‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax.

972-97442444‬‬

‫סיכום מפגש שולחן‪-‬עגול‬

‫תקן ‪– PCI-DSS‬תמונת מצב בשוק הישראלי‬

‫אפריל ‪2010‬‬

‫עורך‪ :‬שחר גייגר מאור‬

 ‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬

‫תוכן עניינים‬
‫הקדמה‪2 .......................................................................................................................................................... :‬‬
‫חלק ראשון –מר לואיס הרמן‪ ,‬רכז ‪ PCI DSS‬בלאומי קארד ‪3 .................................................................................‬‬
‫על התקן ומועצת ה ‪3 .............................................................................................................................. :PCI‬‬
‫רמות סיווג ומועדי עמידה בתקן (‪4 ............................................................................................... :)deadlines‬‬
‫השלכות לאי‪ -‬עמידה בתקן‪4 ......................................................................................................................... :‬‬
‫עמידה בתקן לארגונים שעובדים מול ‪5 ................................................................ :)payment application( PA‬‬
‫שיטת התיעדופים (‪5 .................................................................................................. :)prioritized approach‬‬
‫מילוי שאלון הערכה עצמית ‪5 ............................................................ :)self-assessment questionnaire( SAQ‬‬
‫חלק שני –תמונת מצב בישראל ובעיות הקשורות לתקן ‪6 .....................................................................................‬‬
‫פרדוקס העמידה ב ‪6 .............................................................................................................................. :PCI‬‬
‫מקצועיות ה ‪ QSA‬וסוגיות אי בהירות בתקן‪6 .................................................................................................. :‬‬
‫תמונת המצב בסקטורים הפיננסים\בנקאיים וממשלתיים‪7 .............................................................................. :‬‬
‫תמונת המצב בסקטור התקשורת והשירותים‪8 .............................................................................................. :‬‬
‫תמונת מצב בסקטור העסקי\מסחרי והבריאות‪8 ............................................................................................. :‬‬
‫נספח א' –פרטי קשר של רכזי ‪ PCI DSS‬בחברות האשראי בישראל‪9 ................................................................... :‬‬
‫נספח ב' –דוגמא לטופס למילוי פידבקים על ה ‪ QSA‬למועצת ה ‪9 ................................................................... PCI‬‬

‫הקדמה‪:‬‬
‫תקן ה ‪ PCI-DSS‬הוצג לראשונה בשנת ‪ 2006‬על ידי חמישה גופים בינלאומיים שונים שהתאחדו למטרה זו‪:‬‬
‫‪ Discover ,American Experss ,MasterCard ,Visa‬ו ‪ .JCB‬מאז שנת ‪ 2008‬מורגש בשוק הישראלי לחץ‬
‫מסויים המופעל ע"י חברות הסליקה המקומיות המייצגות את חברות האשראי הבינלאומיות להקדים ולעמוד בתקן‬
‫ה ‪ .PCI‬רובם המוחלט של הארגונים המסחריים בארץ‪ ,‬אשר מחוייבים לתקן‪ ,‬מראים התקדמות בפעילות לעמידה‬
‫בתקן‪ ,‬במיוחד משנת ‪ 2009‬ואילך‪ .‬מטרת המפגש המתואר כאן היא לבדוק את תמונת המצב העדכנית בשוק‪ ,‬נכון‬
‫לאפריל ‪ 2010‬ולאפיין את הנעשה בשוק הישראלי בהיבטי העבודה לקראת עמידה אפשרית בתקן‪.‬‬

‫במפגש השתתפו ‪ 33‬אנשי מקצוע מ ‪ 20‬ארגונים עסקיים גדולים במשק המחוייבים לעמידה בתקן (רובם המוחלט‬
‫ברמה ‪ 2‬או ‪ 1‬מבחינת היקפי העסקאות השנתיות)‪ .‬המשתתפים הינם מנהלי אבטחת מידע‪ ,‬מנהלי תשתיות‪ ,‬אנשי‬
‫פיתוח‪ ,DBAs ,‬פרוייקטורים לנושא ‪ PCI‬בארגון ועוד‪.‬‬
 ‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬

‫המפגש חולק לשני חלקים עיקריים‪:‬‬

‫בחלק הראשון ניתנה סקירה כללית ומענה על שאלות המשתתפים בנוגע לתקן‪ .‬את הסקירה העביר מר‬ ‫‪‬‬
‫לואיס הרמן‪ ,‬מתאם פעילות ‪ PCI-DSS‬בחברת לאומי קארד‪.‬‬
‫בחלק השני סיפרו המשתתפים על הנעשה בארגונם‪ ,‬תוכנית עבודה לשנה הקרובה ואתגרים\קשיים‬ ‫‪‬‬
‫הקשורים לדרישות התקן‪.‬‬

‫מניתוח רוח הדברים מדברי המשתתפים עולה‪ ,‬כי ה"פרופיל" הממוצע של ארגון ישראלי הנדרש לעמוד בתקן ה‬
‫‪( PCI‬רמה ‪ )2‬הוא כזה‪:‬‬

