סליקת כרטיסי אשראי - תקני אבטחה

ברחבי העולם נחשפות אחת לתקופה הונאות בכרטיסי אשראי, כשהגדולה שבינהן , שהוכתרה כגניבת הזהויות הגדולה בהיסטוריה, התרחשה בארה”ב כאשר אחד עשר אנשים הקימו על פי החשד רשת פשיעה בין לאומית, וגנבו 40 מיליון מספרי כרטיסי אשראי מבנקים ומרשתות קמעוניות בארה”ב.

בישראל היקף ההונאות בכרטיסי אשראי מוערך בכ –80 מליון שקל מידי שנה.
מקומה של ישראל לא נפקד ממפת הפעילות של כנופיות בינלאומיות, ואף כאן נתפסה כנופיה של זייפני אשראי מרומניה שפעלה בארץ במשך מספר חודשים.
בחקירתם במשטרה סיפרו החשודים כי “כיף לעבוד בארץ גם בגלל מזג האוויר וגם בגלל התנאים”.

לנוכח מקרי הזיוף ועליה ברמת התחכום והאמצעים הטכנולוגיים העומדים לרשות הזייפנים, מדינות רבות בעולם שיפרו בצורה ניכרת את רמת האבטחה של עסקאות אשראי ובכך הרחיקו את פעילות הזייפנים משטחן.

בישראל חברות האשראי נוקטות בפעולות שונות למניעת הונאות בכרטיסי אשראי, ומשקיעות במשאבים טכנולוגיים שמטרתם איתור פעילות הונאה במהירות.
יחד עם זאת, ביחס לסטנדרט המקובל במרבית מדינות העולם, רמת האבטחה של עסקאות אשראי בישראל עדיין נמוכה ויש לפעול רבות לשיפור אבטחת מערכות תשלומים לרבות אמצעי סליקת כרטיסי אשראי.

סליקת כרטיסי אשראי – תקני אבטחה 

סליקת כרטיסי אשראי מאובטחת, הינה סליקה המאפשרת הגנה והצפנת המידע הנקרא מכרטיסי האשראי בשלושה ערוצים:
מסופי סליקה בנקודות המכירה, מערכות המידע ששומרות את הנתונים והתווך המחבר בינהם.
לצורך זה, ארגון PCI מיסודן של חברות האשראי הבינלאומיות, קובע תקני אבטחה לסליקת אשראי המתעדכנים עם הזמן.

ב- 1.1.2009 הוכר תקן PCI על ידי חברות כרטיסי האשראי בעולם, כתקן מחייב את כל בתי העסק אשר סולקים אשראי, מבצעים העברות כספים ו/או מאחסנים פרטי כרטיסי אשראי.
החל מה- 30 לספטמבר 2009, חברות האשראי יחלו באכיפת העמידה בתקן PCI ובתי עסק שלא יעמדו בו, צפויים לסנקציות שאחריהן חברות האשראי יחדלו לעבוד עימם עד אשר יעמדו בכל סעיפי התקן הרלוונטים.

• תקן PCI PED –  תקן הקובע את הנהלים וההגדרות לשמירת מספרי כרטיסי אשראי במסופים וסביבות ממוחשבות. ציוד קצה לנקודות מכירה שיעודו סליקת כרטיסי אשראי, צריך להבדק במעבדות מורשות ולקבל אישור עמידה בתקן,אישור שיש לחדשו מידי תקופה על מנת להתאים לנהלים חדשים.

• תקן PCI DSS –  תקן המגדיר דרישות אבטחה למערכות מידע השומרות את נתוני כרטיסי האשראי,מתייחס לאבטחת המידע עצמו, ניהול מפגעים (כגון אנטי-וירוס, אבטחת אפליקציות), בקרת גישה, בדיקות שוטפות.עמידה בתקן PCI DSS  נבדקת אף היא ע”י גורמים חיצוניים המוסמכים לכך, ודורשת עדכון מידי תקופה.

 סליקת כרטיסי אשראי בטוחה בישראל

על מנת להעלות את רמת האבטחה של סליקת האשראי בישראל ולהתאימה לרמת התקינה הבינלאומית, יש לנקוט בפעולות הבאות:

• מכשירי הקצה בנקודות המכירה בהם מתבצעת סליקת כרטיסי אשראי בפועל,כלומר כל אמצעי הסליקה כמו מכשירי אשראי, קופות רושמות, או קופות ממוחשבות,יעברו בדיקות תקינה ויאושרו על עמידה בתקן.

• בדיקת מערכות המידע המכילות ושומרות את הנתונים הנאספים מכרטיסי האשראי, והתאמתם לדרישות תקני PCI  הבינלאומיים.
• בדיקה של התווך המקשר בין מסופי הסליקה לבסיסי הנתונים והשרתים והתאמתו לתקנים הבינלאומיים
• אכיפת העמידה בתקני האבטחה ע”י חברות האשראי.

סליקת כרטיסי אשראי מאובטחת אינטרס של בעלי העסקים

סליקת אשראי מאובטחת איננה רק אינטרס של חברות האשראי והצרכנים, אלא של כל בית עסק אשר סולק אשראי, מבצע העברות כספים ו/או מאחסן פרטי כרטיסי אשראי.

פריצה למערכות התשלום ולבסיס הנתונים של אמצעי התשלום, עלולה לפגוע בהכנסות בטווח הקצר של העסק, ואף לפגוע בהכנסות עתידיות וחשוב מכך – במוניטין שנבנה בעמל רב לאורך שנים.

כיום בישראל, החוק עומד לצד חברות כרטיסי האשראי והצרכנים. במקרה ולקוח מצהיר/טוען שלא ביצע עסקה, חובת ההוכחה היא על בית העסק. מצב זה משתנה בשעה שאיזור או מדינה נכנסים לעולם של אבטחת תשלומים בסטנדרטים בינלאומיים.
במידה וברשות בית העסק אמצעי סליקה העומדים בדרישות תקן, סליקת כרטיסי אשראי מאובטחת, הפגיעה בו או הפיצוי אותו יצטרך לשלם יהיה מינימאלי, אם בכלל.