תקני אבטחה לסליקה באינטרנט
סליקה בטוחה באינטרנט היא אחד הדברים החשובים ביותר לתפעול של אתר חנות וירטואלית, קבלת תשלומים מהנייד או אפליקציה או מהקופה הממוחשבת ולמעשה כל אתר שרוצה לבצע חיוב על בסיס קבוע או מזדמן.
מרבית המערכות למסחר באינטרנט כוללות כבר תמיכה בתקני אבטחה מעודכנים, אך עדיין חשוב להכיר את הנושא ולהבין אותו.
אז קודם כל, כשאנחנו מדברים על סליקה בטוחה אנחנו מדברים על כמה וכמה רמות אבטחה:
1.אבטחה ברמת השרת – האתר והמחשב של הגולש חייבים "לדבר" ביניהם בצורה בטוחה ומוצפנת בעת העברת פרטים רגישים כמו פרטי אשראי.
2.אחסון של נתוני כרטיס האשראי– במערכות שבהן ניתן לשמור את פרטי האשראי של הלקוח לשימוש עתידי, הם חייבים להיות מאוחסנים במסד הנתונים באופן מוצפן ומוגן על מנת שגם אם מישהו יצליח להגיע אליהם, יהיה לו קשה להגיע אל המספרים האמיתיים.
3.מניעת הונאות – גם אם הסליקה עצמה עבדה כמו שצריך, עדיין קיים סיכון של שימוש בכרטיסי אשראי גנובים ולכן חברות האשראי חייבות לאמת כי מי שהקליד את הפרטים הוא אכן הבעלים החוקי של הכרטיס.
כעת נסביר מהם תקני האבטחה הנפוצים וכיצד הם מתקשרים לכל אחת מן הדרישות.
SSL
SSL הוא תקן אבטחה שלמעשה מסדיר את כל עניין ההצפנה של המידע שעובר בין השרת של האתר לבין הגולש. למעשה כיום SSL משמש כמעט את כל האתרים באינטרנט ולא רק את אלו שמבצעים סליקה מכיוון שזה מה שחברת גוגל ממליצה (ובפועל כולם ממהרים לעשות…).
תקן SSL עובד באמצעות תעודת התקנה שמותקנת על גבי האתר שלכם ומזהה את הדומיין שלו באופן ייחודי.
אם אתם משתמשים בשירותיה של חברה המספקת לכם הן חנות וירטואלית והן את האחסון (כלומר, אתם לא קונים חבילת גלישה בנפרד), היא בדרך כלל גם תספק לכם את תעודת האבטחה.
תעודת האבטחה מגיעה ברמות שונות של הצפנה. כיום מקובלת הצפנה של 256 ביט המספקת הגנה אפקטיבית ביותר.
מלבד זאת יש כמה רמות של אימות:
DV– זיהוי באמצעות הדומיין בלבד – לא מתאים לאתרי מסחר
OV – זיהוי ברמת הארגון – מתאים לאתרי מסחר
EV – אימות ברמה הגבוהה ביותר. בדרך כלל נדרש לאתרי בנקים, אתרי ממשל וכו'.
במקרה של חנות וירטואלית, תעודת האבטחה לרוב תהיה של אחת החברות המובילות בתחום, חברות בניית האתרים (אפילו הגדולות) בדרך כלל לא מפתחות את התעודה בעצמן, אלא רק מספקות לכם אותן.
במקרה ואתם אלו שרוכשים את האחסון ומתקינים מערכת מסחר עצמאית (לדוגמה, בוורדפרס), עליכם יהיה לרכוש תעודה מספק חיצוני או מחברת האחסון עצמה ולבדוק כי התעודה הותקנה כראוי ושכל העמודים באתר מציגים מפתח שלם בשורת הכתובת.
חשוב לציין כי תעודות אבטחה שניתן לקבל בחינם כגון אלו של Let's Encrypt הן ברמת DV בלבד
מלבד זאת חשוב מאוד ללחוץ על המפתח ולראות על שהיא אכן רשומה על שמכם או החברה שמספקת לכם שירותי אחסון:
כדי לעשות זאת בכרום:
1.לוחצים על סמן המנעול
2.לוחצים על החץ הקטן שלידו רשום Connection is Secure
3.לוחצים על החץ הקטן שלידו רשום Certificate is Valid
כעת בודקים שליד Organization רשום שם מסוים ולא משהו כמו Not part of the Certificate.
לדוגמה, כך נראית התעודה של אתר זאפ:
תקן PCI-DSS
תקן PCI-DSS הוא לא פרוטוקול טכנולוגי גרידא, אלא רשימה של דרישות מכל מי שרוצה לבצע סליקה באינטרנט. התקן נוצר כאיחוד בין תקנים של חמשת חברות האשראי הגדולות (ויזה, מאסטר-קארד, אמריקן אקספרס, דיסקאבר ו-JCB) במטרה להפוך את כל התהליך לפשוט יותר.
התקן הוצע לראשונה בשנת 2004 ומנוהל על ידי גוף מייעץ בשם PCI-SSC. נכון להיום הגרסה האחרונה של התקן היא גרסה 4.0 ממרץ 2022.
התקן כולל 12 דרישות שונות המחולקות לשש קבוצות שונות:
1.בנייה וניהול של רשת ומערכת בטוחות.
2.הגנה על הפרטים של מחזיק האשראי
3.ניהול מערכת לנקודות תורפה (במקור "פגיעות", Vulnerability)
4.ניתוח ובדיקה של המערכות השונות
5.ניהול מדיניות אבטחת מידע
כאמור, לא מדובר על תקן שמייחס לאמצעים טכנולוגים ספציפיים, אך רשימת הדרישות המלאה כן מחייבת שימוש באנטי-וירוס (או אמצעים אחרים לנטרול תוכניות זדוניות על השרת) וחומת אש.
עמידה בתנאי PCI-DSS נחלקת לכמה רמות שונות על פי מספר הטרנזקציות. ברמה הנמוכה ביותר (רמה 4) מדובר על פחות מ-20,000 טרנזקציות בשנה וברמה הגבוהה ביותר מדובר על יותר מ-6 מיליון טרנזקציות בשנה. יחד עם זאת, כל ספק אשראי עשוי לדרוש דרישות מעט שונות.
איך תוודאו שהאתר שלכם מתאים לתקן?
בפועל הן חברת הסליקה והן החברה שמספקת את מערכת המסחר חייבים לעמוד בתקן PCI-DSS בין אם פרטי האשראי מאוחסנים גם ברמת מסד הנתונים וגם אם לא. הסיבה לכך היא שהגולש בדרך כלל מקליד את הפרטים שלו בטופס שלאחר מכן נשלח לחברת הסליקה וטופס זה חייב להיות מאובטח באמצעות תעודת SSL.
במקרה ובה אתם מתפעלים אתר עצמאי כמו למשל באמצעות מערכת WooCommerce של וורדפרס או גרסת הקוד הפתוח של Magento, הדברים מעט יותר מורכבים והתקנה של המערכת בלבד אינה מספיקה, אלא יש לבצע התאמות ספציפיות.
עם זאת, בדרך כלל ניתן לבקש מהחברה המספקת את שירותי הסליקה לבצע את המבדקים המתאימים או פשוט להשתמש אך ורק בפתרונות סליקה חיצונים.
כך למשל נראה אישור ה-PCI-DSS של חברת הסליקה טרנזילה:
כפי שאתם יכולים להבין, לוגו כללי של PCI-DSS לא מספיק מכיוון שהוא לא מספק שום זיהוי ספציפי.
3D Secure – אימות ברמת הכרטיס
גם אם כל תהליך הסליקה תקין מבחינה טכנית, מי מבטיח לנו שמי שמחזיק בכרטיס האשראי או בפרטים שלו הוא אכן בעליו החוקיים? כרטיסים גנובים מהווים סיכון גדול לא רק לחברת האשראי, אלא גם לבעל העסק שנאלץ לספוג הכחשת עסקה. אם הוא כבר שלח את הסחורה או סיפק את השירות, הוא זה שנמצא בבעיה…
בדיוק לשם זאת נוצר תקן נוסף בשם 3D Secure
כאשר התקן מופעל, לאחר הקלדת פרטי האשראי ייפתח מסך נוסף של החברה שהנפיקה את הכרטיס והמשתמש יתבקש לאשר את העסקה באמצעות שיחת טלפון או SMS. רק לאחר האימות תבוצע הסליקה בפועל.
בניגוד לתקן PCI-DSS, לכל חברה קיים יישום אחר של 3D Secure. בארץ מדובר על ויזה ומאסטר-קארד (ישראכרט) המפעילות מערכות בשם Verified by Visa ו-MasterCard SecureCode בהתאמה.
בחו"ל קיימות גם מערכות אבטחה של דינרס ואמריקן אקספרס, שהכרטיסים שלהם מעט פחות נפוצים בארץ (וגם לא חנות מקבלת אותם).
חשוב לציין שכרגע ממש לא כל אתר משתמש במערכת, אך אם אתם רוצים לספק לעצמכם שכבת הגנה נוספת, חשוב מאוד לוודא שחברת הסליקה שלכם תומכת בה. מבחינה טכנולוגית, נדרש שלב נוסף של הטמעה באתר, אך לרוב הוא אינו מסובך מדי.
לסיכום
אנו מקווים כי כעת, לאחר שלמדתם על תקני האבטחה השונים וגם מעט יותר על האופן בו עובדות מערכות סליקה באינטרנט, תדעו לבחור את פתרון הסליקה המתאים ביותר כדי לשמור על השקט הנפשי שלכם.