‫הארגון סיים‪ ,‬על פי רוב‪ ,‬תהליך של מיפוי פערים (‪ )gap analysis‬מול התקן בעזרת ‪( QSA‬חברת ייעוץ‬ ‫‪‬‬
‫חיצונית מוסמכת)‪.‬‬
‫הארגון נמצא בתהליך של בניית תוכנית עבודה מול התקן ובמקביל החל בביצוע של מספר פעולות‬ ‫‪‬‬
‫שייקדמו אותו לעמידה אפשרית בתקן‪.‬‬
‫אין תאריך יעד לסיום הפרוייקט‪.‬‬ ‫‪‬‬
‫רוב הארגונים "נתקעים" בהתמודדות עם דרישות ‪ 3‬ו ‪ 4‬של התקן‪ ,‬המתייחסות לנושא הגנה והצפנה של‬ ‫‪‬‬
‫נתונים‪.‬‬
‫בחלק גדול מהארגונים‪ ,‬בעיקר הפיננסים והארגונים הותיקים‪ ,‬מתקשים להתמודד עם התאמת סביבות‬ ‫‪‬‬
‫מורכבות ומערכות לגאסי לדרישות התקן‪.‬‬
‫ברוב הארגונים מתחילים "מהמשימות הקלות" ולא תמיד בהתאם לגישת סדרי העדיפויות ( ‪Prioritized‬‬ ‫‪‬‬
‫‪ )Approach‬של מועצת ה ‪.PCI‬‬

‫על פי האמור לעיל עולה‪ ,‬כי התקדמות השוק הישראלית איטית מזו של ארגונים דומים במדינות ארופה וארה"ב‪.‬‬

‫הסיבות לפער זה מגוונות מאוד‪ :‬חלקן אוביקטיביות ונובעות מקשיים טכנולוגיים ותהליכיים קשים בארגונים‪ .‬חלקן‬
‫האחר הוא תוצאה של קביעת סדר עדיפות נמוך יחסית לפרוייקט ה ‪ PCI‬בתוך מכלול הפרוייקטים הארגוניים‪,‬‬
‫העדר מחוייבות ההנהלה ואף משיכת זמן מצד הארגון‪.‬‬

‫חלק ראשון –מר לואיס הרמן‪ ,‬רכז ‪ PCI DSS‬בלאומי קארד‬

‫מר לואיס הרמן הוא רכז ‪ PCI-DSS‬מטעם חברת לאומי קארד‪ .‬מר הרמן הוזמן למפגש לתאר את ההתפתחויות‬
‫האחרונות סביב התקן‪ ,‬לספר על מגמות הקשורות להתמודדות עם התקן ולענות על שאלות המשתתפים‪.‬‬

‫על התקן ומועצת ה ‪:PCI‬‬

‫מר הרמן חידד את חלוקת האחריות בכל הקשור לתקן ‪ :PCI‬התקן עצמו מונהג על ידי חברות האשראי הגדולות‬
‫בעולם באמצעות מועצת התקן ( ‪ .)PCI Security Standards Council‬עדיין חשוב לזכור נקודה מאוד משמעותית‬
‫לפיה חברות האשראי הן אלה אשר קובעות את מועדי העמידה בתקן ואת הענישה במידה וארגון מסוים לא עומד‬
‫בתקן‪ .‬יתכנו הבדלים בין החברות האשראי הבינלאומיות (המותגים) בנושא זה‪.‬‬

‫תפקיד המועצה הוא לקדם את יישום התקן‪ .‬המועצה פיתחה מספר כלים ומתודולוגיות אשר יסייעו לארגונים‬
‫בעולם לעמוד בתקן‪ .‬סדר העבודה הרצוי מבחינת מועצת התקן‪:‬‬

‫מילוי שאלון הערכה עצמית (במידה ואינך נדרש לבצע ‪)AUDIT‬‬ ‫‪‬‬
 ‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬

‫מיפוי פערים‬ ‫‪‬‬

‫בניית תוכנית עבודה לעמידה בתקן בהתאם לגישת התיעדופים (הרחבה בהמשך)‪.‬‬ ‫‪‬‬

‫מועצת ה ‪ PCI‬מעודדת קבלת פידבקים‪ ,‬למשל לגבי טיב עבודת ה ‪ QSA‬ומקצועיותו‪ .‬לצורך כך מופיע באתר של‬
‫המועצה טופס מיוחד לנושא זה‪ .‬לנוחיותכם מצורף טופס פיבדק (ראו נספח ג')‪.‬‬

‫גם בית עסק יכול להצטרף למועצה כחבר פעיל ( ‪.)PARTICIPATING ORGANISATION‬העלות לכך היא כ‪-‬‬
‫‪ $2500‬בשנה‪.‬במידה וארגון מסויים אינו רשום כחבר במועצה עדיין קיימת אפשרות להעביר את‬
‫הערות‪/‬הסתייגויות שלו מהתקן באמצעות חבר שכן משתתף‪.‬כרגע רק לאומי קארד רשומה במועצה לכן ניתן‬
‫להעביר דרכה את הפידבק‪ .‬אתר המועצה‪. www.pcisecuritystandards.org-‬‬

