سازگاری PCI چیست؟

چه یک استارتاپ، یک شرکت تجارت الکترونیک یا یک شرکت بزرگ، تا زمانی که تراکنش های کارت اعتباری را انجام می دهید، باید از استاندارد امنیت داده صنعت کارت پرداخت (PCI DSS) آگاه باشید و از آن پیروی کنید.

از آنجایی که تجارت آنلاین و فناوری پرداخت آنلاین همچنان در حال رشد هستند، باید با قوانین و مقررات جدیدی همراه شوند تا اطمینان حاصل شود که هم کسب و کار و هم مشتریان امن و مطمئن هستند.

در این زمینه، پنج شرکت بزرگ کارت اعتباری به عنوان شورای استاندارد امنیتی PCI (PCI SSC) گرد هم آمدند و PCI DSS را برای محافظت از اطلاعات دارندگان کارت و کاهش کلاهبرداری توسعه دادند. PCI DSS برای کاهش خطر از دست دادن اطلاعات کارت بدهی و اعتباری با تعریف مجموعه ای از قوانین و بهترین شیوه ها برای جلوگیری از سرقت اطلاعات، شناسایی نقض ها و واکنش به نشت داده ایجاد شده است.

انطباق با PCI DSS می تواند برای بازرگانان جدید، اجراکنندگان راه حل ها یا هر کسی که برای اولین بار به دنبال صدور گواهینامه است، کاری دلهره آور باشد. این مقاله قصد دارد به شما کمک کند تا با قوانین، بهترین شیوه ها و فرآیندهای دریافت گواهینامه PCI DSS آشنا شوید. اگر تجارت شما در حال پردازش تراکنش های کارت های American Express، Visa، MasterCard، Discover یا JCB است، باید با PCI DSS آشنا باشید. اگر از یک ارائه دهنده SaaS برای تراکنش ها استفاده می کنید، احتمالاً با PCI DSS سازگار هستند و نیازی به انجام کارهای زیادی نخواهید داشت، اما مهم است که بدانید انطباق PCI چیست.

سازگاری PCI DSS چیست؟

انطباق با PCI DSS برای اطمینان از اینکه همه بازرگانان و هر کسی که داده های کارت اعتباری را مدیریت می کند، می تواند به طور ایمن آن را در طول تراکنش بپذیرد، انتقال دهد، پردازش و ذخیره کند، ضروری است.

هر بازرگانی که اطلاعات کارت اعتباری را مدیریت می کند، صرف نظر از اینکه اطلاعات کارت اعتباری را از طریق یک پایانه فیزیکی یا آنلاین انجام می دهد، باید با PCI DSS مطابقت داشته باشد. این الزامات از ایجاد سیاست های امنیت داده ها و رفتار کارکنان تا حذف اطلاعات کارت اعتباری از سیستم پردازش و پایانه های پرداخت پس از تکمیل تراکنش متغیر است.

آیا شرکت شما به انطباق PCI DSS نیاز دارد؟

انطباق PCI DSS برای هر سازمانی - صرف نظر از اندازه، صنعت یا تعداد تراکنش ها - که داده های دارنده کارت را می پذیرد، انتقال می دهد یا ذخیره می کند، اعمال می شود. با این حال، الزامات انطباق PCI DSS بسته به حجم تراکنش های انجام شده توسط یک کسب و کار متفاوت است.

به طور خاص، هر سازمانی که اطلاعات کارت اعتباری را می پذیرد، بر اساس حجم تراکنش ویزا در طول دوازده ماه در یکی از چهار سطح قرار می گیرد. این حجم با استفاده از تعداد کل تراکنش های ویزا (شامل اعتبار، بدهی و پیش پرداخت) از یک تاجر Doing Business As (DBA) یا هر تاجری که یکی از شرکت های تابعه یک DBA است محاسبه می شود.

سطوح PCI DSS به صورت زیر تعریف می شوند:

• سطح 1: برای هر بازرگانی، صرف نظر از کانال پذیرش، که بیش از شش میلیون تراکنش در سال را پردازش می کند، اعمال می شود، یا هر تاجری که ویزا تشخیص می دهد باید سطح 1 را برای به حداقل رساندن خطر برای شبکه ویزا تعیین کند.
• سطح 2: برای هر پردازش تجاری از یک تا شش میلیون تراکنش در سال اعمال می شود.
• سطح 3: برای هر پردازش تجاری از بیست هزار تا یک میلیون تراکنش تجارت الکترونیک در سال اعمال می شود.
• سطح 4: برای هر بازرگانی که کمتر از بیست هزار تراکنش تجارت الکترونیک در سال را پردازش می کند، و برای سایر بازرگانانی که حداکثر یک میلیون تراکنش ویزا را در سال پردازش می کنند، اعمال می شود.

شایان ذکر است که معاملات تجارت الکترونیک آستانه تراکنش کمتری نسبت به بازرگانان خرده فروشی محض دارند به دلیل افزایش احتمالی ریسک که می تواند هنگام پردازش معاملات تجارت الکترونیک رخ دهد.

علاوه بر این، هر کسب و کاری که در گذشته دچار نقض داده شده است ممکن است به سطح اعتبار سنجی بالاتر ارتقا یابد.

نحوه به دست آوردن و حفظ انطباق PCI DSS

به دست آوردن انطباق PCI DSS یک فرآیند دقیق است که می تواند به پنج مرحله تقسیم شود:

سطح PCI DSS خود را تعیین کنید: بر اساس سطوح تعریف شده در بالا، بازرگانان باید خود ارزیابی کنند و سطح انطباق را انتخاب کنند. برای مثال، بازرگانی که بیش از شش میلیون تراکنش در سال را پردازش می کنند، باید سطح 1 را انتخاب کنند، آن هایی که بین یک تا شش میلیون تراکنش در سال هستند، سطح 2 هستند، و آن هایی که بین بیست هزار تا یک میلیون تراکنش در سال هستند، سطح 3 هستند. هر چیزی کمتر ازکه سطح 4 است.

جریمه های عدم رعایت PCI DSS را بدانید: عدم رعایت PCI DSS به عنوان یک تاجر به این معنی است که شما موظف به پرداخت جریمه به PCI SSC خواهید بود. جریمه ها می تواند شامل جریمه، افزایش کارمزد پردازش کارت اعتباری، تحریم بانک ها، و در بدترین حالت، قطع کامل توانایی پردازش پرداخت ها باشد.

پرسشنامه خود ارزیابی را تکمیل کنید: پرسشنامه PCI SSC بسته به نحوه پردازش و کنترل اطلاعات کارت اعتباری متفاوت خواهد بود. در هر صورت ، همیشه شامل یک سری سؤالات بله یا بدون هیچ است که برای ارزیابی چگونگی پیروی از نیازهای PCI DSS طراحی شده است.

ایجاد و حفظ یک شبکه ایمن: مرحله بعدی برای هر مشاغل اطمینان از شبکه و سیستم های درگیر در کنترل داده های کارت اعتباری است. برای این مرحله ، بیشتر مشاغل باید از یک پیمانکار فناوری اطلاعات متخصص استفاده کنند که می تواند به آنها اعتماد کند و از نظر ایده آل تجربه در انطباق PCI DSS دارد.

به عنوان بخشی از این مرحله ، مهم است که اطمینان حاصل کنید که دوازده مورد نیاز مشخص شده توسط PCI DSS برآورده شده است که در بخش بعدی به تفصیل پوشش داده شده است. علاوه بر این ، سازمان ها ملزم به درگیر کردن یک فروشنده اسکن تأیید شده (ASV) هستند. این سازمان ها واجد شرایط و توسط PCI SSC شناخته می شوند. آنها برای یافتن شکاف های امنیتی ، نقص ها و هر بردارهای دیگری که مهاجمان می توانند از آنها برای به خطر انداختن سیستم هایی که اطلاعات کارت اعتباری دارند ، می توانند از آنها استفاده کنند ، ممیزی انجام می دهند.

توجه: اسکن های امنیتی باید هر سه ماه (نود روز) تکمیل شوند تا سازگار و به روز باشند.

1. تصدیق انطباق را پر کنید: آخرین مرحله برای به دست آوردن انطباق PCI DSS ، پر کردن گواهی انطباق (AOC) است. این سند - که باید به PCI SSC ارسال شود - نشان می دهد که بازرگان الزامات PCI DSS را برآورده کرده است. بسیار توصیه می شود که یک ارزیابی کننده امنیتی واجد شرایط قبل از ارسال آن به PCI SSC ، AOC را بررسی کنید.

در این مرحله ، شما تمام کارها را انجام داده اید و تمام مدارک مورد نیاز برای سازگار با PCI DSS را ایجاد کرده اید.

الزامات PCI DSS

دوازده الزامات PCI DSS مجموعه ای از کنترل های امنیتی است که مشاغل برای محافظت از داده های کارت اعتباری و مطابق با PCI DSS ، نیاز به اجرای مشاغل دارند. آنها را می توان به شرح زیر خلاصه کرد:

نصب و نگهداری فایروال برای محافظت از شبکه در برابر دسترسی غیرمجاز: فایروال یک سیستم امنیتی شبکه است که از شبکه در برابر دسترسی غیرمجاز محافظت می کند. این سیستم ها اولین خط دفاع در برابر هکرها و سایر متجاوزان است.

از استفاده از پیش فرض های فروشنده برای تنظیمات پیکربندی و رمزهای عبور خودداری کنید: هر چیزی از روترها ، مودم ها ، پایانه های فروش فیزیکی (POS) و سایر دستگاه هایی که برای پذیرش اطلاعات کارت اعتباری استفاده می شوند نباید در تنظیمات و مقادیر پیش فرض باقی بمانند، زیرا این می تواند امنیت شبکه را به خطر بیاندازد. به همین ترتیب ، هر سیستم نرم افزاری که اطلاعات کارت اعتباری را می پذیرند نیز باید پیکربندی شوند تا به همین دلیل از استفاده از تنظیمات و مقادیر پیش فرض جلوگیری شود.

از داده های نگهدارنده کارت ذخیره شده در برابر دسترسی غیرمجاز محافظت کنید: این شرط این است که اطمینان حاصل شود که تمام داده های کارت اعتباری رمزگذاری شده و در متن ساده ذخیره نمی شوند که در آن می توان توسط کاربران غیرمجاز به آن دسترسی پیدا کرد. در حالت ایده آل ، اطلاعات کارت اعتباری به هیچ وجه نباید ذخیره شود و فقط برای پردازش معاملات استفاده می شود.

رمزگذاری داده های دارنده کارت از طریق شبکه: هنگامی که داده های دارنده کارت از طریق یک شبکه ارسال می شود ، صرف نظر از اینکه شبکه خصوصی باشد یا عمومی ، باید رمزگذاری شود. این امر برای اطمینان از خواندن داده ها توسط کاربران غیرمجاز است.

استفاده و به طور مرتب نرم افزار آنتی ویروس را به روز کنید: نصب و نگهداری نرم افزار حفاظت از ویروس یک گام مهم برای اطمینان از محافظت از شبکه از ویروس ها و سایر نرم افزارهای مخرب است. این امر در مورد هر سیستمی که با اطلاعات کارت اعتباری ارتباط برقرار کرده یا با آنها ارتباط برقرار می کنند ، صدق می کند.

توسعه و نگهداری سیستم ها و برنامه های ایمن: هر نرم افزاری که ممکن است اطلاعات کارت اعتباری را کنترل کند ، باید برای اطمینان از امنیت آن تهیه و نگهداری شود. به عنوان مثال ، برنامه های تجارت الکترونیکی که به کاربران امکان معامله آنلاین را می دهند ، باید به طور مکرر حسابرسی و بررسی شوند.

دسترسی به داده های دارنده کارت را به پرسنل مجاز محدود کنید: داده های دارنده کارت باید به سناریوهای "نیاز به دانستن" محدود شود. هر نقشه ای که نیاز به دسترسی به این اطلاعات داشته باشد باید به خوبی مستند و به طور مرتب حسابرسی شود.

یک شناسه منحصر به فرد را به هر شخص با دسترسی به رایانه اختصاص دهید: یک شناسه منحصر به فرد باید به هر کارمندی که به داده های دارنده کارت دسترسی دارد اختصاص یابد. این امر برای اطمینان از وجود همه موارد دسترسی به داده های دارنده کارت وجود دارد. برآورده کردن این نیاز شامل شرکتها مستند و نظارت بر جریان داده ها در سازمان است.

دسترسی فیزیکی به داده های دارنده کارت را به پرسنل مجاز محدود کنید: رسانه فیزیکی که در آن داده ها ذخیره می شود (به عنوان مثال ، داده های دارنده کارت ذخیره شده در یک هارد دیسک) باید ایمن باشد. مثال دیگر یک مرکز داده است که باید کنترل های امنیتی فیزیکی داشته باشد و برای دسترسی غیرمجاز کنترل شود.

پیگیری و نظارت بر همه دسترسی به داده های دارنده کارت: کلیه فعالیتهایی که با داده های دارنده کارت رخ می دهد باید ردیابی و کنترل شود ، مانند تعداد دفعات دسترسی به داده ها ، تاریخ و زمان دسترسی ، آدرس IP رایانه ای که به آن دسترسی پیدا کرده استداده ها ، و نوع دسترسی.

به طور مرتب سیستم ها و فرآیندهای امنیتی را مرور و به روز کنید: ده مورد قبلی شامل کنترل های امنیتی ، فرآیندها و محصولات نرم افزاری است و امنیت فیزیکی و دیجیتال را پوشش می دهد. این الزامات باید به طور مرتب بررسی و به روز شوند تا امنیت شبکه حفظ شود.

حفظ مستندات خط مشی: سرانجام ، مهم است که یک سند سیاست به روز را حفظ کنید که کنترل ها و فرآیندهای امنیتی را توصیف می کند. این سند باید به طور مرتب بررسی و به روز شود تا امنیت شبکه حفظ شود.

اگرچه این الزامات می تواند پیچیده و چالش برانگیز به نظر برسد ، اما با استفاده از ابزارهایی مانند Teleport می توانید بسیاری از مراحل انطباق را خودکار کنید. Teleport به سازمانها اجازه می دهد تا کلیه جنبه های زیرساخت ها و دسترسی به شبکه (اتصال ، احراز هویت ، مجوز و حسابرسی) را تثبیت کنند ، الزامات مربوط به پیگیری و نظارت ، محدودیت دسترسی و امنیت برنامه ها و سیستم ها را بسیار ساده می کنند.

مزایای انطباق PCI DSS چیست؟

در حالی که رعایت PCI DSS ممکن است در ابتدا دلهره آور به نظر برسد ، انطباق تأثیر زیادی در تجارت دارد و مدتهاست که از یک مزیت خوب و خوب به یک نیاز ضروری می گذرد.

انطباق PCI DSS مزایای بسیاری دارد:

این امنیت را افزایش می دهد: انطباق PCI DSS سطح امنیتی را که بالاتر از میانگین صنعت است و به مشتریان شما سیگنال می دهد ، می تواند برای محافظت از اطلاعات کارت اعتباری خود به شما اعتماد کند.

این شهرت تجاری شما را بهبود می بخشد: سازگاری با پردازنده های پرداخت و سایر موسسات مالی ، اعتبار تجاری شما را بهبود می بخشد.

این امر به امنیت مالی جهانی کمک می کند: سازگار با PCI DSS به این معنی است که تجارت شما در سیستم جهانی امنیت کارت اعتباری کمک می کند.

این امر رعایت سایر آیین نامه های مهم را تسهیل می کند: انطباق PCI DSS گامی در جهت درست برای مشاغل است که باید با سایر مقررات مانند HIPAA و GDPR رعایت کنند.

نتیجه گیری در مورد سازگار با PCI

در طول این مقاله، متوجه شدید که PCI DSS چیست، اهمیت و مزایای انطباق با PCI DSS، مراحلی که برای سازگاری باید برداشته شود و دوازده مورد نیاز PCI DSS.

یکی از راه حل های قدرتمندی که کسب و کارها می توانند برای ساده سازی اجرای انطباق PCI DSS از آن استفاده کنند Teleport است. Teleport که مورد اعتماد شرکت هایی مانند Auth0 است، یک پلتفرم واحد است که ابزارهایی برای اتصال، ایمن کردن و ممیزی زیرساخت های فناوری اطلاعات در اختیار شما قرار می دهد. Teleport با درگاه منبع باز SSH خود، شرکت های فناوری اطلاعات را قادر می سازد تا به طور ایمن به زیرساخت های فناوری اطلاعات خود دسترسی داشته باشند و آن ها را مدیریت کنند، و این کار را برای آنها آسان تر می کند تا شرایط انطباق PCI DSS را برآورده کنند.

Teleport به چندین شرکت FinTech کمک کرده است تا استانداردهای انطباق مانند SOC 2، PCI و FedRAMP را دریافت کنند.

می توانید امروز Teleport را امتحان کنید تا زیرساخت ها را بیشتر ایمن کنید و در عین حال امکان بهره وری بالاتر را در تیم های نرم افزاری خود فراهم کنید.