משלוח והחזרות

יש לנו מדיניות החזרה של 15 יום, כלומר יש לך 15 ימים לאחר הזמנת הפריט שלך לבקש החזרה.

 

כדי להיות זכאי להחזרה, הפריט שלך חייב להיות באותו מצב שבו קיבלת אותו, ללא שימוש או לא בשימוש, עם תגים, ובאריזתו המקורית. תצטרך גם את הקבלה או הוכחת הרכישה.

 

להתחלת החזרה, ניתן ליצור איתנו קשר בכתובת contact@yllw.yoga. אם ההחזרה שלך תתקבל, נשלח לך תווית משלוח חזרה, כמו גם הנחיות כיצד ולאן לשלוח את החבילה שלך. לא יתקבלו פריטים שנשלחו אלינו בחזרה ללא בקשת החזרה תחילה.

 

אתה תמיד יכול לפנות אלינו לכל שאלת החזרה בכתובת contact@yllw.yoga.

 

 

 

נזקים ובעיות

אנא בדוק את ההזמנה שלך עם קבלת הפנים ופנה אלינו מיד אם הפריט פגום, פגום או אם קיבלת את הפריט הלא נכון, כדי שנוכל להעריך את הבעיה ולתקן אותה.

 

 

 

חריגים / פריטים שאינם ניתנים להחזרה

לא ניתן להחזיר סוגים מסוימים של פריטים, כמו מוצרים מתכלים (כגון מזון, פרחים או צמחים), מוצרים מותאמים אישית (כגון הזמנות מיוחדות או פריטים מותאמים אישית), ומוצרי טיפוח אישי (כגון מוצרי יופי). אנחנו גם לא מקבלים החזרות עבור חומרים מסוכנים, נוזלים דליקים או גזים. אנא צור קשר אם יש לך שאלות או חששות לגבי הפריט הספציפי שלך.

 

למרבה הצער, איננו יכולים לקבל החזרות על פריטי מבצע או כרטיסי מתנה.

 

 

 

החלפות

הדרך המהירה ביותר להבטיח שתקבל את מה שאתה רוצה היא להחזיר את הפריט שברשותך, ולאחר קבלת ההחזרה, בצע רכישה נפרדת עבור הפריט החדש.

 

 

החזרים

אנו נודיע לך לאחר שנקבל ונבדוק את ההחזר שלך, ונודיע לך אם ההחזר אושר או לא. אם תאושר, תקבל החזר אוטומטי באמצעי התשלום המקורי שלך. אנא זכור שיכול לקחת זמן מה עד שהבנק או חברת האשראי שלך יעבדו ויפרסמו גם את ההחזר.

 

משלוח חזרה ישולם על חשבון הלקוח ויידרש להסדיר את המשלוח בעצמם. לאחר שהחזרות יתקבלו ויתקבלו, ההחזרים יעובדו לאחסון אשראי לרכישה עתידית. אנו נודיע לך לאחר השלמת פעולה זו באמצעות דואר אלקטרוני.

 

(YLLW.yoga) תחזיר את ערך הסחורה שהוחזרה אך לא תחזיר את הערך של כל משלוח ששולם.

 

 

מדיניות אבטחת מידע

 

 

YLLW.yoga מטפל במידע רגיש של בעל הכרטיס מדי יום.  למידע רגיש חייב להיות אמצעי הגנה נאותים כדי להגן על נתוני בעל הכרטיס, על פרטיות בעל הכרטיס, ולהבטיח עמידה בתקנות שונות, יחד עם שמירה על עתיד הארגון.

 

YLLW.yoga מתחייבת לכבד את הפרטיות של כל לקוחותיה ולהגן על כל נתוני הלקוח מפני גורמים חיצוניים.  לשם כך, ההנהלה מחויבת לשמור על סביבה מאובטחת שבה ניתן לעבד את פרטי בעל הכרטיס כדי שנוכל לעמוד בהבטחות אלו.

 

עובדים המטפלים בנתונים רגישים של בעל כרטיס צריכים לוודא:

 

 

 

לטפל בפרטי החברה ובעל הכרטיס באופן המתאים לרגישותם ולסיווגם;

 

הגבל את השימוש האישי במערכות המידע והטלקומוניקציה YLLW.yoga ולהבטיח שזה לא יפריע לביצועי העבודה שלך;

 

YLLW.yoga שומרת לעצמה את הזכות לנטר, לגשת, לסקור, לבקר, להעתיק, לאחסן או למחוק כל תקשורת אלקטרונית, ציוד, מערכות ותעבורת רשת לכל מטרה;

 

אין להשתמש בדואר אלקטרוני, באינטרנט ובמשאבים אחרים של החברה כדי לעסוק בכל פעולה שהיא פוגענית, מאיימת, מפלה, לשון הרע, לשון הרע, פורנוגרפית, מגונה, מטרידה או בלתי חוקית;

 

אין לחשוף מידע על כוח אדם אלא אם כן מורשה;

 

הגן על מידע רגיש של בעל הכרטיס;

 

שמור על אבטחת סיסמאות וחשבונות;

 

בקש אישור מההנהלה לפני הקמת כל תוכנה או חומרה חדשה, חיבורי צד שלישי וכו';

 

אל תתקין תוכנה או חומרה לא מורשים, לרבות מודמים וגישה אלחוטית, אלא אם כן יש לך אישור מפורש של ההנהלה;

 

השאר תמיד שולחנות כתיבה נקיים מנתוני בעל כרטיס רגישים ונעל מסכי מחשב ללא השגחה;

 

אירועי אבטחת מידע יש לדווח, ללא דיחוי, לאדם האחראי לתגובה לאירועים באופן מקומי - נא לברר מי זה.

 

לכל אחד מאיתנו יש אחריות להבטיח שהמערכות והנתונים של החברה שלנו מוגנים מפני גישה לא מורשית ושימוש לא תקין.  אם אינך ברור לגבי אחת מהמדיניות המפורטת כאן, עליך לפנות לייעוץ והכוונה מהמנהל הקו שלך.

 

 

1.    אבטחת רשת

 

 

דיאגרמת רשת ברמה גבוהה של הרשת נשמרת ונבדקת על בסיס שנתי.  דיאגרמת הרשת מספקת סקירה ברמה גבוהה של סביבת הנתונים של בעל הכרטיס (CDE), אשר לכל הפחות מציגה את החיבורים ב-CDE ומחוצה לו.  יש להמחיש גם רכיבי מערכת קריטיים בתוך ה-CDE, כגון התקני קופה, מסדי נתונים, שרתי אינטרנט וכו', וכל רכיבי תשלום נחוצים אחרים, לפי העניין.

 

 

 

בנוסף, ASV צריך להתבצע ולהשלים על ידי ספק סריקה מאושר PCI SSC, במידת הצורך.  יש לשמור עדויות לסריקות אלו לתקופה של 18 חודשים.

 

 

 

2.    מדיניות שימוש מקובל

 

 

כוונות ההנהלה לפרסום מדיניות שימוש מקובל אינן להטיל הגבלות המנוגדות לתרבות המבוססת של YLLW.yoga של פתיחות, אמון ויושרה. ההנהלה מחויבת להגן על העובדים, השותפים ו-YLLW.yoga מפני פעולות בלתי חוקיות או מזיקות, בין ביודעין ובין שלא ביודעין על ידי יחידים. YLLW.yoga תקיים רשימה מאושרת של טכנולוגיות והתקנים ואנשי צוות עם גישה למכשירים כאלה כמפורט בנספח ב'.

 

 

העובדים אחראים להפעיל שיקול דעת טוב לגבי סבירות השימוש האישי.

 

עובדים צריכים לנקוט בכל הצעדים הדרושים כדי למנוע גישה בלתי מורשית לנתונים סודיים הכוללים נתוני בעל כרטיס.

 

שמור על אבטחת סיסמאות ואל תשתף חשבונות. משתמשים מורשים אחראים לאבטחת הסיסמאות והחשבונות שלהם.

 

כל המחשבים, המחשבים הניידים ותחנות העבודה צריכים להיות מאובטחים בשומר מסך מוגן בסיסמה עם תכונת ההפעלה האוטומטית.

 

כל מכשירי הזנת ה-POS וה-PIN צריכים להיות מוגנים ומאובטחים כראוי, כך שלא ניתן לחבל או לשנות אותם.

 

רשימת ההתקנים בנספח ב' תתעדכן באופן שוטף כאשר התקנים ישתנו, הוסיפו או יושבתו. עריכת מלאי של מכשירים תתבצע באופן שוטף והמכשירים ייבדקו כדי לזהות כל שיבוש פוטנציאלי או החלפה של מכשירים. 

 

יש להכשיר את המשתמשים ביכולת לזהות כל התנהגות חשודה שבה עלולים להתבצע חבלה או החלפה. כל התנהגות חשודה תדווח בהתאם.

 

מידע הכלול במחשבים ניידים פגיע במיוחד, יש לנקוט בזהירות מיוחדת.

 

פרסומים של עובדים מכתובת דוא"ל של החברה לקבוצות דיון צריכים להכיל כתב ויתור הקובע שהדעות המובעות הן אך ורק שלהם ולא בהכרח אלה של YLLW.yoga, אלא אם כן הפרסום הוא במסגרת תפקידם העסקי.

 

עובדים חייבים לנקוט בזהירות יתרה בעת פתיחת קבצים מצורפים לדואר אלקטרוני שהתקבלו משולחים לא ידועים, אשר עשויים להכיל וירוסים, פצצות דואר אלקטרוני או קוד של סוס טרויאני.

 

3.    הגן על נתונים מאוחסנים 

 

 

כל נתוני בעל הכרטיס הרגישים המאוחסנים ומטופלים על ידי YLLW.yoga ועובדיה חייבים להיות מוגנים בצורה מאובטחת מפני שימוש לא מורשה בכל עת. כל נתוני כרטיס רגישים שאינם נדרשים עוד על ידי YLLW.yoga מסיבות עסקיות, יש להשליך בצורה מאובטחת ובלתי ניתנת לשחזור.

 

אם אין צורך ספציפי לראות את ה-PAN המלא (מספר חשבון קבוע), יש להסוות אותו בעת הצגתו.

 

אין לשלוח PAN's שאינם מוגנים כפי שצוין לעיל לרשת החיצונית באמצעות טכנולוגיות העברת הודעות של משתמשי קצה כמו צ'אטים, ICQ Messenger וכו',

 

 

 

חל איסור מוחלט לאחסן:

 

תוכן הפס המגנטי של כרטיס התשלום (נתוני מסלול) בכל מדיה שהיא.

 

ה- CVV/CVC (המספר בן 3 או 4 ספרות בלוח החתימה בצד האחורי של כרטיס התשלום) בכל מדיה שהיא.

 

ה-PIN או חסימת ה-PIN המוצפנת בכל נסיבות.

 

 

4.    סיווג מידע

 

 

נתונים ומדיה המכילים נתונים חייבים תמיד להיות מסומנים כדי לציין את רמת הרגישות.

 

 

 

נתונים חסויים עשויים לכלול נכסי מידע שעבורם קיימות דרישות משפטיות למניעת חשיפה או קנסות כספיים לחשיפה, או נתונים שיגרמו נזק חמור ל-YLLW.yoga אם ייחשפו או ישונו. נתונים חסויים כוללים נתוני בעל כרטיס.

 

נתוני שימוש פנימי עשויים לכלול מידע שלדעת בעל הנתונים צריך להיות מוגן כדי למנוע חשיפה לא מורשית.

 

נתונים ציבוריים הם מידע שניתן להפיץ באופן חופשי.

 

 

 

5.    גישה לנתונים הרגישים של בעל הכרטיס

 

 

כל גישה לבעל כרטיס רגיש צריכה להיות מבוקרת ומאושרת. יש להגדיר בבירור כל פונקציית עבודה הדורשת גישה לנתוני בעל הכרטיס.

 

כל תצוגה של בעל הכרטיס צריכה להיות מוגבלת לכל הפחות ל-6 ו-4 הספרות האחרונות של נתוני בעל הכרטיס.

 

גישה למידע רגיש של בעל כרטיס כמו PAN, מידע אישי ונתונים עסקיים מוגבלת לעובדים שיש להם צורך לגיטימי לצפות במידע כזה.

 

לא תהיה לעובדים אחרים גישה לנתונים סודיים אלה אלא אם כן יש להם צורך עסקי אמיתי.

 

אם נתוני בעל הכרטיס משותפים עם ספק שירות (צד שלישי) אזי תישמר רשימה של ספקי שירות כאלה כמפורט בנספח ג'.

 

YLLW.yoga תבטיח הסכם כתוב הכולל אישור לכך שספק השירות יהיה אחראי לנתוני בעל הכרטיס שברשותו של ספק השירות.

 

YLLW.yoga תבטיח שקיים תהליך מבוסס, כולל בדיקת נאותות נאותה, לפני התקשרות עם ספק שירות.

 

ל-YLLW.yoga יהיה תהליך לניטור סטטוס תאימות PCI DSS של ספק השירות.

 

 

6.    אבטחה פיזית 

 

 

יש להגביל פיזית גישה למידע רגיש בפורמט מדיה קשיח ורכה כדי למנוע מאנשים לא מורשים להשיג נתונים רגישים.

 

 

 

מדיה מוגדרת ככל נייר מודפס או בכתב יד, פקסים שהתקבלו, תקליטונים, קלטות גיבוי, כונן קשיח של מחשב וכו'.

 

מדיה המכילה מידע רגיש של בעל הכרטיס חייבת להיות מטופלת ומופצת בצורה מאובטחת על ידי אנשים מהימנים.

 

מבקרים חייבים תמיד להיות בליווי עובד מהימן כאשר הם נמצאים באזורים שבהם יש מידע רגיש של בעל הכרטיס.

 

נהלים חייבים להיות במקום כדי לעזור לכל הצוות להבחין בקלות בין עובדים ומבקרים, במיוחד באזורים שבהם נתוני בעל הכרטיס נגישים. "עובד" מתייחס לעובדים במשרה מלאה וחלקית, עובדים זמניים וכוח אדם, ויועצים "תושבי" בחברה. "מבקר" מוגדר כספק, אורח של עובד, אנשי שירות או כל מי שצריך להיכנס פיזית למתחם למשך זמן קצר, בדרך כלל לא יותר מיום אחד.

 

יש לשמור רשימה של מכשירים שמקבלים נתוני כרטיסי תשלום.

 

הרשימה צריכה לכלול את המותג, הדגם והמיקום של המכשיר.

 

הרשימה צריכה לכלול את המספר הסידורי או מזהה ייחודי של המכשיר

 

יש לעדכן את הרשימה בעת הוספה, הסרה או העברה של מכשירים

 

משטחי התקני קופה נבדקים מעת לעת כדי לזהות שיבוש או החלפה.

 

הצוות המשתמש במכשירים צריך להיות מיומן ומודע לטיפול במכשירי הקופה

 

על הצוות המשתמש במכשירים לאמת את זהותם של ואנשי צד שלישי הטוענים לתקן או להפעיל משימות תחזוקה במכשירים, להתקין מכשירים חדשים או להחליף מכשירים.

 

יש להכשיר את כוח האדם המשתמש במכשירים לדווח לצוות המתאים על התנהגות חשודה ועל אינדיקציות להתעסקות במכשירים. YLLW.yoga "מבקר" מוגדר כספק, אורח של עובד, צוות שירות או כל מי שצריך להיכנס למתחם לזמן קצר, בדרך כלל לא יותר מיום אחד.

 

שליטה קפדנית נשמרת על ההפצה החיצונית או הפנימית של כל מדיה המכילה נתוני מחזיק הכרטיס וצריכה להיות מאושרת על ידי ההנהלה

 

נשמרת בקרה קפדנית על האחסון והנגישות של המדיה

 

כל מחשב המאחסן נתונים רגישים של בעל הכרטיס חייב להיות מופעל שומר מסך מוגן בסיסמה כדי למנוע שימוש בלתי מורשה.

 

 

 

7.    הגן על נתונים במעבר 

 

 

כל נתוני בעל הכרטיס הרגישים חייבים להיות מוגנים בצורה מאובטחת כדי להעביר אותם פיזית או אלקטרונית.

 

 

 

אין לשלוח נתוני בעל כרטיס (PAN, נתוני מסלול וכו') דרך האינטרנט באמצעות דואר אלקטרוני, צ'אט מיידי או כל טכנולוגיות משתמש קצה אחרות.

 

אם יש הצדקה עסקית לשלוח נתונים של בעל הכרטיס בדוא"ל או בכל מצב אחר, יש לעשות זאת לאחר אישור ובאמצעות מנגנון הצפנה חזק (כלומר - הצפנת AES, הצפנת PGP, IPSEC וכו').

 

הובלת מדיה המכילה נתונים רגישים של בעל הכרטיס למקום אחר חייבת להיות מאושרת על ידי ההנהלה, לרשום ולבצע מלאי לפני היציאה מהמקום. ניתן להשתמש רק בשירותי שליחים מאובטחים להובלת מדיה כזו. יש לעקוב אחר מצב המשלוח עד מסירתו למיקומו החדש.

 

8.    סילוק נתונים מאוחסנים

 

 

כל הנתונים חייבים להיפטר בצורה מאובטחת כאשר אינם נדרשים עוד על ידי YLLW.yoga, ללא קשר לאמצעי המדיה או האפליקציה שבהם הם מאוחסנים.

 

תהליך אוטומטי חייב להתקיים כדי למחוק לצמיתות נתונים מקוונים, כאשר לא נדרש עוד.

 

יש להשמיד ידנית את כל העותקים המודפסים של נתוני בעל הכרטיס כאשר אינם נדרשים עוד מסיבות עסקיות תקפות ומוצדקות. יש לבצע תהליך רבעוני כדי לאשר שכל נתוני בעל הכרטיס הלא אלקטרוני נפטרו כראוי בזמן.

 

ל-YLLW.yoga יהיו נהלים להשמדת חומרים מודפסים (נייר). אלה ידרשו שכל חומרי העותקים המודפסים יהיו מגוררים, ישרפו או ייצרבו עיסת כך שלא ניתן לשחזר אותם.

 

ל-YLLW.yoga יהיו נהלים מתועדים להשמדת מדיה אלקטרונית. אלה ידרשו:

 

כל נתוני בעל הכרטיס במדיה אלקטרונית חייבים להיות בלתי ניתנים לשחזור כאשר נמחקים, למשל. באמצעות הסרה או מחיקה אלקטרונית באמצעות תהליכי מחיקה מאובטחים בדרגה צבאית או הרס פיזי של אמצעי התקשורת;

 

אם נעשה שימוש בתוכניות מחיקה מאובטחת, התהליך חייב להגדיר את התקנים המקובלים בתעשייה לפיהם למחיקה מאובטחת.

 

כל המידע של בעל הכרטיס הממתין להשמדה חייב להישמר במיכלי אחסון הניתנים לנעילה המסומנים בבירור "לגרוס" - יש להגביל את הגישה למכולות אלו.

 

9.    מודעות ונהלים לאבטחה 

 

 

יש לשלב את המדיניות והנהלים המפורטים להלן בפרקטיקה של החברה כדי לשמור על רמה גבוהה של מודעות לאבטחה. ההגנה על נתונים רגישים מחייבת הכשרה שוטפת של כל העובדים והקבלנים.

