PCI DSS 101 – تمام زمینه ای که برای درک PCI DSS لازم دارید – قسمت 1


PCI DSS 101 – تمام زمینه ای که برای درک PCI DSS لازم دارید – قسمت 1
چیست و چرا مهم است؟
استاندارد امنیت داده صنعت کارت پرداخت به عنوان لیستی جامع از اقدامات و فرآیندهای بهترین روش برای مدیریت ، پردازش ، ذخیره و انتقال داده های کارت پرداخت طراحی شده است.
PCI DSS در پاسخ به افزایش تعداد موارد سرقت و سو misاستفاده از جزئیات کارت پرداخت ، توسط شرکتهای کارت پرداخت مانند Visa و MasterCard فرموله شده است. اولین نسخه PCI DSS در دسامبر 2004 منتشر شد و اقدامات گسترده ای را برای اطمینان از محافظت از داده های کارت پرداخت لازم است.
اقدامات در 12 بخش PCI DSS خلاصه شده است اما یک نمای کلی از سطح بالا را می توان به 3 قسمت اصلی تقسیم کرد
• اقدامات امنیتی فعال فناوری (دیوارهای آتش ، سیستم های تشخیص نفوذ ، ضد ویروس ، نظارت بر یکپارچگی پرونده ، رمزگذاری داده ها)
• بهترین روش های امنیتی IT (پوشاندن اطلاعات کارت در داخل برنامه ها ، “سخت شدن” پیکربندی ، به روزرسانی منظم رمز عبور و کلیدهای امنیتی ، اسکن های منظم آسیب پذیری و تست های نفوذ ، بررسی تمام گزارش های امنیتی و حسابرسی)
• بهترین شیوه های امنیت عمومی (مانند اقدامات امنیتی فیزیکی ساختمان و آگاهی پرسنل از اقدامات امنیتی فناوری اطلاعات)
امروزه شورای استانداردهای امنیتی PCI توسط بزرگترین مارکهای کارت پرداخت تأسیس شده و ارگانی است “مسئول توسعه ، مدیریت ، آموزش و آگاهی از استانداردهای امنیتی PCI”.
12 نقطه PCI DSS
آخرین نسخه PCI DSS نسخه 2.0 است. همان 12 نسخه اصلی مورد نیاز نسخه های قبلی استاندارد را حفظ می کند ، که به نوبه خود به بیش از 250 کنترل تقسیم می شوند – استاندارد کامل را می توان در دسترس داشت اما نسخه زیر خلاصه “ساده انگلیسی” است

* از فایروال استفاده کنید – به طور معمول سیستم های اصلی “پردازش داده های کارت” از شبکه شرکت ها جدا از هر نوع فایروال خارجی رو به اینترنت با استفاده از فایروال داخلی جدا می شوند.

* دسترسی امن سیستم از طریق سخت شدن پیکربندی – برای دسترسی به سیستم از گذرواژه های غیر پیش فرض ، SSL / TLS و SSH استفاده کنید ، سرویس ها و پروتکل های غیر ضروری را غیرفعال کنید تا دسترسی به حداقل برسد

* برای اطمینان از غیرقابل خواندن داده ها در صورت سرقت ، از پوشاندن و رمزگذاری داده های دارندگان کارت استفاده کنید ، اما فقط تا آنجا که ممکن است داده های کمی ذخیره کنید

* هنگام انتقال از طریق شبکه های عمومی ، از رمزگذاری برای هر داده دارنده کارت استفاده کنید

* از نرم افزار ضد ویروس که مرتباً به روز می شود استفاده کنید

* افزایش امنیت ذاتی همه سیستم ها از طریق سخت شدن پیکربندی ، یعنی حذف آسیب پذیری های شناخته شده از طریق وصله گذاری و تنظیمات پیکربندی

* برای به حداقل رساندن دسترسی به سیستم داده دارندگان کارت بر اساس دقیق “نیاز به دانستن” ، از کنترل های هویت و دسترسی به مدیریت استفاده کنید

* اختصاص دادن شناسه منحصر به فرد به هر کاربر و احراز هویت قوی

* درهای خود را قفل کنید – از اقدامات امنیتی فیزیکی برای محدود کردن دسترسی به سیستم هایی مانند قفل درب ، نشان خوان و دوربین فیلمبرداری استفاده کنید

