמלאים באופן ידני.

אם אינך מזין או מאחסן נתוני כרטיסי אשראי בשום מקום במערכת או ברשת, אתה עומד בדרישות של PCI. במקרה זה, אין צורך בשדרוגי תוכנה או בשינויי הגדרה.
רכשתי מסוף כרטיסי אשראי דרך MICROS-Fidelio – האם הוא תואם ל-PCI?
‏MICROS-Fidelio אינה מוכרת מסופי כרטיסי אשראי. פנה לספק שירותי העסקאות (למשל Concardis או Elavon) לקבלת מידע נוסף.

MICROS-Fidelio אינה מוכרת מסופי כרטיסי אשראי. פנה לספק שירותי העסקאות (למשל Concardis או Elavon) לקבלת מידע נוסף.

אתה עומד בדרישות כל עוד אין הזנה ידנית של נתוני כרטיסי אשראי במערכת משרד הקבלה. עיין גם בתיעוד הרשמי של PCI-DSS לקבלת פרטים נוספים.