اقرأ في هذا المقال
- تعريف الامتثال PCI
- خطوات للحصول على شهادة PCI DSS
- كيف يمكن للشركات أن تثبت للعملاء حصلوها على شهادة PCI؟
- الصعوبات التي يسببها عدم امتثال PCI
تعريف الامتثال PCI
معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS) عبارة عن مجموعة من المتطلبات التي تهدف إلى ضمان أن جميع الشركات التي تعالج أو تخزن أو تنقل معلومات بطاقة الائتمان تحافظ على بيئة آمنة، تم إطلاقه في 7 سبتمبر 2006 لإدارة معايير أمان (PCI) وتحسين أمان الحساب طوال عملية المعاملة، ومن المثير للاهتمام، أن العلامات التجارية للدفع والمشترون مسؤولون عن فرض الامتثال، بدلاً من (PCI)، في الواقع، يهدف معيار أمان بيانات (PCI) إلى العمل كأساس للضوابط، والتوصية بمستوى أساسي من الأمان للتجار ومقدمي الخدمات الذين يقومون بتخزين بيانات بطاقة الدفع ومعالجتها ونقلها، يمكن أن تكون إدارة الحصول على شهادة امتثال (PCI) ثم صيانتها عملية معقدة وتستغرق وقتًا طويلاً، ولكن هناك مسارات يجب اتباعها ستجعل العملية أسهل لحماية حاملي البطاقات، فيما يلي الخطوات الأربع:
خطوات للحصول على شهادة PCI DSS
التعرف على 12 معيارًا لشهادة PCI
هناك 12 متطلبًا أساسيًا لـ (PCI-DSS)، وكلها ضرورية للمؤسسة للحصول على شهادة الامتثال لـ (PCI) بشكل عام، تحتاج إلى الامتثال لما مجموعه 12 متطلبًا وما يقرب من 251 من المتطلبات الفرعية الموضحة في وثائق الإصدار من (PCI-DSS) لمعالجة متطلبات شهادة الامتثال لـ (PCI) بشكل كامل.
تحديد متطلبات الامتثال الخاصة بالمؤسسة
- الحاجة إلى تحديد متطلبات التحقق من صحة (PCI-DSS)، والتي تختلف اعتمادًا على حجم المعاملات التي تتم معالجتها بواسطة المؤسسة سنويًا.
- بالنسبة للتجار الأصغر، هناك حاجة إلى ملئ استبيان التقييم الذاتي لإثبات أن المؤسسة قد نفذت الإجراءات الأمنية المطلوبة بموجب معيار أمان بيانات (PCI)، في حال لم يكن المستخدم متأكدًا من الاستبيان الذي ينطبق على مؤسسته، فيجب الاتصال ببائع بطاقة الدفع أو البنك الذي يتعامل معه، ويجب أن يكونوا قادرين على إرشاده، يتكون استبيان التقييم الذاتي من مكونين رئيسيين هما، استبيان يتوافق مع متطلبات معيار أمان بيانات (PCI) المصمم خصيصًا للتجار ومقدمي الخدمات وشهادة على(PCI DSS) الخاصة بناءً على الأهلية ووثائق التقييم الذاتي المناسبة.
- بالنسبة إلى كبار التجار، هناك حاجة إلى الاستعانة بمقيم أمان مؤهل في صناعة بطاقات الدفع (PCI QSA) لإجراء تدقيق يحدد أن المؤسسة تلبي معايير الأمان، حيث ان (PCI QSAs) هم متخصصون في الأمن السيبراني مدربون بشكل خاص ومعتمدون ولديهم معرفة عميقة بمعايير الأمان المطلوبة لمؤسسة ما لتصبح معتمدة من (PCI).
الحصول على شهادة PCI من خلال الإعداد
- تقييم المخاطر والتدقيق وتقييم الأمان: نظرًا لأن الهدف من (PCI-DSS) هو تقليل مخاطر خرق بيانات بطاقة الدفع، فمن الضروري لجميع المؤسسات إجراء تقييم مفصل للمخاطر لبيئتها الخاصة، يجب أن تهدف المنظمة إلى تحديد التهديدات ونقاط الضعف المتعلقة بأصول وخدمات بطاقات الدفع التي يتم إجراؤها.
- السياسات والإجراءات: سيعطي تقييم المخاطر رؤية واضحة للتهديدات والمخاطر الأمنية المتعلقة ببطاقة الدفع الخاصة بالمستخدم ويمكن أن يساعد هذا في تحديد الوضع الأمني للمؤسسة، حيث سيساعد هذا بدوره على تطوير مجموعة محددة جيدًا من السياسات والإجراءات التي تعمل كأساس لنسبة كبيرة من متطلبات شهادة (PCI-DSS) ويجب تصميم السياسات والإجراءات لتلبية المتطلبات ولكنها تحتاج أيضًا إلى تكييفها مع العمليات التجارية وضوابط الأمان داخل المنظمة.
