ההסמכה שלנו ל PCI-DSS


סוף סוף החלטתי להכניס את החברה לתהליך הסמכה לתקן PCI כדי להקל על תהליכי סליקת אשראי עבור הלקוחות שלנו. זה כבר הפך להיות מורכב ומתיש והרגיש לי עמוק בפנים שזה כבר הזמן הנכון.

האמת היא שאני חושב עם הרעיון הזה כבר כמה שנים וכל פעם היה משהו אחר שגרם לי לדחות את זה, בין אם העלות הגבוהה (מאוד!!) ובין אם ההתעסקות שנראתה כמו בור בלי תחתית. תמיד היה לי תירוץ לתת לעצמי "למה לא", אבל התירוץ שאף פעם לא אמרתי לעצמי בקול רם הוא שאני לא רוצה לפתוח את תיבת הפנדורה הזו.

הבעיה

iCount היא החברה הוותיקה בישראל בתחום וכחברה ותיקה אנחנו חיים על קוד שנכתב במשך שנים רבות. קוד כזה יכול להיות מורכב ומגוון מאוד בגישות ובצורות הכתיבה (שהשתנו לאורך השנים) ומאוד מורכב לטיפול. בנוסף, מי שמכיר את iCount יודע שזאת הרבה יותר מ"סתם" מערכת שמוציאה מסמכים ושיש כמות משמעותית של מודולים נוספים, יכולות שלא תמיד קשורות להנהלת חשבונות באינטרנט, חיבורים חיצוניים, ועוד מגוון הפתעות. כל אלה היוו מכשול אמיתי במה שידעתי שיגיעה לכיווננו מתוקף הטיפול בהסמכה ל PCI.

לפני המון שנים, כשהקמנו את החברה, לא ממש היה "ענן" ובטח שלא הייתה נגישות של שירותים כמו אמזון, ברמה שיש אותם היום. אז, הקמת שרת ייעודי הייתה עניין מורכב ובהרבה מקרים היה עדיף לרכוש ולאחסן באופן עצמאי, וכך עשינו. את השרת הפיזי הראשון קנינו בארץ בשנת 2007, ומיקמנו אותו באחסנה עם חברה ישראלית בתוך חוות שרתים של הספק הכי רציני שיכולנו למצוא. עם השנים קנינו עוד מספר שרתים פיזיים אותם המשכנו לאחסן באותה החווה. כמובן שעל הדרך התחלנו לצרוך שירותים שונים מספקי ענן כמו אמזון, גוגל וכדומה… אבל בכל פעם שרצינו לבדוק מה המשמעות של העברת כל המערכת מול (למשל) אמזון, המחירים היו בסביבות פי 3 ממה שהיה עולה לנו להמשיך ככה.
טוב, האמת היא שאולי שווה לכתוב על זה כמה מילים בפוסט נפרד כי המטרה שלנו כאן היא לא לדבר על עלויות וארכיטקטורה. אחשוב על פוסט כזה בעתיד. בינתיים – נחזור לענייני PCI.

אם לומר את האמת, די הפחיד אותי לחשוב על רשימת הדרישות שיעלו כחלק מההסמכה, ומעל לכל אני מתבייש להודות – היה לי קצת "בוז" פנימי כזה לגבי כל התהליך. מה פתאום שיבואו אנשים שאני לא מכיר, שאני אראה להם חלקים יחסים רגישים במערכת שלי, והם עוד יגידו לי מה לעשות לפי איזה מסמך הנחיות שנכתב על ידי אנשים שהם חצי פוליטיקאים ומחפשים כסת"ח. הייתה לי הרגשה שאני בדרך לבזבוז זמן אמיתי. אוי כמה שטעיתי. 

בחירת חברת ההסמכה ל-PCI

להסמכה, בחרנו את חברת COMSEC כי הרגיש שהם הכי מקצועיים, כי קיבלתי המלצה מחבר קרוב שהשתמש בהם, וכי הם ענו לי מהר למייל.
קיבלנו הצעת מחיר (שעשתה לי סחרחורת) והתחלנו את התהליך. אמרתי להם תכלס – אני רוצה את זה כמה שיותר מהר, עוד יותר מהר, ואם אפשר אז אפילו יותר מהר מזה. נכנסנו חזק לתהליך והתחלנו פגישות. חשוב לציין שלפני כן היינו במגעים עם עוד חברה ישראלית (שלא עשתה לי טוב מבחינת פרפרים בבטן) ולפני כן, כמעט סגרנו עם חברה אוקראינית שהציעה לנו לסיים את כל התהליך בשליש מחיר, ובקצב הרבה יותר מהיר. כמעט התפתיתי אבל אז שמעתי שיש חברות כאלה שקמות ונעלמות אחרי כמה חודשים, ושההסמכות שלהן לא ממש שוות יותר מדיי אחרי שהן נעלמות.

קחו בחשבון שהסמכה כזו תעלה לעסק החל מ-60,000 ש"ח ושזו תהיה הוצאה שפחות או יותר תחזור על עצמה בכל שנה מחדש. המחיר יעלה ככל שהמערכת שלכם יותר מורכבת, וככל שתרכשו עוד שירותים שהם חלק בלתי נפרד מההסמכה כמו-PT, סריקות למיניהן, מסמכולוגיה, ועוד.

התהליך

מיד אחרי שסגרנו עם COMSEC, הגיעו אליי שני חברה נפלאים שהתחילו לשאול שאלות, וככל שהשיחה איתם התארכה, ככה הרגשתי יותר ויותר שיושבים מולי שני אנשים שמבינים עניין. מהר מאוד הגענו לעניין התשתיות שלנו והתחילה לעלות סוגיה שלמה סביב מבנה הרשת והפרדת נתונים רגישים מ"קרבה" לשרתים עם גישה לאינטרנט, הבנו שהסביבה בארץ לא תתאים לעולם לצרכים שלנו ושהגיע הזמן להתחיל לבנות את כל התשתית מחדש, וכמובן כמו כל דבר שאני עושה בחברה – בלי downtime!

מעבר לתשתיות, קרעו לנו את הצורה בבדיקות, ניסיונות חדירה, סקירות, שאלות, דוחות ועוד שלל התקלות וכל פעם מחדש הייתי מופתע מרמת ההיגיון שיש מאחורי הבדיקות ורמת ההתעמקות שבהן. הופתעתי לטובה!

השלבים הראשונים הפחידו מאוד כי למעשה אתה מאשר למישהו לנסות לפרוץ לך את המערכת. הפחד מנפילה, האטה, שיבוש השירות – כל הדברים האלה מאוד הלחיצו אותי אבל ככל שהעמקנו בתהליך התחלתי לסמוך על החברה האלה ועל שאר העובדים ב-COMSEC והרגשתי שכל פידבק שמתקבל מהם הוא משמעותי, בעל ערך גבוה, ושכדאי לי מאוד ליישם לא רק את מה שחייבים, אלא גם מה שאופציונלי.

ליוו אותנו, ייעצו לנו, בדקו איתנו, היו סבלניים כשהיה לנו קשה, ועכשיו אני יכול להגיד שאני הרבה יותר רגוע. 

עם מה נשארנו?

בסוף התהליך הזה (שלקח לנו קרוב לשלושה חודשים) הספקנו להעביר את כל המערכת הזו לחוות שרתים אחרת, לבנות FW הרבה יותר מתקדם ומתאים לצרכים שלנו, לבנות את כל הרשת הפנימית שלנו מחדש, לרענן את כל הציוד שלנו וזה רק בתשתית!

מבחינת המערכת, עדכנו את מערכות ההפעלה על השרתים, את גרסאות בסיסי הנתונים, בנינו סביבת פיתוח מופרדת לחלוטין ואפילו הוספנו מעליה עוד סביבת QA שמאוד משפרת את היכולת שלנו לשחרר עדכונים עם פחות תקלות פנימיות, בנינו תהליכים לפיתוח ושחרור קוד, תהליכי הסמכת עובדים חדשים, לרבות הכשרות בנושאי אבטחת מידע – שזה סופר חשוב למי שמבסס את התקשורת שלו מול לקוחות דרך מיילים וקריאות ומקבל ים של קבצים במהלך יום העבודה

ואז,בסוף… אחרי כל העבודה הזו הגיע הדובדבן – תעודת ההסמכה שלנו.

כן, זה היה יקר, וימשיך להיות יקר לחדש את זה בכל שנה, אבל וואו – כמה שזה עשה לנו סדר.

אז מה הטיפים שלי אחרי כל התהליך?

תבדקו אם זה באמת הכרחי לכם

נדיר שממש צריכים PCI אז לא צריך ללכת על זה בכל מחיר. לנו זה היה חשוב כדי להפסיק עם iFrame וכדי לאשר סופית שימוש ב-API לסליקת אשראי עבור לקוחותינו שממשים אותנו בתוך אפליקציות ופיתוחים שלהם וכדי לבצע שמירות אשראי ושימוש נוח יותר במערכות הבילינג שלנו, במיוחד בניהול הוראות הקבע.

תעברו על התקן, ללא קשר להסמכה

גם אם לא צריכים PCI, אני ממליץ לעבור על התקן, לקרוא אותו טוב טוב ולבנות את התשתית של הסטארט-אפ שלכם בצורה שתתאים ל PCI במידה ותצטרכו לעבור הסמכת PCI בעתיד. זה הרבה יותר קל לבנות תשתית מחולקת ומופרדת לאפליקציה שלכם ואז להקים על התשתית הזו את האפליקציה, מאשר לקחת אפליקציה פעילה עם לקוחות (במקרה שלנו כבר היו מעל 30,000 פעילים כשהתחלנו) ולהתאים אותה למה שדורש התקן.

התקן מצוין, והוא מעולה כמתווה הנחיות לכל מי שמחזיק שרתים, ויש לו פיתוח שהולך להחזיק במידע רגיש. אגב – כל מידע רגיש, ולא רק כרטיסי אשראי. דעתי בתור מי שיש לו כרטיס אשראי ויש לו חברה, היא שאם נגנב לי כרטיס האשראי זה הרבה פחות נורא מאשר אם נגנבת לי רשימת הלקוחות של החברה (אבל זו רק דעתי האישית).

תכינו לפחות שלושה חודשים

זה לא משנה כמה אתם מהירים זה ייקח לפחות שלושה חודשים לעסק קיים כי מדובר על חיתוך בבשר חי של מערכות חיות, שינוי תהליכים ונגיעה בהרבה מקומות בקוד שלכם. זה לא פשוט, ומי שיוכל לעשות את זה בפועל זה בדרך כלל בנאדם יחסית בכיר בארגון, וסביר להניח שהוא עסוק בעוד כמה דברים במקביל.

תנצלו את התהליך לסגור כמה שיותר פינות

כל פתיחת תיבת פנדורה כזו היא הזדמנות נהדרת לטפל בעוד נקודות שהציקו אבל לא היו מספיק חשובות כדי להצדיק את הזמן בפני עצמן.

אז שוב – תודה ל-COMSEC על שירות יוצא מן הכלל, זמינות מעולה, גמישות ויחסי אנוש מעולים ונתראה בשנה הבאה בחידוש ההסמכה.

 

שלכם, מני מילשטיין, מנכ"ל ומייסד iCount

Comments

comments