בעקבות הפרשיות האחרונות של זליגת כרטיסי אשראי נוכחתי לגלות כי עדיין חברות רבות מאחסנות את פרטי הלקוחות במאגרי נתונים פרטיים שלא כצורך.
בטרם ביצעתי רכישה מקוונת של ספר מאחת מרשתות הספרים המוכרות בארץ , כחלק מסדרת בדיקות שביצעתי באתר קראתי את הצהרת הפרטיות בה נכתב שחור על גבי לבן:
בטרם ביצעתי רכישה מקוונת של ספר מאחת מרשתות הספרים המוכרות בארץ , כחלק מסדרת בדיקות שביצעתי באתר קראתי את הצהרת הפרטיות בה נכתב שחור על גבי לבן:
"כל הפרטים שיוזנו על ידך בממשק ההרשמה כאמור, לרבות פרטי כרטיס האשראי, ייאספו ויישמרו אצל החברה ו/או מי מטעמה והשימוש בהם יעשה בהתאם למדיניות הפרטיות של האתר. אינך חייב למסור את הפרטים אולם ללא מסירתם לא תוכל לבצע עסקה באתר".
"מאגרי מידע המידע אשר תמסור בעת ההרשמה לשירותים באתר לרבות לצורך ביצוע הרכישות באתר וכל מידע אחר אשר תמסור בהמשך, כמתבקש מסוג השירות, וכן כל מידע אשר ייאסף אודותיך בקשר לשירותים אליהם נרשמת ו/או בקשר להזמנות שביצעת ו/או למוצרים שרכשת ו/או לכל שימוש אחר שנעשה על ידך באתר ישמרו במאגרי המידע של החברה.
החברה תעשה שימוש במידע בהתאם להוראות הדין ובהתאם למדיניות פרטיות זו".
כלקוח של אותו ספק וכאיש מקצוע שהכין ארגונים לעמידה בתקן המחמיר פניתי לשירות הלקוחות של החברה ושאלתי מדוע אינם עומדים בתקן PCI ובקשתי לברר את פשר הזלזול בפרטיות הלקוח.
למרבה האירוניה הובר לי כי האתר עושה שימוש בתקן SSL לאבטחת מידע בצירוף קישור לאתר Versign המציג כי לאותה חנות מקוונת תעודת SSL בתוקף וכי הטרנזקציות בין בלקוח לשרת מוצפנות.
על מנת להרגיע אותי,הוסיפה הנציגה התמימה כי רק לאחר מספר ימים פרטי האשראי שלי נמחקים מהמאגר וכי אני מוזמן לבצע רכישה טלפונית על מנת לא לחשוף את פרטי האשראי שלי ברשת.
הגבתי מייד לשירות הלקוחות כי עדיין קיימת חשיפה ברמת ה-DB וציינתי במפורש כי הליך הצפנת התקשורת אינו נותן מענה לסוגית האבטחה אותה ציינתי.
למרה בצער במקרים רבים כאשר מתבצעת רכישה טלפונית עדיין אותם פרטי אשראי מוזנים לאותה מערכת אשר מחוברת לרשת האינטרנט וחשופה למתקפות וזליגת מידע.
לאחר מספר שעות והסבר טכני שלי לנציגת השירות אודות החולשה שנתגלתה באתר קיבלתי את המייל הבא:
"שלום רב רונן, אנו מודים לך על פנייתך, גם משוב שלילי הינו משוב שחשוב לנו לקבלו.
אנו מתייחסים בכובד ראש לפרשה ולאבטחת המידע.
אנחנו בעיצומו של תהליך השינוי לתקן PCI בכל הרשת, ע"פ דרישות חברות האשראי".
"מאגרי מידע המידע אשר תמסור בעת ההרשמה לשירותים באתר לרבות לצורך ביצוע הרכישות באתר וכל מידע אחר אשר תמסור בהמשך, כמתבקש מסוג השירות, וכן כל מידע אשר ייאסף אודותיך בקשר לשירותים אליהם נרשמת ו/או בקשר להזמנות שביצעת ו/או למוצרים שרכשת ו/או לכל שימוש אחר שנעשה על ידך באתר ישמרו במאגרי המידע של החברה.
החברה תעשה שימוש במידע בהתאם להוראות הדין ובהתאם למדיניות פרטיות זו".
כלקוח של אותו ספק וכאיש מקצוע שהכין ארגונים לעמידה בתקן המחמיר פניתי לשירות הלקוחות של החברה ושאלתי מדוע אינם עומדים בתקן PCI ובקשתי לברר את פשר הזלזול בפרטיות הלקוח.
למרבה האירוניה הובר לי כי האתר עושה שימוש בתקן SSL לאבטחת מידע בצירוף קישור לאתר Versign המציג כי לאותה חנות מקוונת תעודת SSL בתוקף וכי הטרנזקציות בין בלקוח לשרת מוצפנות.
על מנת להרגיע אותי,הוסיפה הנציגה התמימה כי רק לאחר מספר ימים פרטי האשראי שלי נמחקים מהמאגר וכי אני מוזמן לבצע רכישה טלפונית על מנת לא לחשוף את פרטי האשראי שלי ברשת.
הגבתי מייד לשירות הלקוחות כי עדיין קיימת חשיפה ברמת ה-DB וציינתי במפורש כי הליך הצפנת התקשורת אינו נותן מענה לסוגית האבטחה אותה ציינתי.
למרה בצער במקרים רבים כאשר מתבצעת רכישה טלפונית עדיין אותם פרטי אשראי מוזנים לאותה מערכת אשר מחוברת לרשת האינטרנט וחשופה למתקפות וזליגת מידע.
לאחר מספר שעות והסבר טכני שלי לנציגת השירות אודות החולשה שנתגלתה באתר קיבלתי את המייל הבא:
"שלום רב רונן, אנו מודים לך על פנייתך, גם משוב שלילי הינו משוב שחשוב לנו לקבלו.
אנו מתייחסים בכובד ראש לפרשה ולאבטחת המידע.
אנחנו בעיצומו של תהליך השינוי לתקן PCI בכל הרשת, ע"פ דרישות חברות האשראי".
בטרם הרכישה יש לזכור כי:
1.חובה לקרוא את הצהרת הפרטיות של האתר.
2.חשוב לוודא אכן כי האתרים עומדים בתקן ה-PCI DSS וכי אותו אתר מאושר באתר הבית של אותו גורם מוסמך(QSA) וכי מבתצעות באתר בדיקות אבטחה על בסיס שוטף באמצעות
2.חשוב לוודא אכן כי האתרים עומדים בתקן ה-PCI DSS וכי אותו אתר מאושר באתר הבית של אותו גורם מוסמך(QSA) וכי מבתצעות באתר בדיקות אבטחה על בסיס שוטף באמצעות
Approved Scanning Vendors .
3.ניתן לזהות את הנ"ל ע"י אייקון המוביל לאתר הבית של חברת האבטחה,ניתן לציין את שירות Mcafee Secureהמכיל פרטים אודות מצב עמידה בדרישות התקן.
3.ניתן לזהות את הנ"ל ע"י אייקון המוביל לאתר הבית של חברת האבטחה,ניתן לציין את שירות Mcafee Secureהמכיל פרטים אודות מצב עמידה בדרישות התקן.