‫רמות סיווג ומועדי עמידה בתקן (‪:)deadlines‬‬

‫גם בויזה וגם במסטרקארד סיווג בתי העסק לרמות זהה לחלוטין‪.‬‬

‫מועדי העמידה בתקן שונה במקצת בין שני הגופים‪.‬‬

‫בתי עסק ברמה ‪:1‬‬

‫ויזה –עדיין אין דרישה לעמידה בתקן ‪ PCI‬בתאריך מסויים‪.‬‬

‫מסטרקארד ‪-‬יש תאריך יעד לעמידה בתקן והוא סוף שנת ‪.2010‬‬

‫בתי עסק ברמה ‪:2‬‬

‫ויזה ‪-‬התאריך לעמידה בתקן כבר חלף למעשה‪.‬‬

‫מסטרקארד ‪-‬הדרישה היא לעמידה בתקן עד סוף שנת ‪.2010‬‬

‫בתי עסק ברמה ‪( -3‬עסקאות מסחר אלקטרוני בהיקף של בין ‪ 20,000‬למליון בשנה)‪:‬‬

‫ויזה ‪-‬התאריך לעמידה בתקן כבר חלף למעשה‪.‬‬

‫מסטרקארד – לא ידוע כרגע מועד עמידה בתקן‪.‬‬

‫בתי עסק ברמה ‪( -4‬עסקאות מסחר אלקטרוני בהיקף של עד ‪ 20,000‬לשנה)‪:‬‬

‫ויזה ‪-‬התאריך לעמידה בתקן כבר חלף למעשה‪.‬‬

‫מסטרקארד – לא ידוע כרגע מועד עמידה בתקן‪.‬‬

‫השלכות לאי‪ -‬עמידה בתקן‪:‬‬

‫נכון להיום לא ננקטו ע"י ויזה צעדי ענישה למעט מספר מקרים של קנס על תנאי‪ .‬מאוד קשה לצפות את התנהגות‬
‫חברות האשראי ולדעת האם ואיך יוטלו קנסות על הארגונים שיפגרו אחרי מועדי העמידה בתקן‪ .‬מכיוון ששום‬
‫תאריך יעד של מסטרקארד לא עבר – קשה לדעת איך הם יגיבו לאיחורים בעמידה בתקן‪ .‬יש לזכור שלאחר סוף‬
‫‪ 2010‬בתי עסק ברמה ‪ 2‬שעדיין לא עומדים בתקן יהיו במצב שבשתי חברות האשראי גם יחד הם יהיו בסטאטוס‬
‫פיגור ולכן הסיכוי לקנס יגדל‪.‬‬
 ‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬

‫עמידה בתקן לארגונים שעובדים מול ‪:)payment application( PA‬‬

‫בארץ ובעולם קיימים הרבה מאוד בתי עסק שאופן ביצוע התשלום אצלם הוא אפליקציה חיצונית שעוברת דרך‬
‫גורם חיצוני כדוגמת שב"א או שירות אחר‪ .‬ארגון זה לא יכול לעמוד בתקן ‪ PCI‬עד אשר ה ‪ PA‬שלו עומד בתקן ‪PA‬‬
‫‪ . DSS‬לצורך כך מנסים במועצת התקן להקל על חיי ארגונים אלה ולהציע פתרונות שיפתרו את בתי העסק‬
‫מחובת עמידה בתקן‪ .‬פיתרון לדוגמא הוא ‪ end-to-end encryption‬אשר מצפין את כל התעבורה הרגישה מבית‬
‫העסק ומוציא אותו מחוץ לחובת העמידה בתקן‪ .‬מר הרמן מציין כי חשוב לדעת שמבחינת התקן החובה לעמידה‬
‫בתקן חלה על בית העסק כך שבמקרה בו ה ‪ PA‬לא עומד בתקן ‪ ,PA DSS‬מושת הקנס על בית העסק עצמו‪.‬‬
‫משום כך קיימת חשיבות לעבודה עם ‪ PA‬שכבר עומד בתקן ‪.PA-DSS‬‬

‫כדי לקדם את נושא העמידה בתקן עבור ‪ PA‬הוגדרו כבר תאריכי יעד לעמידה ב ‪( PA DSSI‬התקן המקביל עבור‬
‫‪ )PAs‬עבור ‪ PAs‬בעולם‪ .‬תאריך היעד של ויזה‪ ,‬לדוגמא‪ ,‬לעמידה בתקן בכל הקשור למחיקת נתונים רגישים לאחר‬
‫אישור העסקה הוא ה ‪ 1‬ביולי ‪ .2010‬כמו כן בתאריך זה כל בית עסק חדש יחויב לעבוד עם ‪ PA‬שעומד בתקן ‪PA‬‬
‫‪ DSS‬במלואו‬

‫‪ PA‬שלא יעמוד בתקן מסתכן באיבוד לקוחות בגלל שחברות האשראי יחייבו את בתי העסק החדשים לעבוד רק‬
‫עם ‪ PA‬מוסמכים‪ .‬שב"א עצמם צפויים על פי הערכות בשוק לעמוד בתקן בסעיפי הנתונים הרגישים עד סוף ‪.2010‬‬

