PCI DSS واختبار الاختراق
PCI DSS
PCI DSS (معيار أمان بيانات صناعة بطاقات الدفع) عبارة عن مجموعة من الضوابط الأمنية التي تم إنشاؤها لضمان أن جميع الشركات التي تقبل بيانات بطاقة الائتمان أو تعالجها أو تخزنها أو تنقلها تحافظ على بيئة جاهزة للتدقيق. تم نشر الإصدار 4.0 في مارس 2022؛ المنظمات المطلوبة للامتثال لديها حتى 31 مارس 2024، عندما يجب أن يكتمل الامتثال.
الترقيات الأكثر جدارة بالملاحظة في الإصدار 4.0 من PCI DSS إلى المتطلبات 11 والتي تنطبق على جميع المؤسسات هي: عمليات فحص الضعف يجب أن تتم عبر المسح المعتمد، ويجب إدارة جميع نقاط الضعف القابلة للتطبيق. وهذا يمنع المؤسسات من التغاضي عن نقاط الضعف والمعالجة الانتقائية.
يتطلب PCI DSS اختبار الاختراق (اختبار القلم) ومسح الثغرات الأمنية كجزء من متطلبات الامتثال، للحفاظ على أمان الأنظمة وحماية بيانات حامل بطاقة الدفع. يجب إجراء اختبار القلم لأي مؤسسات أو كيانات تقوم بتخزين بيانات حامل البطاقة أو معالجتها أو نقلها بأي صفة.
يجب على موفري خدمات بطاقات الدفع إجراء اختبارات قلم PCI مرتين سنويًا وفحص الثغرات الأمنية أربع مرات سنويًا، بالإضافة إلى إجراء تقييمات إضافية عند حدوث أي تعديلات مهمة على الأنظمة. على وجه التحديد، قد تحتاج المؤسسات التي تقوم بمعالجة معلومات حامل البطاقة عبر تطبيقات الويب إلى اختبارات وعمليات فحص إضافية عند إجراء تعديلات كبيرة على النظام.
اختبارات قلم PCI هي تقييمات أمنية يجب إجراؤها مرتين سنويًا على الأقل وبعد أي تغيير مهم لمعالجة نقاط الضعف في جميع جوانب بيئة بيانات حامل البطاقة (CDE)، من الشبكات والبنية التحتية والتطبيقات الموجودة داخل بيئة المؤسسة وخارجها. على النقيض من ذلك، تقوم عمليات فحص الثغرات الأمنية بإجراء اختبارات عالية المستوى تبحث تلقائيًا عن الثغرات الأمنية ذات الدرجات الشديدة؛ يجب أيضًا فحص عناوين IP الخارجية المكشوفة داخل CDE بواسطة بائع فحص معتمد كل ثلاثة أشهر على الأقل وبعد أي تغيير كبير بحثًا عن تهديدات أمنية محتملة والإبلاغ عنها وفقًا لذلك.
يحدد PCI DSS إرشادات ومتطلبات محددة للشركات المطلوبة لإجراء اختبارات قلم PCI منتظمة وعمليات فحص الثغرات الأمنية وفقًا لـ PCI DSS. يجب تقييم مكونات النظام، بما في ذلك البرامج والعمليات المخصصة، بانتظام للحفاظ على بيانات حامل البطاقة بمرور الوقت – خاصة بعد إدخال التغييرات على النظام. يجب على مقدمي الخدمة إجراء اختبارات قلم PCI كل ستة أشهر أو عند إجراء تعديلات كبيرة على أنظمتهم، أو عند إجراء أي ترقيات أو تحديثات رئيسية. تتضمن التغييرات الهامة التي قد تتطلب المزيد من اختبارات القلم أي إضافة أو تغيير في الأجهزة أو البرامج أو معدات الشبكات؛ ترقية أو استبدال المعدات الحالية مع أي تغييرات؛ تغييرات تدفق التخزين التي تؤثر على تدفق بيانات حامل البطاقة أو تخزينها؛ التغييرات التي تغير حدود CDE أو نطاق تقييم PCI DSS؛ دعم البنية التحتية مثل خدمات الدليل التي تراقب تغييرات التسجيل بالإضافة إلى التغييرات التي تشمل بائعي الطرف الثالث أو الخدمات التي تدعم CDE.
يعد فحص الثغرات الأمنية عنصرًا حاسمًا في متطلبات PCI DSS للمؤسسات. يجب على المؤسسات، كل 90 يومًا على الأقل، إجراء عمليات فحص لثغرات PCI الداخلية والخارجية مع نتائج الفحص الناجحة (يجب ألا يحتوي الجزء الداخلي على ثغرات أمنية عالية الخطورة تهدد تخزين بيانات حامل البطاقة أو معالجتها؛ ويجب أن يكون الجزء الخارجي خاليًا من الثغرات الأمنية التي تم تعيين درجة أساسية لـ CVSS فيها على الأقل أربعة؛ بالنسبة لعمليات الفحص الخارجية التي تقع بين درجات قاعدة CVSS 4.0-4.99، يتم قبولها)؛ تمثل عمليات المسح فقط التي تتراوح درجات مستوى الخطورة فيها بين صفر إلى ثلاثة درجات نجاح.
يعد اختبار القلم وفحص نقاط الضعف جزءًا لا يتجزأ من امتثال PCI DSS ووسيلة فعالة لتخفيف نقاط الضعف في الأنظمة التي تعالج البيانات الحساسة. من خلال خدمات إدارة الثغرات الأمنية والتهديدات، وخدمات اختبار الاختراق لاختبار وضع أمان شبكة المؤسسة، واختبار تطبيقات الويب بالإضافة إلى اختبار الاختراق كخدمة (PTaaS)، يمكننا المساعدة في تحقيق الامتثال والحفاظ عليه.
الخطوات الست لاختبار القلم
1) تحديد النطاق
في هذه الخطوة الأولى، تعمل المنظمة المستهدفة مع فريق اختبار القلم لتحديد نطاق اختبار القلم، والذي يتضمن محيط CDE بالكامل (الداخلي والخارجي)، وأي أنظمة مهمة. ويمكن أن تشمل أيضًا نقاط الوصول، واتصالات الشبكة المهمة، والتطبيقات التي تقوم بتخزين بيانات حامل البطاقة أو معالجتها أو نقلها، والمواقع الأخرى لهذه البيانات. سيتم اعتبار أي أنظمة لا تتصل بـ CDE خارج نطاق اختبار القلم هذا.
2) الاكتشاف
بمجرد تحديد النطاق، يبدأ فريق اختبار القلم في العمل من خلال تحديد أصول شبكتك ضمن النطاق المحدد. في هذه المرحلة، يقوم فريق الاختبار بجمع أكبر قدر من المعلومات عن الشركة المستهدفة من خلال إجراء أنواع مختلفة من الاستطلاع على البيئة داخل النطاق.
3) التقييم
باستخدام المعلومات التي تم جمعها حتى الآن، يحاول المختبر الآن الدخول إلى نظامك من خلال نقاط الدخول المكتشفة والكشف عن الثغرات الأمنية المحتملة التي قد تكون كامنة خلف شبكاتك وتطبيقاتك.
4) الإبلاغ
يقوم فريق الاختبار بإعداد تقرير كامل وشامل يتضمن تفاصيل منهجية الاختبار، ويسلط الضوء على الثغرات الأمنية المكتشفة، وغيرها من المعلومات ذات الصلة.
5) العلاج
يعمل فريق الإصلاح على تخفيف جميع نقاط الضعف القابلة للاستغلال ونقاط الضعف الأمنية. ضع في اعتبارك أن تقييم مخاطر المنظمة كما هو محدد في PCI DSS 6.3.1 يجب أن يؤخذ بعين الاعتبار خلال هذه الخطوة.
6) إعادة الاختبار
يتم تكرار عملية اختبار القلم بانتظام و/أو في كل مرة يحدث فيها تغيير في البنية التحتية لديك. إعادة الاختبار هي أفضل طريقة للتأكد من فعالية جهود الإصلاح السابقة.
خاتمة
نحن نقدم الخدمات الاستشارية ل PCI DSS الامتثال و اختبار القلم. يبدأ هنا لرؤية النطاق الواسع من خدمات الأمن السيبراني التي نقدمها.