* ردیابی و نظارت بر دسترسی به همه منابع شبکه و داده های دارندگان کارت – پشتیبان گیری متمرکز از رویداد و مسیرهای حسابرسی ویژه ، مخصوصاً برای ورود

* یک تست آسیب پذیری و تست نفوذ توسط یک فروشنده اسکن تایید شده دریافت کنید که هر 3 ماه یک بار انجام می شود و پس از آن تغییر قابل توجهی در شبکه انجام می شود. برای محافظت از سیستم های مهم و پرونده های پیکربندی ، از نظارت بر یکپارچگی پرونده استفاده کنید

* سیاست اطمینان اطلاعات را اتخاذ کنید تا اطمینان حاصل شود که از اهداف PCI DSS توسط همه کارمندان و پیمانکاران قدردانی می شود
بنابراین چه کسی دقیقاً مشمول PCI DSS است؟
صرف نظر از اینکه هزینه ملموس کلاهبرداری با کارت پرداخت در واقع چقدر است ، برای هیچ بازرگان کارت چاره ای جز رعایت PCI DSS نیست. با بازار صادراتی ایران این وجود ، بار اثبات انطباق شما با استاندارد با توجه به حجم معاملات در حال پردازش متفاوت است.
هر تاجر شماره های حساب اصلی (PAN) را ذخیره ، پردازش یا انتقال می دهد باید با PCI DSS مطابقت داشته باشد.
پردازش اغلب یکی از واجد شرایط ترین موارد است که از این طریق ، یک کامپیوتر شخصی که برای دسترسی به یک درگاه پرداخت آنلاین امن استفاده می شود ، هنوز هم می تواند به عنوان “در محدوده” PCI DSS تعریف شود ، به این معنی که حتی سازمان های کوچک هنوز تحت PCI DSS هستند. به عنوان مثال ، تکنیک های “اسکیمینگ” کارت به طور گسترده ای خواننده کارت یا دستگاه ورودی PIN یا از طریق نرم افزار نصب شده روی رایانه شخصی است که تراکنش را انجام می دهد.
PAN باید غیرقابل خواندن باشد در حالی که نام دارنده کارت ، کد خدمات و تاریخ انقضا می تواند در قالب قابل خواندن ذخیره شود.
داده های کارت که کاملاً نباید ذخیره شوند شامل می شوند
• داده های Track 1 and Track 2 (تمام دارنده کارت و داده های کارت در دو آهنگ روی نوار مغناطیسی کارت و تراشه تعبیه شده روی کارت های تراشه و پین ذخیره می شوند)
• مقدار تأیید کارت (CVV – به طور معمول سه رقمی که روی نوار امضای کارت چاپ می شود) و البته
• داده های PIN (شماره پین ​​کارت که برای اجازه تراکنش در کارت Chip و PIN استفاده می شود)
همه تراکنش های کارت از جمله معاملات تجارت الکترونیکی نشان دهنده یک خطر است. برای بازرگانان ویزا ،
سطح 1 – بازرگانانی که سالانه بیش از 6 میلیون تراکنش را پردازش می کنند ، نیاز به ارزیابی امنیت داده PCI و اسکن سه ماهه شبکه در محل دارند. ارزیابی های داخلی ممکن است به صورت داخلی یا توسط یک ارزیابی کننده امنیت مجاز یا QSA انجام شود.
سطح 2 – بازرگانانی که سالانه 1 میلیون تا 5999999 تراکنش را پردازش می کنند ، برای تکمیل ارزیابی خود و انجام اسکن های سه ماهه شبکه مورد نیاز هستند.
سطح 3 – بازرگانانی که سالانه 20،000 تا 1،000،000 معاملات تجارت الکترونیکی را پردازش می کنند برای تکمیل ارزیابی خود و انجام اسکن های شبکه ای سه ماهه مورد نیاز هستند.
بازرگانان سطح 4 سالانه کمتر از 20000 معامله تجارت الکترونیکی را پردازش می کنند و همه بازرگانان سالانه حداکثر 1،000،000 معامله VISA را انجام می دهند و لازم است سالانه خود ارزیابی و اسکن های امنیتی سالانه را انجام دهند.

دیدگاه‌ها

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *