ما هي متطلبات الأمان في PCI DSS

اقرأ في هذا المقال


متطلبات (PCI DSS) هي مجموعة من ضوابط الأمان التي يتعين على الشركات تنفيذها لحماية بيانات بطاقة الائتمان والامتثال لمعايير أمان بيانات صناعة بطاقات الدفع (PCI DSS).

متطلبات الامتثال لـ PCI DSS

استخدام وصيانة جدران الحماية

تمنع جدران الحماية بشكل أساسي وصول الكيانات غير المعروفة التي تحاول الوصول إلى البيانات الخاصة، غالبًا ما تكون أنظمة الوقاية هذه هي خط الدفاع الأول ضد المتسللين الخبيثين أو غيرهم، الجدران النارية مطلوبة لتوافق (PCI DSS) نظرًا لفعاليتها في منع الوصول غير المصرح به.

حماية كلمة المرور المناسبة

غالبًا ما تأتي أجهزة التوجيه وأجهزة المودم وأنظمة نقاط البيع ومنتجات الجهات الخارجية الأخرى بكلمات مرور عامة وإجراءات أمان يسهل على الجمهور الوصول إليها، في كثير من الأحيان، تفشل الشركات في تأمين هذه الثغرات الأمنية، كما يتضمن ضمان التوافق في هذا المجال الاحتفاظ بقائمة بجميع الأجهزة والبرامج التي تتطلب كلمة مرور أو أمان آخر للوصول، بالإضافة إلى جرد الجهاز وكلمة المرور، كمايجب أيضًا اتخاذ الاحتياطات الأساسية والتكوينات على سبيل المثال، تغيير كلمة المرور.

حماية بيانات حامل البطاقة

المطلب الثالث للامتثال لـ (PCI DSS) هو حماية ذات شقين لبيانات حامل البطاقة، حيث يجب تشفير بيانات البطاقة باستخدام خوارزميات معينة، كما يتم وضع هذه التشفيرات في مكانها باستخدام مفاتيح التشفير والتي يلزم أيضًا تشفيرها من أجل الامتثال، كما يلزم ايضا إجراء صيانة دورية ومسح ضوئي لأرقام الحسابات الأساسية (PAN) وهي شبكة حاسوب تستخدم لنقل البيانات لضمان عدم وجود بيانات غير مشفرة.

  • “PAN” اختصار ل”Personal Area Network”.

تشفير البيانات المرسلة

يتم إرسال بيانات حامل البطاقة عبر قنوات عادية متعددة، على سبيل المثال، معالجات الدفع والمكتب المنزلي من المتاجر المحلية وما إلى ذلك، حيث يجب تشفير هذه البيانات متى تم إرسالها إلى هذه المواقع المعروفة، كما يجب أيضًا عدم إرسال أرقام الحسابات إلى مواقع غير معروفة.

استخدام والحفاظ على مكافحة الفيروسات

يعد تثبيت برامج مكافحة الفيروسات ممارسة جيدة خارج توافق (PCI DSS)، ومع ذلك، فإن برنامج مكافحة الفيروسات مطلوب لجميع الأجهزة التي تتفاعل مع أو تخزن (PAN)، يجب تصحيح هذا البرنامج وتحديثه بانتظام ويجب أن يستخدم مزود نقاط البيع أيضًا إجراءات مكافحة الفيروسات حيث لا يمكن تثبيتها بشكل مباشر.

تحديث البرامج بشكل صحيح

ستتطلب جدران الحماية وبرامج مكافحة الفيروسات تحديثات في كثير من الأحيان، إنها فكرة جيدة أيضًا أن تقوم بتحديث كل جزء من البرامج في الأعمال التجارية، حيث ستتضمن معظم منتجات البرامج إجراءات أمنية، مثل التصحيحات لمعالجة الثغرات الأمنية المكتشفة مؤخرًا، في تحديثاتها، والتي تضيف مستوى آخر من الحماية، كما ان هذه التحديثات مطلوبة بشكل خاص لجميع البرامج الموجودة على الأجهزة التي تتفاعل مع بيانات حامل البطاقة أو تخزنها.

تقييد الوصول إلى البيانات

يجب أن تكون بيانات حامل البطاقة بحاجة إلى المعرفة بدقة، يجب ألا يحصل عليها جميع الموظفين والمديرين التنفيذيين والجهات الخارجية الذين لا يحتاجون إلى الوصول إلى هذه البيانات، كما يجب أن تكون الأدوار التي تحتاج إلى بيانات حساسة موثقة جيدًا ويتم تحديثها بانتظام كما هو مطلوب بواسطة (PCI DSS).

معرفات فريدة للوصول

يجب أن يكون لدى الأفراد الذين لديهم حق الوصول إلى بيانات حامل البطاقة بيانات اعتماد فردية وهوية للوصول إليها، على سبيل المثال، يجب ألا يكون هناك تسجيل دخول واحد للبيانات المشفرة مع العديد من الموظفين يعرفون اسم المستخدم وكلمة المرور، المعرفات الفريدة تخلق ضعف أقل ووقت استجابة أسرع في بيانات الحدث يتم اختراقها.

تقييد الوصول المادي

يجب الاحتفاظ بأي بيانات حامل البطاقة فعليًا في مكان آمن، حيث يجب تأمين كل من البيانات المكتوبة أو المكتوبة فعليًا والبيانات المحفوظة رقميًا، على سبيل المثال، على القرص الصلب في غرفة أو درج أو خزانة آمنة، كما لا يجب أن يكون الوصول محدودًا فحسب، ولكن في أي وقت يتم الوصول إلى البيانات الحساسة، يجب الاحتفاظ بها في سجل لتظل متوافقة.

إنشاء وصيانة سجلات الوصول

تتطلب جميع الأنشطة التي تتعامل مع بيانات حامل البطاقة وأرقام الحساب الأساسية (PAN) إدخال سجل، ربما تكون مشكلة عدم الامتثال الأكثر شيوعًا هي الافتقار إلى حفظ السجلات والتوثيق المناسبين عندما يتعلق الأمر بالوصول إلى البيانات الحساسة، كما يتطلب الامتثال توثيق كيفية تدفق البيانات إلى المؤسسة وعدد مرات الوصول المطلوبة، هناك حاجة أيضًا إلى منتجات البرامج لتسجيل الوصول لضمان الدقة.

فحص واختبار نقاط الضعف

تتضمن جميع معايير الامتثال العشرة السابقة العديد من منتجات البرامج والمواقع المادية ومن المحتمل أن يكون هناك عدد قليل من الموظفين، حيث ان هناك العديد من الأشياء التي يمكن أن تتعطل أو تصبح قديمة أو تعاني من خطأ بشري، كما يمكن الحد من هذه التهديدات من خلال استيفاء متطلبات (PCI DSS) لعمليات الفحص المنتظمة واختبار الثغرات الأمنية.

سياسات الوثيقة

يجب توثيق جرد المعدات والبرامج والموظفين الذين يمكنهم الوصول للامتثال، حيث تتطلب سجلات الوصول إلى بيانات حامل البطاقة أيضًا وثائق، كما يجب أيضًا توثيق كيفية تدفق المعلومات إلى الشركة ومكان تخزينها وكيفية استخدامها بعد نقطة البيع.

فوائد التوافق مع PCI

يبدو الامتثال لمعايير أمان (PCI) مهمة شاقة، على أقل تقدير، يبدو أن متاهة المعايير والقضايا يبدو أنها تتطلب الكثير من التعامل مع المؤسسات الكبيرة، بعيدا عن الشركات الصغيرة، ومع ذلك، أصبح الامتثال أكثر أهمية وقد لا يكون مزعجًا كما يتم الاعتقاد، خاصة إذا كان لدى المستخدم الأدوات المناسبة، وفقًا لـ (PCI SSC)، هناك فوائد كبيرة للامتثال، لا سيما بالنظر إلى أن عدم الامتثال قد يؤدي إلى عواقب وخيمة وطويلة الأجل، علي سبيل المثال:

  • امتثال (PCI) يعني أن الأنظمة آمنة، ويمكن للعملاء الوثوق بالمستخدم فيما يتعلق بمعلومات بطاقة الدفع الحساسة الخاصة بهم، حيث ان الثقة تؤدي إلى ثقة العملاء وتكرار العملاء.
  • يعمل التوافق مع (PCI) على تحسين سمعة المستخدم لدى المشترين والعلامات التجارية للدفع فقط الشركاء الذين يحتاجهم العمل.
  • (PCI Compliance) هي عملية مستمرة تساعد في منع الانتهاكات الأمنية وسرقة بيانات بطاقات الدفع في الحاضر والمستقبل، كما يعني امتثال (PCI) المساهمة في حل أمان بيانات بطاقة الدفع العالمي.
  • أثناء المحاولة في تلبية امتثال (PCI)، فأن المستخدم أكثر استعدادًا للامتثال للوائح إضافية.
  • يساهم التوافق مع (PCI) في استراتيجيات أمان الشركات، حتى لو كانت مجرد نقطة بداية.
  • من المحتمل أن يؤدي التوافق مع (PCI) إلى تحسين كفاءة البنية التحتية لتكنولوجيا المعلومات.

شارك المقالة: