תעשיית כרטיסי האשראי (PCI) - MAX

,נציג בית העסק הנכבד

תורגם מהשפה האנגלית לשפה העברית על מנת לסייע – SAQשאלון ההערכה העצמית . לך במילוי השאלון המקורי

. יודגש כי השאלון המקורי נכתב בשפה האנגלית והוא הנוסח המחייב

. התרגום העברי פונה לנשים וגברים כאחד ונוסח בלשון זכר מטעמי נוחות בלבד

חברת ישראכרט , ות כל המאמצים והזהירות בתרגום השאלון מהשפה האנגליתלמראו /ביחד ו( חברות כרטיסי האשראי: להלן)מ "ל בע.א.מ וכ"לאומי קארד בע, מ"בע

. או דיוקו/אינן ערבות לטיב התרגום ו, לחוד

או נזק עקב השימוש בשאלון /לכן חברות כרטיסי האשראי לא תשאנה בכל אחריות ו. בריתבשפה הע

מודגש בזאת כי הנעזר בשאלון המתורגם בשפה העברית לצורך מילוי השאלון המקורי . עושה זאת על דעתו ועל אחריותו בלבד

, בברכה

חברות כרטיסי האשראי

( PCI) התשלוםתעשיית כרטיסי

תקן אבטחת מידע

D (SAQ )שאלון הערכה עצמית והצהרת תאימות

____________ _________________________________________________________________

בתי עסק ונותני שירות מתאימים –שאלון לכל היתר 2.0גרסה

2010אוקטובר

PCI DSS שאלון הערכה עצמיתD , 2010אוקטובר שינויי מסמך , 2.0גרסה Copyright 2010 PCI Security Standards Council LLC עמודi

שינויי מסמך

תיאור גרסה תאריך

משנייםשינויים הכנסתו 1.2גרסה החדש PCI DSSהתאמת התוכן לתקן 1.2 2008, באוקטובר 1המקורית 1.1ז גרסה מא שחלו

גרסה החדש PCI DSSהתאמת התוכן לדרישות ולנהלי הבדיקה של תקן 2.0 2010, באוקטובר 282.0

PCI DSS שאלון הערכה עצמיתD , 2010אוקטובר תוכן עניינים , 2.0גרסה Copyright 2010 PCI Security Standards Council LLC עמודi

תוכן עניינים

i ....................................................................................................... מסמך שינויי

ii ............................................................. נלווים מסמכים: מידע לאבטחת PCI תקן

iii ................................................................................................. שמתחילים לפני

iii ...................................................................................... עצמית הערכה שאלון מילוי

iv...................................................................... ביצוע שלבי –PCI DSS לתקן תאימות

iv................................... מסוימות ספציפיות דרישות של הרלוונטיות לחוסר בנוגע הנחיה

1 ........................................................ העסק בית גרסת –D שאלון, תאימות הרתהצ 5 ................................................... השירות נותני גרסת –D שאלון, תאימות הצהרת D ..................................................................................... 11 עצמית הערכה שאלון

11 ........................................................................................... בטוחה רשת ותחזק בנה

11 ............. האשראי כרטיסי נתוני על המגנה בתצורה Firewall ותחזוקהשל התקנה: 1 דרישה

ומרכיבי מערכת ססמאות עבור ספקים של מחדל בררת בהגדרות להשתמש אין: 2 דרישה 14 .............................................................................................................. אחרים אבטחה

17 .............................................. האשראי כרטיסי של המאוחסנים הנתונים על הגן: 3 דרישה

21 ......... פתוחות ציבוריות רשתות פני על אשראי כרטיסי נתוני של השידור את הצפן: 4 דרישה

22 ................................................................ תורפה נקודות לניהול תוכנית ותחזק יישם

22 ............................................ קבוע באופן וירוס האנטי תוכנת את ועדכן השתמש: 5 דרישה

23 ..................................................... מאובטחות ואפליקציות מערכות ותחזק פתח: 6 דרישה

28 .............................................................................. חזקים גישה בקרת אמצעי הטמע

28 ......לדעת העסקי הצורך של העקרון י"עפ האשראי כרטיסי לפרטי הגישה את הגבל: 7דרישה

29 .................................... מחשוב למערכות גישה בעל אדם לכל יייחוד מזהה הקצה: 8דרישה

32 ........................................... אשראי כרטיסי של לנתונים הפיזית הגישה את הגבל: 9דרישה

35 ................................................................... קבוע באופן הרשת של ובדיקה ניטור בצע

35 ..................... האשראי כרטיסי ולנתוני הרשת למשאבי גישה כל אחר ועקוב נטר: 10 דרישה

38 ........................................ האבטחה ותהליכי מערכות של שוטפות בדיקות בצע: 11 דרישה

42 ........................................................................... מידע אבטחת מדיניות ותחזק יישם

עובדים) האדם כח כלל בקרב מידע לאבטחת מענה הנותנת מדיניות ותחזק יישם: 12 דרישה 42 .......................................................................................................................(וקבלנים

Shared Hosting Providers .. 46)) משותף אירוח ספקי עבור נוספות דרישות :'א נספח

48 ...................................................................................... מפצות בקרות: 'ב נספח

49 ............................................................................ מפצות בקרות גיליון :'ג נספח

50 ............................................................. דוגמה –מפצות בקרות של מלא עבודה גיליון

51 ........................................................... (N/A) רלוונטיות רחוס על הסבר :'ד נספח

PCI DSS שאלון הערכה עצמיתD , 2010אוקטובר מסמכים נלווים ,2.0גרסה Copyright 2010 PCI Security Standards Council LLC עמודii

מסמכים נלווים : אבטחת מידעל PCIתקן

אבטחת מידע ושאלון ל PCIולספקי שירות בהבנת תקן לבתי עסקהמסמכים הבאים נוצרו על מנת לסייע . PCI DSS תקן ההערכה העצמית של

קהל מסמך

: מידעלאבטחת PCIתקן

ת אבטחה דרישות ונהלי הערכוספקי השירות בתי העסקכל

: PCI DSSבדרישות התמצאות

הדרישות כוונת הבנת כל בתי העסק וספקי השירות

: לאבטחת מידע PCIתקן

הוראות והנחיות להערכה עצמית כל בתי העסק וספקי השירות


והצהרה Aהערכה עצמית שאלון 1בתי עסק מתאימים

: טחת מידעלאב PCIתקן

והצהרה Bשאלון הערכה עצמית 1בתי עסק מתאימים


והצהרה C-VTשאלון הערכה עצמית 1בתי עסק מתאימים


והצהרה Cשאלון הערכה עצמית 1תי עסק מתאימיםב


והצהרה Dשאלון הערכה עצמית בתי עסק מתאימים1

וספקי שירות

: לאבטחת מידע ותקן אבטחת נתונים של יישומי תשלום PCIתקן

ראשי תיבות קיצורים ו, מילון מונחיםכל בתי העסק וספקי השירות

, הוראות והנחיות להערכה עצמית:מידעלאבטחת PCIתקן ' ר, על מנת לקבוע מהו שאלון ההערכה העצמית המתאים 1

". בחירת שאלון הערכה העצמית וההצהרה המתאימים ביותר לארגון שלך"

PCI DSS שאלון הערכה עצמיתD , 2010אוקטובר הצהרת תאימות ,2.0גרסה Copyright 2010 PCI Security Standards Council LLC עמודiii

לפני שמתחילים

מילוי שאלון הערכה עצמית

עבור כל נותני השירות ובתי העסק המתאימים אשר אינם עונים לדרישות פותח Dשאלון הערכה עצמית הוראות והנחיות בפירוט במסמך כמתואר כמתואר בקצרה בטבלה אשר להלן ו Cעד Aהסיווג של שאלונים

. PCI DSSמילוי שאלון הערכה עצמית של ל

תיאור שאלון

A מסחר )אשראי בלבד הללא נוכחות פיזית של כרטיס אשראי בתי עסק המנהלים עסקאותכל הפעולות הקשורות לנתוני כרטיסי האשראי מתבצעות ( טלפון/אלקטרוני או הזמנות דואר

אים לבתי עסק בהן מתבצעות שאלון זה לעולם לא ית .על ידי גורם חיצוני במיקור חוץ .'פנים מול פנים'עסקאות

B אחסון ואשר לא מבצעים בתי עסק המנהלים עסקאות אשראי באמצעות נייר בלבד, בעל יכולת חיוג החוצהאו בתי עסק בעלי מסוף בודד , אלקטרוני של נתוני כרטיסי אשראי

.של נתוני כרטיסי אשראי אחסון אלקטרוניאשר לא מבצעים

C-VT בתי עסק המשתמשים אך ורק בשרתים וירטואלים מבוססיWeb אשר לא מבצעים אחסון. אלקטרוני של נתוני כרטיסי אשראי

C בתי עסק בעלי מערכות תשלום המחוברות לאינטרנט אשר אינם מבצעים אחסון אלקטרוני. של נתוני כרטיסי אשראי

D כל יתר בתי העסק( אשר אינם כלולים בתיאוריםA – C לעיל )אשר סווגו וכל נותני השירות. על ידי חברת מותג של כרטיס אשראי כמתאימים למילוי שאלון הערכה עצמית

ולכל , לעיל Cעד Aמתאים לכל בתי העסק אשר אינם עונים לקריטריונים לשאלונים D עצמית שאלון הערכהנותני .כמתאימים למילוי שאלון הערכה עצמיתנותני השירות אשר סווגו על ידי חברת מותג של כרטיס אשראי

מאשררים את התאימות שלהם לתקן באמצעות , Dשירות ובתי עסק המתאימים להגדרות הסיווג של שאלון יידרשו Dהממלאים את שאלון שרוב הארגונים על אף. והצהרת התאימות המלווה אותו Dמילוי שאלון

חלק מהארגונים אשר פועלים במודלים , PCI DSSה לאשרר את התאימות שלהם עם כל אחת מדרישותאין ציפיה שחברה אשר , לדוגמה .עשויים לגלות שחלק מהדרישות אינן רלוונטיות עבורם, עסקיים ספציפיים

ימות עם דרישות התקן הספציפיות תאשרר תא, (wireless)אינה עושה שום שימוש בטכנולוגיה אלחוטית ראה ההנחיות המפורטות להלן לקבלת מידע בנוגע (.wireless)לחוטית הנוגעות לניהול הטכנולוגיה הא

.להוצאת דרישות הנוגעות לטכנולוגיה אלחוטית ודרישות ספציפיות אחרות אל מחוץ לחובת אשרור התאימות

בתקןתוך התבססות על הדרישות המפורטות , מידעהכל חלק בשאלון מתמקד בתחום ספציפי של אבטחת PCI DSS .

PCI DSS שאלון הערכה עצמיתD , 2010אוקטובר הצהרת תאימות ,2.0גרסה Copyright 2010 PCI Security Standards Council LLC עמודiv

ביצוע שלבי –PCI DSSימות לתקן תא

. PCI DSSדרישות ללבצע סקירה והערכה של תאימות סביבת העבודה יש . 1

שאלון מילוי הוראות והנחיות ל"הוראות המפורטות בבהתאם ל Dשאלון הערכה עצמית יש למלא את . 2. "הערכה עצמית

אשר (ASV)על ידי ספק סריקות מאושר תעובר אהתוצעם vulnerability scan))יש לבצע סריקת פגיעות . 3 ובנוסף יש להחזיק בהוכחה המאשרת , PCI (PCI SSC)על ידי מועצת תקני האבטחה הרשמית של אושר . ספק הסריקות המאושרמאת הסריקה עם תוצאה עוברת את ביצוע

. מלואההצהרת התאימות ב יש למלא את . 4

הצהרת ואת את הוכחת ביצוע הסריקה עם תוצאה עוברת, רכה העצמיתשאלון ההעיש להגיש את . 5או ( עסק יבתכאשר מדובר ב)שלך לחברת כרטיסי האשראי, אחרנדרש בצירוף כל מסמך , התאימות

. (כאשר מדובר בנותני שירות)לחברה בעלת מותג האשראי או לדורש אחר

ימות ספציפיות מסושל דרישות רלוונטיותההנחיה בנוגע לחוסר

ניתן Dשאלון הערכה עצמית עם הנך נדרש למילוי : הוצאת דרישות אל מחוץ לחובת אשרור התאימותלהלן למתן תשובה הולמת בשאלון " לא רלוונטי"ראה הגדרת . להתחשב במקרים היוצאים מן הכלל הבאים

. הערכה עצמית

יש לענות על השאלות הספציפיות באשר לתקשרות אלחוטית(wireless ) קיימת תקשורת אם אך ורק 11.1יש להביא בחשבון שדרישה (. 4.1.1ו 2.2.1, 1.2.3דרישות , לדוגמה)אלחוטית ברשת הארגון

רשת אלחוטית אם חייבת להתמלא גם ( יישום תהליך לזיהוי נקודות גישה אלחוטיות לא מורשות)ולא מורשים אשר עשויים היות ומטרת תהליך זה הוא לאתר רכיבים זדוניים, אינה קיימת בארגון

.להיות מותקנים בארגון ללא ידיעת בית העסק

בית אם רק ( 6.5ו 6.3דרישות )יש לענות על השאלות הנוגעות לאפליקציות הניתנות להתאמה ולקוד .העסק מפתח אפליקציות מותאמות עבור עצמו

כמוגדר " אזורים רגישים"רק עבור מתקנים בהם קיימים 9.4עד 9.1יש לענות על השאלות בדרישותחדר שרתים או כל אזור אחר המאכלס מערכות , Data Centerהנו אזור בו קיים " אזור רגיש. "להלן

זאת להוציא אזורים בהם קיימים רק מסופי . מעבדות או משדרות נתוני כרטיסי אשראי, המאחסנותלל את חדר השרתים של אבל לא כו, כמו למשל אזורי קופה רושמת בחנות, (POS)נקודות מכירה

החנות המאחסן את נתוני כרטיסי האשראי ואת אזורי האחסון בהם כמויות גדולות של נתוני כרטיסי . אשראי

תחת ( לא רלוונטי)" N/A"-סומנו כי ת האשראי של החברהלסביב רלוונטיותדרישות שאינן :רלוונטיותחוסר " לחוסר רלוונטיותהסבר "גיליון יש למלא את ,"N/A"-כל דרישה המסומנת כ על. שאלוןב" אחר"עמודה ה. 'בנספח דש

PCI DSS שאלון הערכה עצמיתD , 2010אוקטובר הצהרת תאימות ,2.0גרסה Copyright 2010 PCI Security Standards Council LLC 1עמוד

גרסת בית העסק – Dשאלון , הצהרת תאימות

הגשה הוראות

דרישות ונהלי "ל בית העסקהתאימות של סטטוסעל כהצהרהלמלא הצהרת תאימות זו בית העסקעל את כל החלקים השלם. PCI DSS – "אבטחה של תקן אבטחת המידע של תעשיית כרטיסי האשראיה

. לעיל " שלבי ביצוע –PCI DSS תקן תאימות ל"הפרק המופיעות תחת ההגשהוהתייחס להוראות הרלוונטיים

( QSA) חברת ההסמכה הרשמיתו בית העסקפרטי . 1חלק

בית העסקפרטי . א1חלק

(ות)שם : שם החברה: (ים)מסחרי

: תפקיד : קשרשם איש

: ל"דוא : טלפון

: עיר : כתובת העסק

: מיקוד : מדינה

: אתר אינטרנט

(אם רלוונטי - QSA) ההסמכה הרשמיתחברת פרטי . ב1חלק

: שם החברה

הסוקר שם : המוסמך הראשי

: תפקיד




: אינטרנטאתר

(:יםיהרלוונטיש לסמן את כל ) בית העסקשל תחום העיסוק. 2חלק

סופרמארקט /מרכולים טלקומוניקציה קמעונאי

(:אנא פרט)אחר טלפון /דואר הזמנות מסחר אלקטרוני דלק

: זה PCI DSSהנכללים בסקר ואתריםציין מתקנים נא ל


קשרים עסקיים . א2חלק

שערי , לדוגמה)אחד או יותר 'גצד נותן שירותיםים עסקיים עם האם לחברה קשרסוכנים של מועדוני , של חברות תעופהסוכני הזמנות , אתרים אחסוןחברות , תקשורת? (ב"וכיו לקוחות