‫שיטת התיעדופים (‪:)prioritized approach‬‬

‫לפי שיטת התיעדופים של מועצת ה ‪ ,PCI‬קצב ההתקדמות לעמידה בתקן נגזר מעמידה ב ‪ 6‬אבני‪-‬דרך עיקריות‪.‬‬

‫מועצת ה ‪ PCI‬וחברות האשראי רואות בהתקדמות לפי שיטת התיעדופים את הגורם החשוב ביותר בדרך לעמידה‬
‫בתקן‪ .‬ארגון א'‪ ,‬אשר זיהה במהלך מיפוי הפערים שלו כשלים מסוימים ואשר טיפל בחלק מהכשלים ללא‬
‫התייחסות לנושא אבני‪-‬הדרך‪ ,‬נמצא בעמדה נחותה מול חברות האשראי יחסית לארגון ב'‪ ,‬אשר זיהה את אותם‬
‫כשלים בדיוק‪ ,‬טיפל בפחות כשלים מארגון א'‪ ,‬אך סיים עמידה באבן‪-‬דרך אחת‪.‬‬

‫כל אבן‪-‬דרך מכילה מרכיבים מלפחות דרישה אחת מתוך ‪ 12‬הדרישות של התקן‪ .‬השלמה של כל אבן‪-‬דרך‬
‫תלוייה‪ ,‬על פי רוב‪ ,‬בהתייחסות ליותר מדרישה אחת בתקן‪ .‬יש להתקדם מאבן דרך מספר ‪ 1‬לאבן דרך מספר ‪,6‬‬
‫כי הנושאים הקריטיים לטיפול נמצאים בארבע אבני הדרך הראשונות‪ .‬חברות האשראי הבינלאומיות מקבלות‬
‫דיווחים רבעוניים מהסולקים בארץ (לאומי קארד‪,‬כאל וישראכרט) לגבי התקדמות בתי העסק במונחי אבני‪-‬דרך‬
‫ולכן חשובה מאוד התקדמות לפי גישה זו‪.‬‬

‫מילוי שאלון הערכה עצמית ‪:)self-assessment questionnaire( SAQ‬‬

‫עד סוף ‪ 2010‬בתי עסק בכל הרמות (למעט רמה ‪ )1‬יכולים למלא בעצמם שאלון להערכת מצב העמידה שלהם‬
‫בתקן‪ .‬ניתן להיעזר ב‪( QSA -‬במידה שמעוסק ‪ QSA‬ע"י בית העסק)‪ ,‬חברת ייעוץ אחרת (גם אם היא לא ‪)QSA‬‬
‫יכולה לעזור לבית העסק במילוי השאלון‪ .‬מודגש בזה שוב שאין חובה כרגע לקחת כל גורם חיצוני במילוי השאלון‪.‬‬

‫חשוב מאוד למהר ולסיים את השאלונים (עד סוף ‪ ,)2010‬אך אין להקל ראש ברצינות מילוי השאלון‪ .‬אין לחשוש‬
‫להחזיר שאלון אשר רוב התשובות בו הן שליליות‪.‬‬

‫הערה חשובה ללקוחות מסטרקארד‪ :‬חברת מסטרקארד החליטה לבטל את שאלוני ההערכה העצמית החל משנת‬
‫‪ 2011‬לבתי עסק ברמה ‪ 2‬לאחר שגילו בחקירת מקרי זליגת מידע‪ ,‬שבתי עסק אשר ארע בהם אירוע דליפה ועמדו‬
‫לכאורה בתקן (הגישו שאלון מושלם) לא עמדו בפועל בתקן‪ .‬דבר זה נבע מאי‪-‬מילוי השאלון כהלכה או עקב חוסר‬
‫הבנה‪ .‬מכיוון שאין בקרה על מילוי השאלון וחברות האשראי קבלו את השאלון ללא אימות נוסף‪ ,‬נוצר פער בין‬
‫הצהרת בתי העסק שהם עומדים בתקן לבין המצב בשטח‪.‬‬
 ‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬

‫המצב‪ ,‬נכון לאפריל ‪ 2010‬הוא כזה‪ :‬עד סוף ‪ 2010‬ניתן עדיין לבתי עסק ברמה ‪ 2‬למלא שאלון הערכה עצמית‪.‬‬
‫מיוני ‪ 2011‬כל בית עסק ברמה ‪ 2‬יצטרך לעבור בקרה (‪ )AUDIT‬על ידי גורם חיצוני – ‪ QSA‬או על ידי גורם פנימי‪-‬‬
‫עובד מטעם בית העסק אשר יעבור הסמכה קצרה ומיוחדת ע"י המועצה‪ .‬בחירה זו של ‪ AUDIT‬חיצוני או פנימי‬
‫גם תחול על בתי עסק ברמה ‪.1‬‬

‫כמה נקודות רלוונטיות לנושא זה‪:‬‬

‫בכל הנוגע לבתי עסק שסולקים באמצעות יותר מחברת אשראי אחת –עליהם לפעול לפי הסולק המחמיר‬ ‫‪‬‬
‫יותר‪.‬‬
‫במקרה של אירוע דליפת מידע‪ ,‬החבות היא על בית העסק עצמו ולא על העובד שחתם על ‪.SAQ‬‬ ‫‪‬‬
‫בכל החקירות שהתבצעו עד היום לאחר דליפת מידע מבתי עסק שטענו שהם עמדו בתקן הוכח‪,‬‬ ‫‪‬‬
‫שלא עמדו בדרישות התקן בנקודת הזמן בה התבצעה הדליפה‪.‬‬

‫חלק שני –תמונת מצב בישראל ובעיות הקשורות לתקן‬

‫פרדוקס העמידה ב ‪:PCI‬‬
‫הנקודה האחרונה (המודגשת) מאירה באור מאוד בעייתי את כל נושא העמידה בתקן‪ .‬במציאות שבה פועלים‬
‫מרבית הארגונים בארץ ובעולם‪ ,‬מצב שבו כל מערכות הארגון עומדות בתנאי התקן בכל נקודת זמן‪ ,‬הוא מצב‬
‫אוטופי שאינו ניתן להגשמה‪ .‬מבחינת מועצת ה ‪ ,PCI‬מספיק שלא כל טלאי האבטחה מעודכנים‪ ,‬כדי שהמערכת לא‬
‫תקיים את תנאי התקן‪ .‬רוב המשתתפים סביב השולחן מסכימים כי גישה זו לא תאפשר כמעט אף פעם עמידה‬
‫אמיתית‪ ,‬לאורך זמן בתקן ‪....PCI‬‬

‫משורות אלה עולה‪ ,‬כי חברות האשראי לא פיתחו עד היום מנגנון ריאלי שיגן על אותם ארגונים‪ ,‬שכבר השקיעו‬
‫מאמצים רבים בעמידה בתקן‪ .‬סוגייה זו היא אולי הסוגייה המדאיגה ביותר בכל הדיון סביב נושא זה‪.‬‬

‫מקצועיות ה ‪ QSA‬וסוגיות אי בהירות בתקן‪:‬‬

‫חלק מהמשתתפים ציינו כי הם נתקלים בבעיות ושאלות שה ‪ QSA‬לא יודעים לתת עליהן תשובות מספקות‪.‬‬

‫במקרים בהם ישנה אי בהירות‪ ,‬איך ניתן לקבל תשובות חד משמעיות?‬

‫האם יש גוף שדואג לבקר את ה ‪ QSA‬ולסייע בהדרכה מקצועית לארגונים בעבודתם מול ‪?QSA‬‬

‫אחד המשתתפים ציין כי בארגונו קיימות מספר סוגיות הקשורות למערכות מורכבות בארגון וקיימת בקרב ה ‪QSA‬‬
‫פרשנות משלו לגבי יישום התקן על מערכות אלה‪.‬‬

‫איזה מנגנון קיים ב ‪ PCI‬ובמועצת התקן שיוכל להגן על האינטרסים של הארגון?‬

‫משתתף זה חושש מפעולות מיותרות או שגויות שיבוצעו כתוצאה משיקול דעת מוטה או מוטעה של חברת הייעוץ‪.‬‬

‫מר הרמן ציין‪ ,‬כי בעיות פרשנות של התקן או אתגרים אחרים שבהם נתקל ה ‪ QSA‬יכולים וצריכים לקבל תשובה‬
‫ברורה על ידי מועצת התקן בפניה של ה ‪ QSA‬או כל חבר מועצה למועצה (ראו איזכור בתחילת המסמך)‪.‬‬

‫נקודה נוספת שמאוד מטרידה את הנוכחים היא חוסר הבהירות שיש בשוק לגבי מספר נקודות בתקן‪ .‬דוגמא‬
‫לחוסר בהירות זו היא בהיקפי בדיקות החדירות (‪ )penetration tests‬ומה בדיוק עליהן לכלול‪ .‬חלק מהמשתתפים‬
‫סיפרו כי ה ‪ QSA‬המליץ להם על בדיקות חדירות למערכות מסויימות בארגון שכלל לא ברור הקשר שלהן לעמידה‬
 ‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬

‫בתקן‪ .‬נקודות אחרות נוגעות לנושא מידע שקיים על מסמכים סרוקים או בשרתי אחסון וכן בקבצים שטוחים ( ‪flat‬‬
‫‪ )files‬במערכות ‪.MF‬‬

‫מר הרמן ציין כי נושאים אלה ואחרים מקבלים הסבר באתר המועצה וביקש להפנות את הקוראים לקישור הבא‬
‫לקבלת אינפורמציה נוספת על הנושא‪:‬‬

‫‪http://selfservice.talisma.com/display/2/index.aspx?c=58&cpc=MSdA03B2IfY15uvLEKtr40R5a5pV2lnCU‬‬
‫‪b4i1Qj2q2g&cid=81&cat=&catURL=&r=0.499874770641327‬‬

‫תמונת המצב בסקטורים הפיננסים\בנקאיים וממשלתיים‪:‬‬

‫במפגש נטלו חלק כשבעה ארגונים גדולים רלוונטיים‪ .‬נציגי ארגונים אלה סיפרו כי בארגונם החלו לעבוד על‬
‫פרוייקט ה ‪ PCI‬כבר בסוף שנת ‪ 2008‬או לכל המאוחר בתחילת ‪ .2009‬בכל הארגונים סיימו כבר את מיפוי‬
‫הפערים ואף ביצעו כבר מספר ביקורות וסריקות על ידי גורם חיצוני בהתאם לתקן‪.‬‬

