פופולרי עכשיו: פארודיה ישראלית קורעת ל"אולד ספייס (וידאו)

עקבו אחרי חורימבה

Twitter RSS חורים גם באייפון

עדכונים במייל

פוסטים אחרונים מהבלוג

flx_3993385_3589172_AcustomImage.jpgחתולים שמדברים אנגלית: חתולונובלה כובשת את יוטיוב (וידאו)
imageאבן נייר ומספרים: הגירסה למבוגרים בלבד
2.jpgהפקת אופנה ששמה את הנשים מלפנים או מאחור? (תמונות)
imageפארודיה ישראלית קורעת ל"אולד ספייס (וידאו)

חברים ממליצים

ויראלי

default icon

פוסט שותף: הצד הקשה של כרטיסי האשראי

מאת עמית כהן פורסם ב- 2.6.2010 בשעה 15:16

אהבתם את הפוסט?

לעיתים, מעידה חד פעמית של עסק קטן יכולה להביא לאיום ממשי לקיומו. הדבר נכון במקרה של טיפול לקוי מאד בלקוחות, בשינוי מודל עסקי המביא לאבדן לקוחות קבועים וכמו כן, אי עמידה ברגולציה של אבטחת תשלומים.

ריבוי השימוש בכרטיסי אשראי בכל הממשקים, בין אם פיזיים ובין Online, מציבה בפני עסקים רבים את חובת העמידה ברגולציה על מנת לשמור על אבטחת המידע המוגדרת כסטנדרט בתקן שתוקנן על ידי חברות כרטיסי האשראי בשנת 2004 ומוכר תחת השם PCI Compliance . התקן העולמי נאכף באופן נוקשה ומאומץ על ידי גופי הסליקה השונים בעולם. גופים להם הכנסות גדולות מכרטיסי אשראי Too Much Credit by Andres Rueda.מחוייבים לתקן, וכן לביצוע בדיקות הסמכה תקופתיות על ידי מומחים ומוסמכים בתחום הנמצאים תחת ביקורת תמידית.

גופים קטנים יותר יכולים לבצע את הבדיקות בעצמם על מנת לעמוד בתקן ונדרשים לבצע מעין Check list פנימי בלבד, אך אליה וקוץ בה. ביקורת פנימית וביקורת עצמית איננה הצד החזק של חברות ישראליות רבות, אפילו לא במודע, על אחת כמה וכמה חמור הדבר כאשר נעשה תוך זלזול בדרישות התקן לעיתים בשל חוסר הבנת משמעותו וחשיבותו.

                                                                                                                        CC-by-2.0 andresrueda

במסגרת תפקידי בפלימוס, אני נתקל לא אחת בחברות אשר אוספות פרטי כרטיסי אשראי בטפסים בלתי מאובטחים ברשת, שומרות את נתוניהם בשרתי החברה, או במערכות לא מאובטחות. חברות אלה לא מבינות את גודל החשיפה שלהם לאבדן רישיונן למסחר.

חלק נוסף מדרישות התקן כלל לא מוכר לרבים, לדוגמה: חלק מהדרישות הוא לבצע Log Screen (מיפוי קבוע של מערכות הדיווח של מערכות האבטחה) רק לשם הדוגמא, Firewall בהגדרות סטנדרטיות מייצר כמה עשרות אירועים לדקה, הכפלה של מספר הלוגים בדקות , שעות וימים מביאה לכמות גדולה של אירועים שנדרשים לניטור. גם אם הארגון ירצה לבצע את הניטור אין ביכולתו – על אחת כמה וכמה ארגון קטן – לבצע את התהליך בעצמו שידרוש מומחיות וזמן עבודה רב.

הפתרון במקרים אלו הוא ל"הוציא" את שירות התשלומים והסליקה מחוץ לארגון כמיקור חוץ ועל ידי כך להוריד את הנטל במספר תחומי אחריות:

1. אי עמידה בתקן – אין צורך להבין בתקינת PCI ואין צורך לעמוד בדרישות התקן.

2. התמקדות בעיסקי הליבה - מעבר לשירות תשלומים חיצוני המטפל בכל היבטי ה- ) Payment Life Cycle החל מהמכירה, הוצאת הנפקת חשבוניות, תשלומי מס גלובליים, הזדכויות והתמודדות מול הכחשות עסקה, חיובים חוזרים, ועוד) שימוש במערכת חיצונית, מאפשר לארגון לעסוק בתחומי הליבה שלו תוך הקטנת עליות ניכרות בפיתוח, כח אדם, רכישות תוכנה וחומרה, וכד’.

