أساسيات التوافق مع PCI: ما تحتاج إلى معرفته

معلومات بطاقة الائتمان هي أكثر أنواع البيانات قيمة لمجرمي الإنترنت حيث تبلغ قيمة مجموعات البيانات هذه ملايين الدولارات في السوق السوداء.

اليوم ، تعالج الشركات بجميع أحجامها معلومات بطاقات الائتمان والخصم للعملاء وتتلقى مدفوعات بطاقات الائتمان. تقع كل شركة تقوم بمعالجة البيانات المالية وتخزينها ونقلها تحت رادار الجهات الخبيثة وتواجه أعلى مخاطر الهجمات الإلكترونية.

لهذه الأسباب ، أنشأت شركات بطاقات الائتمان الكبرى معيار PCI لتوفير إرشادات أمان للشركات لتأمين البيانات المالية للعملاء. في هذه المقالة ، سوف ندرس أساسيات التوافق مع PCI.

لنبدأ بشرح امتثال PCI DSS بشكل أكبر.

ما هو الامتثال PCI DSS؟

معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS) هو مجموعة فنية وتشغيلية من المواصفات الأمنية لحماية بيانات حاملي بطاقات الائتمان.

تم تأسيس امتثال PCI من قبل شركات بطاقات الائتمان الكبرى مثل Visa و Mastercard و American Express و Discover Financial Services و JCB Express. يسعى PCI إلى تمكين إطار دولي لتأمين البيانات المالية للعملاء.

تخضع جميع الشركات التي تقوم بجمع وتخزين ونقل البيانات لمعايير PCI DSS وهي ملزمة باتباع إرشادات ومتطلبات الأمان.

يحتوي PCI DSS على أربعة مستويات امتثال (1،2،3،4). يتم تحديد مستويات الامتثال PCI للشركات بناءً على حجم المعاملات على مدار عام. الشركات التي تندرج تحت المستوى 4 تعالج أقل من 20000 معاملة سنويًا.

ينطبق المستوى 3 على التجار الذين يعالجون معاملات تتراوح بين 20000 و 1 مليون سنويًا. ينطبق المستوى 2 على الشركات التي تعالج معاملات تتراوح بين 1-6 مليون دولار في السنة. تقع الشركات التي تعالج أكثر من 6 معاملات سنويًا تحت المستوى 1.

تصبح متطلبات PCI أكثر صرامة مع انتقال المستوى من 4 إلى 1. ولكن بغض النظر عن مستوى الامتثال ، تلتزم جميع الشركات بتلبية جميع متطلبات PCI إلى حد ما.

تم وضع إطار التعامل الآمن مع بيانات حامل البطاقة في ست فئات من خلال التوافق مع PCI. تتكون فئات متطلبات PCI من حماية بيانات حامل البطاقة ، وخطة إدارة الثغرات الأمنية ، ومراقبة الشبكة ، وإدارة الشبكة والأنظمة الآمنة ، وقيود التحكم في الوصول ، وسياسة أمن المعلومات.

يبني محتوى هذه الفئات إجماليًا اثني عشر خطوة من خطوات المتطلبات. تضمن متطلبات PCI أمان معالجة بيانات حامل البطاقة. فيما يلي قائمة تحقق للامتثال لـ PCI.

متطلبات PCI

1- تثبيت وصيانة جدار حماية لحماية بيانات حامل البطاقة

نظرًا لأن جدران الحماية هي أول آلية دفاع للشبكة ، فإن تكوين جدار الحماية وصيانته بشكل صحيح أمر بالغ الأهمية للحفاظ على بيانات حامل البطاقة آمنة. تعد جدران الحماية أدوات فعالة للغاية لحماية البيانات الحساسة من التهديدات الإلكترونية لأنها تقيد حركة مرور الشبكة وتحظر الوصول غير المعتمد. هذا هو السبب في أن إنشاء جدار الحماية هو المطلب الأول.

02. لديك حماية كلمة المرور المناسبة

يتم تكوين غالبية خدمات الشبكة وأنظمة نقاط البيع (POS) ومنتجات الجهات الخارجية باستخدام الإعدادات الافتراضية.

يمكن لمجرمي الإنترنت الوصول إلى الشبكات والبيانات الحساسة بسهولة إذا لم تقم المؤسسات بإعادة تكوين إعدادات المصنع هذه نظرًا لأن كلمات المرور الافتراضية وأسماء المستخدمين معروفة على نطاق واسع.

بصرف النظر عن تغيير إعدادات كلمة المرور ، يجب على المؤسسات تغيير كلمات المرور بانتظام لجميع الأجهزة والبرامج التي تتطلب واحدة.

