חברות כרטיסי האשראי מציבות תנאים ודורשות עמידה בתקנים לכל גוף המעוניין בביצוע סליקת כרטיסי אשראי. תקן אבטחת מידע PCI-DSS מבקש להבטיח טיפול נאות במידע הנגזר מתהליך סליקת כרטיסי אשראי, למנוע זליגת מידע ובעקבותיו רמאויות והונאות תוך שמוש בכרטיסי אשראי גנובים. טרנזילה מציעה ללקוחותיה את שירות טוקניזציה המאפשר לשמור מספרי כרטיסי אשראי תחת אותו תקן אבטחה PCI-DSS.
קיימות שתי דרכים מומלצות על ידי תקן PCI DSS וחברות האשראי לשמירת מספרי כרטיסי אשראי:
- הצפנה - בתהליך הצפנה סטנדרטי כרטיס האשראי מוצפן ומתקבלת במקומו מחרוזת תווים שונה כך שבתהליך הפוך אפשר לשחזר את מספר כרטיס האשראי. במקרה של הצפנה התקן מגדיר את האלגוריתמים המתאימים ואת דרך שמירת מפתחות ההצפנה. לפי המלצת התקן הצפנת כרטיס האשראי הינה פתרון מתאים לשמירת כרטיסי אשראי לתקופה קצרה. דוגמא לכך היא כאשר חיוב כרטיס האשראי לא נעשה במידית עם מסירת הכרטיס אך רק בזמן בצוע ההזמנה בפועל.
- טוקניזציה - בתהליך הטוזקניציה לכל כרטיס אשראי מונפק טוקן שאינו קשור כלל למספר כרטיס האשראי. מספרי כרטיסי האשראי נשמרים בכספת ודורשים את שני חלקי הטוקן להוצאת מספר כרטיס האשראי מהכספת. תהליך הטוקניזציה נדרש על פי התקן לשמירת מספרי כרטיסי האשראי לטווח ארוך. לדוגמא: מערכת מנויים עם חיוב מחזורי.
אחד מהמטרות העקריות של טוקניזציה היא להחליף מידע רגיש כמו של מספר כרטיס אשראי בערך סתמי וחסר משמעות שנקרא טוקן. בשביל שערך הטוקן יהיה חסר משמעות, עליו להיות כזה גם אם יפול בידי פורץ או נוכל מתוחכם. טוקנים אילו אינם דורשים אמצעי אבטחה או הגנה.
השימוש בפתרון הטוקניזציה, הינו תהליך העוזר בהקטנת מספר הכרטיסים אשר נתוניהם נשמרים באופן ישיר במקומות שונים ברשת האינטרנט ואף עוזר לגופים המעוניינים בביצוע סליקת כרטיסי אשראי, בתהליך קבלת אישור תקן PCI-DSS. רצוי מאד שהטוקן המתקבל לא יהיה ניתן לשחזר ממנו את מספר כרטיס האשראי בשום צורה ואופן כך שאם רשימת הטוקנים נפלה בידי פורץ אין לה שום ערך והגורם המחזיק במידע אינו חייב לעמוד בתקן.
תרשים המתאר תהליך יישום טוקניזציה
תרשים המתאר תהליך יישום דה טוקניזציה
רמת האבטחה של הטוקניזציה תלוייה במידה רבה בדרך היישום של הפתרון. טוקניזציה אשר מיושמת במערכות סחר אלקטרוני בדכ"ל אינה דומה לישום בנקודות מכירה (POS).
שימוש בפתרון הטוקניזציה והיחס שלו לאישור תקן PCI-DSS, מלווה בארבעת העקרונות הבאים:
- שימוש בפתרון טוקניזציה אינו מבטל את הצורך בקבלת אישור תקן PCI-DSS, אך הוא בהחלט יכול לעזור במאמצים הכרוכים בקבלת האישור.
- בדיקת היעילות של יישום טוקניזציה הכרחי, וצריך לודא כי טוקן לא יעבור תהליך דה טוקניזציה וקבלת מספר כרטיס האשראי מכל מערכת שאינה במסגרת ה- PCI-DSS.
- מערכת טוקניזציה על מרכיביה, חייבים להיות מוגנים על ידי אבטחת מידע מתקדמת ויעילה, כולל ניטור לאבטחת פעילות סדירה ורציפה של מערכות האבטחה הללו.
- פתרון הטוקניזציה, יכול להשתנות במידה רבה על פני ישומים שונים. גופים המעוניינים בתהליך הטוקניזציה, יצטרכו לבצע הערכה וניתוח של הסיכונים ולערוך רישום של אופי היישום שלהם, כולל כל האינטראקציות עם נתוני הכרטיס ואופן פעולת מערכת ותהליך הטוקניזציה.
- SSL - מפתח הצפנה
- 3D Secure - אימות מוגבר
- בלוג: סליקה עם אימות מוגבר
- מערכת ניטור ומישגוח מאפשרת קבלת התראות לפי הגדרת בית העסק בזמן אמת למייל ול-SMS.
- מכשירי סליקה EMV
- מחשוב ענן עם תקן PCI-DSS