3. ביטחון – הגברת תחושת הביטחון של הקונה וחיזוק הקשר העסקי איתו. מסחר ובמיוחד באינטרנט מתאפשר בשל רמת הביטחון של הרוכש במוכר הסחורה או השירות.

4. תשלום פר הצלחה – מודל המאפשר תשלום על פי רכישות מוצלחות בלבד ללא עלויות הקמה, בטחונות ותשלומים קבועים על תעבורה ונסיונות סליקה כגון מערכת פלימוס. ארגונים רבים, במיוחד בינוניים וקטנים, אינם מודעים למשמעות אי עמידה ברגולציה ושמירת פרטי כרטיסי אשראי. המשמעויות יכולות להיות גורליות לאירגונם, אם בקנסות גדולים מחברות כרטיסי האשראי שיכולות למוטט עסקים שלא נהגו כשורה בשמירה על התקן ועד לאישום פלילי במידה ופרטי הלקוחות "זלגו" מעבר לארגון. התקן מחייב כל ארגון, בכל גודל, האוסף, מעביר או שומר פרטי כרטיסי אשראי כחלק מאמצעי התשלום שלו, וכן חל על מלכ"רים וארגונים שהכנסותיהם מתרומות.

בנוסף, התקן חל גם על יצרני חומרה שונים המאפשרים שירות העברת כרטיס האשראי בצורה פיזית, לדוגמא, התקנים(Devices) השומרים את פרטי הכרטיס על מדיה מגנטית אינם תקניים היום עקב היכולת הפשוטה יחסית לשליפת המידע.

עוד מפלימוס: אמצעי תשלום אלטרנטיביים לכרטיסי אשראי

ההתקדמות הטכנולוגית בתחום מרתקת ומאפשרת למשל לקבל את פרטי כרטיס האשראי בצורה מאובטחת בפעם הראשונה בלבד, לאשרו ואז "למחוק" את הפרטים ולייצר Token המוצמד אוטומטית לפרטי הלקוח. ה- Token מאפשר זיהויי חד ערכי של הלקוח ומאפשר לעסק או החנות לבצע פעולות כספיות נוספות ללא איסוף מחדש של נתוני הכרטיס, כמו ברכישות חוזרות, מנוי מתחדש אוטומטית או במקרה שהלקוח רוצה לבצע מעבר בין תוכניות מנוי או בקשה להחזר כספי. שירות מסוג זה הושק לאחרונה על ידי חברת RSA.

היתרון בשיטה זו הוא שבמקרה של זליגת המידע או גניבתו ה-Token הינו חסר משמעות כיוון שאינו מכיל מידע רגיש.

לסיכום, נראה כי מומלץ לארגונים או חנויות המאפשרים תשלום בכרטיסי אשראי בייחוד באינטרנט, שיתמקדו במוצר או בשירות הליבה שלהם, ויותירו את "כאב הראש" האבטחתי והתיקני לחברות המתמחות בזה.

קישור למידע נוסף על תקן PCI

חדש: אתר Plimus בעברית.

plimus

פלימוס היא פלטפורמה למסחר אלקטרוני וסליקה באינטרנט
עבור תוכנות, משחקים ושירותים און ליין. המערכת מאפשרת ניהול חנויות ודפי קנייה ממותגים, גביית תשלומים בעשרות מטבעות, שפות ואמצעים שונים (כרטיסי אשראי, PayPal
העברות בנקאיות, צ’קים ועוד), הגנה כנגד הונאות וניהול סיכונים, איכסון קבצים, ובנוסף חיבור לרשת שותפים (Affiliates) בין לאומית.  בין לקוחות החברה נמנים כ- 3000 חברות אינטרנט בארץ ובעולם בהם WhiteSmoke, Autodesk, Dolby, MyHeritage, Namco.ההתממשקות לפלטרפומה מהירה, פשוטה ואינה דורשת פתיחת חשבון ספק מול חברות האשראי. (Merchant Account)

אתר | דרושים | טוויטר

>

"הרשת מתחילה לחשוב", כנס איגוד האינטרנט. הנחה לקוראי חורימבה בטלפון 03-9727406. קוד הנחה 875900

תגיות: , , ,


מאת: עמית כהן

עמית כהן, מנהל תחום פתרונות סחר אלקטרוני פלימוס ישראל. בעל נסיון של כ-15 שנים בתחום התוכנה בחברות בינלאומיות: נובל ומיקרוסופט. מתמחה בוירטואליזציה, מחשוב עננים, ניהול זהויות, לינוקס וקוד פתוח

Performance Optimization WordPress Plugins by W3 EDGE
Google Analytics Alternative