03. حماية بيانات حامل البطاقة المخزنة

يجب تشفير جميع بيانات حامل البطاقة المخزنة. يجب على التجار ضمان حماية هذه البيانات الحساسة من خلال مفاتيح التشفير والخوارزميات وإجراء عمليات مسح منتظمة.

04. تشفير البيانات المرسلة لحاملي البطاقات

يعد الحفاظ على أمان بيانات حامل البطاقة من أهم المتطلبات في امتثال PCI. لذلك ، يجب على التجار أيضًا تشفير وتأمين نقل بيانات حامل البطاقة عبر الشبكات العامة.

05. استخدام برامج مكافحة الفيروسات

يعد وجود برنامج مكافحة فيروسات ضرورة لحماية البيانات من البرامج الضارة. لذلك ، يجب على المؤسسات استخدام برامج مكافحة الفيروسات وتحديثها بشكل متكرر على جميع الأجهزة لاكتشاف أي برامج ضارة والقضاء عليها.

06. صيانة البرمجيات والأنظمة

يجب تحديث جميع البرامج والأنظمة بانتظام لتصحيح الثغرات الأمنية. ضع في اعتبارك أن بعض البرامج مثل قواعد البيانات وبرامج مكافحة الفيروسات والجدران النارية تتطلب تحديثات أكثر تكرارًا.

07. تقييد الوصول إلى البيانات

يجب منح الموظفين المصرح لهم فقط الوصول إلى بيانات حاملي البطاقات عند الحاجة. يجب ألا يكون لدى الجهات الخارجية والموظفون إمكانية الوصول إلى المعلومات الحساسة.

08. تعريف فريد لوصول المستخدم

يجب إعطاء مجموعة فريدة من أسماء المستخدمين وكلمات المرور لكل مستخدم مخول له حق الوصول إلى بيانات حامل البطاقة. تضمن بيانات اعتماد وصول المستخدم المساءلة وتقليل وقت الاستجابة.

09. تقييد الوصول المادي

يجب أيضًا تقييد الوصول المادي بقدر الوصول الرقمي لحماية البيانات الحساسة. يجب على المؤسسات تخزين بيانات حاملي البطاقات في مكان آمن ماديًا وفرض ضوابط وتفويضات صارمة.

10- تتبع ومراقبة الوصول إلى الشبكة

يجب تتبع جميع عمليات الوصول إلى الشبكة وحركة المرور ومراقبتها عندما يتعلق الأمر ببيانات حامل البطاقة وأرقام الحسابات الأساسية. يجب الاحتفاظ بسجلات الوصول التي تتضمن بيانات حامل البطاقة ومراجعتها باستمرار.

11- التقييم الدوري للأنظمة الأمنية

يجب إجراء تقييمات منتظمة لنظام الأمان واختبارات الاختراق لتحديد الثغرات الأمنية وتصحيحها. يضمن هذا الإجراء تحديد الوضع الحالي لأنظمة الأمان وتحسينها وفقًا لذلك.

12- الحفاظ على سياسة الأمن السيبراني

يجب معالجة جميع متطلبات PCI وتوثيقها بسياسة الأمن السيبراني. من خلال الحفاظ على سياسة الأمن السيبراني ، يمكن للمؤسسات ضمان الامتثال وأمن شبكاتها.

عواقب عدم الامتثال لـ PCI DSS

يمكن أن يؤدي عدم الامتثال لـ PCI DSS إلى فرض غرامات وعقوبات عالية. وفقًا لخطورة الانتهاكات ومدتها ، يمكن لسلطات PCI فرض غرامات تتراوح بين 5000 دولار و 100000 دولار شهريًا.

قد تزداد الغرامات على أساس شهري حيث تطول مدة المخالفة. أيضًا ، بعد حوادث خرق البيانات ، يمكن إلزام الشركات بتغطية جميع تكاليف إعادة الإصدار والمعالجة.

بخلاف ذلك ، يمكن أن يؤدي عدم الامتثال لـ PCI إلى عقوبات إضافية مثل ارتفاع رسوم المعاملات وفقدان تجار الدفع ببطاقات الائتمان لبعض الوقت أو بشكل دائم. يعد تلبية متطلبات PCI أمرًا حيويًا لتجنب العقوبات وتأمين البيانات المالية السرية للعملاء.

الكلمات الأخيرة

يجب حماية البيانات المالية للعملاء من الهجمات الإلكترونية في جميع الأوقات.

يمكن أن يساعد الامتثال لمعيار أمان بيانات صناعة بطاقات الدفع (PCI DSS) الشركات على تأمين مجموعات البيانات المالية التي تتم معالجتها وتخزينها ونقلها.

في عصر تكون فيه المخاطر الإلكترونية وغرامات الامتثال والعقوبات عالية جدًا ، يجب أن تفي كل شركة تخضع لـ PCI بمتطلباتها وأن تصبح متوافقة مع PCI.