לא כן

לא כן ? תאח( חברת סליקה) חברת כרטיסי אשראייותר מעם האם לחברה קשר עסקי

עבוד עסקאות אשראי : ב2חלק

? פרטי כרטיסי אשראימשדר מאחסן או , מעבד בית העסקבאיזה אופן ועד כמה

אנא מלא את האינפורמציה הנדרשת להלן בנוגע למערכות התשלום בהן נעשה שימוש בארגונך

יקת תאימות אחרונה שבוצעה בדמספר גרסא סוג מערכת תשלום בשימוש -PABP/PAבהתאם לנהלי ה

DSS

PCI DSSאישור . 3חלק

מצהיר על (שם בית העסק), (תאריך מילוי השאלון)מתאריך Dבהסתמך על התוצאות שהתקבלו בשאלון (: יש לסמן אחד)סטטוס התאימות הבא

מולאו וכל השאלות נענו בחיוב ולפיכך הדירוג הכללי של החברה PCI SAQכל חלקי שאלון : עומד בתקן בהתאם לכך ( ASV)סריקה עם ציון עובר בוצעה על ידי ספק סריקות מאושר ובנוסף, עומד בתקןהוא

. PCI DSSהראה תאימות מלאה לדרישות (שם בית העסק)

, "לא"שהתשובה אליהן היתה או שישנן שאלות , PCI SAQלא מולאו כל חלקי שאלון :לא עומד בתקן לא בוצעה סריקה עם ציון עובר על ידי ספק סריקות או, לא עומד בתקןולכן דירוגה הכללי של החברה

. PCI DSSרישות לא הראה תאימות מלאה לד (שם בית העסק)לפיכך , (ASV)מאושר

לתקן לתאימות תאריך יעד :

תוכנית הפעולה'עשויה להידרש לביצוע ' לא עומד בתקן'ישות עסקית המגישה טופס זה עם סטטוס '( ם)האשראי שאיתו( י)יש לברר מול חברת כרטיסי האשראי או מותג. שבמסמך זה 4המפורטת בחלק

.חלק זה ותמותגי האשראי דורשחברות הואיל ולא כל 4אתם עובדים לפני ביצוע חלק


אישור סטטוס התאימות . א3חלק

: בית העסק מאשר כי

הושלם בהתאם להוראות , (הגרסה של השאלון' מס)גרסה , PCI DSSשל Dשאלון הערכה עצמית . המופיעות בו

את תוצאות ההערכה שלי בכל ההיבטים נאמנההנכלל בשאלון האמור ובהצהרה זאת מייצג כל המידע . המהותיים

כי מערכת התשלום שלי אינה שומרת נתוני אימות רגישים , וידאתי מול ספק מערכת התשלום שלי . לאחר אישור העסקה

בכל PCI DSS-ר בזאת כי מחובתי לשמור על תאימות מלאה לואני מכי PCI DSSקראתי את תקנות . זמן

או , CVV2 3או , CAV2 ,CVC2 ,CIDנתוני , 2לא נמצאו כל ראיות לשמירה של נתוני הפס המגנטי . מהמערכות שנבדקו במהלך הערכה זו באף אחתלאחר אישור עסקה , PIN 4נתוני

בית העסק אישור . ב3חלק

תאריך בית העסקבכיר בחתימה של מנהל

תפקיד בית העסקהבכיר במנהל השם

גהמיוצ שם בית העסק

יישויות אינן . או מידע דומה על שבב המשמשים לאישור בעסקאות בהן הכרטיס נוכחנתונים המקודדים בפס המגנטי 2

הערכים היחידים המצויים על הפס המגנטי . רשאיות לשמור את נתוני הפס המגנטי במלואם לאחר אישור העסקה .ושם בעל הכרטיס, תאריך תפוגה, ומותרים לשמירה הינם מספר הכרטיס

הספרות המודפס על תיבת החתימה או מימין לתיבת החתימה או על חזית הכרטיס המספר בעל שלוש או ארבע 3

.האשראי המשמש לביצוע אימות בעסקאות בהן הכרטיס אינו נוכח. מוצפן בהודעת העסקה PINאו מספר /ו, הקוד הסודי האישי המוקלד על ידי בעל הכרטיס בעסקאות בהן הכרטיס נוכח 4


' לא עומד בתקן'תוכנית פעולה לסטטוס . 4חלק

הנך , "לא"אם התשובה לאחת מן הדרישות היא . המתאים לכל דרישה" סטטוס התאימות"אנא בחר את נדרש למלא את התאריך שבו תעמוד החברה בדרישה ולתאר בקצרה את הפעולות הננקטות על מנת לעמוד

חברות הואיל ולא כל, 4האשראי לפני מילוי חלק ( י)האשראי או מותג כרטיסי בדוק מול חברת. בדרישה .חלק זה ותמותגי האשראי דורש

דרישת

PCI DSS

סטטוס תיאור הדרישה תאימות

( בחר אחד)

תאריך ופעולות תיקון

אם סטטוס )התאימות

לא כן "(לא"שסומן הוא

י כרטיסי בתצורה המגנה על נתונ Firewallהתקן ותחזק 1. האשראי

אין להשתמש בהגדרות בררת מחדל של ספקים עבור 2. ססמאות מערכת ומרכיבי אבטחה אחרים

. נתונים המאוחסנים של כרטיסי האשראיההגן על 3

על פני רשתות נתוני כרטיסי אשראי של שידור הצפן את ה 4. ציבוריות פתוחות

. השתמש ועדכן את תוכנת האנטי וירוס באופן קבוע 5

. פתח ותחזק מערכות ואפליקציות מאובטחות 6

י העקרון של "הגבל את הגישה לפרטי כרטיסי האשראי עפ 7. הצורך העסקי לדעת

. בעל גישה למערכות מחשוב אדםהקצה מזהה ייחודי לכל 8

. הגישה הפיזית לנתונים של כרטיסי אשראי את הגבל 9

נטר ועקוב אחר כל גישה למשאבי הרשת ולנתוני כרטיסי 10. האשראי

. בצע בדיקות שוטפות של מערכות ותהליכי האבטחה 11

ת מידע בקרב כלל יישם ותחזק מדיניות המטפלת באבטח 12(. עובדים וקבלנים)כח האדם

PCI DSS כה עצמית שאלון הערD , 2010אוקטובר שאלון הערכה עצמית ,2.0גרסה Copyright 2010 PCI Security Standards Council LLC 5עמוד

גרסת נותני השירות – Dשאלון , הצהרת תאימות

הגשה הוראות

דרישות ונהלי "ל נותן השירותלמלא הצהרת תאימות זו כהצהרה על סטטוס התאימות של נותן השירותעל את כל החלקים השלם . PCI DSS – "תעשיית כרטיסי האשראיאבטחה של תקן אבטחת המידע של ה

. לעיל " שלבי ביצוע –PCI DSS תאימות לתקן "הפרק המופיעות תחת ההגשההרלוונטיים והתייחס להוראות

( QSA) וחברת ההסמכה הרשמיתנותן השירות פרטי . 1חלק

נותן השירותפרטי . א1חלק

( ות)שם : שם החברה(: ים)מסחרי

: תפקיד : שם איש קשר




: אתר אינטרנט

(אם רלוונטי - QSA) פרטי חברת ההסמכה הרשמית. ב1חלק

: שם החברה

שם הסוקר : המוסמך הראשי

: תפקיד


: עיר : ת העסקכתוב


: אינטרנטאתר


PCI DSS סקר של/ההערכהפרטי . 2חלק

סמן את כל ) PCI DSSסקר של /ההערכהבמסגרת ביצוע שנכללוסוגי השירותים . א2חלק (הרלוונטים

Hosting)ספק אירוח לבקרת גישה מאובטחת D-3שרת

Provider - ) חומרה

כספומט -עיבוד עסקאות

Hosting)ספק אירוח ניהול חשבונות

Provider - ) אינטרנט MOTO –עיבוד עסקאות

Issuer )עיבוד הנפקות אישורים

Processing )

אינטרנט -עיבוד עסקאות

שירותי אדמיניסטרציה משרדית (Back Office )

מסופי נקודת –עיבוד עסקאות לקוחותמועדוני ( POS)מכירה

שירותי תשלומים מראש שירותים מנוהלים ( Billing)ניהול חיובים

הסדרת עסקאות (Clearing & settlement )

Records)ניהול רשומות שירותי בית עסק

Management )

ממשלה /תשלומי מיסים משדר/ספק רשת הכנת נתונים

ניתוב /שלוםשער מעבר ת שירותי הונאה והחזרת תשלומים

(: אנא פרט)שירותים אחרים

: PCI DSSמנה את המתקנים והאתרים הכלולים בסקר ה


PCIבסקר לא נכללואם חלק מהשירותים המפורטים ניתנים על ידי נותן השירות אבל . ב2חלק

DSS ,אנא סמן אותם:

Hosting)ספק אירוח לבקרת גישה מאובטחת D-3שרת

Provider - ) חומרה

כספומט -עיבוד עסקאות

Hosting)ספק אירוח ניהול חשבונות

Provider - ) אינטרנט MOTO –עיבוד עסקאות

Issuer )עיבוד הנפקות אישורים

Processing )

אינטרנט -עיבוד עסקאות

שירותי אדמיניסטרציה משרדית (Back Office )

מסופי נקודת –עיבוד עסקאות מועדוני לקוחות ( POS)מכירה

שירותי תשלומים מראש שירותים מנוהלים ( Billing)ניהול חיובים

הסדרת עסקאות (Clearing & settlement )

Records)ניהול רשומות שירותי בית עסק

Management )

ממשלה /תשלומי מיסים משדר/ספק רשת הכנת נתונים

ניתוב /שער מעבר תשלום שירותי הונאה והחזרת תשלומים

: (אנא פרט)שירותים אחרים

קשרים עסקיים . ג2חלק

שערי , לדוגמה)אחד או יותר ' האם לחברה קשרים עסקיים עם נותן שירותים צד גסוכנים של מועדוני , סוכני הזמנות של חברות תעופה, חברות אחסון אתרים, תקשורת

? (ב"לקוחות וכיו

לא כן

ראי עיבוד עסקאות אש. ד2חלק

? פרטי כרטיסי אשראימשדר מאחסן או , מעבדהארגון שלך באיזה אופן ועד כמה

: אנא מלא את האינפורמציה הנדרשת להלן בנוגע למערכות התשלום בהן נעשה שימוש בארגונך

בדיקת תאימות אחרונה שבוצעה מספר גרסא סוג מערכת תשלום בשימוש -PABP/PAבהתאם לנהלי ה

DSS


PCI DSSאישור .3חלק

מצהיר על (שם נותן שירות), (תאריך מילוי השאלון)מתאריך Dבהסתמך על התוצאות שהתקבלו בשאלון (: יש לסמן אחד)סטטוס התאימות הבא

כך הדירוג הכללי של החברה מולאו וכל השאלות נענו בחיוב ולפי PCI SAQכל חלקי שאלון : עומד בתקן בהתאם לכך ( ASV)סריקה עם ציון עובר בוצעה על ידי ספק סריקות מאושר ובנוסף, עומד בתקןהוא

. PCI DSSהראה תאימות מלאה לדרישות (שם נותן שירות)

, "לא"שהתשובה אליהן היתה אלות או שישנן ש, PCI SAQלא מולאו כל חלקי שאלון :לא עומד בתקן לא בוצעה סריקה עם ציון עובר על ידי ספק סריקות או, לא עומד בתקןולכן דירוגה הכללי של החברה

. PCI DSSלא הראה תאימות מלאה לדרישות (שם נותן שירות)לפיכך , (ASV)מאושר

לתקן לתאימות תאריך יעד :

תוכנית הפעולה'עשויה להידרש לביצוע ' לא עומד בתקן'עסקית המגישה טופס זה עם סטטוס ישות '( ם)האשראי שאיתו( י)יש לברר מול חברת כרטיסי האשראי או מותג. שבמסמך זה 4המפורטת בחלק

.חלק זה ותמותגי האשראי דורשחברות הואיל ולא כל 4אתם עובדים לפני ביצוע חלק

סטטוס התאימות אישור. א3חלק

: מאשר כי נותן השירות

הושלם בהתאם להוראות , (הגרסה של השאלון' מס)גרסה , PCI DSSשל Dשאלון הערכה עצמית . המופיעות בו

כל ההיבטים את תוצאות ההערכה שלי ב נאמנהכל המידע הנכלל בשאלון האמור ובהצהרה זאת מייצג . המהותיים

בכל PCI DSS-ואני מכיר בזאת כי מחובתי לשמור על תאימות מלאה ל PCI DSSקראתי את תקנות . זמן

או , CVV2 6או , CAV2 ,CVC2 ,CIDנתוני , 5לא נמצאו כל ראיות לשמירה של נתוני הפס המגנטי . מהמערכות שנבדקו במהלך הערכה זו באף אחתסקה לאחר אישור ע, PIN 7נתוני

יישויות אינן . י או מידע דומה על שבב המשמשים לאישור בעסקאות בהן הכרטיס נוכחנתונים המקודדים בפס המגנט 5

הערכים היחידים המצויים על הפס המגנטי . רשאיות לשמור את נתוני הפס המגנטי במלואם לאחר אישור העסקה .ושם בעל הכרטיס, תאריך תפוגה, ומותרים לשמירה הינם מספר הכרטיס

ע הספרות המודפס על תיבת החתימה או מימין לתיבת החתימה או על חזית הכרטיס המספר בעל שלוש או ארב 6

.האשראי המשמש לביצוע אימות בעסקאות בהן הכרטיס אינו נוכח. מוצפן בהודעת העסקה PINאו מספר /ו, הקוד הסודי האישי המוקלד על ידי בעל הכרטיס בעסקאות בהן הכרטיס נוכח 7


נותן השירות אישור . ב3חלק

תאריך חתימה של מנהל בכיר בבית העסק

פקיד ת שם המנהל הבכיר בבית העסק

שם בית העסק המיוצג


' לא עומד בתקן'תוכנית פעולה לסטטוס . 4חלק

הנך , "לא"אם התשובה לאחת מן הדרישות היא . המתאים לכל דרישה" סטטוס התאימות"אנא בחר את לא את התאריך שבו תעמוד החברה בדרישה ולתאר בקצרה את הפעולות הננקטות על מנת לעמוד נדרש למ חברות הואיל ולא כל, 4האשראי לפני מילוי חלק ( י)האשראי או מותג כרטיסי בדוק מול חברת. בדרישה

.חלק זה ותמותגי האשראי דורש

דרישת

PCI DSS

סטטוס תיאור הדרישה תאימות

( בחר אחד)