‫בחלק מהארגונים כבר השלימו יותר מאבן דרך אחת בהתאם להמלצות מועצת ה ‪ .PCI‬בארגונים אחרים בחרו‬
‫בגישה לפיה יתחילו בטיפול בפערים "הקלים"‪.‬‬

‫נציגי ארגונים אלה העלו מספר נקודות בעייתיות‪:‬‬

‫‪ .1‬ברבים מהארגונים בסקטורים אלה קיימות מערכות מורכבות מאוד ונתוני כרטיסי האשראי מבוזרים‬
‫במגוון סביבות מיחשוביות בארגון‪ .‬אופי עבודה זה מקשה מאוד על התמודדות עם דרישות כמו ‪ 3‬ו ‪4‬‬
‫בתקן‪ .‬נציגי הארגונים שהשתתפו סיפרו‪ ,‬לשם המחשה‪ ,‬כי בארגון ביטוחי טיפוסי קיימים נתוני כרטיסי‬
‫אשראי של לקוחות על מסמכי הפוליסות‪ .‬מסמכים אלה נסרקים לשם אירכוב ואחזור מאוחר יותר במגוון‬
‫פורמטים (‪ TIFF ,PDF‬וכן הלאה)‪ .‬דרישות התקן מדברות על הצפנה של כל הנתונים הרגישים של‬
‫הלקוחות‪ .‬בגלל אופי העבודה‪ ,‬נגישות המשתמשים למידע ופיזור הקבצים‪ ,‬נוצר מצב כמעט בלתי אפשרי‬
‫שמקשה על איתור והגנה על המידע בארגון על פי התקן‪.‬‬

‫‪ .2‬ארגונים מבוססי ‪ main-frame‬ומערכות ותיקות אחרות מוצאים עצמם מתקשים בניטור והגנה על המידע‬
‫המאוחסן במערכות אלה‪ ,‬במיוחד לאור הבעייתיות בנגיעה ממשית בקוד האפליקציות הרצות על מערכות‬
‫אלה‪ .‬רבות מהאפליקציות נכתבו לפני ‪ 20 ,10‬ואף ‪ 30‬שנים‪ .‬נגיעה נדרשת בקוד בחלק מהמקרים‬
‫מעכבת מאוד את התקדמות תהליך ההסמכה לתקן בארגונים רבים והיא נובעת מהחשש המוצדק‬
‫שנגיעה אפשרית תפגע בליבת הפעילות של הארגון‪.‬‬

‫‪ .3‬חשש נוסף שחוזר ועולה בקרב המשתתפים הוא מפגיעה אפשרית בביצועי המערכות במקרה שייושם‬
‫פיתרון כזה או אחר‪ .‬סביב השולחן ניכר‪ ,‬כי חסר ניסיון פרקטי בעבודה עם חלק גדול מהפתרונות הקיימים‬
‫כיום בשוק וקשה להעריך את השפעתם‪ ,‬אם בכלל‪ ,‬על ביצועי המערכות בארגון‪.‬‬

‫‪ .4‬טענה אחרת שעלתה על ידי המשתתפים מסקטור זה היא שתקן ה ‪ PCI‬לא מתייחס להיבטי ניהול‬
‫הסיכונים הכרוכים במושאי התקן‪ .‬לשם השוואה צויין על ידי חלק מנציגי הסקטורים הללו‪ ,‬כי תקנים‬
‫אחרים שהסקטור הפיננסי נדרש לעמוד בהם‪ ,‬כמו למשל ‪\357‬באזל ‪ 2‬ו ‪( 257‬בנקים וחברות ביטוח‬
‫בהתאמה)‪ ,‬מביאים בחשבון את נושא ניהול הסיכונים ומשאירים לארגונים הנדרשים לעמידה בתקן‬
‫"חופש פעולה" מסויים בבחירת אופי העמידה בו‪ .‬תקן ה ‪ PCI‬מאוד חד משמעי ברוב המובנים ואינו לוקח‬
‫בחשבון קשיים אובייקטיבים שיש לארגונים מורכבים במיוחד‪ .‬גישה דיכוטומית זו מקשה מאוד על‬
‫העמידה בתקן באותם ארגונים ו"דוחפת" אותם לאמץ מדיניות של ניהול סיכונים עצמאית‪ .‬במקרים‬
 ‫‪Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444‬‬

‫מסויימים יהיה חשש שיהיו ארגונים שיאלצו להסתכן בקנסות של מועצת התקן מול אלטרנטיבה בלתי‬
‫אפשרית ליישם את התקן "כמו שצריך"‪.‬‬

‫תמונת המצב בסקטור התקשורת והשירותים‪:‬‬

‫במפגש נטלו חלק נציגים משישה ארגונים שונים במגזרים אלה‪ .‬גם כאן זה החלו בעבודה על פרוייקט ה ‪ PCI‬לפני‬
‫כשנה וחצי בממוצע‪ .‬כל המשתתפים סיפרו כי שלב מיפוי הפערים סויים אצלם וכי בכל הארגונים נעשה הדבר על‬
‫ידי ‪.QSA‬‬