 

 

 

סקור את נהלי הטיפול במידע רגיש וערוך פגישות מודעות אבטחה תקופתיות כדי לשלב נהלים אלו בפרקטיקה היומיומית של החברה.

 

הפיץ את מסמך מדיניות האבטחה הזה לכל עובדי החברה לקריאה. נדרש שכל העובדים לאשר שהם מבינים את תוכנו של מסמך מדיניות אבטחה זה על ידי חתימה על טופס אישור (ראה נספח א').

 

כל העובדים המטפלים במידע רגיש יעברו בדיקות רקע (כגון בדיקות רישום פלילי ואשראי, במגבלות החוק המקומי) לפני תחילת עבודתם ב-YLLW.yoga.

 

כל הצדדים השלישיים בעלי גישה למספרי חשבונות כרטיסי אשראי מחויבים חוזית לעמוד בתקני האבטחה של איגוד הכרטיסים (PCI/DSS).

 

מדיניות האבטחה של החברה חייבת להיבדק מדי שנה ולעדכן לפי הצורך.

 

10. תוכנית תגובה לאירועי אבטחה בכרטיס אשראי (PCI).

 

 

YLLW.yoga צוות תגובה לאירועי אבטחה PCI (צוות תגובת PCI) מורכב מקצין אבטחת המידע ושירותי הסוחר. תוכנית התגובה לאירועי אבטחה של YLLW.yoga PCI היא כדלקמן:

 

 

 

כל מחלקה חייבת לדווח על תקרית לקצין אבטחת המידע (רצוי) או לחבר אחר בצוות התגובה של PCI.

 

אותו חבר בצוות שיקבל את הדוח יודיע לצוות התגובה של PCI על התקרית.

 

צוות התגובה של PCI יחקור את האירוע ויסייע למחלקה שעלולה להיפגע בהגבלת החשיפה של נתוני בעל הכרטיס ובהפחתת הסיכונים הקשורים לאירוע.

 

צוות התגובה של PCI יפתור את הבעיה לשביעות רצונם של כל הצדדים המעורבים, לרבות דיווח על האירוע והממצאים לגורמים המתאימים (איגודי כרטיסי אשראי, מעבדי כרטיסי אשראי וכו') לפי הצורך.

 

צוות התגובה של PCI יקבע אם יש לעדכן את המדיניות והתהליכים כדי למנוע אירוע דומה בעתיד, והאם נדרשים אמצעי הגנה נוספים בסביבה שבה התרחש האירוע, או עבור המוסד.

 

 

 

 נהלי תגובה לאירועי PCI אבטחת מידע:

 

 

 

מחלקה שסבורה שהיא עשויה להפר את החשבון, או הפרה של מידע בעל הכרטיס או של מערכות הקשורות לסביבת PCI באופן כללי, חייבת ליידע את YLLW.yoga PCI Incident Response Team. לאחר קבלת הודעה על פשרה, צוות התגובה של PCI, יחד עם צוות ייעודי אחר, יישם את תוכנית התגובה לאירועים של PCI כדי לסייע ולהגדיל את תוכניות התגובה של המחלקות.

 

בתגובה להתפשרות מערכות, צוות התגובה של PCI והמתכננים:

 

 

 

ודא שמערכת/ים שנפרצו מבודדים ברשת/מהרשת.

 

אסוף, סקור ונתח את היומנים והמידע הקשור מאמצעי הגנה ובקרות אבטחה מרכזיות ומקומיות שונות

 

ביצוע ניתוח משפטי מתאים של מערכת שנפגעה.

 

צור קשר עם מחלקות וגופים פנימיים וחיצוניים לפי הצורך.

 

הפוך ניתוח פורנזי ויומן זמין לאנשי אכיפת החוק המתאימים או אנשי אבטחת תעשיית הכרטיסים, לפי הצורך.

 

סיוע לאנשי אכיפת החוק ותעשיית הקלפים בהליכי חקירה, לרבות בתביעות.

 

 

 

לחברות כרטיסי האשראי יש דרישות ספציפיות בנפרד שצוות התגובה חייב לטפל בהן בדיווח על הפרות חשדות או מאושרות של נתוני בעל הכרטיס. ראה להלן דרישות אלה.

 

 

 

הודעות תגובה לאירועים לתוכניות כרטיסים שונות 

 

 

 

במקרה של חשד לפריצת אבטחה, התריע מיד לקצין אבטחת המידע או למנהל הקו שלך.

 

קצין הביטחון יבצע חקירה ראשונית של החשד לפריצת אבטחה.

 

לאחר אישור שהתרחשה פרצת אבטחה, קצין האבטחה יתריע בפני ההנהלה ויתחיל ליידע את כל הצדדים הרלוונטיים שעלולים להיות מושפעים מהפשרה.

