انطباق PCI چیست؟

ساخت وبلاگ

Axel Sukianto

در بازار سریع و رقابتی امروز ، به سختی می توانید مشاغل و بازرگانانی را پیدا کنید که هنوز استفاده از کارتهای اعتباری را برای خدمات خود اتخاذ نکرده اند.

بیش از یک سوم از دارندگان کارت آمریکایی به صورت ماهانه از کارتهای اعتباری برای معاملات خود استفاده می کنند. با افزایش شیوع سرقت هویت ، بیش از 1. 1 میلیارد سوابق شخصی به دلیل نقض داده ها و کلاهبرداری کارت اعتباری در معرض دید قرار گرفتند.

این جایی است که انطباق PCI (صنعت کارت پرداخت) وارد می شود - تا اطمینان حاصل شود که کارت های بدهی و کارت اعتباری هر مشاغل از هر نوع کلاهبرداری و سوءاستفاده حفظ می شود ، محافظت می شود و در امان است.

هر دو شرکت کوچک و بزرگ که از معاملات کارت اعتباری استفاده می کنند باید سازگار با PCI باشند تا به مشتریان خود اطمینان دهند که نهاد که آنها با دستگیره و حفاظت از داده های دارنده کارت با حداکثر اولویت استفاده می کنند.

الزامات انطباق PCI به نحوه عملکرد تجارت شما بستگی دارد و در این راهنمای جامع ، ما در مورد نکات کلیدی در برآورده کردن این شرایط برای تجارت شما صحبت خواهیم کرد.

درک انطباق PCI می تواند دشوار باشد. به همین دلیل برای مشاغل مهم است که خود را کاملاً با PCI DSS آشنا کنند و یاد بگیرند که چگونه می توانند پیروی از PCI خود را تنظیم ، بهبود بخشند و حفظ کنند.

PCI DSS چیست؟

PCI DSS (استانداردهای امنیتی داده های صنعت کارت پرداخت) مجموعه ای از استانداردهای امنیت اطلاعات و الزامات برای شرکت ها/بازرگانانی است که داده های دارنده کارت را از طرح های کارت قابل اعتماد پردازش ، ذخیره یا انتقال می دهند.

PCI DSS اطمینان می دهد که شرکت ها از کلاهبرداری در کارت اعتباری جلوگیری کرده و از دارندگان کارت اعتباری در برابر سرقت داده های شخصی محافظت می کنند.

مشاغل به منظور برآورده کردن حداقل الزامات امنیتی توصیه شده برای پرداخت کارت ، به PCI DSS پایبند هستند. به نوبه خود ، این به آنها کمک می کند تا امنیت معاملات کارت خود را تقویت کرده و از نقض احتمالی داده ها و مجازات های عدم رعایت جلوگیری کنند.

PCI DSS در سال 2006 توسط PCI SSC ، یک سازمان مستقل که توسط پنج مارک تجاری و ارائه دهنده کارت اعتباری ایجاد شده است ، تأسیس شد: MasterCard ، Visa ، Discover ، American Express و JCB Inteational.

در حالی که الزامات استاندارد PCI توسط مارک های کارت اجباری شده است ، آنها توسط PCI SSC (شورای استاندارد امنیت PCI) اداره می شوند.

نسخه های PCI DSS

استاندارد PCS DSS در طی سالیان متمادی در حال تحول است ، زیرا مهاجمان سایبری دائماً روشهای جدیدی را برای نقض سیستم های اطلاعاتی مشاغل و سرقت اطلاعات کارت پیدا می کنند.

شورای PCI در پاسخ به این تهدیدهای سایبری به طور فزاینده ای که به طور فزاینده ای پیچیده است ، اصلاحات مداوم را در مورد استاندارد منتشر می کند.

PCI DSS V1. 0

نسخه اول 1. 0 از PCI DSS تلاش ترکیبی از پنج شرکت کارت بود که در دسامبر 2004 مورد استفاده قرار گرفت و در سال 2006 اصلاح و اجرا شد. شرکت ها برنامه های امنیتی جداگانه ای را با ویژگی های مشابه اما هدف روشنی برای امنیت کارت اعتباری داشتند.

نسخه اول برای متحد کردن یک لایه واحد از حمایت از صادرکنندگان کارت در نظر گرفته شده است تا اطمینان حاصل شود که مشاغل سطح امنیتی توصیه شده برای دستیابی به داده های دارنده کارت و داده های احراز هویت حساس را برآورده می کنند.

PCI DSS v2. 0

نسخه دوم ، PCI DSS 2. 0 ، در سال 2011 با Scoping تقویت شده قبل از ارزیابی ، اجرای مدیریت ورود به سیستم ، الزامات اعتبار سنجی پیشرفته برای ارزیابی آسیب پذیری ها و چندین تنظیم جزئی زبان که برای روشن کردن 12 الزامات PCI DSS برای امنیت کارت اعتباری منتشر شده است ، منتشر شد. بشر

PCI DSS v3. 0

PCI DSS V3. 0 با به روزرسانی های جدید همراه بود ، بزرگترین و مهمترین نیاز در مورد بهبود آزمایش نفوذ ، که نیازهای قبلی را برای آزمایش نفوذ تغییر داده است. بازرگانان موظفند از "روش آزمایش قلم پذیرش در صنعت" و همچنین الزامات جدیدتر در مورد تأیید روشهای تقسیم محیط داده های دارنده کارت (CDE) از سایر زیرساخت های فناوری اطلاعات استفاده کنند.

سایر به روزرسانی های کلیدی در PCI DSS 3. 0 شامل موارد زیر است:

  • نگه داشتن موجودی اجزای سخت افزاری و نرم افزاری در CDE که در محدوده PCI DSS و اقدامات استانداردهای اصلاح است
  • محافظت از فناوری ضبط داده روشهای پرداخت ، از جمله دیگر.

PCI DSS v3. 2

PCI DSS V3. 2 در سال 2016 به عنوان یک استاندارد بالغ منتشر شد که فقط مطابق با روش های جدید پرداخت کارت اعتباری و تغییر چشم انداز تهدید سایبری نیاز به تغییرات جزئی دارد.

این توضیحات جدید و به روز شده را با توجه به دستورالعمل های مربوط به فروشندگان ، به روزرسانی های محافظت در برابر سوء استفاده از کارت و اجرای کنترل های امنیتی بهتر برای مهلت های جدید مهاجرت پیرامون حذف SSL/TL ، توضیحات جدید و به روز شده را به 12 الزامات ارائه داد.

PCI DSS V4. 0

در حالی که PCI DSS V3. 2 جدیدترین تکرار استاندارد PCI تا سال 2016 بود ، PCI DSS 4. 0 توسعه داده شد ، توسط صنعت تجدید نظر شد و در آوریل 2022 با تغییرات زیر نهایی شد:

  • اصطلاحات فایروال به روز شده ، روشن و گسترده شده در مورد NSC (کنترل امنیت شبکه) برای انجام تجزیه و تحلیل و سیاست های مناسب بر اساس هر جلسه.
  • اجباری استفاده از MFA (احراز هویت چند عاملی) برای دسترسی محافظت شده به CDE ، به جای اینکه فقط به یک شناسه منحصر به فرد (نام کاربری و رمز عبور) برای افراد دارای امتیاز دسترسی به رایانه نیاز داشته باشید.
  • انعطاف پذیری یک سازمان را تقویت می کند تا آنها بتوانند نمونه ای بهتر از چگونگی بیان استانداردها و اهداف امنیتی برای انطباق PCI را نشان دهند.
  • این امکان را برای شرکت ها برای انجام تجزیه و تحلیل ریسک هدفمند فراهم می کند ، که تصمیم می گیرد تصمیم گیری در مورد چگونگی انجام وظایف را برای آنها آسانتر کند. این به نوبه خود به شرکت ها این امکان را می دهد تا وضعیت امنیتی خود را با نیازهای تجاری خود هماهنگ کنند.

مشاغلی که هنوز از PCI DSS 3. 2 استفاده می کنند ، نباید وحشت کنند. نسخه قدیمی تا مارس 2024 مرتبط خواهد بود و به زمان کافی اجازه می دهد تا با جدیدترین الزامات سازگار شود.

اهمیت انطباق PCI

هکرها به طور فعال در جستجوی نقص های امنیتی در سیستمهایی هستند که اطلاعات مشتری را اداره می کنند و از آنها بهره برداری می کنند تا به داده های مالی ارزشمند دسترسی پیدا کنند. مشاغل باید به سرعت آسیب پذیری های امنیت سایبری را در سیستم ها ، دستگاه ها و شبکه هایی با کارت اعتباری دسترسی و اطلاعات مشتری شناسایی و اصلاح کنند تا خطر نقض داده های گران قیمت را کاهش دهند.

داده ها را می توان از بسیاری از مناطق به سرقت برد ، از جمله: اما محدود به این موارد نیست:

  • خوانندگان کارت ؛
  • پایگاه داده های سیستم پرداخت (سیستم های نقطه فروش) ؛
  • شبکه های بی سیم در فروشگاه های خرده فروشی و دسترسی به روترها ؛
  • داده های کارت پرداخت فیزیکی و سوابق مبتنی بر کاغذ ؛
  • چرخ دستی های خرید آنلاین و برنامه های پرداخت.

گزارش سال 2018 توسط Verizon Payment Security Security اظهار داشت که 52. 5 ٪ از شرکت ها و سازمان ها دارای 100 ٪ انطباق PCI هستند ، در حالی که فقط 39. 7 ٪ از این شرکت ها از آمریکا هستند.

خبر خوب این است که پیروی از PCI در مشاغل طی سالها افزایش یافته است ، با این که Verizon گزارش افزایش 11. 1 ٪ در سال 2012 و افزایش 55. 4 ٪ در سال 2016 را نشان می دهد. با این حال ، در سال 2018 ، تنها 36. 7 ٪ از سازمان ها ارزیابی موقت را به طور کامل تصویب کردند.

انطباق PCI فقط یک طرح کلی از مقررات مربوط به امنیت پرداخت کارت اعتباری را نشان می دهد ، و این یک چارچوب اساسی امنیت سایبری نیست که محافظت کامل از حوادث سایبری را تضمین می کند. انطباق PCI می تواند بسیار پیچیده و وابسته به چندین عامل مانند اندازه سازمان و برنامه های ارائه دهنده خدمات ارائه شده باشد.

با این حال ، انطباق PCI DSS هنوز هم برای مشاغل کوچک و هم بزرگ مهم است. اگرچه اجرای و نگهداری برخی از شرکت ها ممکن است دشوار باشد ، اما مزایای آن را دارد ، یعنی:

  • اجتناب از مجازات های عدم رعایت ،
  • شناسایی نقاط ضعف امنیتی و آسیب پذیری در مورد اطلاعات کارت اعتباری ،
  • حفظ شهرت و اعتماد مشتریان آنها.

آیا انطباق PCI طبق قانون لازم است؟

بر خلاف مقررات مربوط به امنیت سایبری ضروری مانند قانون HIPAA برای بخش های بهداشتی ، پیروی از PCI برای قانون منحصراً مورد نیاز نیست.

برای روشن شدن ، برخی از ایالت های ایالات متحده (نوادا ، مینسوتا و واشنگتن قبلاً PCI DSS را در قوانین خود اجرا کرده اند) که مشاغل باید برای PCI مقررات معادل داشته باشند.

در حالی که قوانینی که انطباق PCI را اجرا می کنند به طور گسترده اتخاذ نشده اند ، این یک استاندارد امنیتی اجباری تلقی می شود زیرا به دلیل مزایایی که به همراه دارد ، به مشاغل بسیار توصیه می شود که از آن پیروی کنند. با اولین تکرار V1. 0 ، انطباق PCI DSS در دسامبر 2004 اجباری شد.

انطباق توسط قراردادهایی که توسط مشاغل امضا شده اند ، اجباری است. مشاغل غیر سازگار به خودی خود قانون را نقض نمی کنند-کشورهایی که رعایت آن توسط قانون اعمال می شود-اما احتمالاً آنها در نقض قرارداد هستند ، به همین دلیل می توانند با اقدامات قانونی روبرو شوند.