‫ברוב הארגונים קיימת התלבטות רצינית לגבי התמודדות עם דרישה ‪ ,3‬כשקיימות שלוש אופציות מובילות‬
‫לפיתרון‪ :‬הצפנת הנתונים‪ ,‬טוקניזציה של הנתונים וערבול‪ .‬בקרב חלק מהארגונים ניכרת מגמה לפיה נעשה מאמץ‬
‫לרכז עד כמה שניתן את מספר המשאבים הארגוניים שנושאים עליהם פרטי כרטיסי אשראי‪ .‬פעולה נוספת‬
‫שנעשית במקביל בחלק מהארגונים היא שיפור היבט הפרדת הרשתות‪.‬‬

‫באחד מהארגונים החל תהליך העמידה בתקן במיפוי "נתיב הכסף"‪ .‬בארגון פותחה מתודולוגיה לאיתור הנתונים‬
‫הרגישים‪ .‬לאחר מיפוי הפערים החל שלב בניית תוכנית העבודה בהתאם לגישת התיעדופים ויעד הארגון עומד‬
‫כרגע על סיום אבן‪-‬דרך אחת לפחות עד סוף ‪ .2010‬בארגון זה‪ ,‬בדומה לארגונים אחרים התלבטו במיוחד סביב‬
‫שיטת ההגנה על הנתונים הרגישים בהתאם לדרישה ‪ 3‬בתקן‪ .‬ההתלבטות העיקרית בין בין פתרונות הצפנה לבין‬
‫פתרונות טוקניזציה‪.‬‬

‫ארגון אחר‪ ,‬אשר ביצע מיפוי פערים מול התקן‪ ,‬מינף את התהליך כדי לזהות כשלים מתודולוגיים וטכנולוגיים‬
‫שקיימים בארגון ללא קשר לתקן‪ .‬נציגי ארגון זה מציינים‪ ,‬כי תהליך ההסמכה לתקן מסייע מאוד "לנקות את‬
‫הארגון" מהרבה רעות שהשתרשו בו במהלך השנים‪ .‬גם בארגון זה אותר תחילה "נתיב הכסף" ונסתמו פירצות‬
‫האבטחה החמורות ביותר לדעת הארגון‪ .‬עמידה באבני דרך "נוחה פחות" לארגון וקשה יותר ליישם אותה‪.‬‬

‫גם נציגי ארגונים אלה העלו מספר בעיות וקשיים‪:‬‬

‫‪ .1‬קיימת תחושה בקרב הארגונים שבחירה בפתרונות טוקניזציה תחסוך הרבה כסף יחסית לפתרונות‬
‫הצפנה‪ .‬אחד המשתתפים ציין כי ספקי פתרונות הטוקנים מבינים את שינוי הכיוון בשוק לכיוונם ומעלים‬
‫כל הזמן את המחירים‪ .‬נציג אחד הארגונים שבחן בתחילת הדרך פיתרון טוקנים ציין‪ ,‬כי המחיר שמוצע‬
‫כיום עבור אותו שירות גבוה בהרבה מהמחיר שהוא נחשף אליו בתחילת הדרך‪.‬‬
‫‪ .2‬בהרבה מהארגונים סביב השולחן קיימות מערכות ארגוניות בגרסאות שלא הותאמו לעמידה בתקן ‪.PCI‬‬
‫כך‪ ,‬לדוגמא‪ ,‬מוצא עצמו ארגון מסויים עם ‪ DB‬בגרסה שיצאה ללא התחשבות בתקן ‪( PCI‬כי היא יצאה‬
‫לשוק לפני התקן)‪ .‬כדי לעמוד בתקן‪ ,‬מחוייב הארגון לבצע שידרוג לגרסה חדשה שמשמעותו הכספית‬
‫כבדה מאוד‪ .‬נציג אחד הארגונים שעומדים בפני בעיה זו ציין‪ ,‬כי מנהלי הארגון יכולים להחליט מראש לא‬
‫לעמוד בתקן ולהסתכן בקנסות מאחר ושידרוג המערכת מסתכם בעלויות גבוהות מדי‪.‬‬

‫תמונת מצב בסקטור העסקי\מסחרי והבריאות‪:‬‬

‫גם מסקטורים אלה הגיעו נציגים של שבעה ארגונים שונים‪.‬‬

‫ארגונים השייכים לקבוצה זו מתחלקים לשתי תתי‪-‬קבוצות עיקריות‪ :‬ארגונים עסקיים ברמות סיווג ‪1‬ו ‪ 2‬וארגונים‬
‫בעלי רמות סיווג נמוכות יותר‪ .‬תת הקבוצה האחרונה מתקדמת בקצב איטי בהשוואה לשאר הקבוצות‬
‫המשתתפות במפגש‪ .‬ארגונים השייכים לתת‪-‬קבוצה זו עדיין לא סיימו‪ ,‬על פי רוב‪ ,‬את תהליך מיפוי הפערים‪.‬‬
‫במקרים קיצוניים תהליך המיפוי כלל לא החל‪ .‬תת הקבוצה השניה כוללת ארגונים גדולים יותר בנפחי העסקאות‬
‫שלהם‪ .‬בתת קבוצה זו סיימו ברוב המקרים את מיפוי הפערים והחלו לעבד את תוכנית העבודה‪ .‬בחלק מהארגונים‬
 Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444