- تحليل الثغرات: بعد وضع السياسات والإجراءات، حان الوقت لمراجعة متطلبات شهادة (PCI-DSS) بالتفصيل وإلقاء نظرة فاحصة على أي ثغرات محتملة في الامتثال، إذا وجدت هذه الفجوات، فهناك حاجة إلى إنشاء خطة علاج لسدها، وبمجرد الحصول على خطة الإصلاح، من الجيد أن القيام بإجراء تحليل فجوة مستقل أيضًا، حيث ستكون هذه المراجعة أشبه بتقييم كامل لـ (PCI-DSS)، ولكن في الواقع، يضمن أن المتطلبات المفقودة لن تكون عائقًا في الطريق للحصول على شهادة التوافق مع (PCI).
أكمال استبيان التقييم الذاتي PCI QSA
- استبيان التقييم الذاتي وشهادة الامتثال: يجب التفكير في (SAQ) وهي تستخدم كاختصار في الرسائل النصية كأداة للتحقق الذاتي لتقييم أمان بيانات حامل البطاقة، حيث يتضمن مجموعة من الأسئلة بنعم او لا لكل متطلبات (PCI-DSS) تنطبق على المؤسسة، كما يمكن الاطلاع على الإرشادات حول كيفية ملء (SAQ) ثم تعبئتها أو الحصول على مساعدة من (QSA) معتمد، بمجرد الانتهاء من (SAQ)، تحتاج إلى ملء شهادة الامتثال، وهو في الأساس شكل يشهد على نتائج تقييم الامتثال (PCI)، حيث “SAQ” اختصار ” Short Arc Quad”.
- تقرير حول الامتثال وشهادة الامتثال: إن تقرير الامتثال هو الخطوة الأخيرة في الطريق للحصول على شهادة (PCI-DSS) للمؤسسة، شهادة الامتثال إلزامية فقط لجميع التجار الذين يخضعون لتدقيق الامتثال (PCI-DSS).
كيف يمكن للشركات أن تثبت للعملاء حصلوها على شهادة PCI؟
بمجرد الحصول على شهادة (PCI-DSS)، يجب جعل العملاء على علم بها، ثم اثبات لهم القدرة على إدارة المخاطر المرتبطة بمعالجة بيانات بطاقات الدفع شديدة الحساسية، يثبت اعتماد الامتثال وتقرير الامتثال أن المستخدم حاصل على شهادة (PCI-DSS)، لذلك يجب إخبار العملاء بشهادة (PCI) الخاصة، تستغرق العملية الكاملة للحصول على شهادة (PCI-DSS) وقتًا ولكنها تمنح المؤسسة القدرة على معالجة بطاقات الدفع، وهو أمر ضروري في عالم اليوم، والأهم من ذلك، أن شهادة (PCI-DSS) تساعد على وضع الأسس لممارسات الأمن السيبراني الجيدة والتي ستأخذ شوطًا طويلاً في إحباط الهجمات الإلكترونية التي تستهدف معلومات بطاقة الدفع.
الصعوبات التي يسببها عدم امتثال PCI
يشير (PCI SSC) أيضًا إلى النتائج الكارثية المحتملة للفشل في تلبية امتثال (PCI)، بعد العمل على بناء العلامة التجارية وتأمين العملاء، يجب عدم المجازفة بمعلوماتهم الحساسة، من خلال تلبية التوافق مع (PCI)، فإن المستخدم يحمي العملاء حتى يتمكنوا من الاستمرار في أن يكونوا عملاء مخلصين، تشمل النتائج المحتملة لعدم امتثال (PCI) ما يلي:
- البيانات المخترقة التي تؤثر سلبًا على المستهلكين والتجار والمؤسسات المالية.
- الإضرار الشديد بسمعة المستخدم وقدرته على إدارة الأعمال بفعالية، ليس فقط اليوم، ولكن في المستقبل.
- انتهاكات بيانات الحساب التي يمكن أن تؤدي إلى خسارة فادحة في المبيعات والعلاقات ومكانة المجتمع، بالإضافة إلى ذلك، غالبًا ما ترى الشركات العامة انخفاضًا في سعر السهم نتيجة لانتهاكات بيانات الحساب.
- الدعاوى ومطالبات التأمين والحسابات الملغاة وغرامات جهة إصدار بطاقات الدفع والغرامات الحكومية.
يمكن أن يشكل الامتثال لـ (PCI)، كما هو الحال مع المتطلبات التنظيمية الأخرى، تحديات للمنظمات غير المستعدة للتعامل مع حماية المعلومات الهامة، ولكن حماية البيانات مهمة يمكن إدارتها بشكل أكبر باستخدام البرامج والخدمات المناسبة، حيث يجب اختيار برنامج منع فقدان البيانات الذي يصنف البيانات بدقة ويستخدمها بشكل مناسب حتى تتمكن من الراحة بسهولة أكبر مع العلم أن بيانات حامل البطاقة آمنة.