الأمن السيبراني

ما هو PCI DSS؟ المتطلبات والامتثال

صورة جالب الأخبار جالب الأخبار2 مايو,2024
9 6 دقائق


يعد معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS) عبارة عن مجموعة من السياسات والإجراءات المقبولة على نطاق واسع والتي تهدف إلى تحسين حماية معاملات بطاقات الائتمان والخصم والنقد وحماية حاملي البطاقات من سوء استخدام معلوماتهم الشخصية. تم تصميم PCI DSS لمنع انتهاكات الأمن السيبراني للبيانات الحساسة وتقليل مخاطر الاحتيال للمؤسسات التي تتعامل مع معلومات بطاقة الدفع.

إن PCI DSS ليس قانونًا أو متطلبًا تنظيميًا قانونيًا. ومع ذلك، غالبًا ما يكون ذلك جزءًا من الالتزامات التعاقدية التي تقوم الشركات بمعالجة وتخزين معاملات بطاقات الائتمان والخصم وغيرها من معاملات بطاقات الدفع التي تلتزم بها. يجب على المؤسسات الملتزمة تعاقديًا تلبية متطلبات PCI DSS لإنشاء بيئة آمنة لعملائها والحفاظ عليها.

تم إنشاء PCI DSS في عام 2004 من قبل خمس شركات كبرى لبطاقات الائتمان: Visa وMastercard وDiscover وJCB وAmerican Express. قام مجلس معايير أمان صناعة بطاقات الدفع (PCI SSC) بتطوير المبادئ التوجيهية الخاصة بـ PCI DSS.

الجدول الزمني لتاريخ PCI DSS
على الرغم من أنه لم يتم تأسيسه رسميًا حتى عام 2004، إلا أن تاريخ إطار الامتثال الخاص بـ PCI DSS بدأ في التسعينيات.

ما هو الغرض من PCI DSS؟

الهدف الأساسي لـ PCI DSS هو حماية وتحسين أمان البيانات الحساسة لحامل البطاقة، مثل أرقام بطاقات الائتمان وتواريخ انتهاء الصلاحية ورموز الأمان. تساعد ضوابط الأمان القياسية الشركات على تقليل مخاطر اختراق البيانات والاحتيال وسرقة الهوية.

امتثال مع PCI DSS يضمن أيضًا التزام الشركات بأفضل ممارسات الصناعة عند معالجة بيانات بطاقة الائتمان وتخزينها ونقلها. وفي المقابل، يعزز الامتثال لـ PCI DSS الثقة بين العملاء و المالكون.

ما هي المبادئ الستة لـ PCI DSS؟

أنشأ مجلس معايير أمان PCI (PCI SSC) ستة معايير رئيسية الأهداف بالنسبة لـ PCI DSS:

  1. بناء وصيانة شبكة وأنظمة آمنة. يجب إجراء معاملات بطاقات الائتمان في شبكة آمنة. وينبغي أن تشمل البنية التحتية الأمنية جدران الحماية قوية ومعقدة بما يكفي لتكون فعالة دون التسبب في أي إزعاج لحاملي البطاقات أو البائعين. تتوفر جدران الحماية المتخصصة للشبكات المحلية اللاسلكية، والتي تكون معرضة بشدة للتنصت والهجمات الضارة. المقدمة من البائع المصادقة ولا ينبغي استخدام البيانات، مثل أرقام التعريف الشخصية وكلمات المرور، بشكل مستمر.
  2. حماية بيانات حامل البطاقة. يجب على المؤسسات الملتزمة بـ PCI DSS حماية معلومات حامل البطاقة أينما تم تخزينها. يجب أن تكون المستودعات التي تحتوي على البيانات الحيوية، مثل تواريخ الميلاد وأسماء الأمهات وأرقام الضمان الاجتماعي وأرقام الهواتف والعناوين البريدية، آمنة. يجب أن يتم نقل بيانات حامل البطاقة عبر الشبكات العامة مشفرة.
  3. الحفاظ على برنامج إدارة الثغرات الأمنية. يجب على مؤسسات خدمات البطاقات إنشاء برامج لتقييم المخاطر وإدارة الثغرات الأمنية التي تحمي أنظمتها من أنشطة المتسللين الضارين، مثل برامج التجسس والبرامج الضارة. يجب أن تكون جميع التطبيقات خالية من البق ونقاط الضعف التي قد تمكن من استغلال بيانات حامل البطاقة أو تغييرها. يجب تحديث البرامج وأنظمة التشغيل وتصحيحها بانتظام.
  4. تنفيذ تدابير قوية للتحكم في الوصول. يجب تقييد الوصول إلى معلومات النظام وعملياته والتحكم فيها. يجب أن يتم تعيين اسم أو رقم تعريفي فريد وسري لكل شخص يستخدم جهاز كمبيوتر في النظام. يجب حماية بيانات حامل البطاقة ماديًا وإلكترونيًا. يمكن أن تشمل الحماية المادية استخدام آلات تمزيق المستندات، وفرض قيود على نسخ المستندات، وأقفال صناديق القمامة، والتدابير الأمنية عند نقطة البيع.
  5. مراقبة واختبار الشبكات بانتظام. يجب مراقبة الشبكات واختبارها بانتظام للتأكد من وجود التدابير الأمنية، وأنها تعمل بشكل صحيح وحديثة. على سبيل المثال، ينبغي تزويد برامج مكافحة الفيروسات وبرامج مكافحة التجسس بأحدث التعريفات والتوقيعات. تقوم هذه البرامج بشكل متكرر بفحص جميع البيانات والتطبيقات وذاكرة الوصول العشوائي ووسائط التخزين المتبادلة.
  6. الحفاظ على سياسة أمن المعلومات. يجب تحديد سياسة رسمية لأمن المعلومات والحفاظ عليها واتباعها من قبل جميع الكيانات المشاركة. قد تكون تدابير الإنفاذ، مثل عمليات التدقيق والعقوبات في حالة عدم الامتثال، ضرورية.

ما هي المتطلبات الـ 12 لـ PCI DSS؟

يتضمن PCI SSC متطلبات محددة في كل من أهداف PCI DSS الستة. يجب على المؤسسات التي ترغب في أن تكون متوافقة مع PCI DSS أن تستوفي هذه المتطلبات الـ 12:

  1. تثبيت وصيانة جدار الحماية لحماية بيئات بيانات حامل البطاقة.
  2. لا تستخدم كلمات المرور الافتراضية التي يوفرها البائع ومعلمات الأمان الأخرى.
  3. حماية بيانات حامل البطاقة المخزنة.
  4. تشفير بيانات بطاقة الدفع المنقولة عبر الشبكات العامة المفتوحة.
  5. استخدام وتحديث برامج مكافحة الفيروسات بانتظام.
  6. تطوير وصيانة الأنظمة والتطبيقات الآمنة.
  7. تقييد الوصول إلى بيانات حامل البطاقة للموظفين ذوي احتياجات العمل لأن وظائفهم تتطلب الوصول.
  8. قم بتعيين معرف فريد لكل شخص لديه حق الوصول إلى البيانات أو الكمبيوتر.
  9. تقييد من لديه حق الوصول الفعلي إلى بيانات حامل البطاقة.
  10. تتبع ومراقبة كل عمليات الوصول إلى موارد الشبكة وبيانات حامل البطاقة.
  11. اختبار الأنظمة والعمليات الأمنية بانتظام.
  12. الحفاظ على سياسة أمن المعلومات.

مستويات الامتثال PCI DSS

الامتثال PCI DSS وتنقسم المتطلبات إلى أربعة مستويات تجارية، استنادًا إلى الحجم السنوي لمعاملات بطاقات الائتمان أو الخصم التي تتم معالجتها بواسطة شركة لكل من معاملات التجارة الإلكترونية والمعاملات الفعلية. فيما يلي مستويات التحقق الأربعة:

  1. المستوى 1 يشمل المنظمات التي تتعامل مع أكثر من 6 ملايين معاملة بطاقة سنويًا. يجب أن تجتاز هذه الشركات تقييم مقيم الأمان المؤهل (QSA) كل عام وأن يكون لديها بائع فحص معتمد (ASV) يقوم بإجراء فحص رؤية الشبكة ربع سنوي.
  2. المستوي 2 يشمل المنظمات التي تتعامل مع مليون معاملة بطاقة سنوية حتى 6 ملايين. يجب عليهم إكمال استبيان التقييم الذاتي السنوي (SAQ) وقد يُطلب منهم تقديم عمليات فحص ربع سنوية لثغرات شبكة ASV.
  3. مستوى 3 يشمل المنظمات التي تتعامل مع أكثر من 20000 معاملة بطاقة سنوية تصل إلى مليون معاملة. كما هو الحال مع الشركات من المستوى 2، يجب على الشركات من المستوى 3 إكمال اختبار SAQ السنوي وقد يتعين عليها إرسال فحص ربع سنوي لثغرات الشبكة.
  4. مستوى 4 يشمل المنظمات التي تتعامل مع أقل من 20000 معاملة بطاقة سنوية. كما هو الحال في المستويين 2 و3، يجب على هذه الشركات إكمال اختبار SAQ السنوي وقد يتعين عليها إرسال فحص ربع سنوي لثغرات الشبكة.
قائمة مستويات الامتثال لـ PCI DSS
هناك أربعة مستويات للامتثال لـ PCI DSS تحدد المعايير التي يجب على المنظمة استيفائها.

فوائد وتحديات الامتثال PCI DSS

يأتي الامتثال لـ PCI DSS مع العديد من الفوائد والتحديات.

فوائد PCI DSS

يوفر الامتثال لـ PCI DSS العديد من المزايا للشركات فيما يتعلق بحماية البيانات وتعزيز سمعتها كمؤسسات واعية بالأمن. وتشمل هذه الفوائد ما يلي:

  • تعزيز ثقة العملاء. يضمن PCI DSS أمان بيانات حامل البطاقة، مما يساعد الشركات على بناء الثقة مع العملاء والحفاظ عليها. وهذا يمكن أن يؤدي إلى تكرار الأعمال، فضلا عن زيادتها ولاء العملاء والعلامة التجارية.
  • تقليل مخاطر اختراق البيانات. تعمل الضوابط الأمنية وإجراءات حماية البيانات في PCI DSS على تقليل مخاطر اختراق البيانات والتكاليف المرتبطة بها، مثل الغرامات والرسوم القانونية والإضرار بالسمعة.
  • الحماية من الاحتيال. متطلبات PCI DSS تمنع و كشف الاحتيال، مما يقلل من مخاطر الخسارة المالية المرتبطة بالاحتيال.
  • الامتثال لمعايير الصناعة. يُظهر الامتثال لـ PCI DSS الالتزام بأفضل ممارسات الصناعة التي تعمل على تحسين مكانة الشركة مع الشركاء وأصحاب المصلحة والمنظمين.

تحديات PCI DSS

يفرض الامتثال لـ PCI DSS أيضًا تحديات على الشركات، مثل ما يلي:

  • تعقيد. تغطي متطلبات PCI DSS مجموعة من الضوابط الأمنية التي غالبًا ما يصعب على الشركات فهمها وتنفيذها، خاصة بالنسبة للشركات الصغيرة ذات الموارد المحدودة.
  • يكلف. قد يكون من المكلف الحفاظ على أنظمة أمان PCI DSS والعمليات والكفاءات والموظفين والامتثال لها، خاصة بالنسبة للشركات الصغيرة.
  • جهد متواصل. يتطلب الامتثال لمعايير PCI DSS مراقبة واختبار وتحديث الإجراءات الأمنية بشكل مستمر لضمان الالتزام المستمر. وتتطلب هذه العملية المستمرة الوقت والموارد.
  • تغيير البيئة. تتكيف صناعة بطاقات الدفع ومشهد الأمن السيبراني باستمرار مع التهديدات الناشئة ومتطلبات الامتثال المتغيرة. قد يكون الالتزام بهذه المعايير المتغيرة أمرًا صعبًا بالنسبة للشركات.

أفضل ممارسات الامتثال لـ PCI DSS

هناك العديد من أفضل الممارسات التي يمكن أن تساعد الشركات على الامتثال لمعايير PCI DSS والحفاظ على بيئة آمنة لنقل بيانات حامل البطاقة. يقترح PCI SSC العديد من أفضل الممارسات في “أفضل الممارسات للحفاظ على توافق PCI DSS”، مثل ما يلي:

  • قم فقط بتخزين بيانات حامل البطاقة والمعلومات الأخرى المهمة لوظائف العمل.
  • تطوير برنامج امتثال يتضمن الأهداف والأدوار الاستراتيجية؛ سياسات مثل كلمة سر قوية متطلبات؛ وإجراءات استكمال مهام الامتثال.
  • تطوير مقاييس أداء قوية لتقييم الامتثال.
  • تعيين المسؤوليات والأدوار المتعلقة بالامتثال للموظفين ذوي المعرفة والمؤهلين والقادرين.
  • قم بتطوير متطلبات أمان إضافية تتجاوز PCI DSS الخاصة بالمؤسسة وصناعتها.
  • مراقبة واختبار أنظمة الأمن والعمليات والضوابط بانتظام لاكتشاف ومعالجة نقاط الضعف والتهديدات المحتملة.
  • كشف ومعالجة حالات الفشل الأمني؛ لديها عمليات معمول بها لمعالجة الانتهاكات والإخفاقات.
  • قم بتدريس الوعي الأمني ​​والحفاظ عليه لمنع الانتهاكات بناءً على تقنيات الهندسة الاجتماعية، مثل التصيد و برامج مخيفة.
  • مراقبة امتثال مقدمي خدمات البائعين.
  • تخصيص الموارد لمراقبة برامج الامتثال وتكييفها مع التغييرات في تهديدات الأمن السيبراني.

يقترح PCI SSC على الشركات تطوير متطلباتها الخاصة وأفضل الممارسات خارج نطاق تلك التي توصي بها. تتضمن هذه التوصيات عمومًا أفضل ممارسات المراقبة الذاتية. يجب على الشركات تنفيذ الأساليب القائمة على المخاطر التي تعطي الأولوية للضوابط الأمنية التي تعالج أهم المخاطر التي تهدد بيانات حامل البطاقة في بيئة معينة.

يجب على المنظمات مراجعة سياساتها وإجراءاتها وتحديثها بانتظام، مع تثقيف الموظفين أيضًا حول أهمية الامتثال لـ PCI DSS ودورها في حماية بيانات حامل البطاقة. تتشاور الشركات مع QSAs وASVs وغيرهم من الخبراء للمساعدة في تقييم وتنفيذ والحفاظ على الامتثال لـ PCI DSS.

معرفة المزيد عن أفضل الممارسات والنصائح للامتثال لـ PCI DSS.



Source link

صورة جالب الأخبار جالب الأخبار2 مايو,2024
9 6 دقائق
صورة جالب الأخبار

جالب الأخبار

زر الذهاب إلى الأعلى