דרישות תקן ה-PCI מתיחסות אמנם לאבטחת המידע הרלוונטי לכרטיסי אשראי, אולם ניתן למנף דרישות אלו בכדי להעלות את רמת האבטחה של כלל הרשת ומערכות המידע בארגון
עם זאת, מכיוון שהדרישות מתייחסות באופן ספציפי אך ורק לאיזורים ברשת/מערכות/אפליקציות/שרתים בהם מאוחסנים מספרי כרטיסי אשראי (או מועברים דרכם) - חשש נוסף של אנשי אבטחת המידע הינו שכל המשאבים יופנו לאיזורים אלו, בעוד כלל הרשת תישאר ברמות חשיפה גבוהות לסיכונים, גם לאחר יישום התהליכים המתחייבים מתאימות לתקן.
מחד, מפתה ופשוט יותר לראות את יישום סעיפי התקן בראייה צרה של Compliance, אשר מתמקדת אך ורק בהשגת תאימות לתקן; אולם זה לא חייב להיות המקרה. אנשי אבטחת המידע יכולים למנף את דרישות התקן בכדי להעלות באופן משמעותי את רמת האבטחה הארגונית הכוללת.
הדרך לבצע זאת הינה לנסות ולהחיל את דרישות התקן על כלל המערכות הקריטיות באירגון, ודוגמאות לא חסרות:
- - פרק 1 מתייחס ל-Firewall ולהגדרות תצורה מאובטחות בהקשרי שער (Gateway) הרשת האירגונית; ברור כי להגדרות תצורה מאובטחות בהקשר זה תהיה השפעה כלל אירגונית
- - פרק 2 מתייחס ל-Default Passwords ו-Defaults Configurations; כל שמומלץ לעשות הוא ליישם דרישות אלו גם על שרתים/התקנים אשר אינם נמצאים בסביבת נתוני כרטיסי האשראי
- - פרק 4 מגדיר ומחייב העברת נתוני כרטיסי אשראי ברשת האינטרנט תוך שימוש בפרוטוקולים מוצפנים; גם במקרה זה מומלץ להחיל נוהל זה על כלל תעבורת הנתונים הארגוניים הרגישים אשר מועברים ברשת האינטרנט
- - פרק 8 מתייחס למדיניות משתמשים, הרשאות וסיסמאות קשיחה; מומלץ להחיל מדיניות כפי שמוגדרת בתקן על כלל המשתמשים באירגון, ולא לתחום אותה למשתמשים החשופים למידע אודות כרטיסי האשראי
- - פרק 10 מגדיר ומחייב התקנת מערכות ניטור (Monitoring) לצורך איתור והתראה על פעילויות חשודות בסביבת נתוני האשראי; מאליו מובן כי אם רוכשים מערכות ניטור אשר מחוייבות על-ידי התקן - ניתן לעשות בהן שימוש בכלל הרשת האירגונית
- - ועוד..
מכך עולה כי אחד היתרונות הגדולים ביותר של התקן עבור אנשי האבטחה (ובסופו של דבר כמובן - לאירגון כולו) הינו עצם העובדה שהוא מחייב, ומפורט מאוד. על האירגון לעמוד בדרישות התקן, שאם לא כן - תישלל ממנו הזכות לבצע עיסקאות בכרטיסי אשראי.
על כן, כאשר התקן מגדיר פעולות מסויימות אשר מחוייבות לביצוע ו/או רכישה של פתרונות ספציפיים - דוגמת IPS\IDS, Log Management, ביצוע מבדקי אבטחת מידע ספציפיים (סריקות לאיתור פרצות, מבדקי חדירה, בדיקת אתר האינטרנט ועוד) בתדירות קבועה ומחייבת - על האירגון לעמוד בכך, ולהקצות לשם כך את התקציבים המתאימים, גם אם בעבר לא הוקצו משאבים לפתרונות/פעילויות אלו. ומרגע שהאירגון מחוייב לעמוד בתקן - הדרישה התקציבית הופכת ל-Must, והשאלה היא כבר לא "אם" הן יאושרו, אלא "מתי"; חברות האשראי מצפות מן האירגונים הכפופים לתקן לעמוד בכל סעיפי ההוראה (יותר מ-250), ללא כחל וסרק.
במרבית המקרים, בוודאי בארגונים קטנים ובינוניים (ובישראל גם במרבים הארגונים הגדולים) - הטמעת פתרון אבטחה באיזור אחד ברשת משמעותה כי ניתן להשתמש באותו פתרון עצמו גם בכלל הרשת; הפער בין יישום מוגבל בהיקף מצומצם לבין יישום כולל הינו במרבית המקרים קטן יחסית (לדוגמה: IPS, Log Management - ההשקעה בפתרון עצמו ובתחזוקתו היא ההשקעה העיקרית; מעבר לכך, עלות הרישיונות הנוספים, באם יידרשו - הינה שולית יחסית).
בנוסף, בארגונים רבים נהוגות תצורות עבודה והתחברות אשר אינן מאובטחות בעליל, ואשר מבחינת אנשי אבטחת המידע מהוות סיכון ברור ומיידי על נכסים ארגוניים קריטיים. עם זאתף מכיוון ש"כך נהוג" הרי שהתראותיהם אינן נופלות על אוזן קשובה, גם אם ברור לכל כי הסיכון קיים ועלול להתממש; לדוגמה: סיסמאות בעלות מספר תווים קטן, אשר ניתנות לפיצוח בקלות; סיסמת Administrator הידועה למשתמשים רבים; איחסון מספרי כרטיסי אשראי בקבצי txt גלויים; חדר שרתים פתוח לכל; ועוד.
יישום דרישות התקן הופך את הוויכוחים למיותרים, ולאחר היישום עולה רמת האבטחה האירגונית בסדר גודל - לא רק בסביבת נתוני כרטיסי האשראי (CDE) - אלא בכלל הרשת האירגונית.
התמחותה של איי פי וי סקיוריטי בתחום והיכרותנו המעמיקה עם תקן ה-PCI, בשילוב העובדה כי אנו מלווים עשרות חברות ואיגונים בארץ ביישום התקן והגעה לתאימות, מאפשרות לנו להכיר הן את משמעות הדרישות והן את דרכי היישום והפתרונות הרלוונטיים, אשר מאפשרים לבצע תהליך מורכב מסוג זה בהצלחה.
מעוניינים לתאם פגישה ולשמוע פרטים נוספים? צרו קשר