این تجارت ممکن است در نهایت توسط مارک های کارت و نهادی که پردازش پرداخت آنها را انجام می دهد ، مجازات شود. این به معنای "اجباری" در این زمینه است.

مجازات های عدم رعایت PCI چیست؟

از نظر فنی ، یک بازرگان به طور مستقیم به دلیل عدم رعایت جریمه نمی شود ، اما پردازنده های پرداخت آنها و/یا مارک های کارت مانند Visa و MasterCard در صورت یافتن کار با یک بازرگان غیر سازگار هستند. در بیشتر موارد ، پردازنده پرداخت به طور خودکار جریمه ها را با نقض به بازرگان منتقل می کند.

جریمه نقض انطباق PCI که توسط مارک های پرداخت (به اختیار آنها) به یک بانک خریداری شده اعمال می شود ، ممکن است از 5000 دلار تا 100000 دلار برای هر ماه که تجارت هنوز به انطباق نرسیده باشد ، متغیر باشد.

علاوه بر این ، این تجارت را می توان با هزینه های 50 تا 90 دلار برای هر مشتری که تحت تأثیر نقض داده قرار گرفته است ، تحمیل کند. برای بانک های بزرگ ، چنین جریمه هایی قابل کنترل است ، اما برای مشاغل کوچک می تواند ورشکستگی را هجی کند.

مشاغل کوچک ممکن است موظف باشند ارزیابی انطباق (با هزینه) را انجام دهند تا ثابت کنند که امنیت کارت آنها از آن زمان بهبود یافته است.

مشاغل اصلی ممکن است موظف باشند ارزیابی های PCI را که توسط اشخاص شخص ثالث انجام می شود ، انجام دهند ، با وجود این که دچار حادثه امنیتی نشده اند.

کدام مشاغل باید با PCI مطابقت داشته باشند؟

انطباق PCI در مورد هر سازمان یا بازرگان (از جمله بازرگانان/سازمان های بین المللی) ، صرف نظر از اندازه یا تعداد معاملات ، اعمال می شود ، که داده های دارنده کارت را می پذیرند ، منتقل می کنند یا ذخیره می کنند.

مشاغل باید مطابق با استانداردهای PCI باشند اگر:

  • آنها سه یا چند معاملات در ماه را پردازش می کنند.
  • از پردازش پرداخت شخص ثالث استفاده کنید.
  • اگر داده های کارت اعتباری علی رغم ذخیره اطلاعات کارت اعتباری ، از سرورهای خود عبور می کند.

حتی مشاغلی که معاملات کارت را از طریق تلفن کنترل می کنند باید PCI را رعایت کنند ، زیرا آنها در دسته مشاغل که داده های دارنده کارت پرداخت را ذخیره می کنند ، پردازش می کنند یا انتقال می دهند.

چگونه مشاغل سازگار با PCI هستند؟

برای مشاغل ، انطباق PCI DSS به تعهدات تعیین شده توسط الزامات PCI اشاره دارد. این موارد توسط شورای استانداردهای امنیتی PCI دیکته شده است ، که دستورالعمل ها و ابزارهای مناسب برای انطباق PCI را در اختیار مشاغل قرار می دهد.

12 الزامات اساسی پیروی از PCI

PCI DSS 12 الزامات فنی و عملیاتی را مشخص می کند که مشاغل لازم است با آن مطابقت داشته باشند. الزامات مربوط به نسخه 4. 0 است ، اما در مورد نسخه 3. 2 نیز اعمال می شود.

آنها به شش گروه مجاور به نام "اهداف کنترل" تقسیم می شوند که به مشاغل نیاز دارند:

  • ایجاد و حفظ یک شبکه امن ؛
  • محافظت از داده های دارنده کارت ؛
  • حفظ یک برنامه مدیریت آسیب پذیری ؛
  • اقدامات کنترل دسترسی قوی را اجرا کنید. به طور منظم؛
  • یک سیاست امنیت اطلاعات را حفظ کنید.

علاوه بر این ، الزامات به طور جداگانه برای توضیح بهتر به سه بخش شرح داده می شوند:

  • اعلامیه مورد نیاز ، که توضیحات اصلی نیاز است.
  • فرآیندهای آزمایش ، که روشهای مناسبی هستند که توسط ارزیابی کننده مشخص شده انجام می شود تا تأیید شود که نیاز به درستی دنبال شده و اجرا می شود.
  • راهنمایی ، که بیشتر هدف و هدف اصلی الزام را توضیح می دهد ، و زمینه ای را ارائه می دهد که می تواند به مشاغل کمک کند تا به درستی تعریف نیاز را تعیین کنند.

اگرچه هر یک از نسخه های PCI DSS مدل جداگانه خود را از شش مورد و زیرمجموعه های مختلف خود دارد ، از زمان اجرای استاندارد ، دوازده مورد نیاز به طور قابل توجهی تغییر نکرده است:

1. کنترل و کنترل امنیت شبکه

به عنوان اولین مرحله از انطباق PCI ، مشاغل موظفند از طریق استفاده از فایروال ها و همچنین بهبود کنترل های امنیتی شبکه ، یک شبکه قوی و ایمن برای محافظت از داده ها را برای جلوگیری از دسترسی غیرمجاز موظف کنند.

2. پیکربندی ایمن را پیاده سازی کنید

مشاغل باید برای کلیه مؤلفه های سیستم خود پیکربندی ایمن داشته باشند.

محصولات شخص ثالث مانند مودم ها ، روترها و سیستم های POS (نقطه فروش) معمولاً دارای رمزهای عبور بسیار آسیب پذیر ، قابل پیش بینی و اقدامات امنیتی ضعیف هستند.

به جای استفاده از رمزهای عبور پیش فرض فروشنده و پارامترهای امنیتی ، مشاغل باید اقدامات امنیتی متناسب و سفارشی داشته باشند.

مدیریت موجودی و تغییر منظم رمزهای عبور به عنوان اقدامات ایمنی اضافی ، به همان اندازه مهم هستند.

3. داده های حساب و نگهدارنده کارت ذخیره شده

این مهمترین نیاز دامنه PCI DSS است.

PCI DSS مورد نیاز 3 تضمین می کند که با نیاز به مشاغل برای اجرای حفاظت دو برابری از داده های دارنده کارت و بهبود روشهای ذخیره سازی ، داده های دارنده کارت از نقض محافظت می شود.

برای انطباق PCI ، کاملاً ضروری است که مشاغل از داده های دارنده کارت مانند PAN ها (شماره حساب اصلی) از دو طریق محافظت کنند:

  • داده های دارنده کارت ذخیره شده با الگوریتم های قوی که با کلیدهای رمزنگاری شده اند ،
  • به طور مرتب آنها را اسکن می کنید تا از داده های احتمالی رمزگذاری نشده جلوگیری شود.

مشاغل می توانند با استفاده از روشهای کوتاه شدن و اصلاح مجدد ، و همچنین هشویی یک طرفه ، رمزگذاری قوی تابه را تضمین کنند ، که باعث می شود خواندن تابه هنگام ذخیره سازی غیرممکن باشد.

الزامات انطباق PCI شماره 3 همچنین شامل سیاست های نگهداری و ذخیره سازی داده ها است ، و به مشاغل نیاز دارد تا چه مدت و چه بارها داده های دارنده کارت را ذخیره کنند.

در حالی که تمام داده های نگهدارنده کارت ذخیره شده باید رمزگذاری شوند ، رمزگذاری برای رعایت نیاز به شماره 3 PCI DSS کافی نیست. مشاغل همچنین باید پس از اتمام کد مجوز ، کدهای تأیید کارت را پنهان کنند (CVC ؛ با CVSS اشتباه گرفته نشوند) و شماره های شناسایی شخصی (PIN).

4- در هنگام انتقال داده های دارنده کارت ، رمزنگاری را بهبود بخشیده اید

این نیاز مشاغل را قادر می سازد تا از داده های کارت در هنگام استراحت (ذخیره) و در حین حرکت (در حین انتقال) در شبکه های باز و باز محافظت کنند.

داده های دارنده کارت از طریق چندین کانال مانند پردازنده های پرداخت و خانه ها سفر می کند و باید به درستی رمزگذاری شود ، در حالی که شماره حساب هرگز نباید به اشتراک گذاشته شود.

5. بهبود و حفظ محافظت در برابر بدافزار

انواع بدافزار و سایر روشهای مخرب هکرها می توانند برای دستیابی به داده های محافظت شده استفاده کنند.

مشاغل موظفند با بهبود ، به روزرسانی و حفظ نرم افزار آنتی ویروس خود در کلیه دستگاههای استفاده از PAN ، دائماً هوشیار باشند.

بسیاری از ارائه دهندگان POS وجود دارند که دارای نرم افزار ضد بدافزار و آنتی ویروس هستند که ممکن است از نصب مستقیم برای محافظت بیشتر جلوگیری کنند.

6. سیستم ها و برنامه ها را به روز و نگهداری کنید

مشاغل باید اطمینان حاصل کنند که فایروال ها ، نرم افزار ضد ویروس و سایر نرم افزارها در همه زمان ها به روز می شوند. جدیدترین تکه ها در برابر آسیب پذیری ها و بانکهای اطلاعاتی ویروس که اخیراً کشف شده اند محافظت می کنند.

7. محدود کردن دسترسی دیجیتال به داده های دارنده کارت

شرکت ها باید دسترسی به داده های دارنده کارت را محدود کنند و آن را منحصراً بر اساس نیاز به دانستن داشته باشند. این یکی از مهمترین مراحل برای حفظ امنیت قوی برای داده ها و سوابق مالی است.

اشخاص و پرسنل بدون دسترسی به این اطلاعات در اولویت قرار ندارند به هیچ وجه دسترسی ندارند. در اصل ، اگر آنها نیازی به دسترسی به داده های حساس ندارند ، نباید و نباید آن را داشته باشند.

علاوه بر این ، مواردی که کارمندان و اشخاص دارای دسترسی مجاز به استفاده و دسترسی به داده ها باید به خوبی کنترل و ضبط شوند.

8. محدود کردن دسترسی فیزیکی به داده های دارنده کارت

هکرها تنها دلیل سرقت داده ها نیستند - همچنین می تواند "آفلاین" به سرقت برود. بنابراین ، انواع داده های دارنده کارت باید به درستی ذخیره و از آنها در یک مکان محافظت شده محافظت شود. این به معنای داده های فیزیکی و دیجیتال است.

برای رعایت این کنترل ، مشاغل باید اقدامات امنیتی مناسب ، مانند محیط های محافظت شده با دوربین مدار بسته را در امتداد و پرسنل امنیتی انجام دهند.

9. یک شناسه منحصر به فرد برای هر کاربر معتبر اختصاص دهید

افراد با دسترسی به داده های دارنده کارت و مؤلفه های سیستم باید دارای اعتبار فردی و شناسایی معتبر باشند ، یعنی یک شناسه منحصر به فرد.

کاربران مجاز باید شناسه دسترسی خود را داشته باشند. تحت هیچ شرایطی نباید از یک ورود به سیستم توسط کارمندان مختلف استفاده شود. این امر به سیستم های امنیتی اجازه می دهد تا کاربران مجاز را به درستی شناسایی و نظارت کنند و همچنین محافظت در برابر دسترسی غیرمجاز را بهبود بخشند.

علاوه بر این ، این می تواند به پزشکی قانونی کمک کند که آیا کاربر داده های نادرست یا به خطر افتاده را به وجود آورده است یا خیر.

10. نظارت و گزارش هنگام دسترسی به منابع شبکه و داده های دارنده کارت

به عنوان یک نیاز نادیده گرفته و به طور مداوم نقض شده ، شرکت ها باید به طور جدی روند ورود و نظارت بر منابع شبکه و داده های دارنده کارت را در نظر بگیرند.

مشاغل باید هر زمان که به داده های دارنده کارت دسترسی داشته باشد ، همراه با ورودی های ورود به سیستم از فعالیت PAN ، سیاهههای مربوط را ایجاد و نگهداری کنند.

برای سازماندهی بهتر ، حفاظت و نمای کلی ، تمام داده های موجود در یک شرکت باید دقیقاً مستند شوند - چگونه و چرا اداره می شود ، جایی که ذخیره می شود ، و کجا حرکت می کند.

11. آزمایشات مکرر را برای سیستم های امنیتی ، فرآیندها ، شبکه ها و دستگاه ها انجام دهید

مشاغل باید به طور مرتب اسکن و آزمایش آسیب پذیری را برای شبکه ها ، فرآیندها و سیستم های امنیتی انجام دهند تا از نقص عملکرد ، سوء استفاده از داده ها ، خطاهای محل کار و سوء رفتار کارمندان جلوگیری کنند.

12. ایجاد ، پیاده سازی و حفظ سیاست های امنیتی اطلاعات برای امنیت اطلاعات

مشاغل باید امنیت اطلاعاتی را که توسط سیاست ها و برنامه های سازمانی مورد توجه قرار می گیرد ، ایجاد ، پشتیبانی ، انتشار و سالانه حفظ کنند. این کار با توجه به تغییر محیط خطر انجام می شود.

یک سیاست جامع امنیت اطلاعات باید موارد زیر را شامل شود:

  1. هدف
  2. حضار
  3. اهداف امنیت اطلاعات
  4. سیاست کنترل و کنترل دسترسی
  5. طبقه بندی داده ها
  6. پشتیبانی و عملیات داده ها
  7. آموزش آگاهی از امنیت
  8. مسئولیت ها و وظایف کارمندان

سطح انطباق PCI DSS (سطح بازرگان)

قبل از تنظیم انطباق خود ، مشاغل ابتدا باید سطح بازرگان خود را تعیین کنند.

شرکت های کارت اعتباری به سطح اعتبار سنجی خود در انطباق PCI پایبند هستند. این سطح براساس تعداد معاملات کارت و پرداخت سالانه فرآیندهای تجاری است.

آنها به چهار سطح بازرگان تقسیم می شوند:

  • بازرگان سطح 1: پردازش بیش از 6 میلیون معاملات
  • بازرگان سطح 2: پردازش بین 1-6 میلیون معاملات
  • بازرگان سطح 3: پردازش بین 20،000-1 میلیون معاملات
  • بازرگان سطح 4: پردازش کمتر از 20،000 معاملات

برای یافتن لیست مناسب از 12 مورد نیاز PCI و پرسشنامه PCI ، ابتدا باید مشاغل در سطح انطباق مرتب شوند.

به طور کلی ، معیارهای اعمال شده بر اساس موارد تعیین شده توسط ویزا و مسترکارد ، مارک های کارت پرداخت غالب خواهد بود.

اسناد فعلی PCI DSS را می توان در وب سایت شورای استاندارد امنیت PCI یافت.

جزئیات بیشتر در مورد انطباق PCI و کدام یک از الزامات و پرسشنامه ها متناسب با تجارت شما می توانید در وب سایت بازرگانان PCI ، راهنمای شروع کار و راهنمای مرجع سریع آنها پیدا کنید.

حسابرسی انطباق PCI DSS

هر یک از پنج عضو اصلی کارت اعتباری PCI SSC استانداردهای امنیتی داده های خاص خود را دارند. برای دستیابی به انطباق PCI DSS ، سازمان ها همچنین باید حسابرسی CDE (محیط داده دارنده کارت) را تکمیل کنند.

یک محیط داده دارنده کارت بخشی از مشاغل است که داده های دارنده کارت را کنترل می کند. با حسابرسی CDE خود ، مشاغل می توانند استاندارد امنیتی PCI خود را نشان دهند و همچنین پیروی از 12 الزامات مربوط به انطباق داشته باشند.

ممیزی CDE را می توان از طریق:

SAQ (پرسشنامه خود ارزیابی)

مشاغل باید پرسشنامه SAQ یا خود ارزیابی را به برند پرداخت یا خریدار (بانک بازرگان) ارسال کنند.

این پرسشنامه ها به عنوان چک لیست برای انطباق PCI خدمت می کنند ، و آنها به آشکار کردن هرگونه آسیب پذیری و ناسازگاری در زیرساخت های کارت اعتباری سازمان و همچنین الزاماتی که هنوز برآورده نشده اند ، کمک می کند.

آنها در نه نوع متناسب با منحصر به فرد قرار می گیرند. به عنوان مثال ، "پرسشنامه نوع A" برای شرکت هایی است که معاملات را صرفاً از طریق اشخاص شخص ثالث پردازش می کنند ، در حالی که "پرسشنامه نوع B" برای پایانه های پرداخت آنلاین مستقل است.

بازرگانان باید با بانک یا مارک پرداخت خود مشورت کنند تا مشخص کنند که آیا آنها موظف هستند یا مجاز به پر کردن هستند.

مشاغل می توانند پرسشنامه خود ارزیابی جداگانه خود (SAQ) را انجام داده و پر کنند و یا آن را از طریق QSA معتبر (ارزیابی کننده امنیت کیفیت) ارائه دهند.

انتخاب پرسشنامه مناسب برای تجارت بستگی به محیط کسب و کار و سطح بازرگان دارد.

اسکن آسیب پذیری خارجی

مشاغل باید هر 90 روز یک بار از یک اسکن آسیب پذیری خارجی و غیر احتمالی که توسط یک ASV (فروشنده اسکن تأیید شده) انجام شده است ، طی کنند.

اسکن آسیب پذیری برای بررسی شبکه های مشاغل و برنامه های وب استفاده می شود. همچنین این دستگاه و پیکربندی نرم افزار را برای هرگونه آسیب پذیری از طریق آدرس های IP ، پورت ها ، خدمات و همچنین رابط های GUI و فن آوری های منبع باز بررسی می کند.

ROC (گزارش مربوط به انطباق)

کلیه بازرگانان ویزای سطح 1 (و برخی از بازرگانان سطح 2) که در حال انجام یک حسابرسی PCI هستند ، باید ROC را تکمیل کنند یا گزارش خود را در مورد انطباق گزارش دهند تا انطباق آنها را تأیید کنند.

این گزارش می تواند توسط یک QSA (ارزیابی کننده امنیتی واجد شرایط) یا توسط ISA (ارزیابی کننده امنیت داخلی) تکمیل شود.

پس از پرسشنامه تکمیل شده ، یک اسکن آسیب پذیری با یک فروشنده اسکن PCI SSC تأیید شده (ASV) و AOC ارسال شده (تأیید انطباق) به خریداران خود ، بازرگان سرانجام گواهی انطباق PCI را دریافت می کند که می تواند به شرکای تجاری و مشتریان ارائه شود.

نمره دهی انطباق PCI و CVS

مشاغل می توانند ببینند که چگونه آنها الزامات را برآورده می کنند و مطابق با ارزیابی یک ASV دارای مجوز شورا (فروشندگان اسکن شده) ، که یک سرویس امنیتی داده است ، می تواند مشاغل را برای آسیب پذیری در یک برنامه سه ماهه اسکن کند.

اسکن بر اساس CVSS (سیستم امتیاز دهی آسیب پذیری مشترک) است که یک استاندارد باز صنعت است ، به عنوان معیار اصلی ارزیابی. این محاسبه معیارهای پایه است که خطر امنیت شبکه آسیب پذیری را محاسبه می کند.

یک CVSS آسیب پذیری ها را در مقیاس 0 تا 10 تعیین می کند. هرچه نمره بالاتر باشد ، خطر شدیدتر خواهد بود. اگر مؤلفه های امنیتی شبکه خود دارای آسیب پذیری با نمره پایه CVSS باشد که پایین تر از 4. 0 باشد ، یک بازرگان سازگار با PCI در نظر گرفته می شود.

با حفظ نمره خوب انطباق PCI ، مشاغل می توانند سایر مقررات امنیت سایبری ، استراتژی های امنیت سایبری و دستورالعمل ها را آماده یا برآورده کنند.

کتاب آموزش بورس...
ما را در سایت کتاب آموزش بورس دنبال می کنید

برچسب : نویسنده : ژیلا توفیقی بازدید : 58 تاريخ : دوشنبه 29 اسفند 1401 ساعت: 13:53