 

 

 

 שלבי ויזה

 

 

 

אם הפגיעה באבטחת הנתונים כוללת מספרי חשבונות כרטיסי אשראי, יש ליישם את ההליך הבא:

 

 

 

השבת את כל המערכות או התהליכים המעורבים בהפרה כדי להגביל את המידה ולמנוע חשיפה נוספת.

 

התריע בפני כל הצדדים והרשויות המושפעות כמו בנק הסוחרים (הבנק שלך), בקרת הונאה של ויזה ורשויות אכיפת החוק.

 

ספק פרטים של כל מספרי הכרטיסים שנפגעו או שעלולים להיפגע ל-Visa Fraud Control בתוך 24 שעות.

 

למידע נוסף בקר בכתובת: http://usa.visa.com/business/accepting_visa/ops_risk_management/cisp_if_ compromised.html

 

תבנית דוח אירועי ויזה

 

 

 

יש לספק דוח זה ל-VISA תוך 14 ימים לאחר הדיווח הראשוני על תקרית ל-VISA. יש להקפיד על התוכן והסטנדרטים של הדוח הבאים בעת השלמת דוח האירוע. דוח אירוע חייב להיות מופץ בצורה מאובטחת ל-VISA ול-Merchant Bank. ויזה תסווג את הדיווח כ"סוד ויזה"*.

 

תקציר מנהלים

 

 

 

כלול סקירה כללית של האירוע

 

כלול רמת סיכון (גבוה, בינוני, נמוך)

 

קבע אם הושגה פשרה

 

רֶקַע

 

ניתוח ראשוני

 

הליכי חקירה

 

 

 

כלול כלים פורנזיים המשמשים במהלך החקירה

 

ממצאים

 

מספר החשבונות בסיכון, זהה את החנויות הללו ונפגעו

 

 

 

סוג פרטי החשבון בסיכון

 

זהה את כל המערכות שנותחו. כלול את הדברים הבאים:

 

 

 

שמות של מערכת שמות מתחם (DNS).

 

 

 

כתובות פרוטוקול אינטרנט (IP).

 

 

 

גרסת מערכת הפעלה (OS).

 

 

 

הפונקציה של מערכות

 

 

 

זהה את כל המערכות שנפרצו. כלול את הדברים הבאים:

 

 

 

שמות DNS

 

 

 

כתובות IP

 

 

 

גרסת מערכת ההפעלה

 

 

 

הפונקציה של מערכות

 

מסגרת זמן של פשרה

 

 

 

כל נתונים המיוצאים על ידי פורץ

 

קבע כיצד ומקור הפשרה

 

בדוק את כל מיקומי מסד הנתונים הפוטנציאליים כדי לוודא שלא מאוחסנים נתונים של CVV2, Track 1 או Track 2 בשום מקום, בין אם מוצפנים או לא מוצפנים (למשל, טבלאות או מסדי נתונים כפולות או גיבוי, מסדי נתונים המשמשים בסביבות פיתוח, שלב או בדיקה, נתונים על מהנדסי תוכנה מכונות וכו')

 

אם רלוונטי, בדוק את אבטחת נקודות הקצה של VisaNet וקבע את הסיכון

 

פעולת ישות בסיכון

 

המלצות

 

 

 

אנשי קשר בגוף ומעריך בטחוני המבצעים חקירה

 

*סיווג זה חל על המידע העסקי הרגיש ביותר, המיועד לשימוש בתוך VISA. חשיפה בלתי מורשית שלה עלולה להשפיע בצורה רצינית ולרעה על VISA, עובדיה, הבנקים החברים, השותפים העסקיים ו/או המותג.

 

 

 

שלבי מאסטרקארד:

 

 

 

תוך 24 שעות מאירוע של פגיעה בחשבון, הודע לצוות החשבון שנפגע מ-MasterCard בטלפון בטלפון 1-636-722-4100.

 

ספק הצהרת עובדה מפורטת בכתב על פגיעה בחשבון (כולל הנסיבות התורמות) באמצעות דואר אלקטרוני מאובטח לכתובת  compromised_account_team@mastercard.com.

 

 

 

ספק למחלקת בקרת הונאה של סוחרי MasterCard רשימה מלאה של כל מספרי החשבונות הידועים שנפגעו.

 

תוך 72 שעות מהידע על חשד לפגיעה בחשבון, התקשר לשירותיה של חברת אבטחת נתונים המקובלת על מאסטרקארד כדי להעריך את הפגיעות של הנתונים שנפגעו ומערכות קשורות (כגון הערכה פורנזית מפורטת).

 

 

 

ספק דוחות סטטוס כתובים שבועיים למסטרקארד, תוך התייחסות לשאלות פתוחות ונושאים עד להשלמת הביקורת לשביעות רצונה של מאסטרקארד.

 

ספק מייד רשימות מעודכנות של מספרי חשבונות פוטנציאליים או ידועים שנפרצו, תיעוד נוסף ומידע אחר שמאסטרקארד עשויה לבקש.

 

 

 

לספק ממצאים של כל הביקורות והחקירות למחלקת בקרת הונאה בסוחרים של MasterCard במסגרת הזמן הנדרשת ולהמשיך לטפל בכל חשיפה או המלצה יוצאת דופן עד לפתרון לשביעות רצונה של MasterCard.

 

ברגע ש-MasterCard תקבל את פרטי הפגיעה בנתוני החשבון ואת רשימת מספרי החשבונות שנפרצו, מאסטרקארד תבצע:

 

 

 

זהה את המנפיקים של החשבונות שעל פי החשד נפגעו וקבץ את כל החשבונות הידועים תחת מזהי החברים המתאימים.

 

 

 

הפיצו את נתוני מספר החשבון למנפיקים בהתאמה.

 

 

 

עובדי YLLW.yoga יצפו לדווח לקצין האבטחה בכל נושא הקשור לאבטחה. תפקידו של קצין האבטחה הוא להעביר ביעילות את כל מדיניות ונהלי האבטחה לעובדים בתוך YLLW.yoga וקבלנים. בנוסף לכך, קצין האבטחה יפקח על תזמון אימוני האבטחה, יפקח ואכיפה את מדיניות האבטחה המפורטת הן במסמך זה והן בפגישות ההדרכה ולבסוף, יפקח על השתלת תוכנית התגובה לאירוע במקרה של רגישות פגיעה בנתונים.

 

 

 

 

 

גלה את שלבי הכרטיס

 

 

 

בתוך 24 שעות מאירוע של פגיעה בחשבון, הודע ל-Discover Fraud Prevention בטלפון (800) 347-3102

 

הכן הצהרת עובדה מפורטת בכתב על פשרה בחשבון כולל הנסיבות התורמות

 

הכן רשימה של כל מספרי החשבונות הידועים שנפרצו

 

 

 

קבל דרישות ספציפיות נוספות מ-Discover Card

 

 

 

 

 

אמריקן אקספרס סטפס

 

 

 

בתוך 24 שעות מאירוע של פגיעה בחשבון, הודע לשירותי סוחר אמריקן אקספרס בטלפון (800) 528-5200 בארה"ב.

 

הכן הצהרת עובדה מפורטת בכתב על פשרה בחשבון כולל הנסיבות התורמות

 

הכן רשימה של כל מספרי החשבונות הידועים שנפרצו קבל דרישות ספציפיות נוספות מאת אמריקן אקספרס

 

11.                  מדיניות העברת מידע רגיש

 

 

כל חברות צד שלישי המספקות שירותים קריטיים ל-YLLW.yoga חייבות לספק הסכם רמת שירות מוסכם.

 

כל חברות הצד השלישי המספקות מתקני אירוח חייבות לציית למדיניות האבטחה והבקרת הגישה הפיזית של YLLW.yoga.

 

כל חברות צד שלישי שיש להן גישה למידע על בעל הכרטיס חייבות

 

היצמד לדרישות האבטחה של PCI DSS.

 

הכירו באחריותם לאבטחת נתוני בעל הכרטיס.

 

יש להכיר בעובדה שיש להשתמש בנתוני בעל הכרטיס רק לצורך סיוע בהשלמת עסקה, תמיכה בתוכנית נאמנות, מתן שירות בקרת הונאה או לשימושים הנדרשים באופן ספציפי על פי חוק.

 

יש להקפיד על הוראות מתאימות להמשכיות עסקית במקרה של הפרעה גדולה, אסון או כשל.

 

ספק שיתוף פעולה מלא וגישה לביצוע סקירת אבטחה יסודית לאחר פריצת אבטחה על ידי נציג תעשיית כרטיסי התשלום, או צד שלישי שאושר על ידי תעשיית כרטיסי התשלום.

 

12.                  ניהול גישת משתמשים

 

 

הגישה לחברה נשלטת באמצעות תהליך רישום משתמש רשמי המתחיל בהודעה רשמית מ-HR או ממנהל קו.

 

כל משתמש מזוהה באמצעות מזהה משתמש ייחודי, כך שניתן לקשר את המשתמשים ולעשות אחריות על פעולותיהם. השימוש בתעודות זהות קבוצתיות מותר רק כאשר הם מתאימים לעבודה שבוצעה.

 

יש רמת גישה סטנדרטית; ניתן לגשת לשירותים אחרים כשהם מאושרים במיוחד על ידי הנהלת משאבי אנוש/קו.

 

פונקציית התפקיד של המשתמש מחליטה את רמת הגישה שיש לעובד לנתוני בעל הכרטיס

 

בקשה לשירות צריכה להיעשות בכתב (אימייל או עותק מודפס) על ידי מנהל הקו של העולה החדש או על ידי משאבי אנוש. הבקשה היא בפורמט חופשי, אך יש לציין:

 

 

 

שם האדם המגיש בקשה;

 

שם התפקיד של המצטרפים החדשים וקבוצת העבודה;

 

תאריך התחלה;

 

שירותים נדרשים (שירותי ברירת המחדל הם: MS Outlook, MS Office וגישה לאינטרנט).

 

 

 

כל משתמש יקבל עותק של טופס המשתמש החדש שלו כדי לספק הצהרה בכתב על זכויות הגישה שלו, חתום על ידי נציג IT לאחר הליך החניכה שלו. המשתמש חותם על הטופס המציין שהוא מבין את תנאי הגישה.

 

הגישה לכל מערכות YLLW.yoga מסופקת על ידי IT וניתן להתחיל אותה רק לאחר השלמת הליכים מתאימים.

 

 

 

ברגע שאדם עוזב את עבודתו של YLLW.yoga, יש לבטל מיד את כל כניסותיו למערכת.

 

כחלק מתהליך סיום עובדים HR (או מנהלי קו במקרה של קבלנים) יודיעו לתפעול ה-IT על כל העוזבים ומועד עזיבתם.

 

13.                  מדיניות בקרת גישה

 

 

מערכות בקרת גישה קיימות כדי להגן על האינטרסים של כל המשתמשים במערכות המחשב YLLW.yoga על ידי מתן סביבה בטוחה, מאובטחת ונגישה לעבודה בה.

 

YLLW.yoga תספק לכל העובדים ושאר המשתמשים את המידע הנחוץ להם על מנת לבצע את אחריותם בצורה יעילה ויעילה ככל האפשר.

 

תעודות מזהות כלליות או קבוצתיות לא יורשו בדרך כלל, אך הן עשויות להיות מוענקות בנסיבות חריגות אם קיימות בקרות אחרות מספקות על גישה.

 

הקצאת זכויות הרשאות (למשל מנהל מקומי, מנהל דומיין, משתמש-על, גישת בסיס) תהיה מוגבלת ומבוקר, וההרשאה תינתן במשותף על ידי בעל המערכת ושירותי IT. צוותים טכניים ישמרו מפני מתן זכויות זכות לצוותים שלמים כדי למנוע אובדן סודיות.

 

זכויות גישה יוענקו בהתאם לעקרונות המינימום הזכויות והצורך לדעת.

 

כל משתמש צריך לנסות לשמור על אבטחת הנתונים ברמה המסווגת שלו גם אם מנגנוני אבטחה טכניים נכשלים או נעדרים.

 

משתמשים הבוחרים להציב מידע במדיה דיגיטלית או בהתקני אחסון או בניהול מסד נתונים נפרד חייבים לעשות זאת רק כאשר פעולה כזו תואמת את סיווג הנתונים.

 

המשתמשים מחויבים לדווח על מקרים של אי ציות ל-YLLW.yoga.

 

גישה למשאבי ושירותי IT של YLLW.yoga תינתן באמצעות אספקת חשבון Active Directory ייחודי וסיסמה מורכבת.

 

לא תינתן גישה למשאבים ולשירותי IT של YLLW.yoga ללא אימות והרשאה מראש של חשבון YLLW.yoga Windows Active Directory של משתמש.

 

הנפקת סיסמאות, דרישות חוזק, שינוי ובקרה ינוהלו באמצעות תהליכים פורמליים. אורך הסיסמה, המורכבות וזמני התפוגה ישלטו באמצעות אובייקטי מדיניות קבוצתית של Windows Active Directory.

 

הגישה למידע סודי, מוגבל ומוגן תהיה מוגבלת לאנשים מורשים שאחריות התפקיד שלהם מחייבת זאת, כפי שנקבע על ידי בעל הנתונים או נציגם המיועד. בקשות להענקת, שינוי או ביטול הרשאת גישה חייבות להיעשות בכתב.

 

המשתמשים צפויים להכיר ולציית למדיניות, תקנים והנחיות של YLLW.yoga לשימוש מתאים ומקובל ברשתות ובמערכות.

 

גישה למשתמשים מרוחקים תהיה כפופה לאישור משירותי IT ותינתן בהתאם למדיניות הגישה מרחוק ומדיניות אבטחת המידע. לא תותר גישה חיצונית בלתי מבוקרת לכל התקן רשת או מערכת רשת.

 

הגישה לנתונים נשלטת באופן שונה והולם בהתאם לרמות סיווג הנתונים המתוארות במדיניות ניהול אבטחת מידע.

 

שיטות בקרת גישה כוללות זכויות גישה לכניסה, הרשאות שיתוף ו-NTFS של Windows, הרשאות חשבון משתמש, זכויות גישה לשרת ותחנות עבודה, הרשאות חומת אש, זכויות אימות אינטראנט/אקסטרא-נט של IIS, זכויות מסד נתונים של SQL, רשתות מבודדות ושיטות אחרות לפי הצורך.

 

תהליך רשמי יתנהל במרווחי זמן קבועים על ידי בעלי מערכות ובעלי נתונים בשיתוף עם שירותי IT כדי לבדוק את זכויות הגישה של המשתמשים. הסקירה תירשם ושירותי IT יחתמו את הביקורת כדי לתת סמכות להמשך זכויות הגישה של המשתמשים.