ופעולות תאריך תיקון

אם סטטוס )התאימות

לא כן "(לא"שסומן הוא

בתצורה המגנה על נתוני כרטיסי Firewallהתקן ותחזק 1. האשראי

אין להשתמש בהגדרות בררת מחדל של ספקים עבור 2. ססמאות מערכת ומרכיבי אבטחה אחרים

. נתונים המאוחסנים של כרטיסי האשראיההגן על 3

של פרטי בעל הכרטיס על פני רשתות שידור הצפן את ה 4. ציבוריות פתוחות

. השתמש ועדכן את תוכנת האנטי וירוס באופן קבוע 5

. פתח ותחזק מערכות ואפליקציות מאובטחות 6

י העקרון של "הגבל את הגישה לפרטי כרטיסי האשראי עפ 7. הצורך העסקי לדעת

למערכות הקצה מזהה ייחודי לכל גורם בעל גישה 8. מחשוב

. אשראיההגישה הפיזית לנתונים של כרטיסי את הגבל 9

נטר ועקוב אחר כל גישה למשאבי הרשת ולנתוני כרטיסי 10. האשראי

. ות של מערכות ותהליכי האבטחהבצע בדיקות שוטפ 11

יישם ותחזק מדיניות המטפלת באבטחת מידע בקרב כלל 12(. עובדים וקבלנים)כח האדם


Dשאלון הערכה עצמית

במסמך כפי שהוגדרו PCI DSSות דרישנהלי הבדיקה וללבהתאם השאלות הבאות ממוספרות :הערה. PCI DSSדרישות ונהלי הערכת אבטחה של

:תאריך מילוי הטופס

בנה ותחזק רשת בטוחה

בתצורה המגנה על נתוני כרטיסי האשראי Firewallהתקנה ותחזוקהשל :1דרישה

*אחרלא כן :ובהשת ה שאל

והנתבים firewallהאם הסטנדרטים הקיימים בקונפיגורציית ה 1.1(routers )כוללים את הדברים הבאים :

1.1.1 והשינויים החיצוניים הרשת חיבורי כל ובחינת לאישור רשמי תהליך

?והנתבים firewall –ת ה לקונפיגורצי

חיבורים ה כל את מתעדה עדכנירשת תרשיםהאם ישנו .א 1.1.2

למשל ) ?אלחוטיות רשתות לרבות ,יאשרא כרטיסי לנתוני(. תרשים המראה את זרימת נתוני האשראי ברשת

? האם התרשים עדכני .ב

firewallהאם הגדרות הקונפיגורציה כוללת דרישה ל .א 1.1.3( DMZ)לכל חיבור אינטרנט וכן בין כל אזור מפורז

? לאזור הרשת הפנימית

האם תרשים הרשת הקיים תואם את הגדרות התצורה .ב ? firewallשל ה

והנתבים firewallהסטנדרטים של קונפיגורצית ה האם 1.1.4(routers )התפקידים ותחומי , כוללים את תיאור הקבוצות

? אחריות בניהול הלוגי של רכיבי הרשת

firewallהסטנדרטים של קונפיגורצית ה האם .א 1.1.5רישום ותיעוד הצורך כוללים ( routers)והנתבים

הפרוטוקולים וערוצי , העסקי לשימוש בכל השירותיםלרבות תיעוד הגדרות , המורשים( ports)התקשורת

האבטחה שיושמו עבור פרוטוקולים שדרגת בטיחותם HTTP, ה פרוטוקולים מסוגלדוגמ)? אינה מספקת

SSL ,SSH ,VPN) .

הפרוטוקלים וערוצי התקשורת , האם כל השירותים .ב (ports ) הנחשבים למסוכנים אך אושרו לשימוש הנם

והאם ישנם אמצעי אבטחה מתועדים אשר , הכרחיים? יושמו עבור כל אחד מהם

firewallהסטנדרטים של קונפיגורצית ה האם .א 1.1.6דורשים ביצוע בדיקה של מערך ( routers)והנתבים

? והנתבים כל שישה חודשים לפחות firewall –חוקי ה

ארגונים המשתמשים בחלק זה נדרשים למלא כיאות את גיליון ". שימוש בבקרות מפצות"ו א( N/A" )לא רלוונטי" *

. שבנספח' הסבר חוסר הרלוונטיות'או גיליון ' בקרה מפצה'



והנתבים נבדקים כל firewallרך חוקי ה האם מע .ב ?שישה חודשים לפחות

והנתבים מגבילה את הגישה של firewall–האם קונפיגורצית ה 1.2רשתות לא אמינות לכל המערכות בסביבת נתוני כרטיסי

: האשראי כדלהלן

ינה כל רשת חיצונית לרשתות השייכות רשת לא אמינה ה: הערהאו מחוץ ליכולות השליטה או הניהול של /ו, לישות הנסקרת

.הישות

האם התעבורה הנכנסת והיוצאת מוגבלת לזו .א 1.2.1ההכרחית לסביבת נתוני כרטיסי האשראי והאם

? הגבלות אלה מתועדות

האם כל יתר התעבורה הנכנסת ויוצאת נחסמת באופן .ב ?"(deny all"למשל באמצעות חוק )מפורש

? האם קבצי הקונפיגורציה של הנתבים מסונכרנים ומאובטחים 1.2.2

היקפיים בין כל הרשתות האלחוטיות firewallsהאם הותקנו 1.2.3 firewalls והאם הוגדרו ה , וסביבת נתוני כרטיסי האשראי

כל תעבורה מהסביבה האלחוטית לסביבת נתוני האלה לחסום אם תעבורה מסוג זה הכרחית )בה או לשלוט כרטיסי האשראי

?(לצורך עסקי

אוסרות על גישה ציבורית ישירה בין firewall –האם הגדרות ה 1.3האינטרנט לבין כל רכיבי המערכת בסביבת נתוני כרטיסי

: האשראי באופן הבא

לרכיבי מערכת רק להגבלת התעבורה הנכנסת DMZהאם הוקם 1.3.1מורשים ( ports) צי תקשורתוערופרוטוקולים , המספקים שירותים

?גישה ציבוריתל

IPהאם תעבורת האינטרנט הנכנסת מוגבלת לכתובות 1.3.2? DMZשנמצאות בתוך ה

נכנסת ויוצאת בין האינטרנט –נאסרת תעבורה ישירה האם 1.3.3? לבין סביבת נתוני כרטיסי האשראי

? DMZהאם נאסרת העברת כתובות פנימיות מהאינטרנט ל 1.3.4

ת נתוני כרטיסי האשראי האם תעבורה היוצאת מסביב 1.3.5? מאושרת באופן מפורשלאינטרנט

הידועה גם ( stateful inspection)האם מיושמת בדיקת עומק 1.3.6( dynamic packet filtering)כסינון חבילות מידע דינאמי

? (רשתמורשים ב" מוכרים"כלומר רק חיבורים )

כמו בסיסי ) הכרטיסים נתוני את רכיבי המערכת המחזיקים האם 1.3.7ומרשתות DMZ-מהת בנפרד פנימיהרשת תוך הבממוקמים (נתונים



?בלתי אמינות אחרות

IPשל כתובות שיטות למניעת חשיפתםהאם יושמו .א 1.3.8 ?פרטיות ומידע הניתוב לאינטרנט

יכולות לכלול אבל IPשיטות להסתרת כתובות :הערה: לא מוגבלות לשיטות הבאות

תרגום כתובות רשת– NAT

מיקום שרתים המכילים נתוני כרטיסי proxy)אשראי מאחורי שרתי פרוקסי

servers/)firewall או מטמוני תוכן(content

caches)

הסרה או סינון של פרסום הנתיב של רשתותכתובות רשומות פרטיות המשתמשות

(registered addressing)

שימוש פנימי בRFC1918 address space . במקום בכתובות רשומות

פרטית IPכל חשיפה של כתובות ישנו אישור להאם .ב ? ומידע ניתוב לישויות חיצוניות

אישית על כל מחשב נייד firewallהאם הותקנה תוכנת .ג 1.4למשל )או מחשבי עובדים בעלי חיבור ישיר לאינטרנט /ו

ם ואשר נוהגי( מחשבים ניידים בשימוש העובדים? להתחבר לרשת הארגונית


אין להשתמש בהגדרות בררת מחדל של ספקים עבור ססמאות מערכת ומרכיבי אבטחה :2דרישה אחרים

*אחרלא כן :תשובה שאלה

האם ברירות מחדל המוגדרות על ידי הספק מוחלפות תמיד 2.1? טרם התקנת המערכת ברשת

SMNP, סיסמאות, ברירות מחדל כוללות בין היתר אבל לא רק

community strings ,וביטול חשבונות שאינם נחוצים .

ות לסביבת נתוני כרטיסי האם בסביבות אלחוטיות המחובר 2.1.1ברירות המחדל מוחלפות , או המשדרות נתוני כרטיסים, אשראי

: באופן הבא

האם מפתחות ההצפנה מוחלפים מברירת המחדל בזמן .א ההתקנה ובכל פעם שמישהו בעל ידע על המפתחות עוזב

? את החברה או מחליף תפקיד

SNMPהאם מוחלפת הגדרת ברירת המחדל של ה .ב

community strings במכשירים אלחוטיים ?

האם מוחלפות הסיסמאות המוגדרות כברירת מחדל בכל .ג ? נקודות הגישה

האם רכיב התוכנה בתוך החומרה של המכשיר האלחוטי .ד מעודכן על מנת לתמוך בהצפנה חזקה לצורך זיהוי ושידור

? מעל רשתות אלחוטיות

האם ברירות מחדל אחרות המוגדרות על ידי הספק .ה ? מוחלפות כשצריך

האם פותחו סטנדרטים להגדרת תצורה לכל רכיבי .א 2.2המערכת והאם הם תואמים לסטנדרטים המקובלים

?בתעשייה בנוגע להקשחת מערכות

מקורות לסטנדרטים מקובלים בתעשייה להקשחת System, מערכות כוללים בין היתר אבל לא רק את

Admin Audit Network (SANS) ,National Institute

of Standards Technology (NIST) ,International

Organization for Standardization (ISO) ,Center of

Internet Security (CIS) .

האם הסטנדרטים להגדרת תצורת המערכת מתעדכנים .ב אשר מתגלות נקודות תורפה חדשות כמוגדר בדרישה כ

6.2 ?

האם פועלים על פי הסטנדרטים להגדרת תצורת מערכת .ג ? כאשר מוגדרת מערכת חדשה

ארגונים המשתמשים בחלק זה נדרשים למלא כיאות את גיליון ". שימוש בבקרות מפצות"או ( N/A" )לא רלוונטי" *

. שבנספח' סבר חוסר הרלוונטיותה'או גיליון ' בקרה מפצה'



תצורת מערכת כוללים את האם הסטנדרטים להגדרת .ד : הדברים הבאים

ד לכל שרת על מנת עיקרי אחייעוד שימוש ישנוהאם .א 2.2.1למנוע מצב בו ייעודי שימוש שונים הדורשים רמת אבטחה

?שונה מתקיימים על אותו שרת

DNSושרתי , databaseשרתי , webשרתי , לדוגמה)(. צריכים להיות מוקמים על שרתים נפרדים

האם ישנו , נעשה שימוש בטכנולוגיית וירטואליזציהאם .ב ? או מערכת וירטואליתייעוד שימוש עיקרי אחד לכל רכיב

פרוטוקולים , שירותיםהאם מאופשרת הפעילות רק של אותם .א 2.2.2. של המערכת לפעולתהבאופן הנדרש חיונייםודיימונים

שירותים ופרוטוקולים שאינם נדרשים באופן ישיר על מנת ) ?(לאפשר את פעולת המערכת מנוטרלים

פרוטוקולים ודיימונים , האם השימוש בכל השירותים .ב מוצדק והאם אמצעי אבטחה , טוחים אשר פועליםהלא ב

?מתועדים ומיושמים

, SSH ,S-FTP ,SSLטכנולוגיות אבטחה כמו , לדוגמה)IPSec אוVPN מיושמות על מנת להגן על שירותים לא

(. וכו Telnet,FTP, שיתוף קבצים, NetBiosבטוחים כגון

האם אדמיניסטרטור המערכת או האנשים האחראיים על .א 2.2.3הנם בעלי ידע בפרמטרים , קביעת תצורת רכיבי המערכת

?הנפוצים של הגדרת אבטחת המערכת

האם הפרמטרים הנפוצים של הגדרת תצורת אבטחת .ב ? דרטים של תצורת המערכתהמערכת כלולים בסטנ

, האם הפרמטרים של הגדרת תצורת אבטחת המערכת .ג ? מיושמים כהלכה על כל רכיבי המערכת

, קריפטיםס –האם כל היישומים הלא הכרחיים כגון .א 2.2.4מערכות קבצים ושרתי , תתי מערכות, תכונות, דרייברים

Web ,הוסרו ?

האם היישומים הפועלים מתועדים והאם הם פועלים .ב ? בתצורה מאובטחת

? ומים מתועדים קיימים ברכיבי המערכתהאם רק ייש .ג

non console)האם גישת אדמיניסטרטור שלא דרך מסוף 2.3

admin access )מוצפנת כדלהלן :

בשימוש SSL/TLSאו SSH ,VPNהשתמש בטכנולוגיות כגון בממשקי שר נעשה שימוש כאבגישה ניהולית דרך האינטרנט או

. דרך מסוף אחרים אשל םגישה אדמיניסטרטיביי



מוצפנת , האם כל גישת אדמיניסטרטור שלא דרך מסוף .א והאם ההצפנה מופעלת לפני , הצפנה חזקמנגנון באמצעות

? שהאדמיניסטרטור מתבקש לספק את הסיסמה

האם תצורת שירותי המערכת וקבצי פרמטרים נקבעה .ב או באמצעים לא בטוחים Telnetבאופן שימנע שימוש ב ? אחרים לגישה מרחוק

האם גישת אדמיניסטרטור מהאינטרנט לממשקי ניהול .ג ? מוצפנת באמצעות מנגנון הצפנה חזק

האם המערכות שברשותך מוגדרות , אם הנך ספק אחסון שיתופי 2.4בתצורה שמגנה על הסביבה המאוחסנת ונתוני כרטיסי האשראי

? של כל ישות

בנוגע לדרישות דרישות נוספות עבור ספקי אירוח: ראה נספח א. חובה נוספות


ונים המאוחסנים של כרטיסי האשראי הגן על הנת: 3דרישה

*אחרלא כן :שאלה תשובה

ור והשלכהנהלים של שימהמדיניות וההאם 3.1((data retention and disposal של מידע כוללים את הדברים

: הבאים

הנהלים של שימור והשלכה של מידע המדיניות והאם .א 3.1.1כוללים הוראות ספציפיות לשימור של נתוני כרטיסי

או /חוקיות ו, אשראי הנדרש למטרות עסקיות ?רגולטוריות

ם להישמר למשך נתוני כרטיסי אשראי צריכי, לדוגמה. סיבות עסקיות Yבגלל Xתקופה

וללים הוראות הנוגעות כהנהלים המדיניות והאם .ב להשלכה המאובטחת של המידע כאשר הוא כבר לא נדרש

כולל השלכה , חוקיים או רגולטורים, מטעמים עסקיים? אישל נתוני כרטיסי אשר

הנהלים מכסים את כל נושא האחסון של המדיניות והאם .ג ? נתוני כרטיסי האשראי

הנהלים כוללים לפחות את אחד המדיניות והאם .ד ?מהבאים

אוטומטי )לפחות רבעון תהליך המתרחש אחת לחורגים למחיקת נתוני כרטיסי אשראי ש( או ידני

.דרישות השימור המוגדרותמ

דרישה לבדיקה שתערך אחת לרבעון לפחות ,שתוודא כי נתוני כרטיסי האשראי המאוחסנים

. חורגים מדרישות השימור המוגדרותלא

האם כל נתוני כרטיסי האשראי המאוחסנים עונים .ה ? לדרישות המוגדרות במדיניות השימור

או חברות התומכות /לחברות המנפיקות כרטיסי אשראי ו .א 3.2ומאחסנות נתוני אימות בשירותי הנפקת הכרטיסים

לאחסון של נתוני עסקית האם יש הצדקה –רגישים ? האימות הרגישים והאם הם מאוחסנים בצורה בטוחה

עבור יתר החברות בהן נתוני האימות הרגישים מתקבלים .ב האם מצויים תהליכים המבטיחים כי המידע –ונמחקים

? שנמחק אינו ניתן לשחזור

-עונות לדרישות הבאות בנוגע לאי האם כל המערכות .ג אפילו )שמירה של מידע אימות רגיש לאחר אישור עסקה

? (אם הוא מוצפן

הפס המגנטי מ( track)תכולתו המלאה של שום ערוץ האם 3.2.1





או מידע זהה הממוקם על שבב או בכל , הממוקם בגב הכרטיס)? אינם נשמרים בשום מקרה( מקום אחר

ערוץ , (track 1) 1ערוץ , (full track)מידע זה גם נקרא ערוץ מלא 2 (track 2 )ופרטי הפס המגנטי .

לשמור במהלכם הרגיל של העסקים יהיה צורך ייתכן ו: הערה: המצויים בפס המגנטי את הפרטים הבאים

שם בעל הכרטיס

מספר כרטיס האשראי(PAN)

(תוקף)תאריך התפוגה

וקוד השירות

כאשר שמור רק את הפרטים הללו , על מנת לצמצם את הסיכון. יש צורך עסקי בכך

לאימות הכרטיס (CVV)או ערך הקוד ( (CVCקוד ההאם 3.2.2המספר בעל שלוש או ארבע ספרות המודפס בקדמת או בגב )

? אינו נשמר בשום מקרה( הכרטיס

המוצפן אינם PINאו חוסם ה ( PIN)האם מספר הזיהוי האישי 3.2.3? נשמרים בשום מקרה

שש )כאשר הוא מוצג מוסך מהאם מספר כרטיס האשראי 3.3? (הספרות הראשונות וארבע הספרות האחרונות

: הערות

דרישה זו אינה חלה על עובדים או גורמים אחרים שישלהם צורך ספציפי לראות את מספר כרטיס האשראי

;המלא

חמירות יותר דרישה זו אינה גוברת על דרישות מלמשל –הנוגעות להצגה של נתוני כרטיסי אשראי

( (POSבנוגע לקבלות בנקודות מכירה

האם מספר כרטיס האשראי מוצג בצורה שאינה ניתנת לקריאה 3.4 מדיה דיגיטלית, במאגרי מידעכולל )בכל מקום בו הוא מאוחסן

באמצעות אחת ( (audit logs)מדיה לגיבוי ולוגים לבקרה , ניידת? מהשיטות הבאות

גיבובים(hashes ) חד כיווניים המבוססים על הצפנה .(הגיבוב יהיה על כל מספר כרטיס האשראי) חזקה

קיצוץ(truncation( ) לא ניתן להשתמש בגיבוב(hash ) .(להחלפת הסגמנט המקוצץ של מספר הכרטיס

מוני הצפנה אסי(index tokens )ופנקסים חד פעמיים

(pads( )יש לשמור את הפנקסים בצורה מאובטחת.)

הצפנה חזקה עם תהליכים ונהלים נלווים לניהול .מפתחות ההצפנה

אדם שכוונותיו זדוניות נדרש למאמץ קטן יחסית כדי : הערהלשחזר את נתוני הכרטיס המקוריים אם יש לו גישה הן לגרסה

. מגובבת והן לגרסה המקוצצת של מספר כרטיס האשראיה



במקרה שקיימות גרסה מגובבת ומקוצצת של אותו מספר יש להתקין בקרות נוספות על , כלשהישל ישות כרטיס בסביבה

בין הגרסה המגובבת לגרסה קשר מנת להבטיח שלא ניתן למספר ה שחזורשל מספר הכרטיס האשראי לצורך המקוצצת

. המלא

להבדיל מהצפנה ברמת ) אם נעשה שימוש בהצפנה ברמת הדיסק 3.4.1האם הגישה מנוהלת ( הקובץ או ברמת עמודה בבסיס הנתונים

: באופן הבא

של קבצים מוצפנים האם הגישה הלוגית למערכות .א ה הבסיסיים של מנוהלת באופן נפרד ממנגנוני בקרת הגיש

על ידי הימנעות , לדוגמה)מערכת ההפעלה המקומית ? (משימוש בבסיסי הנתונים של חשבון המשתמש המקומי

האם מפתחות ההצפנה מאוחסנים בצורה מאובטחת .ב מאוחסנים על גבי מדיה ניידת המוגנת באמצעות , לדוגמה)

? (מנגנוני הגבלת גישה חזקים

האם נתוני כרטיסי אשראי תמיד מוצפנים על גבי מדיה .ג ?ניידת

אם לא נעשה שימוש בהצפנה ברמת הדיסק להצפנה : הערהיש להפוך את הנתונים שמצויים על גבי מדיה , של מדיה ניידת. ים באמצעות שיטה אחרתזו לבלתי קריא

האם כל המפתחות שנעשה בהם שימוש לאבטחת נתוני כרטיסי 3.5: אשראי מוגנים מפני חשיפה ושימוש לרעה באופן הבא

דרישה זו חלה על מפתחות הצפנה המשמשים להגנה על :הערהמפתחות הצפנה עיקריים כגון --מפתחות הצפנה של נתונים

אלה צריכים להיות חזקים לפחות כמו מפתח ההצפנה של . הנתונים

האם הגישה למפתחות ההצפנה מוגבלת למספר הקטן ביותר 3.5.1? אחראים/ממוניםההכרחי של

פורמט מוצפן והאם מפתחות האם המפתחות מאוחסנים ב .א 3.5.2ההצפנה למפתחות ההצפנה של הנתונים מאוחסנים

? בנפרד ממפתחות הצפנת הנתונים

האם מפתחות הצפנה מאוחסנים במספר הקטן ביותר .ב ? האפשרי של מקומות וצורות אחסון

הנהלים לניהול מפתחות ההצפנה המדיניות וכל האם .א 3.6המשמשים להצפנה של נתוני כרטיסי אשראי מתועדים

? ומיושמים במלואם

המפתחות ניתנים ללקוחות אם: לספקי שירות בלבד .ב האם –ני כרטיסי אשראי מאוחסנים לצורך העברת נתו

לגבי הדרכה הסברים והלקוחות מקבלים ספרות הכוללת באופן מפתחות לקוח של ן ודכהעו האחסון, רודישה אופן

? להלןש 3.6.8עד 3.6.1 שיענו לדרישות



חות המיושמים והנהלים של ניהול המפתהמדיניות האם .ג : דורשים את הדברים הבאים

הקשורים במפתחות המוצפנים כוללים ייצור של נהלים האם ה 3.6.1? מפתחות הצפנה חזקים

הפצה פתחות המוצפנים כולליםהקשורים במהנהלים האם 3.6.2? מאובטחת של מפתחות ההצפנה

אחסון הקשורים במפתחות המוצפנים כולליםהנהלים האם 3.6.3? מאובטח של מפתחות ההצפנה

החלפת הקשורים במפתחות המוצפנים כולליםנהלים ה האם 3.6.4מפתחות הצפנה שהגיעו לסוף תקופת ההצפנה המוגדרת שלהם

או אחרי שכמות מסוימת /אחרי שעבר פרק זמן מסוים ו, למשל)כפי שהוגדרה על ידי יצרן האפליקציה , (של טקסט מוצפן הופקה

על הנחיות בעל המפתח תוך התבססות הרלוונטית או NIST Specialלדוגמה ) נדרטים מקובלים בתעשייהסטו

Publication 800-57)?

הקשורים במפתחות המוצפנים כוללים נהליםהאם ה .א 3.6.5או /השמדה ו, ארכוב, למשל)או החלפה שימוש הפסקת

אמינותם לפי הצורך כאשר של מפתחות ההצפנה( ביטולהצפנה למשל עזיבה של עובד עם ידע לגבי מפתח)נחלשת

? ((clear-text key)עם טקסט גלוי

הקשורים במפתחות המוצפנים כולליםנהלים האם ה .ב החלפה של מפתחות הידועים או חשודים ככאלה

? שנחשפו

, אשר הופסק בהם השימוש או הוחלפומפתחות אם .ג האם מפתחות אלה משמשים אך ורק לצרכי –נשמרים

ולא משמשים לצורכי ( )decryption)אימות /פענוח? (הצפנה

ניהול ידני של מפתחות הצפנה עם טקסט גלוי עבור פעילויות 3.6.6(clear text key- ) הקשורים במפתחות המוצפנים נהליםהאם ה

, למשל)פיצול ידע ושליטה דואלית על מפתחות ההצפנה כולליםיודע רק חלק מהם דרישה ששניים או שלושה אנשים שכל אחד

? (מסוים במפתח יוכלו לשחזר את המפתח כולו

אך , לפעולות ניהול ידניות של מפתחות כוללות דוגמאות: הערהאחסון , טעינה, העברה, יצירת מפתחות: אינן מוגבלות ל

. והשמדה

מניעת הקשורים במפתחות המוצפנים כולליםנהלים האם ה 3.6.7? החלפה לא מורשית של מפתחות ההצפנה

על מפתחות ההצפנה נדרשים להכיר בצורה הממוניםהאם 3.6.8שהם מבינים ומקבלים על ( בכתב או באופן אלקטרוני)רשמית

? מפתחותכממונים על העצמם את האחריות


על פני רשתות ציבוריות פתוחות י אשראי כרטיסנתוני של שידור הצפן את ה: 4דרישה


אבטחה יהאם נעשה שימוש בהצפנה חזקה ובפרוטוקול .א 4.1על מנת להגן על נתונים SSL/TLS ,SSH ,IPSECכגון

רגישים של כרטיסי אשראי במהלך שידור על פני רשתות ?ציבוריות פתוחות

דוגמאות לרשתות ציבוריות פתוחות הרלוונטיות להקשר של , אינטרנט: כוללות אך לא מוגבלות ל PCI DSSתקן

GPRSו GSM, טכנולוגיות אלחוטיות

? או אישורים ממקור בטוח/האם מתקבלים רק מפתחות ו .ב

האם פרוטוקולי האבטחה מיושמים אך ורק בתצורה .ג ? מאובטחת ולא תומכים בגרסאות תצורה לא מאובטחות

האם מיושם חוזק הצפנה המתאים לשיטת ההצפנה .ד סטנדרטים /בדוק את המלצות היצרן)שנעשה בה שימוש

? (מקובלים

:SSL/TLSליישומי .ה

האם בדפדפן מופיעHTTPS כחלק מכתובת ?(URL)האינטרנט

וני כרטיסי אשראי נדרשים רק כאשר האם נתבכתובת האינטרנט בדפדפן HTTPSמופיע

(URL) ?

, למשל)האם נעשה שימוש בנהלים מקובלים בתעשייה 4.1.1IEEE 802 11i) , כדי ליישם הצפנה חזקה של תהליכי

לחוטיות שמשדרות אימות ושידור עסקאות ברשתות אנתוני כרטיסי אשראי או מחוברות לסביבת כרטיסי

? האשראי

-כבקרת אבטחה אסור החל מה WEPהשימוש ב : הערה. 2010ביוני 30

האם מספרי כרטיסי האשראי מוגנים בהצפנה חזקה או .א 4.2אימת שהם נשלחים דרך שמוצגים כבלתי קריאים כל

, לדוגמה)טכנולוגיות העברת מסרים של משתמשי קצה ? (אט'תוכנת מסרים מידיים וצ, אימייל

האם ישנם נהלים הקובעים כי אין לשלוח מספרי כרטיסי .ב ם אשראי בלתי מוגנים באמצעות טכנולוגיות העברת מסרי

? של משתמשי קצה

ה נדרשים למלא כיאות את גיליון ארגונים המשתמשים בחלק ז". שימוש בבקרות מפצות"או ( N/A" )לא רלוונטי" *



יישם ותחזק תוכנית לניהול נקודות תורפה

השתמש ועדכן את תוכנת האנטי וירוס באופן קבוע : 5דרישה


כל המערכות שבדרך כלל האם מותקנת תוכנת אנטי וירוס על 5.1? עשויות להיפגע מתוכנות זדוניות/מושפעות

, וירוס המותקנות מסוגלות לזהות-האם כל תוכנות האנטי 5.1.1להסיר ולהגן מפני כל הסוגים הידועים של תוכנות זדוניות

, תוכנות ריגול, תולעים, םסוסים טרויאני, וירוסים ,לדוגמה) ?((rootkit)וערכות ריגול , תוכנות פרסומת

פועלות ומייצרות , האם כל תוכנות האנטי וירוס מעודכנות 5.2: כדלקמן (audit logs)לוגים לבקרה

-וירוס דורש עדכון של תוכנת האנטי-האם נוהל האנטי .א ? וירוס וההגדרות שלה

האם ההתקנה הראשית של התוכנה מאפשרת סריקות .ב ? ועדכונים אוטומטים

וסריקות תקופתיות מוגדרים םהאם עדכונים אוטומטי .ג ? כפעילים

האם כל מנגנוני האנטי וירוס מייצרים לוגים לבקרה .ד (Audit logs ) והאם הלוגים נשמרים בהתאם לדרישה

? PCI DSSלתקן 10.7




פתח ותחזק מערכות ואפליקציות מאובטחות : 6דרישה


מוגנים מפני חשיפה האם כל רכיבי המערכת והתוכנה .א 6.1ידועות באמצעות התקנה של טלאי נקודת תורפה ל

? המעודכנים ביותר של הספק( patches)האבטחה

מותקנים בתוך חודש ( patches)האם טלאי האבטחה .ב ?אחד מיום פרסומם

על ארגון יכול לשקול להשתמש בגישה מבוססת : הערהתעדף את על מנת ל( risk based approach) ןסיכורמתן

על ידי תעדוף של תשתיות , לדוגמה. התקנת הטלאיםבסיסי , חיצוני מערכות עם ממשק ציבורי, למשל)קריטיות

על זאת , ותפחות קריטי ות פנימיערכות גבוה יותר מ( נתוניםמנת להבטיח שטלאי האבטחה מותקנים על כל המערכות

ועל גבי המערכות , הקריטיות בתוך חודש מיום פרסומם. ות קריטיות בתוך שלושה חודשים מיום פרסומםהפח

חדשות נקודות תורפה ישנו תהליך שנועד לזהות האם .א 6.2כולל דירוג רמת סיכון לכל , המתפרסמות מעת לעת

הקריטיות נקודות התורפה לכל הפחות )?נקודת תורפה ביותר ידורגו כ הת הסיכון הגבוהביותר בעלות רמ

"(. הגבוה"

צריך להיות מבוסס על סטנדרטים דירוג הסיכונים: הערהנקודות לדירוג ניםקריטריו, לדוגמה. מקובלים בתעשייה

על הסתמכות :להיות יםיכול" גבוהה"ברמת סיכון תורפה נקודות במאגר הדירוג שלנקודת תורפה שקיבלה 4.0ציון

CVSS (Common Vulnerabilities Scoring תורפה

System) ,המסווגים על ( נקודות התורפה)או טלאי אבטחה /והנוגעות לרכיבי נקודות תורפה או/ו, "קריטיים"ידי היצרן כ

. מערכת קריטיים

ביוני 30ה יחשב כנוהל מומלץ עד CVSSנקודות תורפה דירוג .לדרישה מחייבת ךלאחר מכן הוא ייהפ, 2012

מבוססים על נקודות תורפה האם התהליכים לזיהוי .ב ? הבתעשייסטנדרטים מקובלים הוראות

האם תהליכי פיתוח התוכנה מבוססים על הוראות .א 6.3? בלים בתעשייהסטנדרטים מקו

האם אבטחת מידע משולבת בכל שלב של מחזור חיי .ב ? הפיתוח

האם יישומי התוכנה מפותחים בהתאם לדרישות של .ג מאובטחים אימות ותיעוד , למשל) PCI DSSתקן

(secure authentication and logging)) ?

האם תהליכי פיתוח התוכנה כוללים את הדברים .ד

ארגונים המשתמשים בחלק זה נדרשים למלא כיאות את גיליון ". שימוש בבקרות מפצות"או ( N/A)" לא רלוונטי" *




? הבאים

פנימיים הושמות משתמשים , סיסמאות, חשבונותכל ההאם 6.3.1אפליקציה הופכת /יישוםלפני שהמהאפליקציה מוסרים

? לפעילה או מופצת ללקוחות

האם כל שינויי הקוד באפליקציה המפותחת נבדקים 6.3.2לפני שחרור ( באמצעות תהליכים ידניים או אוטומטים)

נקודות תורפה על מנת לזהות , ותהגרסה או הפצה ללקוח: פוטנציאליות בקוד כדלקמן

על ידי בודקים אשר אינם שינויי הקוד נבדקים האםאלו שכתבו את הקוד ואשר הינם בקיאים בטכניקות

?מאובטחכתיבת קוד של בדיקת קוד ונהלי

בהתאם נכתבהאם בדיקות הקוד מוודאות כי הקוד 6.5ם לדרישה בהתא)מאובטח כתיבת קוד להוראות

?(PCI DSSבתקן

האם התיקונים הנדרשים מיושמים לפני שחרור ?הגרסה

האם התוצאות של בדיקת הקוד נבדקות ומאושרות ?על ידי ההנהלה לפני שחרור הגרסה

פיתוח עצמי של דרישה זו לבדיקות קוד חלה על כל : הערהכחלק , (חיצוני יציבורוהן לשימוש פנימייםהן לצרכים )קוד

את בדיקות הקוד יכולים לערוך . ממחזור הפיתוח של המערכת. עובדים פנימיים המחזיקים בידע הדרוש או גורמים חיצוניים

כפופות ליישום של חיצוני הנגישות לציבור Webאפליקציות נקודות תורפה וזאת על מנת לתת מענה ל, בקרות נוספות

דר כפי שמוג, ת המערכתהטמע גם לאחרים איומים מתמשכ. PCI DSSשל 6.6בדרישה

עבור שינויים ' בקרת שינויים'האם דרישות תהליכי ונהלי 6.4: כוללות את הדברים הבאים, ברכיבי המערכת

, בדיקות מופרדות מסביבת הייצור/וחהאם סביבות הפית 6.4.1? והאם קיימת בקרת גישה אשר אוכפת את ההפרדה

אנשים העובדים להאחריות שתחומי בין ההאם יש הפרד 6.4.2אנשים של תחומי האחריותבדיקות ל/בסביבת הפיתוח

? העובדים בסביבת הייצור

מספרי כרטיסי )נתוני סביבת ייצור נעשה שימוש ב לאהאם 6.4.3? לצורכי פיתוח או בדיקות( אמיתייםאשראי

הנתונים האם חשבונות שנוצרו לצורך הבדיקות כמו גם כל 6.4.4מוסרים מהמערכות לפני שהן , האחרים הקשורים בבדיקות

? הופכות לפעילות בסביבת הייצור

האם נהלי בקרת שינויים להתקנת טלאי אבטחה .א 6.4.5? ועדכוני תוכנה מתועדים וכוללים את הדרישות הבאות

: כל שינוי האם הדרישות הבאות מקוימות עבור .ב



? תיעוד ההשפעה 6.4.5.1

הגורמים המוסמכים על ידי( של השינוי)אישור מתועד 6.4.5.2? בארגון

אין בדיקת פונקציונאליות על מנת לוודא שלשינוי .א 6.4.5.3? השפעה רעה על רמת הבטיחות של המערכת

האם העדכונים –עבור עדכוני קוד בפיתוח עצמי .ב לפני PCI DSSשל 6.5נבדקים לתאימות עם דרישה ?שהם עוברים לסביבת הייצור

? עבור כל שינוי( back-out)האם ישנם נהלי שחזור 6.4.5.4

אפליקציות מפותחות בהתאם לנהלי /יישומיםההאם .א 6.5 OWASP ,SANS CWE, למשל)? מאובטחקוד כתיבת

Top 25 ,CERT Secure Coding וכו') ?

האם המפתחים בקיאים בטכניקות כתיבת קוד .ב ? מאובטח

ןהימצאות תמניעכוללים התוכנה האם תהליכי פיתוח .ג בקוד על מנת לוודא שהאפליקציות נקודות תורפה של

:אינן חשופות לכל הפחות ל

עד 6.5.1המופיעות בסעיפים נקודות התורפה : הערהבהתאם לסטנדרטים המקובלים נן מעודכנות הי 6.5.9

. PCI DSSפרסום גרסה זו של תקן נכון ליום בתעשייה שייה מתעדכנים באופן אולם היות והסטנדרטים בתע

יש להשתמש בסטנדרטים המעודכנים ביותר בעת , שוטף. מילוי אחר דרישות אלה

בדוק ) ? SQL Injectionובמיוחד, (Injection)קוד הזרקות 6.5.1את המידע המוזן על מנת לוודא שנתונים המוזנים על ידי

, משתמש אינם יכולים את משמעותן של פקודות ושאילתותה(. 'לנצל שאילתות עם משתנים וכו

ו OS Command injection ,LDAPיש גם להיזהר מפניXPath injections ,כמו גם הזרקות קוד אחרות.

(Buffer Overflow) ?הצפת חוצץ 6.5.2בדוק את גבולות החוצץ וקצץ את הנתונים המוזנים )

(. בהתאם

Insecure) ? של נתונים אחסון מוצפן לא מאובטח 6.5.3

cryptographic storage )(מנע כשלי הצפנה .)

הצפן בצורה נאותה את כל )? תקשורת לא מאובטחת 6.5.4(. התקשורת המאומתת והרגישה

(improper error handling)? טיפול לא תקין בשגיאות 6.5.5(. אל תדליף מידע דרך הודעות שגיאה)



בעלות רמת סיכון נקודות התורפה האם זוהו כל 6.5.6כמוגדר )נקודת תורפה בתהליך זיהוי חשיפה ל" גבוהה"

? (PCI DSSל 6.2בדרישה

ביוני 30דרישה זאת נחשבת לנוהל מומלץ עד ה : הערה. לדרישה מחייבת ךלאחר מכן תיהפ, 2012

נוספות נקודות תורפה האם הדרישות הבאות בנוגע ל פנימיים או )וממשקי אפליקציות Webבאפליקציות

? מטופלות( חיצוניים

6.5.7 Cross Site Scripting (XSS) ?( בדוק את כל((. inclusion)הפרמטרים לפני החלה

( improper access control)בקרת גישה בלתי הולמת 6.5.8הפניות ישירות לא מאובטחות לאובייקטים , כגון

(insecure direct object references) , כשל בהגבלתמעבר , URL (failure to restrict URL access)גישה ל

זהה )? (directory traversal)לא מורשה בין ספריות משתמשים בצורה נאותה ובדוק וסנן את הנתונים

אל תחשוף הפניות (. (sanitize inputהמוזנים(. לאובייקטים פנימיים למשתמשים

6.5.9 Cross-site request forgery (CSRF) ?( אל תסמוך עלואסימונים ( authorization credentials)פרטי אישור

(tokens )שנשלחים אוטומטית על ידי הדפדפנים .)

הנגישות לציבור חיצוני Webהאם באפליקציות 6.6האם , מטופלים איומים ונקודות תורפה באופן שוטף

קפות ידועות האפליקציות האלה מוגנות מפני הת? מהשיטות הבאותאחת באמצעות

האפליקציות סקירת-web לציבורות הנגיש ידניים או , באמצעות שיטות או כליםחיצוני

:להערכת סיכוני אבטחה כדלקמן ,אוטומטיים

o לפחות אחת לשנה

o לאחר כל שינוי

o על ידי ארגון שמתמחה באבטחת מידע

o מתוקנות( בקוד)שכל נקודות התורפה

o ציה נסקרת מחדש לאחר שהאפליק התיקונים

-או-

תקנת הfirewall ברמת האפליקציה(WAF )כדי למנוע נגישים לציבורה webלפני יישומי

.(Web)התקפות מהרשת

יכול " ארגון המתמחה באבטחת מידע: "הערהכל עוד הסוקרים , להיות ארגון חיצוני או פנימי



אפליקציות ויכולים /מתמחים באבטחת יישומים. וכיח שאינם קשורים לצוות הפיתוחלה


הטמע אמצעי בקרת גישה חזקים

י העקרון של הצורך העסקי לדעת "הגבל את הגישה לפרטי כרטיסי האשראי עפ: 7דרישה


הגישה לרכיבי מערכת ולנתוני כרטיסי אשראי האם 7.1: כדלקמן, לאנשים שתפקידם מחייב זאתמוגבלת רק

האם הגבלת זכויות הגישה של משתמשים מורשים היא לרמת 7.1.1 ?וע תפקידםהנדרשת להם לצורך ביצ המינימליתההרשאות

האם הקצאת ההרשאות המיוחדות לעובדים המורשים 7.1.2שיטה )תפקיד שלהם עבודה והמתבצעת בהתאם לסיווג ה

? (RBAC - Role Based Access controlהידוע גם כ

מאת ( בכתב או אלקטרוני)האם נדרש אישור מתועד 7.1.3? הגורמים המוסמכים המפרט את ההרשאות הנדרשות

האם בקרת הגישה מיושמת באמצעות מערכת בקרת 7.1.4? גישה אוטומטית

האם במערכות עם מספר משתמשים קיימת מערכת 7.2בקרת גישה המגבילה את הגישה על בסיס הצורך של

והאם הגדרת ברירת המחדל , המשתמש להכיר את המידעכל עוד לא ( deny all" )חסום הכל"של המערכת היא

: כדלקמן, הוגדר אחרת

מכסות את כל רכיבי האם מערכות בקרת הגישה 7.2.1? המערכת

האם מערכות בקרת הגישה מוגדרות לאכוף את 7.2.2ההרשאות המשתמשים בהתאם לסיווג העבודה

? והתפקיד

חדל של מערכות בקרת הגישה האם הגדרת ברירת המ 7.2.3? (deny all" )חסום הכל"היא

הגדרת ברירת , בחלק ממערכות בקרת הגישה: הערהובכך , (allow all" )הרשה הכל"המחדל של המערכת היא

שמשנה זאת ( rule)מאפשרות גישה עד אשר מוגדר חוק . באופן מפורש


. שבנספח' הסבר חוסר הרלוונטיות'ליון או גי' בקרה מפצה'


בעל גישה למערכות מחשוב אדם הקצה מזהה ייחודי לכל : 8דרישה


האם לכל המשתמשים מוקצה מזהה ייחודי לפני שהם 8.1? י מערכת או נתוני כרטיסי אשראירשאים לגשת לרכיב

האם מיושמת , בנוסף להקצאת זיהוי משתמש ייחודי 8.2לפחות אחת מהשיטות הבאות לאימות של כל

? המשתמשים

כגון סיסמא , משהו שאתה יודע

כגון אסימון אבטחה , משהו שיש לך(token ) או (smart card)יס חכם כרט

כגון זיהוי ביומטרי , משהו שאתה

Two-Factor)שילוב של שני גורמי אימות האם 8.3

Authentication ) גישה ברמת )גישה מרחוק מיושם עבורמנהלי מערכת , של עובדים( הרשת ממקום הנמצא מחוץ לרשת

? מים אחריםוגור

tokensעם ( RADIUS)שירות חיוג ואימות מרחוק , לדוגמה) Access Controller Accessמסוף בקרת גישה באמצעותאו

Control System (TACACS ) עםtokens ; או טכנולוגיות(. אחרות המיישמות אימות כפול

אימות כפול דורש ששתיים מתוך שלוש שיטות האימות : הערהשימוש . ימותישמשו לא( לתיאור שיטות האימות 8.2דרישה ' ר)

( למשל שימוש בשתי סיסמאות נפרדות)באותה שיטה פעמיים . אינו נחשב אימות כפול

בלתי קריאות במהלך הופכות לכל הסיסמאות האם .א 8.4עות שידורן ושמירתן בכל רכיבי המערכת באמצ

? הצפנה חזקה

האם סיסמאות הלקוחות : לספקי שירות בלבד .ב ? מוצפנות

הזיהוי והאימות של מות לניהול הולהאם ישנן בקרות 8.5בכל רכיבי ,הלי מערכתמשתמשים שאינם צרכנים ושל מנ

: כדלהלן, המערכת

של עדכון המחיקה וה, על ההוספהקיימים אמצעי בקרה האם 8.5.1פרטי משתמש ואובייקטים אחרים המשמשים , מזהי משתמש

כך שהשימוש במזהי משתמש נעשה רק כפי , לזיהוי המשתמש? (כולל אלה עם הרשאות מיוחדות)שאושר

איפוס של סיסמהשמתבצע לפני נבדקת זהות המשתמש האם 8.5.2פנים "עבור אותו משתמש כאשר הבקשה נמסרת לא בצורה של

? (אימייל או אינטרנט, טלפון, למשל" )מול פנים





סיסמאות ראשוניות וסיסמאות לאחר איפוס הינן בעלות האם 8.5.3והאם כל משתמש מחויב לשנות , ערך ייחודי עבור כל משתמש

? אותן מיד לאחר השימוש הראשון

נשללת באופן , שפעילותם הופסקהים משתמששל האם גישה 8.5.4? מידי

יום 90האם חשבונות משתמשים אשר אינם פעילים למעלה מ 8.5.5 ?מוסרים או מוקפאים

תמיכה או , גישה מרחוקהאם חשבונות של ספקים ל .א 8.5.6? תחזוקה מופעלים רק לפרק זמן הדרוש

האם חשבונות גישה מרחוק של ספקים מנוטרים .ב ?בזמן השימוש

מועברים לכל ( authentication)האם מדיניות ונהלי האימות 8.5.7? המשתמשים אשר יש להם גישה לנתוני כרטיסי אשראי

או משותפיםכלליים , בוצתייםק חשבונות סיסמאות והאם 8.5.8: אסורים לשימוש כדלקמן

חשבונות ומזהי משתמשים כלליים מוקפאים או ;מוסרים

מזהי משתמש משותפים לפעולות אדמיניסטרטיביות ובנוסף; ופעולות קריטיות אחרות אינם קיימים

לא ניתן לבצע פעולות אדמיניסטרציה על שום רכיב. במערכת באמצעות מזהי משתמש משותפים וכלליים

מוחלפות לפחות פעם ב יםסמאות המשתמשיהאם ס .א 8.5.9? יום 90

האם ישנה דרישה לשנות : לספקי שירות בלבד .ב שאינם לקוחות כל פרק זמן סיסמאות משתמשים

והאם משתמשים שאינם לקוחות מקבלים , מסויםהדרכה בנוגע למתי ובאילו נסיבות הסיסמאות

? חייבות להשתנות

? תווים 7האם נדרש אורך סיסמא של לפחות .א 8.5.10

האם סיסמאות משתמשים : לספקי שירות בלבד .ב שאינם צרכנים נדרשות לעמוד בדרישת אורך סיסמא

? מינימאלי

םהאם הסיסמאות חייבות להכיל גם תווים נומריי .א 8.5.11? (תיותאו)וגם תווים אלפביתיים ( ספרות)

האם סיסמאות משתמשים : לספקי שירות בלבד .ב םשאינם צרכנים חייבות להכיל גם תווים נומריי

? (אותיות)וגם תווים אלפביתיים ( ספרות)



משתמש נדרש , בחירת סיסמא חדשההאם בעת .א 8.5.12לבחור סיסמא אשר שונה מארבע הסיסמאות

? האחרונות שלו

האם בעת בחירת סיסמא : לספקי שירות בלבד .ב משתמשים שאינם צרכנים נדרשים לבחור , חדשה

סיסמא אשר שונה מארבע הסיסמאות האחרונות ? להםש

האם מספר ניסיונות הגישה הכושלים מוגבלים .א 8.5.13? באמצעות נעילת החשבון ללא יותר משישה ניסיונות

האם סיסמת המשתמש שאינו : לספקי שירות בלבד .ב כן ננעלת זמנית לאחר לא יותר משישה ניסיונות צר

? כושלים

30ל אורך הנעילה נקבע האם , כאשר ננעל חשבון משתמש 8.5.14 (מנהל המערכת) דקות לפחות או עד אשר האדמיניסטרטור

? מבטל את הנעילה

האם , דקות 15אם חשבון משתמש לא פעיל למשך יותר מ 8.5.15להזין מחדש את , למשל)המשתמש נדרש לבצע אימות מחדש

? על מנת להפעיל מחדש את החשבון, (הסיסמה

נתונים המכיל נתוני כרטיסי האם גישה לכל בסיס .א 8.5.16, כולל גישה על ידי יישומים)? אשראי דורשת אימות

(. מנהלי מערכת וכל משתמש אחר

האם גישה לשאילתות משתמשים ולפעולות .ב בבסיס הנתונים ( מחק, העתק, העבר, כגון)משתמשים

, למשל)ודות מתוכנתות בלבד מתבצעת באמצעות מתstored procedures) ?

האם גישה ישירה לבסיס הנתונים או ביצוע שאילתות .ג ? מול בסיס הנתונים מוגבלת למנהלי בסיס הנתונים

ם מזהי אפליקציות בעלות גישה לבסיס הנתונים הא .ד ולא בשימוש )יכולים להיות רק בשימוש האפליקציות

? (של משתמשים או תהליכים אחרים


הגבל את הגישה הפיזית לנתונים של כרטיסי אשראי : 9דרישה


שימוש בבקרות כניסה נאותות למתקנים על מנת להגביל האם נעשה 9.1 ?הגישה הפיזית למערכות הנתונים של כרטיסי האשראי אתולנטר

או מנגנוני /ואבטחה במצלמות האם נעשה שימוש .א 9.1.1בקרת גישה אחרים כדי לפקח על הגישה הפיזית של

?לאזורים רגישיםאנשים

data)מתייחס לכל מרכז מידע " רגיש אזור" :הערה

center) ,או כל אזור אחר המאכלס , חדר שרתיםהגדרה זו .מערכות השומרות נתוני כרטיסי אשראי

אינה חלה על אזור בו נמצאים רק מסופי נקודות . בחנותמכירה כגון אזור הקופות הרושמות

או אמצעי בקרת הגישה /האם מצלמות האבטחה ו .ב ? האחרים מוגנים מפני חבלה או הפסקה של פעילותם

ממצלמות האבטחה או הנתונים שנאספו האם .ג נבדקים ומושווים מאמצעי בקרת הגישה האחרים

נשמרים נתונים והאם ה ,ניסות אחרותנתונים מכלחוק מורה יש אלא אם , משך שלושה חודשים לפחותל

?אחרת

האם הגישה הפיזית לשקעי רשת שיש אליהם נגישות ציבורית 9.1.2שקעי רשת לא יימצאו באזורים שיש בהם , לדוגמה)מוגבלת

? .(אם הגישה לרשת הותרה במפורשאלא , גישה לאורחים

, שערי תקשורת, הפיזית לנקודות גישה אלחוטיותהאם הגישה 9.1.3 תקשורת וקווי טלקומוניקציה/חומרת רשת, מכשירים ניידים

? מוגבלת

המאפשרים להבחין בקלות בין עובדי האם קיימים נהלים 9.2: המקום למבקרים כדלקמן

מתייחס לעובדים במשרה " עובדי המקום", 9לצרכי דרישה קבלנים , עובדים זמניים, עובדים במשרה חלקית, מלאה

" מבקר. "ויועצים שנוכחים פיזית בתוך מתחמי הארגוןאו כל מי שצריך , די המקוםאורח של מי מעוב, מתייחס לספק

לבקר במתחם הארגון לפרק זמן קצר ובדרך כלל לא יותר מיום . אחד

לעובדי והנהלים למתן תגי זיהוי מדיניותהאם ה .א :המקום ולמבקרים כוללים את הדברים הבאים

מתן תגי זיהוי חדשים

שינוי דרישות גישה

ביטול תגים של אורחים שתוקפם פג או של

בחלק זה נדרשים למלא כיאות את גיליון ארגונים המשתמשים". שימוש בבקרות מפצות"או ( N/A" )לא רלוונטי" *




? סיקו את עבודתםעובדים שהפ

האם הגישה למערכת התגים מוגבלת לאנשים .ב ? מורשים בלבד

האם התגים מזהים את המבקרים בצורה ברורה .ג ? ועוזרים להבחין בקלות בין עובד למבקר

: האם כל המבקרים מטופלים באופן הבא 9.3

האם מבקרים מקבלים אישור כניסה טרם כניסתם לאזורים 9.3.1? בהם נתוני כרטיסי אשראי מעובדים או מאוחסנים

למשל תג או אמצעי )האם ניתן למבקרים פריט פיזי .א 9.3.2? שמזהה אותם כאורחים( גישה

? האם תוקף תגי המבקרים פוקע .ב

האם מבקרים מתבקשים להחזיר את פריט הזיהוי הפיזי לפני 9.3.3? שהם עוזבים את המתקן או כאשר תוקפו פג

האם נעשה שימוש ביומן מבקרים המתעד גישה פיזית .א 9.4הם נתוני למתקן כמו גם לחדרי מחשב ומרכזי מידע ב

? כרטיסי אשראי מאוחסנים או משודרים

החברה , האם יומן המבקרים מכיל את שם המבקר .ב ואת שם העובד אשר אישר את , אותה הוא מייצג

והאם היומן נשמר לפחות למשך , גישתו הפיזית? שלושה חודשים

רצוי , האם מדיות הגיבוי מאוחסנות במקום מאובטח .א 9.5אתר חלופי או מתקן , באתר חיצוני כגון אתר גיבוי

? אחסון מסחרי

? האם האבטחה של המתקן נבדקת לפחות אחת לשנה .ב

, אך לא רק, לרבות)מאובטחים פיזית , סוגי המדיההאם כל 9.6, קבלות נייר, אמצעי אחסון אלקטרוניים ניידים, מחשבים

? (דוחות נייר ופקסים

מתייחס לכל הניירת " מדיה"המונח , 9למטרות דרישה כרטיסי י נתונ ואמצעי האחסון האלקטרוניים המכילים

. האשראי

על התפוצה הפנימית מחמירה בקרה קיימת האם .א 9.7? סוגי המדיהוהחיצונית של כל

: האם הבקרות כוללות את הדברים הבאים .ב

רמת הרגישות של מהי כך שניתן לזהות ותמסווגהמדיות ם הא 9.7.1? (המצוי בהן) המידע



באמצעות שליח מאובטח או בשיטת ות נשלחהמדיות האם 9.7.2? מדויקלעקוב אחריהן באופן מסירה אחרת המאפשרת

המדיות מעקב אחר כל רישום לצורך האם קיימים יומני 9.8והאם נדרש אישור הנהלה לפני , מאזור מאובטח ותהמועבר

? (ליחידים ותמופצ ןבמיוחד כשה) מדיותהעברה של

מדיות האחסון והנגישות לאופן ל עישנה בקרה מחמירה האם 9.9? (המכילות נתוני כרטיסי אשראי)

והאם ,כראויות רשימות המלאי של המדיות מתוחזקהאם 9.9.1? תבצע רישום מלאי לפחות אחת לשנהמ

ות מושמדמדיות המכילות נתוני כרטיסי אשראי כל ההאם 9.10? עוד צורך עסקי או חוקי בהןכאשר אין

: מתבצעת כדלהלן ההשמדההאם

באופן תאו נכתשפת נשר, מדיה קשיחה נגרסתהאם .א 9.10.1תונים של כרטיסי שאינו מאפשר לשחזר את הנ

? האשראי

האם מכלים המאחסנים מידע המיועד להשמדה .ב , למשל)? מאובטחים באופן המונע גישה לתכולתם

על מנת המכיל חומר לגריסה התקנת מנעול על מיכל . (למנוע גישה לתכולתו

האם נתוני אשראי על גבי מדיה אלקטרונית מושמדים 9.10.2בהתאם לסטנדרטים , באמצעות תכנית השמדה מאובטחת

או לחילופין על , המקובלים בתעשייה בנוגע למחיקה בטוחה למשל שיבוש השדה המגנטי)ידי השמדה פיזית של המדיה

(degaussing)) ,היה לשחזרםכך שלא ניתן י ?


בצע ניטור ובדיקה של הרשת באופן קבוע

נטר ועקוב אחר כל גישה למשאבי הרשת ולנתוני כרטיסי האשראי : 10 דרישה


האם ישנו תהליך המקשר את הגישה לכל רכיבי המארחת 10.1( rootבמיוחד גישה עם הראשות ניהוליות כגון הרשאות )

? למשתמש ספציפי

אוטומטי עבור כל ( (audit trailsמיושם נתיב ביקורת האם 10.2רכיבי המערכת על מנת שניתן יהיה לשחזר את האירועים

: הבאים

? כל הגישות של משתמש יחיד לנתוני כרטיסי האשראי 10.2.1

הפעולות שבוצעו על ידי משתמש יחיד בעל הרשאות ניהול כל 10.2.2 ?rootאו הרשאות

? (audit trails) נתיב הביקורתגישה ל 10.2.3

? ישה לוגיתבלתי תקפים לקבלת ג תניסיונו 10.2.4

? שימוש במנגנוני הזיהוי והאימות 10.2.5

? (audit log)אתחול של לוג הביקורת 10.2.6

? יצירה ומחיקה של אובייקט מערכת 10.2.7

audit)האם השדות הבאים מופעים מופיעים בנתיב הביקורת 10.3

trail )התרחשות של כל אירוע עת של המערכת ב(event ) של? המערכת

? זהות המשתמש 10.3.1

? (event)סוג האירוע 10.3.2

? תאריך ושעה 10.3.3

? סימון הצלחה או כישלון 10.3.4

? מקור היווצרות האירוע 10.3.5

רכיבי המערכת או המשאבים , זהותם או שמם של הנתונים 10.3.6? המושפעים

האם כל שעוני וזמני המערכת מסונכרנים באמצעות .א 10.4





והאם מקפידים על עדכון , שימוש בטכנולוגית סנכרון? טכנולוגיה זו

דוגמה אחת לטכנולוגית סנכרון היא פרוטוקול זמן : הערהNetwork time protocol (NTP .) –רשת

הפצה , האם הבקרות הבאות מיושמות עבור רכישה .ב (: תאריך ושעה)ערכי זמןושמירה של

מקבלים אותות זמן םהאם רק שרתי זמן ייעודיי .א 10.4.1על כל ( תאריך ושעה)והאם הזמן , ממקורות חיצוניים

המערכות הקריטיות הוא מדויק ועקבי בהתבסס על( International Atomic Time)זמן בינלאומי אטומי

? UTCאו

האם שרתי הזמן הייעודיים מתקשרים אחד עם השני .ב והאם השרתים , על מנת לשמור על נכונות הזמן

הפנימיים רק מקבלים את הזמן משרתי הזמן ?המרכזיים

: האם נתוני הזמן מוגנים באופן הבא 10.4.2

גישה לנתוני זמן מוגבלת רק לאנשים בעלי צורך עסקי .א? לכך

, שינויים בהגדרות הזמן של מערכות קריטיות .ב ?ונבדקיםמנוטרים , מתועדים

האם הגדרות הזמן מתקבלות ממקורות זמן ספציפיים 10.4.3? המקובלים בתעשייה

ניתן (. למנוע מאדם זדוני לשנות את השעוןזאת על מנת )לשקול את האפשרות להצפין את העדכונים הללו באמצעות

ת בקרת גישה המפרטות את ורשיממפתח סימטרי ולהכין על מנת )של המכונות שיקבלו את עדכוני הזמן IPכתובת ה

(. למנוע את השימוש האסור בשרתי זמן פנימיים

האם קבצי נתיבי הביקורת מאובטחים כך שלא ניתן יהיה 10.5: באופן הבא, לשנותם

הצפייה בקבצי נתיבי הביקורת מוגבלים לאלה הרשאת האם 10.5.1? שזקוקים לכך לצורך עבודתם

האם קבצי נתיבי הביקורת מוגנים מפני שינויים בלתי מורשים 10.5.2או הפרדת /הפרדה פיזית ו, באמצעות אמצעי בקרת גישה

?רשתות

( log)האם קבצי נתיבי הביקורת מגובים מידית לשרת לוג 10.5.3? מרכזי או למדיה שקשה לעשות בה שינויים

, wireless: כגון) האם לוגים של טכנולוגיות הפונות החוצה 10.5.4firewalls ,DNS , וmail) , מורדים או מועתקים לשרת לוג

? מרכזי מאובטח או למדיה ברשת הפנימית



האם נעשה שימוש בתוכנות לבדיקת שלמות קבצים או זיהוי 10.5.5שלא ניתן יהיה לשנות על מנת להבטיח ,שינויים על קבצי הלוג

את המידע הקיים בקובץ הלוג ללא שתיוצר התראה המתריעה למרות שמידע חדש שמתוסף ללוג לא צריך לייצר )על כך

?(התראה

האם קבצי הלוג של כל רכיבי המערכת נסקרים לפחות פעם 10.6? עות פעולות המשך בנוגע לממצאים חריגיםביום והאם מבוצ

סקירת הלוגים חייבת לכלול את השרתים המבצעים פעולות ו ( intrusion detection – IDS)אבטחה כגון זיהוי חדירות

AAA(authentication. Authorization and שרתי

accounting protocol – למשלRADIUS .)

ניתוח , כלי איסוף ניתן להשתמש בטכנולוגיות כגון: הערה 10.6והתראה של לוגים על מנת לעמוד בדרישה

audit)האם קיימים נהלי שימור של קבצי לוג ביקורת .א 10.7

logs) , והאם הם כוללים דרישה שההיסטוריה של? נתיבי הביקורת תישמר למשך שנה לפחות

זמינים למשך ( audit logs)האם קבצי לוג ביקורת .ב והאם ישנם תהליכים מוגדרים , שנה לפחות

המאפשרים לשחזר באופן מידי לפחות את הלוגים של ? שלושת החודשים האחרונים לצרכי ניתוח


בצע בדיקות שוטפות של מערכות ותהליכי האבטחה : 11דרישה


האם ישנו תהליך מתועד לביצוע גילוי וזיהוי של .א 11.1 ?שה אלחוטיות על בסיס רבעונינקודות גי

השיטות שבהן ניתן לעשות שימוש בתהליך זה : הערהסריקה של : אך אינן מוגבלות לאמצעים הבאים, כוללות

לוגיות של רכיבי /בדיקות פיזיות, רשתות אלחוטיותאו פריסת ( NAC)בקרת גישת רשת , מערכת ותשתית

IDS/IPS אלחוטי .

עליהן להיות , שימוש יהיו אשר יהיו השיטות שבהן נעשה .מספיקות לאיתור וזיהוי של כל התקן בלתי מורשה

האם השיטה לגילוי וזיהוי של נקודות גישה .ב אלחוטיות לא מורשות כוללת גילוי וזיהוי של

:הרכיבים הבאים לכל הפחות

כרטיס רשת אלחוטית(WLAN )כנסו שהו ;לרכיבי מערכת

מכשירים אלחוטיים ניידים שחוברו לרכיבי ;(וכו, USBבאמצעות , למשל)מערכת

מכשיר אלחוטי המחובר לערוץ(port ) רשת? או למכשיר ברשת

האם התהליך לזיהוי נקודות גישה אלחוטיות מבוצע .ג המערכת בכל האתרים ולפחות פעם על כל רכיבי

? ברבעון

IDS/IPS, למשל)מיושם ניטור אוטומטי אם .ד האם הניטור מוגדר לייצר , ('וכו, NAC, אלחוטי

? לעובדיםהתראות

( 12.9דרישה )כנית התגובה לאירועי אבטחה האם ת .ה כוללת תגובה למקרה שבו מתגלים מכשירים

? אלחוטיים לא מורשים

מורצות סריקות פנימיות וחיצוניות לאיתור פרצות רשת האם 11.2התקנת )לפחות אחת לרבעון ולאחר כל שינוי משמעותי ברשת

שינויים , שינויים בטופולוגית הרשת, רכיבי מערכת חדשים? באופן הבא( שדרוגים של מוצרים firewall -בחוקי ה

שארבע סריקות רבעוניות עם תוצאה עוברת חובהאין : הערה( 1אם PCI DSSעם תקן ראשוניתיושלמו לקראת תאימות

תעדה הישות ( 2, תוצאה עוברתבעלת הסריקה האחרונה היתה נקודות ( 3ו , מדיניות ונהלים הדורשים סריקה רבעונית

התורפה שנמצאו בסריקה ומופיעות בדוח הסריקה תוקנו כפי שנים שאחרי לתקן ב עבור תאימות .שמוכיחה סריקה החוזרת

ארגונים המשתמשים בחלק זה נדרשים למלא כיאות את גיליון ". שימוש בבקרות מפצות"או ( N/A" )וונטילא רל" *




סריקות 4 יש חובה לבצע ,PCIהסקירה הראשונית של . רבעוניות עם תוצאה עוברת

למציאת נקודות פנימיות קות האם מתבצעות סרי .א 11.2.1? תורפה חת לרבעון

האם תהליך הסריקה הפנימית הרבעוני כולל סריקות .ב חוזרות עד אשר מתקבלת תוצאה עוברת או עד אשר

" גבוהה"כל נקודות התורפה המדורגות ברמת סיכון ? טופלו, PCI DSSשל 6.2כמוגדר בדרישה

האם הסריקות הפנימיות הרבעוניות מבוצעות על ידי .ג , רלוונטיכאשר ו , מיומןפנימי או חיצוני כח אדם

מתקיים עקרון אי התלות של הבודק בארגוןהאם ? (ASVאו QSAלא חייב להיות )

האם מבוצעות סריקות רבעוניות חיצוניות למציאת .א 11.2.2? נקודות תורפה

האם הסריקות החיצוניות הרבעוניות מקיימות את .ב לא צריכות , למשל) ASVדרישות תכנית ההדרכה של

קודות תורפה המדורגות גבוה יותר סריקה נלהימצא בישלונות ולא כ CVSSעל פי דירוג ה 4.0מ

? (אוטומטיים

האם הסריקות הרבעוניות החיצוניות מבוצעות על ידי .ג אשר אושר על ידי , (ASV)ספק סריקה מאושר

? PCI (PCI SSC)מועצת ה

האם סריקות פנימיות וחיצוניות מבוצעות לאחר כל .א 11.2.3שינוי , כגון התקנת רכיב רשת חדש)שינוי מהותי

שדרוגי , firewallעדכון חוקי ה , הרשת תבטופולוגי ?(מוצרים

סריקות הנערכות לאחר שינויים ברשת יכולות : הערה. תבצע על ידי כח אדם פנימילה

:האם תהליך הסריקה כולל סריקות חוזרות עד אשר .ב

אין נקודות תורפה –עבור סריקות חיצוניותעל פי 4.0קיימות אשר קיבלו ציון גבוה מ

CVSSדירוג ה

התקבלה תוצאה –עבור סריקות פנימיותוברת או לחילופין כל נקודות התורפה ע

טופלו " גבוהה"המדורגות ברמת סיכון . PCI DSSל 6.2בהתאם למוגדר בדרישה

פנימי או האם הסריקות מבוצעות על ידי כח אדם .ג מתקיים עקרון האם , וכאשר רלוונטי, מיומןחיצוני

QSAלא חייב להיות ) תלות של הבודק בארגוןאי ה



? (ASVאו

penetration)האם מתבצעת בדיקות חדירות .א 11.3

testing ) פנימית וחיצונית לפחות פעם בשנה או אחרי, כגון)כל שינוי מהותי בתשתיות או באפליקציות

, הוספת רשת משנה לסביבה, הפעלהעדכון מערכת ה? (לסביבה webאו הוספת שרת

תוקנו , האם נקודות תורפה שנמצאו כניתנות לניצול .ב ? ולאחר מכן בוצעה בדיקה חוזרת

ות מבוצעות על ידי כח אדם פנימי או האם הבדיק .ג מתקיים עקרון האם , וכאשר רלוונטי, חיצוני מיומן

QSAלא חייב להיות )בארגון בודק אי התלות של ה? (ASVאו

: האם בדיקות החדירות כוללות את הדברים הבאים

? הרשתשכבת ירות בבדיקות חד 11.3.1

הבדיקות הללו צריכות לבדוק רכיבים שתומכים : הערה. בפעולת הרשת ומערכות הפעלה

? האפליקציהשכבת בדיקות חדירות ב 11.3.2

הבדיקות צריכות לכלול לכל הפחות את נקודות : הערה 6.5התורפה המפורטות בדרישה

או /ו( IDS)האם נעשה שימוש במערכות זיהוי חדירה .א 11.4כדי לנטר את כל ( IPS)מערכות מניעת חדירה

כמו , התעבורה בסביבת הנתונים של כרטיסי האשראיגם בנקודות קריטיות בתוך סביבת הנתונים של

? הכרטיסים

הוגדרו לשלוח התראות IDS/IPSהאם מערכות ה .ב ? כאשר יש חשד לפעילות זדונית םלגורמים הרלוונטיי

base)על עדכון של כל רמות הבסיס מקפידים האם .ג

line),חתימות של מערכות ה המנועים והIDS/IPS ?

file)האם הותקנו כלים לניטור שלמות קבצים .א 11.5

integrity )בסביבת נתוני כרטיסי האשראי?

: דוגמאות לסוגי קבצים שצריכים להיות מנוטרים

מערכת הניתנים להרצה קבצי (executables)

צי אפליקציה הניתנים להרצה קב(executables)

קבצי פרמטרים וקבצי קונפיגורציה

קבצי לוג וביקורת הנשמרים בצורה מרוכזת ,



בהיסטוריה או בארכיב

האם הכלים מוגדרים לשלוח התרעות לגורמים .ב רשה של קבצי מערכת על כל שינוי לא מו םהרלוונטייוהאם , קבצי קונפיגורציה או קבצי תוכן, קריטיים

הכלים מבצעים השוואות קבצים קריטיים לפחות ?פעם בשבוע

קבצים קריטיים –ניטור שלמות הקבצים ךלצור: הערהאך , הם אלו שבדרך כלל אינם עוברים שינויים תכופים

שש שינויים בהם עשויים להצביע על פגיעה במערכת או חכלי ניטור שלמות קבצים מגיעים בדרך כלל עם . לפגיעה

הגדרות מוכנות מראש עבור קבצים קריטיים במערכת כגון קבצים , קבצים קריטיים אחרים. ההפעלה הרלוונטית

צריכים לעבור הערכה , שפותחו פנימיתלאפליקציות כלומר בית העסק או ספק )והגדרה על ידי הישות

(.השירות


דיניות אבטחת מידע יישם ותחזק מ

עובדים )יישם ותחזק מדיניות הנותנת מענה לאבטחת מידע בקרב כלל כח האדם : 12דרישה ( וקבלנים


מתוחזקת ומופצת , מפורסמת, האם מדיניות האבטחה קיימת 12.1? לכל כח האדם הרלוונטי

מתייחס לעובדים במשרה " כח האדם", 12לצרכי כוונת סעיף קבלנים , עובדים זמניים, עובדים במשרה חלקית, מלאה

ו לחילופין ויועצים שעובדים פיזית בתוך מתחמי הארגון א. סביבת נתוני כרטיסי האשראי של החברהלשיש להם גישה

? PCI DSSלכל דרישות ה נותנת מענה האם המדיניות 12.1.1

של הערכת סיכונים שנתית האם ישנו תהליך מתועד .א 12.1.2ומסתיימת קודות תורפהסכנות ונאשר מזהה

?הערכת סיכונים רשמיתב

דוגמאות למתודולוגיות הערכת סיכונים כוללות אבל לא )-NIST SP 800ו OCTAVE ,ISO27005: מוגבלות ל

30.)

הסיכונים מתבצע לפחות פעם האם תהליך הערכת .ב ? בשנה

נבדקת לפחות אחת /האם מדיניות אבטחת המידע נסקרת 12.1.3לשנה ומעודכנת בהתאם לצורך על מנת לשקף שינויים ביעדי

? העסק ובסביבת הסיכונים שלו

האם פותחו נהלי אבטחה תפעוליים לביצוע יומיומי אשר 12.2נהלי תחזוקה של , למשל)תואמים את דרישות תקן זה

(. חשבונות משתמשים ונהלי סקירת לוגים

, לדוגמה)ריטיות שימוש בטכנולוגיות קהאם פותחה מדיניות 12.3 מדיות , טכנולוגיות אלחוטיות, טכנולוגיות גישה מרחוק

מחשבי , מחשבי לוח, מחשבים ניידים, ותנשלפות אלקטרוניעל מנת להבטיח את השימוש הנאות ( ל ואינטרנט"דוא, כף יד

:ואשר כוללת את הדרישות הבאות בטכנולוגיות הללו

? לשימוש בטכנולוגיות אישור מפורש מטעם גורמים מורשים 12.3.1

? השימוש בטכנולוגיהעבור אימות 12.3.2

? וג זה והעובדים בעלי הגישהמסהמכשירים רשימה של 12.3.3

פרטי ההתקשרות וייעוד , יםלזיהוי הבעלמכשירים תיוג ה 12.3.4? המכשיר





? שימושים מקובלים בטכנולוגיה 12.3.5

? מיקומי רשת מקובלים עבור הטכנולוגיות 12.3.6

? רשימת המוצרים המאושרים לשימוש על ידי החברה 12.3.7

ניתוק אוטומטי של חיבורי גישה מרחוק לאחר פרק זמן 12.3.8? מוגדר של חוסר פעילות

הפעלת טכנולוגיות גישה מרחוק עבור יצרנים ושותפים 12.3.9עסקיים רק כשהיצרנים והשותפים העסקיים זקוקים לגישה

? השימושכזאת וסגירתה מיד בתום

חברים עבור אנשים המתהמדיניות מציינת האם .א 12.3.10חל איסור לסביבת נתוני כרטיסי האשראי כי

להעביר או לאחסן נתוני כרטיסי אשראי על , להעתיקדיסקים קשיחים מקומיים ועל מדיות אלקטרוניות

על מנת ניתן לכך אישור מפורש אלא אם , שלפותנ? צורך עסקי מוגדרלענות על

האם המדיניות מכילה דרישה עבור אנשים עם .ב הרשאה מתאימה להגן על נתוני כרטיסי האשראי

? PCI DSSבהתאם לדרישות תקן

המדיניות ונהלי האבטחה מגדירים בבירור את תחומי האם 12.4? האחריות של כל עובד בכל הקשור לאבטחת מידע

מוטלת באופן האם האחריות הרשמית לנושא אבטחת המידע 12.5על גורם אחר בהנהלה בעל רשמי על קצין אבטחת מידע או

? ידע מקצועי בתחום אבטחת מידע

סמכויות הניהול הבאות בתחום אבטחת האם הסמכויות : לאדם או לקבוצהמוקצות המידע

? תיעוד והפצת מדיניות ונהלי אבטחת מידע, פיתוח 12.5.1

האנשים והפצתם לסגל , ניטור וניתוח התרעות ומידע אבטחה 12.5.2? המתאים

תיעוד והפצת נהלי תגובה לאירועי אבטחה ותהליכי , פיתוח 12.5.3מתוזמן יפול יעיל ועל מנת להבטיח ט (קלציהאס)הסלמה

? בכל מצבי האבטחההיטב

? מחיקות ועדכונים, ניהול חשבונות משתמש לרבות הוספות 12.5.4

? ניטור ובקרה על כל גישה למידע 12.5.5

האם ישנה תכנית מודעות אבטחה רשמית שתפקידה .א 12.6לגרום לכלל העובדים להיות מודעים לחשיבות

? אבטחת נתוני כרטיסי אשראי

את האם נהלי תכנית המודעות לאבטחה כוללת .ב



: הדברים הבאים

לחנך ולהגביר האם התוכנית מציעה מספר דרכים .א 12.6.1, פוסטרים, לדוגמה)את המודעות בקרב העובדים

, (web based training)ברשת הכשרה, מכתבים ?(פגישות

שיטות ההדרכה עשויות להשתנות בכפוף : הערה. לתפקידו של העובד ולרמת הגישה שלו לנתונים

האם העובדים מקבלים את הדרכה מיד עם קבלתם .ב ? לעבודה ולפחות פעם בשנה

אשר לפחות פעם בשנה כי הם קראו האם העובדים נדרשים ל 12.6.2? טחת המידעוהם מבינים את מדיניות ונהלי אב

האם אנשים המועמדים להצטרף לכח האדם של החברה 12.7עוברים סינון ( לעיל 12.1בדרישה " כח אדם"ראה הגדרת )

לפני העסקתם על מנת למזער את הסיכון להתקפות ממקורות רקע תעסוקתי דוגמאות של בדיקת רקע כוללות)? פנימיים

(. היסטוריית אשראי ובדיקת המלצות, רישום פלילי, קודם

עבור עובדים פוטנציאליים המועסקים במשרות :הערההמספקות להם גישה למספר כרטיס , כגון קופאים, מסוימות

דרישה זו היא , בעת ביצוע עסקה, אשראי אחד בכל פעם. בבחינת המלצה בלבד

, אם נתוני כרטיסי האשראי מועברים לספקי שירות אחרים 12.8האם קיימים ומוטמעים מדיניות ונהלים לניהול ספקי

? כדלהלן, השירות

? של ספקי השירותמתוחזקת רשימה ישנה האם 12.8.1

של ספק ו האם קיים הסכם בכתב הכולל הכרה באחריות 12.8.2? והשירות לאבטחת נתוני כרטיסי האשראי הנמצאים ברשות

, פק שירותסמסודר להתחלת העסקה של האם קיים תהליך 12.8.3? ולרבות בדיקת נאותות הולמת לפני תחילת העבודה מול

האם קיימת תכנית מעקב אחר מצב התאימות של ספקי 12.8.4? PCI DSSהשירות לתקן

יושמת תכנית תגובה לאירוע אבטחה למקרה שבו האם מ 12.9יהיה צורך להגיב באופן מידי לאירוע של פריצת אבטחה

: כדלקמן, במערכת

תכנית תגובה לאירוע אבטחה שניתן האם פותחה .א 12.9.1? ליישמה במקרה של אירוע פריצת אבטחה במערכת

: האם התכנית כוללת לכל הפחות .ב

תחומי אחריות, הקצאת תפקידים ,ויצירת קשר במקרה תקשורת ואסטרטגיות

של סכנת אבטחה כולל עדכון חברות



? לכל הפחות, האשראי

וספציפיים לאירועי נהלי תגובה מוגדרים ?אבטחה

נהלי התאוששות והמשכיות עסקית?

הליכי גיבוי מידעת?

בנוגע לדיווח על ניתוח דרישות החוק ?עי פרצות אבטחהאירו

כל רכיבי המערכת בנוגע לכיסוי ותגובה ?הקריטיים

תגובה של הנהלי של הוהטמעפנייה או האשראי הכרטיסי של מותג החברות

?לאירועי אבטחה

? האם התכנית נבדקת לפחות פעם בשנה 12.9.2

שעות 24להיות זמינים למשך םהאם מונו אנשים ספציפיי 12.9.3 ? להתראותתת מענה ימים בשבוע על מנת ל 7ביום

נאותה לצוות האחראי לתת מענה האם ניתנת הכשרה 12.9.4? לאירועי אבטחה

קבלת התראות כוללת תגובה לאירוע אבטחה האם תכנית 12.9.5? רכות לניטור שלמותם של קבציםומע IDS/IPSממערכות

עדכון ופיתוח תכנית התגובה האם פותח ומיושם תהליך ל 12.9.6בהתאם ללקחים שנלמדו ובהתאם , לאירוע אבטחה

? להתפתחויות בתעשייה

PCI DSS שאלון הערכה עצמיתA , 2010אוקטובר בקרות מפצות : 'נספח ב ,2.0גרסה Copyright 2010 PCI Security Standards Council LLC 46עמוד

Shared Hosting)דרישות נוספות עבור ספקי אירוח משותף :'נספח א

(Providers

ספקים של שירותי אירוח משותף חייבים להגן על סביבת הנתונים של כרטיסי : 1.אדרישה

האשראי


שהיא בית )האם כל סביבות האירוח והנתונים של ישות 1.אמוגנים בהתאם ( נותן שירות או כל ישות אחרת, עסק

: להלן 4.1.עד א 1.1.לסעיפים א

ספק האירוח חייב למלא אחר הדרישות הללו כמו גם אחר . PCI DSSת התקן יתר דרישו

התאימות , גם כשספק האירוח עומד בכל הדרישות :הערה. של החברה אשר משתמשת בשירות האירוח אינה מובטחת

ולאשרר PCI DSSכל ישות חייבת לעמוד בדרישות התקן . את סטטוס התאימות שלה לפי הצורך

האם כל ישות מריצה תהליכים שיש להם גישה רק לסביבת 1.1.אוהאם תהליכי האפליקציה ? הכרטיסים של אותה ישות נתוני

? הללו רצים עם מזהה ייחודי של אותה ישות

: לדוגמה

שיכולה להשתמש במזהה אין שום ישות במערכת shared web)משתמש של שרת אינטרנט משותף

server.)

כל הסקריפטים שלCGI בהם משתמשת הישות. הישות חייבים להיווצר ולרוץ עם מזהה ייחודי של

האם הגישה וההרשאות של הישות מוגבלת לסביבת נתוני 2.1.א: כרטיסי האשראי שלה בלבד באופן הבא

מזהי המשתמש לתהליכי האפליקציה אינם של האם .א ? (root/admin)משים עם הרשאות יתר משת

כתיבה והרצה רק , האם לכל ישות יש הרשאות קריאה .ב לקבצים וספריות השייכים לה או שהם קבצי מערכת

, chroot, הנאכפות באמצעות רשימות גישה)הכרחיים jailshell ,וכו)?

. ות לא יכולים להיות משותפים לקבוצהקבצי יש: חשוב

לקבצי האם אין לכל משתמשי הישות הרשאת כתיבה .ג ? המערכת הבינריים המשותפים

ישות להם מוגבלת ל( log)לוג הצפיה ברשומות האם .ד





? היא שייכת

:האם יש הגבלות לשימוש במשאבים הבאים .ה

גודל הדיסק

רוחב הפס

זכרון

מעבד

זה מבטיח שאף ישות לא תוכל להשתמש במשאבי למשל תנאי )השרת כדי לנצל נקודות תורפה במערכת

שיכולים להסתיים התנהגות בעת תקלה או אתחול((. buffer overflow)מחיצה /בהצפת זיכרון

( audit trails)נתיבי הביקורת ו( logging)התיעוד האם 3.1.אמופעלים וייחודיים לסביבת נתוני כרטיסי האשראי של כל

? PCI DSSתקן של 10ישות ובנוסף הם עומדים בדרישה

הלוגים האם(logs )מופעלים באפליקציות צד ג '? נפוצות

האם הלוגים(logs )מופעלים כברירת מחדל ?

הלוגים האם(logs ) זמינים לצפייה על ידי הישות לה? הם שייכים

הלוגים האם מיקומי(logs ) הועברו בצורה ברורה? לישות לה הם שייכים

האם ישנם נהלים ותהליכים מתועדים אשר מאפשרים לכל 4.1.אאו נותן שירות לבצע תוך פרק זמן סביר חקירת בית עסק

? במקרה של כשל אבטחה( forensic investigation)כשלים


מפצותבקרות : 'נספח ב

כאשר בית העסק אינו יכול לעמוד PCI DSSשקול את השימוש בבקרות מפצות עבור רוב הדרישות ב ניתן לעקב מגבלות טכניות או מגבלות עסקיות מתועדות לגיטימיות אך , ה מפורשת כפי שהיא מנוסחת בתקןבדריש

. צותמיתן באופן מספק את הסיכון הכרוך באי קיום הדרישה באמצעות יישום בקרות אחרות או מפ

: קריטריונים הבאיםעמוד בל המפצותבקרות העל

. של דרישת התקן המקורית חומרההדרגת וליעד עליהן לתת מענה ל . 1

בצורה מספקת תגןהבקרה המפצה כך ש, דרישת התקן המקורית לזו שלדומה עליהן לספק רמת הגנה 2 'ר, כל דרישהלגבי היעדים רוט פיל)תקן המקורית נועדה להגן מפניהם הסיכונים שדרישת ה מפני

(. PCI DSSבדרישות התמצאות

בקרה "כנחשבת אינה בלבד לדרישות תקן אחרות תאימות) דרישות תקן אחרות "מעל ומעבר"להיות . 3(. "מפצה

: באיםשקול את ההיבטים היש ל, לבקרות מפצות" מעל ומעבר" מהי עמידהעל מנת להעריך

על כל הבקרות המפצות להבדק ומידת התאמתן . בלבד מובאים כדוגמהלן לה( עד ג( הפריטים א: הערה במאפייניםתלויה מפצה היעילותה של בקר. PCI DSS -צריכה להיות מאושרת על ידי מבצע סקר ה

. הבקרהיישום צורתתוב הנוספות הקימות בקרות האבטחה ב, מתשהיא מיו הייחודיים לסביבה שבהלא תהיה יעילה בכל הסביבות מסוימת מפצה בקרהייתכן כי שלכך חברות צריכות להיות מודעות

. השונות

פריט הלגבי ממילא נדרשות אם הן מפצותבקרות כ בלהיחשיכולת לאקיימות PCI DSSדרישות ( א Non-console)אדמיניסטרטיבית ללא מסוף גישהצורך להמשמשות סיסמאות , לדוגמה. הנבדק

Administrative access )הסיכון ליירוט סיסמאות על מנת למתן אתלהישלח בצורה מוצפנת דרשות נישות עסקית לא יכולה להשתמש בדרישות סיסמה אחרות . קריאכטקסט שנשלחואדמיניסטרטור

כפיצוי על היעדר ( 'סיסמאות מורכבות וכד, מפני פורץ הנעילת סיסמ) PCI DSS-הנכללות ב אחרות אלה אינן ממתנות את הסיכון ליירוט סיסמאות המהואיל ודרישות סיס, סיסמאות מוצפנותמחייבות עבור PCI DSSמהוות בעצמן דרישות אלובקרות סיסמה , בנוסף. קריאהנשלחות כטקסט

(. סיסמאות)הפריט הנבדק

אך אינן נדרשות , בקרות מפצות אם הן נדרשות בתחום אחרלשמש כ תויכולדרישות תקן קיימות ( בבנוגע הוא דרישת תקן ( Two-Factor Authentication)אימות כפול , לדוגמה. נבדקביחס לפריט ה

לגישה בקרה מפצה כגם יכול להיחשב גישה מתוך הרשת הפנימיתבזמן אימות כפול. גישה מרחוקלאימות כפול יכול . אדמיניסטרטיבית ללא מסוף כאשר לא קיימת תמיכה בשידור מוצפן של ססמאות

בסיכון ומטפלשל הדרישה המקורית הוא נותן מענה לכוונתה ( 1); רה מפצה אםלהיות קביל כבקבסביבה ו כיאות מיושםהוא ( 2)ו; קריאהנשלחות כטקסט אדמיניסטרטיביות ליירוט סיסמאות

. מאובטחת

, לדוגמה. ה מפצהבקר שייצרובאופן יםחדש אמצעי בקרהקיימות עם PCI DSSניתן לשלב דרישות ( גהאשראי באופן שאינו קריא בהתאם לדרישה יכרטיסמידע בעלי את לאחסןאינה יכולה אם חברה

ומנגנוני יישומים , רכיביםאו שילוב של רכיב יכולה לכלול מפצה הבקר, (למשל, באמצעות הצפנה) 3.4 IPסינון כתובות ( 2); סגמנטציה של הרשת הפנימית( 1: )הנותנים מענה לכל הנושאים הבאים בקרה

. מתוך הרשת הפנימית( Two-Factor Authentication)אימות כפול MAC ;(3 )תובות או כ

. תקןהבדרישת עמידהמאי יםהנובע פיםנוס סיכוניםלתת מענה הולם ל . 4

שכל רלאשר על מנת המפצותבקרות האת ביסודיות לבחון הסוקרנדרש , PCI DSSבכל הערכה שנתית לתקן 1-4לפריטים בכפוף, להגן מפניונועדה הולם לסיכון שדרישת התקן המקורית מענה נותנתהללו בקרות אחת מ

את התהליכים והבקרות על מנת להבטיח יש להמשיך וליישם את, לתקן שמירה על התאימותצורך ל. לעיל .סקירה/ההערכהביצוע לאחר סיום גם המפצותבקרות היעילותן של

PCI DSS שאלון הערכה עצמיתA , 2010אוקטובר גיליון בקרות מפצות : 'נספח ג ,2.0גרסה Copyright 2010 PCI Security Standards Council LLC 49עמוד

מפצותגיליון בקרות : 'נספח ג

אשר סומנה עבורה עבור כל אחת מן הדרישות המפצותבקרות הזה כדי להגדיר את עבודה בגיליון יש להשתמש ". אחר" העמודתחת ה מפצותושבהן צוינו בקרות " כן"התשובה

לגיטימייםמתועדים טכנולוגיים או אילוצים עסקיים ושיש להן סיכונים הערכת ביצעורק חברות ש :הערה. תקןעל מנת לעמוד ב מפצותרשאיות לעשות שימוש בבקרות

: מספר הדרישה והגדרתה

הסבר מידע נדרש

עמידה אילוצים המונעים מנה את האילוצים . 1. המקורית דרישת התקןב

ה אתזה; תהבקרה המקורייעד את הגדריעד . 2. המפצה הבקרהעל ידי המושגיעד ה

ו מהעדר יםהנובע פיםנוס ניםסיכו ההזהסיכון המזוהה . 3. הבקרה המקורישל אמצעי

כיצד והסבר הבקרות המפצות את הגדר המפצה הבקרההגדרה . 4הבקרה המקורית יעדי להן נותנות מענה

. םאם קיי, ן המוגברוהסיכו

הרבקה בדיקת תקפות. 5מפצה ה

וכיצד המפצותבקרות ההגדר כיצד נבדקו . אושררה תקפותן

התהליכים ואמצעי הבקרה הגדר אתתחזוקה . 6בקרות ה תחזוקתלצורך המיושמים

. המפצות

PCI DSS שאלון הערכה עצמיתA , 2010אוקטובר הסבר על חוסר רלוונטיות : 'נספח ד ,2.0גרסה Copyright 2010 PCI Security Standards Council LLC 50עמוד

הדוגמ –מפצותשל בקרות מלא גיליון עבודה

אשר סומנה עבורה עבור כל אחת מן הדרישות המפצותבקרות הדיר את יש להשתמש בגיליון עבודה זה כדי להג". אחר"עמודה תחת ה מפצותושבהן צוינו בקרות " כן"התשובה

טרם קבלת הרשאת גישה האם כל המשתמשים מזוהים באמצעות שם משתמש ייחודי –8.1 :מספר דרישה? לרכיבי מערכת או נתוני כרטיסי אשראי

הסבר מידע נדרש

אילוצים המונעים עמידה מנה את האילוצים . 1. בדרישת התקן המקורית

עצמאיים Unixמשתמשת בשרתי XYZחברה הם , ככאלה. LDAPללא שימוש בפרוטוקול

כניסה למערכת באמצעות משתמש דורשים"root ." חברתXYZ אינה יכולה לנהל את

וכן אין זה סביר , למערכת "root"כניסת שמבוצעת על ידי כל " root"לתעד כל פעילות

. משתמש

ה זה; תהבקרה המקורייעד את הגדריעד . 2. המושג על ידי הבקרה המפצהיעד ה את

המטרה של הקצאת שם משתמש ייחודי היא של אבטחת מנקודת מבט , ראשית. כפולהאין זה מקובל להשתמש במזהי מידע

שיתוף מזהי , שנית. משתמש משותפיםכי לקבוע באופן וודאי משתמש אינו מאפשר

האחראי לביצוע פעולה מסויים הואאדם . מסוימת

הסיכון . 3המזוהה

ו מהעדר יםהנובע פיםנוס ניםסיכו ההז. הבקרה המקורישל אמצעי

העדר זיהוי ייחודי לכל משתמש וחוסר פעולותיו של כל משתמשהיכולת לעקוב אחר

ן חושפים את מערכת בקרת הגישה לסיכו. מוגבר

הגדרה הבקרה . 4המפצה

כיצד הבקרות המפצות והסבר את הגדר הבקרה המקורית יעדי הן נותנות מענה ל

. םאם קיי, ן המוגברוהסיכו

תדרוש מכל המשתמשים להתחבר XYZחברת לשרתים משולחנות העבודה שלהם באמצעות

פקודה זו מאפשרת למשתמש . SUפקודת ך תו" root"גישה לביצוע פעולות תחת חשבון

בדרך זו . SU-logבתיקיית פעולות אלה תיעודניתן לעקוב אחר פעולותיו של כל משתמש דרך

. SU ה חשבון

בדיקת תקפות. 5הבקרה המפצה

הבקרות המפצותהגדר כיצד נבדקו . וכיצד אושררה תקפותן

לסוקר המוסמך שפקודת תראה XYZחברה SU המשתמשים בפקודה אנשים ושה, מבוצעת

הפרט את זיהויו של ן המאפשר באופמתועדים . rootהמבצע את הפעולות תחת הרשאות

התהליכים ואמצעי הבקרה הגדר אתתחזוקה . 6תחזוקת הבקרות לצורך המיושמים

. המפצות

את התהליכים והנהלים מתעדת XYZחברת על מנת להבטיח שהקונפיגורציה של פקודת

SU לא תשתנה או תוסר באופן שיאפשרללא מעקב או rootע פקודות למשתמשים לבצ

. אחר פעולותיהם רישום

PCI DSS שאלון הערכה עצמיתA , 2010אוקטובר הסבר על חוסר רלוונטיות : 'נספח ד ,2.0גרסה Copyright 2010 PCI Security Standards Council LLC 51עמוד

( N/A)הסבר על חוסר רלוונטיות : 'נספח ד

יש להשתמש בגיליון עבודה זה כדי , "לא רלוונטי"או " N/A"הוא " אחר"הערך שהוזן בעמודה שבמידה . להסביר מדוע הדרישה האמורה אינה רלוונטית לארגון

רלוונטיות ההסיבה לחוסר דרישה

: דוגמה

9.3.1 . נתוני כרטיסי אשראי וחזקיםאינם מורשים להכנס לאזורים בהם מעובדים או מ מבקרים

תעשיית כרטיסי האשראי (PCI) - MAX

Documents

Transcript of תעשיית כרטיסי האשראי (PCI) - MAX