انطباق PCI DSS: هر آنچه شما باید بدانید

هلن هویتون ، تحلیلگر امنیت داده های بازرگان در Adyen به دنیای نه چندان ترسناک انطباق PCI DSS فرو می رود.

هلن هونیتون ، تحلیلگر امنیت داده های بازرگان - آدین

5 ژانویه 2023 6 دقیقه

سلب مسئولیت: این مقاله فقط باید برای اهداف راهنمایی استفاده شود و نباید به عنوان توصیه قطعی در نظر گرفته شود. شما همیشه باید برای شفاف سازی خود با خریدار یا یک استاندارد امنیت داده های صنعت پرداخت (PCI DSS) مشورت کنید. این بیشتر برای شرکت هایی که کمتر از 6 میلیون معاملات پردازش می کنند ، مهم است.

با افزایش جمعیت ، میزان داده هایی که هر روز پردازش می شود نیز انجام می شود. تنها در چند سال گذشته ، بیش از 90 ٪ از داده های جهان تولید شده است. و این فقط افزایش می یابد

طبق گفته PCI SSC ، میانگین هزینه کل نقض داده 3. 8 میلیون دلار است که این یک دلیل قانع کننده برای جلوگیری از یک نفر در صورت امکان است. و ، در حالی که ماندن در بالای الزامات مربوط به انطباق دشوار است ، رسیدگی ضعیف جزئیات کارت پرداخت می تواند پیامدهای جدی داشته باشد.

در این مقاله ، ما آنچه را که طی سالها آموخته ایم برای کمک به مشاغل در سمت راست PCI DSS بررسی خواهیم کرد. و ما مراحلی را که می توانید برای ایجاد یک تجارت پایدار و ایمن انجام دهید ، تشریح خواهیم کرد.

انطباق PCI DSS چیست؟

PCI DSS مخفف استاندارد امنیت داده های صنعت کارت پرداخت است. این مجموعه ای از الزامات فنی و عملیاتی است که برای محافظت از داده های حساب ، کلاهبرداری مبارزه و کاهش احتمال نقض داده در نظر گرفته شده است. PCI DSS که در سال 2006 راه اندازی شد ، توسط شورای استانداردهای امنیتی PCI (PCI SSC) ، یک نهاد مستقل متشکل از Mastercard ، Visa ، American Express ، JCB و Discover تهیه شد.

PCI-DSS دارای شش مدیر اصلی است:

• ایجاد و حفظ یک شبکه امن
• از داده های دارنده کارت محافظت کنید
• یک برنامه مدیریت آسیب پذیری را حفظ کنید
• اقدامات کنترل دسترسی قوی را اجرا کنید
• به طور مرتب شبکه ها را کنترل و آزمایش کنید
• یک خط مشی امنیت اطلاعات را حفظ کنید

الزامات انطباق PCI

الزامات PCI DSS که برای شما اعمال می شود به سطح انطباق شما (در زیر توضیح داده شده) و نوع ادغام شما بستگی دارد. اما ، به طور گسترده ، 12 الزامات انطباق PCI وجود دارد:

1. پیکربندی فایروال را برای محافظت از داده های دارنده کارت نصب و نگهداری کنید
2. از پیش فرض های فروشنده برای رمزهای عبور سیستم و سایر پارامترهای امنیتی استفاده نکنید
3. از داده های دارنده کارت ذخیره شده محافظت کنید
4. رمزگذاری داده های دارنده کارت در شبکه های عمومی باز و باز
5. از نرم افزار یا برنامه های ضد ویروس به طور مرتب استفاده و به روز کنید
6. سیستم ها و برنامه های ایمن را توسعه داده و حفظ کنید
7. محدود کردن دسترسی به داده های دارنده کارت توسط تجارت باید بدانید
8. یک شناسه منحصر به فرد را به هر شخص با دسترسی به رایانه اختصاص دهید
9. دسترسی فیزیکی به داده های دارنده کارت را محدود کنید
10. پیگیری و نظارت بر دسترسی به منابع شبکه و داده های دارنده کارت
11. به طور مرتب سیستم ها و فرآیندهای امنیتی را آزمایش کنید
12. سیاستی را حفظ کنید که به امنیت اطلاعات برای همه پرسنل بپردازد

هر مشاغل پذیرش کارت اعتباری باید با PCI DSS مطابقت داشته باشد. و حتی اگر PCI DSS بخشی از قانونی نیست ، استاندارد در سراسر جهان اعمال می شود.

انطباق PCI برای چه کسی اعمال می شود؟

هر مشاغل پذیرش کارت اعتباری باید با PCI DSS مطابقت داشته باشد. حتی اگر PCI DSS بخشی از قانونی نیست ، استاندارد در سراسر جهان اعمال می شود. و برخی از مجازات ها و هزینه های بسیار قابل توجهی برای سازمان هایی که مطابق با الزامات نیستند ، وجود دارد. مهمتر از آن ، اگر می توانید ثابت کنید که تمام اقدامات لازم را برای سازگاری با PCI DSS انجام داده اید ، شبکه های کارت شانس به طور قابل توجهی پایین تر یا از بین می برند.

سطح انطباق PCI

دامنه PCI شما به سطح انطباق شما بستگی دارد که بر اساس حجم معاملات سالانه کارت شما به شما اختصاص داده شده است. چهار سطح وجود دارد:

سطح 1: این بالاترین سطح امنیتی است و شما در اینجا هستید زیرا: شما بیش از 6 میلیون معاملات ویزا یا مستر کارت یا بیش از 2. 5 میلیون American Express را پردازش می کنید. شما یک نقض داده را تجربه کرده اید. یک شبکه کارت برای طبقه بندی شما به عنوان سطح 1 مناسب است.

سطح 2: شما هر سال بین 1-6 میلیون معاملات پردازش می کنید.

سطح 3: شما بین 20،000 تا 1 میلیون معاملات آنلاین یا در کل کمتر از یک میلیون در هر سال پردازش می کنید.

سطح 4: شما در هر سال کمتر از 20،000 معاملات آنلاین یا کمتر از یک میلیون نفر را پردازش می کنید.

نحوه سازگار با PCI

برای سازگاری با PCI ، باید الزاماتی را که در سطح انطباق شما اعمال می شود ، پیاده سازی کنید. و یک یا دو فرم را پر کنید. رایج ترین شکل "پرسشنامه خود ارزیابی A" یا "SAQ A" است.

SAQ A به عنوان ابزاری در نظر گرفته شده است تا به شما در ارزیابی نیازهای لازم برای پیاده سازی کمک کند. اصول ارزیابی شامل سه بهترین روش امنیتی است:

• از نام کاربری و رمزهای عبور از پیش تعیین شده استفاده نکنید و از هیچ تنظیمات کارخانه استفاده نکنید.
• از رمزهای عبور قوی و شناسه های کاربر منحصر به فرد استفاده کنید. حداقل 7 رمز عبور کاراکتر (شخصیت های عددی ، الفبایی و خاص).
• به محض انتشار ، با تکه های نرم افزاری جدید به روز باشید.

7 مرحله برای سازگار با PCI DSS

علاوه بر اصول فوق ، در اینجا گام هایی که باید انجام دهید برای اطمینان از سازگاری با PCI در اینجا آورده شده است.

1. جریان داده های دارنده کارت را نقشه برداری کنید: یک نمودار دقیق جریان داده را برای نقشه برداری از داده های دارنده کارت ایجاد کنید. این شامل برنامه های کاربردی ، سیستم و افرادی است که با داده های کارت اعتباری از جمله ارائه دهندگان خدمات کار می کنند. این کار معمولاً با کمک کارمندان فناوری اطلاعات انجام می شود.

2. محیط خود را محدود کنید: دامنه شناسایی افراد ، فرآیندها و فناوری هایی است که با آنها تعامل دارند یا می توانند در غیر این صورت بر امنیت داده های دارنده کارت (CHD) تأثیر بگذارند. اطلاعات بیشتر را می توان در اینجا یافت.

3. ارزیابی کنید: سطح فعلی انطباق PCI خود را با توجه به SAQ A. ارزیابی کنید. شخصی که ارزیابی را انجام می دهد باید دانش کافی داشته باشد تا بتواند محیط را ارزیابی کند.

4- هرگونه تغییر لازم را ایجاد کنید: ممکن است متوجه شوید که حداقل یک معیار کسب و کار شما کم است. در این صورت ، برای انجام هرگونه پیشرفت امنیتی لازم برای تجارت خود وقت بگذارید.

5- پرسشنامه خود ارزیابی (SAQ) را پر کنید: این فرم باید توسط یک حرفه ای واجد شرایط برای ثبت نام در امور مربوط به امنیت تکمیل و امضا شود. این ممکن است مدیر ارشد امنیت یا مدیر ارشد فناوری شما باشد.

6. اسناد را به ارائه دهنده خدمات پرداخت خود (PSP) ارسال کنید: پس از اتمام فرم های خود ، می توانید آنها را به PSP خود (مانند آدین) ارسال کنید.

7. تنظیم نظارت منظم: اطمینان حاصل کنید که در طول سال به طور مداوم رعایت می کنید ، زیرا PCI DSS یک رویداد واحد نیست بلکه یک روند مداوم و مداوم است.

توجه: گاهی اوقات ممکن است صفحه پرداخت شما نادیده گرفته شود

اگر یک مهاجم دسترسی غیرمجاز به وب سایت شما را بدست آورد ، می تواند راه هایی برای فریب خریدار پیدا کند. به عنوان مثال ، مهاجمان می توانند محتوای جایگزین را برای قطره یا مؤلفه ها ایجاد کنند ، یا یک IFRAME را بر روی iframe موجود موجود رها کنند. در این سناریوها ، پرداخت هنوز هم ممکن است تکمیل شود ، اما یک نسخه از داده های دارنده کارت به مهاجم ارسال می شود. خطرات مرتبط با این ادغام را می توان با اجرای الزامات مطابق با SAQ A به طور قابل توجهی کاهش داد.

PCI DSS 4. 0

آخرین نسخه PCI DSS در مارس 2022 معرفی شد. 12 الزامات اصلی PCI DSS اساساً یکسان است. اما 4. 0 همچنین شامل گسترش الزامات در توسعه زمینه های امنیتی و فناوری مانند تلفن های همراه و تبلت ، پرداخت های بدون تماس ، سازگاری با ابر ، شیوه های جدید توسعه نرم افزار و افزایش وابستگی به اشخاص ثالث است.

برای هدایت ایجاد نسخه 4. 0، شورای استانداردهای امنیتی PCI با چهار هدف موافقت کرد:

• برای اطمینان از اینکه استاندارد همچنان نیازهای امنیتی صنعت پرداخت را برآورده می کند.
• برای افزودن انعطاف پذیری و پشتیبانی از متدولوژی های اضافی برای دستیابی به امنیت.
• برای تشویق کسب و کارها به نگاه کردن به امنیت به عنوان یک فرآیند مداوم.
• برای تقویت روش ها و رویه های اعتبارسنجی برای قوی تر شدن.

PCI DSS 4. 0 طراحی شده است تا اطمینان حاصل کند که از داده های حساب به درستی محافظت می شود و کسب و کارها در مورد مسئولیت های خود در تحقق این امر واضح هستند. همچنین اطمینان حاصل می کند که استاندارد با آخرین تغییرات در چشم انداز امنیتی مطابقت دارد، الزامات را در چند حوزه جدید گسترش می دهد و راهنمایی های واضح تری برای دنبال کردن مشاغل ارائه می دهد.

مثل همیشه، ما از هر به روزرسانی استانداردهای انطباق در سراسر جهان جلوتر هستیم و برای اطمینان از فضای پرداخت امن تر برای همه، از نزدیک با همه طرف های درگیر همکاری می کنیم.