3 ‫קיימת התלבטות דומה להתלבטויות בסקטורים אחרים לגבי שיטת הפעולה הרצוייה בהתמודדות עם דרישה‬
.‫ ערבול או טוקניזציה‬,‫ובמיוחד בבחירה בהצפנה‬

:‫ בחברות האשראי בישראל‬PCI DSS ‫נספח א' –פרטי קשר של רכזי‬

,054-5215347, 03-6177860 :‫ בלאומי קארד‬PCI DSS ‫ מתאם פעילות‬,‫מר לואיס הרמן‬

Lewis_h@leumi-card.co.il

sbendor@isracard.co.il ,052-4707078 ,03-6895778 :‫ בישרכארט‬PCI DSS ‫ רכז פעילות‬,‫דור‬-‫מר שחר בן‬

PCI ‫ למועצת ה‬QSA ‫נספח ב' –דוגמא לטופס למילוי פידבקים על ה‬

Appendix C. Sample QSA Feedback Form

This form is used to review QSAs and their work product, and is intended to be completed after
a PCI audit by the QSA client. While the primary audience of this form are QSA audit clients
(merchants or service providers), there are several questions at the end, under “QSA Feedback
Form for Payment Brands and Others,” to be completed as needed by Payment Brand
participants, banks, and other relevant parties. This form can be obtained directly from the QSA
during the audit, or can be found online in a useable format at www.pcisecuritystandards.org.
The client, not the QSA, should submit this form to PCI SSC. Please send this completed form
to PCI SSC at: qsa@pcisecuritystandards.org

QSA FEEDBACK FORM

Client Name (merchant or service Qualified Security Assessor

provider) company (QSA)
NAME NAME

CONTACT CONTACT

TELEPHONE TELEPHONE

E-MAIL E-MAIL

Business location where assessment took QSA employee who performed assessment
place
 Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444

STREET NAME

CITY TELEPHONE

E-MAIL
STATE/ZIP

For each question, please indicate the response that best reflects your experience and provide
comments.
4 = Strongly Agree 3 = Agree 2 = Disagree 1 = Strongly Disagree

1) During the initial engagement, did the QSA explain the objectives, timing, and review
process, and address your questions and concerns?

Response:

Comments:

2) Did the QSA employee(s) understand your business and technical environment, and
the payment card industry?

Response:

Comments:

3) Did the QSA employee(s) have sufficient security and technical skills to effectively
perform this audit?

Response:

Comments:

4) Did the QSA sufficiently understand the PCI Data Security Standard and the PCI
Security Audit Procedures?

Response:

Comments:

5) Did the QSA effectively minimize interruptions to operations and schedules?

Response:

Comments:
 Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444

6) Did the QSA provide an accurate estimate for time and resources needed?

Response:

Comments:

7) Did the QSA provide an accurate estimate for report delivery?

Response:

Comments:

8) Did the QSA attempt to market products or services for your company to attain PCI
compliance?

Response:

Comments:

9) Did the QSA imply that use of a specific brand of commercial product or service was
necessary to achieve compliance?

Response:

Comments:

10) In situations where remediation was required, did the QSA present product and/or
solution options that were not exclusive to their own product set?

Response:

Comments:

11) Did the QSA use secure transmission to send any confidential reports or data?

Response:

Comments:

12) Did the QSA demonstrate courtesy, professionalism, and a constructive and positive
approach?

Response:

Comments:

13) Was there sufficient opportunity for you to provide explanations and responses
during the audit?
 Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444

Response:

Comments:

14) During the review wrap-up, did the QSA clearly communicate findings and expected
next steps?

Response:

Comments:

15) Did the QSA provide sufficient follow-up during your company’s remediation efforts,
until eventual compliance was achieved?

Response:

Comments:

Please provide any additional comments here about the QSA, your audit, or the PCI
documents.
 Moshav Bnei Zion P.O.Box 151, 60910 Israel Tel. 972-9-7907000 Fax. 972-97442444

QSA FEEDBACK FORM FOR PAYMENT BRANDS AND OTHERS

Name of QSA Client (merchant or service QSA Company name:)
provider reviewed):

Payment Brand Reviewer QSA employee who performed assessment

NAME NAME

TELEPHONE TELEPHONE

E-MAIL
E-MAIL

For each question, please indicate the response that best reflects your experience and provide
comments.
4 = Strongly Agree 3 = Agree 2 = Disagree 1 = Strongly Disagree

1) Does the QSA clearly understand how to notify your payment brand about
compliance and non-compliance issues, and the status of merchants and service providers?

Response:

Comments:

2) Did you receive any complaints about QSA activities related to this audit?

Response:

Comments:

3) Did the QSA demonstrate sufficient understanding of the PCI Data Security Standard
and the PCI Security Audit Procedures?

Response:

Comments: