דלגו לתוכן
אבטחה לעסק2 במרץ 20269 דק׳ קריאה

סליקה, קופה וכרטיסי אשראי: אבטחת תשלומים ו-PCI DSS בפשטות

מה באמת קורה בין העברת הכרטיס לקבלת הכסף, מי אחראי על מה, ולמה הפנקס ליד הקופה מסוכן יותר מהמסוף. מדריך מעשי לבעל עסק פיזי — PCI DSS בשפה פשוטה, וכללי הזהב לצמצום החשיפה.

ר.ש
רותם שיינס · מנכ״ל ובעלים
מומחה אבטחת מידע ופרטיות · Cybertis · מעל 10 שנות ניסיון

ליד הקופה של חנות רבים מדי מכירים אותו — פנקס קטן שבו רשומים מספרי כרטיסי אשראי של לקוחות שהזמינו טלפונית, ״כדי לחייב אחר כך״. או תיבת מייל של מסעדה שמצטברות בה הזמנות עם מספר כרטיס מלא, תוקף וספרות בגב הכרטיס, שהלקוח הכתיב בטלפון והעובד רשם. זה נראה תמים ויעיל — עד היום שבו הפנקס הזה נגנב, המייל נפרץ, או שעובד לשעבר לוקח צילום. באותו רגע העסק הקטן מגלה שהוא החזיק, בלי לשים לב, במאגר כרטיסי אשראי — ושהאחריות עליו היא שלו. במאמר הזה נפרק מה באמת קורה בין ההעברה של הכרטיס לקבלת הכסף, מי אחראי על מה, ומהו תקן PCI DSS — התקן העולמי לאבטחת נתוני כרטיסי אשראי — בשפה של בעל עסק, לא של רואה חשבון.

רגע, מה זה PCI DSS?

PCI DSS (Payment Card Industry Data Security Standard) הוא תקן אבטחת מידע שקבעו חברות כרטיסי האשראי הגדולות (Visa, Mastercard, ועוד) עבור כל מי שמקבל, מעביר או שומר נתוני כרטיסי אשראי. הוא לא חוק ישראלי — הוא דרישה חוזית: חברת הסליקה שלכם מחייבת אתכם לעמוד בו כתנאי לקבל תשלומים בכרטיס. העיקרון החשוב ביותר להבנה: ככל שאתם נוגעים בפחות נתוני כרטיס — כך פחות מהתקן חל עליכם.

מה קורה בין ההעברה לכסף — ומי אחראי על מה

כשלקוח מצמיד כרטיס למסוף, שרשרת שלמה של גורמים נכנסת לפעולה בתוך שניות. חשוב להכיר אותם, כי כל אחד נושא חלק אחר באחריות — ובעל העסק לרוב לא יודע איפה הגבול עובר:

  • בית העסק (אתם). מקבלים את התשלום, מפעילים את המסוף ואת הקופה. האחריות שלכם: לא לחשוף ולא לאחסן נתוני כרטיס שלא לצורך, ולתחזק את הסביבה שבה עובר התשלום.
  • חברת הסליקה / ספק שירותי התשלום (Acquirer / PSP). הגורם שאיתו יש לכם חוזה, שמחבר אתכם למערכת התשלומים ומעביר את הכסף לחשבונכם. הוא זה שדורש מכם עמידה ב-PCI DSS, ולרוב מספק את המסוף.
  • מנפיק הכרטיס (Issuer). הגוף שהנפיק ללקוח את הכרטיס (חברת האשראי או הבנק), מאשר או דוחה את החיוב, ונושא בחלק ניכר מסיכון ההונאה.
  • רשתות הכרטיסים (Card Schemes). Visa, Mastercard וכו׳ — קובעות את הכללים, כולל את תקן PCI DSS עצמו.

הבשורה מבחינת עסק קטן: את רוב העבודה הכבדה עושים הגורמים האחרים. כשהלקוח מעביר כרטיס במסוף EMV מודרני או משלם דרך דף סליקה מאובטח של ספק — נתוני הכרטיס ״הרגישים״ בכלל לא עוברים דרך המערכות שלכם. הם עוברים ישירות מהמסוף או מהדפדפן של הלקוח אל ספק הסליקה. וזה בדיוק מה שמצמצם לכם את היקף האחריות תחת PCI DSS.

דיאגרמה של זרימת נתוני כרטיס אשראי מהעברת הכרטיס ועד הכסף, עם חלוקת אחריות בין בית העסק, חברת הסליקה, מנפיק הכרטיס ורשתות הכרטיסים
זרימת התשלום ומפת האחריות — מה עובר דרך העסק ומה לא.

PCI DSS בפשטות: היקף (Scope) הוא כל הסיפור

PCI DSS מפחיד בעל עסק קטן כי הוא נשמע כמו מפלצת רגולטורית של 300 דרישות. אבל רוב העסקים הקטנים לעולם לא נדרשים לעמוד בכל התקן. המנגנון עובד כך: התקן מגדיר סוגי שאלוני הערכה עצמית (SAQ — Self-Assessment Questionnaire), וסוג השאלון שאתם ממלאים תלוי באופן שבו אתם מקבלים תשלומים. עסק שמשתמש רק במסוף EMV עצמאי, או רק בדף סליקה מתארח (hosted) של ספק — ממלא את השאלון הקצר ביותר, עם מספר דרישות מצומצם. עסק שמקליד מספרי כרטיס למחשב, שומר אותם, או משלב שדות סליקה באתר שלו — נכנס לשאלון ארוך ומורכב בהרבה.

העיקרון שמצמצם את כל העבודה

לפי מסמכי PCI SSC (הגוף שמנהל את התקן), מעבר משאלון D המלא לשאלון A הקצר יכול לצמצם את מספר הדרישות מלמעלה מ-300 לכ-22 בלבד. הדרך לשם: אל תיגעו בנתוני הכרטיס. מסוף EMV שמצפין את הכרטיס מרגע ההעברה, ודף סליקה מתארח או טוקניזציה (החלפת מספר הכרטיס באסימון חסר-משמעות) — מוציאים את רוב המערכות שלכם מ״סביבת נתוני הכרטיס״, וכך מקטינים דרמטית את מה שנבדק.

לגבי ״רמות סוחר״ (Merchant Levels): התקן מסווג עסקים לארבע רמות לפי נפח העסקאות השנתי. הרוב המוחלט של העסקים הקטנים בישראל נכללים ברמה 4 — הרמה הנמוכה ביותר, שדרישותיה קלות יותר ומבוססות בעיקר על הערכה עצמית ולא על ביקורת חיצונית. אין צורך שתדעו את המספרים המדויקים בעל פה; מה שחשוב שתזכרו הוא הכלל: ככל שאתם שומרים ונוגעים בפחות נתוני כרטיס, כך פחות חל עליכם — ללא קשר לרמה.

נוף התשלומים בישראל: למה זה עובד לטובתכם

לישראל יש כאן יתרון מובנה. לפי בנק ישראל, מעבר שוק הסליקה הישראלי לתקן EMV (״הסליקה החכמה״) הושלם כמעט לחלוטין — כ-98% ממסופי התשלום הוסבו ל-EMV. משמעות הדבר: המסוף מצפין את נתוני הכרטיס כבר ברגע ההעברה, כך שהם אינם עוברים ״בגלוי״ דרך הקופה או המחשב של העסק. תשלום ללא מגע (contactless) הפך לסטנדרט — בנק ישראל אף העלה את תקרת העסקה ללא מגע ל-300 ש״ח — וחלק גדול מהתשלומים מתבצע דרך ארנקים דיגיטליים (Apple Pay, Google Pay) ואפליקציות תשלום, שבהם מספר הכרטיס האמיתי כלל אינו נחשף לבית העסק.

מבחינת אבטחה, זו נקודת פתיחה טובה: אם אתם עובדים עם מסוף EMV תקני מספק סליקה מוכר, החלק המסוכן ביותר — עצם המגע בנתוני הכרטיס — כבר מטופל. הבעיה כמעט תמיד לא נמצאת במסוף. היא נמצאת ב״קיצורי הדרך״ האנושיים סביבו: הפנקס ליד הקופה, ההזמנה הטלפונית שנרשמת במחשב, המייל עם מספר הכרטיס. שם נשבר המודל.

הכלל שאסור לשבור: לא רושמים ולא שומרים מספרי כרטיס

זה הכלל הבודד החשוב ביותר במאמר הזה. ברגע שאתם רושמים מספר כרטיס אשראי — על פנקס, בקובץ אקסל, בהודעת וואטסאפ לעצמכם, בשדה ״הערות״ במערכת ה-CRM — הפכתם מאגר כרטיסי אשראי, ואתם אחראים על אבטחתו במלואה. ובאופן מיוחד, אסור לשמור לעולם את שלוש ספרות ה-CVV (הקוד בגב הכרטיס); התקן אוסר על אחסונו לאחר האישור, נקודה. הבעיה הכי נפוצה היא הזמנה טלפונית שבה הלקוח מכתיב מספר כרטיס והעובד רושם אותו כדי לחייב מאוחר יותר.

החלופות הבטוחות קיימות והן פשוטות ליישום:

  • קישור לתשלום (Payment Link). במקום לקבל מספר כרטיס בטלפון, שלחו ללקוח קישור סליקה מאובטח ב-SMS או בוואטסאפ. הלקוח מקליד את הכרטיס בדף המאובטח של הספק — ואתם לעולם לא רואים את המספר.
  • דף/שדות סליקה מתארחים (Hosted Fields). בעסקה אונליין, שדות הכרטיס מגיעים מהספק ולא מהאתר שלכם — נתוני הכרטיס עוברים ישירות אליו.
  • חיוב חוזר דרך טוקן. אם צריך לחייב לקוח שוב, הספק שומר ״טוקן״ (אסימון) במקומכם, ואתם מחייבים לפי הטוקן בלי להחזיק את מספר הכרטיס בכלל.
המבחן הפשוט

אם מחר בבוקר גנב ייכנס למשרד ויקח את המחשב, את הפנקסים ואת תיבת המייל — האם הוא ייצא עם מספרי כרטיסי אשראי של לקוחות? אם התשובה היא ״כן, אולי״ — יש לכם מאגר שאסור שיהיה קיים. המטרה היא שהתשובה תהיה ״לא, שום מספר כרטיס לא נשמר אצלנו״.

היגיינת מסוף וקופה

המסוף עצמו הוא נכס שדורש תחזוקה, בדיוק כמו כל מחשב. כמה כללים מעשיים:

  • רשת נפרדת לקופה. המסוף וה-POS צריכים לשבת על רשת או VLAN ייעודי, מנותקים מרשת האורחים ומהמחשבים הכלליים של העסק. זו אחת ההגנות היעילות ביותר — הרחבנו עליה במדריך אבטחת רשת ה-Wi-Fi במשרד.
  • עדכונים. ודאו שהמסוף ותוכנת הקופה מקבלים עדכוני אבטחה מהספק. מסוף ישן ולא מעודכן הוא יעד.
  • סיסמאות ברירת מחדל. שנו כל סיסמת ברירת מחדל — בקופה, במחשב הקופה, בראוטר. סיסמאות ברירת המחדל של יצרנים מפורסמות ברשת.
  • בדיקת חבלה פיזית (Tampering). אחת לתקופה בדקו פיזית את המסוף: ברגים רופפים, מדבקות שנקרעו, מכשיר נלווה שמחובר, משקל או מראה שהשתנו. סורקי אשראי (skimmers) מותקנים לרוב על מסופים ועל קוראי כרטיסים לא מאובטחים.

כללי צוות: המקום שבו רוב הפריצות מתחילות

טכנולוגיה טובה נשברת מול נוהג עבודה גרוע. שלושה כללים שכל עובד שנוגע בתשלומים צריך להכיר:

  • אין צילום של כרטיסים. לא תמונה בטלפון, לא ״כדי לזכור״, לא ״לשלוח למנהל״. אף פעם.
  • אין רישום ידני של מספרים. ההזמנה הטלפונית עוברת דרך קישור לתשלום, לא דרך פנקס.
  • נוהל זיכויים מסודר. הונאת זיכויים על ידי עובדים היא סיכון פנימי אמיתי: עובד שמזכה כרטיס פרטי שלו על חשבון העסק. דרשו אישור מנהל לכל זיכוי מעל סכום מסוים, ותעדו כל זיכוי מול העסקה המקורית.

קבלות ומיסוך מספר הכרטיס (PAN Masking)

קבלה תקנית לעולם אינה מדפיסה את מספר הכרטיס המלא. מסופים מודרניים מדפיסים גרסה ממוסכת — לרוב רק 4 הספרות האחרונות (למשל **--**-1234). בדקו את הקבלות שהעסק שלכם מדפיס, גם ללקוח וגם בעותק הפנימי. אם אתם רואים מספר כרטיס מלא מודפס — יש בעיה, כי כל קבלה שנזרקת לפח או נשמרת בקלסר הופכת לנקודת דליפה. וכמובן: לעולם אין להדפיס את קוד ה-CVV על שום קבלה.

חפיפה עם מסחר אלקטרוני

עסק פיזי רבים מפעילים גם חנות אונליין, וזו נקודת סיכון נוספת. אתר שמשלב סליקה חייב לוודא ששדות הכרטיס מגיעים מספק הסליקה (Hosted Fields או הפניה לדף מתארח) ולא נאספים באתר עצמו — אחרת האתר, על כל התוספים והפרצות שבו, נכנס להיקף ה-PCI DSS. אם אתם מנהלים גם ערוץ אונליין, כדאי לקרוא את המדריך לאבטחת חנות אונליין ישראלית — מהעגלה ועד הסליקה, שמרחיב על שרשרת התשלום הדיגיטלית ועל טעויות נפוצות באינטגרציית סליקה.

חשד לדליפת נתוני כרטיס — מה עושים

אם התעורר חשד שנתוני כרטיסי אשראי דלפו — פריצה למחשב, גניבת פנקס, פישינג שהצליח על עובד — יש שני מסלולי דיווח מקבילים שצריך להכיר:

  • דיווח לחברת הסליקה. יש לכם חובה חוזית, לפי הסכם ה-PCI DSS מול ה-Acquirer, לדווח לחברת הסליקה על אירוע חשוד בנתוני כרטיסים. היא זו שתנחה אתכם בהמשך הטיפול מול רשתות הכרטיסים.
  • דיווח לרשות להגנת הפרטיות. אם באירוע נחשף גם מידע אישי (שמות, פרטי לקוחות, ולא רק מספרי כרטיס), ייתכן שחלה עליכם חובת דיווח על ״אירוע אבטחה חמור״ לפי תקנות הגנת הפרטיות. לפי תקנות אבטחת מידע, מאגר ברמת אבטחה בינונית או גבוהה מחויב לדווח לרשות מיד עם גילוי האירוע. אחרי תיקון 13, אי-דיווח על אירוע חמור נמצא בקטגוריית העיצומים הגבוהה ביותר — עד 320,000 ש״ח למאגר ברמת אבטחה גבוהה.
דגלים אדומים של סורק אשראי (Skimmer)

חבלה פיזית במסוף היא סימן מובהק לגניבת אשראי. חשדו אם: קורא הכרטיסים בולט או זז ביחס למסוף; יש מכשיר או מדבקה שלא היו שם קודם; המקלדת נראית ״עבה״ מהרגיל; מצלמה זעירה מכוונת אל אזור הקלדת הקוד; או שהמסוף פועל אחרת מהרגיל. במקרה של חשד — הפסיקו להשתמש במסוף ופנו מיד לחברת הסליקה.

צ׳קליסט אבטחת תשלומים — ליישום השבוע

  1. אספו והשמידו כל מקום שבו נשמרים מספרי כרטיס ידנית — פנקסים, קבצים, מיילים, שדות הערות. אין לשמור מספרי כרטיס ובוודאי לא CVV.
  2. הגדירו קישור לתשלום כברירת מחדל להזמנות טלפוניות במקום רישום ידני.
  3. ודאו שהמסוף הוא EMV תקני מספק סליקה מוכר, ושהוא מעודכן.
  4. העבירו את הקופה והמסוף לרשת/VLAN נפרד מרשת האורחים ומהמחשבים הכלליים.
  5. שנו את כל סיסמאות ברירת המחדל בקופה, במחשב ובראוטר.
  6. בדקו שהקבלות שלכם ממסכות את מספר הכרטיס (רק 4 ספרות אחרונות) ולא מדפיסות CVV.
  7. הטמיעו נוהל צוות: אין צילום כרטיסים, אין רישום ידני, וזיכויים דורשים אישור מנהל ותיעוד.
  8. בצעו בדיקת חבלה פיזית תקופתית של המסופים.
  9. בררו מול חברת הסליקה איזה שאלון SAQ חל עליכם — ודעו למי מדווחים אם משהו קורה.
  10. אם יש לכם גם אתר סליקה — ודאו ששדות הכרטיס מגיעים מהספק ולא נאספים באתר.
צ׳קליסט אבטחת תשלומים לעסק: לא לשמור מספרי כרטיס, קישור לתשלום, מסוף EMV מעודכן, רשת נפרדת לקופה, מיסוך קבלות, נוהל צוות ובדיקת חבלה פיזית
צ׳קליסט אבטחת תשלומים לעסק — הצעדים המעשיים.

השורה התחתונה

אבטחת תשלומים בעסק פיזי אינה פרויקט טכנולוגי מורכב — היא בעיקר עניין של משמעת. הטכנולוגיה כבר עובדת לטובתכם: מסופי EMV, תשלום ללא מגע וארנקים דיגיטליים מוציאים את נתוני הכרטיס מהמערכות שלכם ומצמצמים דרמטית את מה שחל עליכם תחת PCI DSS. מה שנשאר בידיים שלכם הוא הכלל הפשוט — לא לגעת, לא לרשום, לא לשמור. עסק שמפנים את זה, מעביר את הזמנות הטלפון לקישורי תשלום, ומתחזק מסוף וקופה כמו שצריך, נמצא במקום טוב מאוד — גם מול חברת הסליקה, גם מול הרשות להגנת הפרטיות, וגם מול הלקוחות שסומכים עליו עם הכרטיס שלהם.

Cybertis מלווה עסקים בישראל בבניית תשתית אבטחת מידע ופרטיות מסודרת — מהיגיינת תשלומים וצמצום היקף ה-PCI DSS ועד עמידה בתקנות הגנת הפרטיות ותיקון 13. נשמח למפות איתכם את נקודות החשיפה. הפגישה הראשונה עלינו.

לשיחת היכרות עם Cybertis

*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ מקצועי מחייב. דרישות PCI DSS החלות על עסק ספציפי נקבעות מול חברת הסליקה, וחובות הדיווח לפי הדין הישראלי מחייבות בחינה פרטנית.*

תכנון מראש, לא תגובה בדיעבד

בואו נדבר על חוסן הסייבר של הארגון שלכם.

שיחת היכרות של 30 דקות עם בכיר/ה מהצוות שלנו. ללא מצגות מכירה וללא לחץ — רק תמונת מצב אמיתית של היכן אתם נמצאים ולאן כדאי להמשיך.

תגובה ראשוניתתוך 4 שעות
פגישת היכרותללא עלות וללא התחייבות
אופן ההתקשרותפרויקט נקודתי או התקשרות שוטפת
כתובת לאירוע פעילsoc@cybertis.co.il