تخطي إلى المحتوى

Exabeam Confronts AI Insider Threats Extending Behavior Detection and Response to OpenAI ChatGPT and Microsoft Copilot — Read the Release.

احصل على عرض توضيحي

تدقيق PCI: المتطلبات وخطوات التحضير لتدقيقك

  • 8 minutes to read

فهرس المحتويات

    ما هو تدقيق PCI؟

    مجلس معايير أمان PCI (SSC)، الذي يمثل شركات المعالجات والشركات المالية ومطوري البرمجيات والبائعين والتجار، قام بتطوير معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS). الامتثال لمعيار PCI يهدف إلى منع التعرض والاستخدام غير المشروع لمعلومات حاملي البطاقات ومعلومات بطاقات الائتمان.

    للتعامل مع معاملات بطاقات الائتمان اليوم، يجب على جميع مزودي خدمة الإنترنت والتجار إظهار التزام مستمر بحماية معلومات حاملي بطاقات الائتمان من الاستخدام والوصول غير المصرح به. يقوم تدقيق PCI بفحص مدى فعالية ممارسات الأمان في مؤسستك ويضمن معالجة بيانات بطاقات الائتمان وفقًا لإرشاداتهم من البداية إلى النهاية.

    خلال هذه العملية، سيقوم مقيم الأمان الداخلي (ISA) أو مقيم الأمان المؤهل الخارجي (QSA) بمراجعة نجاح طرق التحكم في أمان بيانات مؤسستك. لكي تتأهل، يجب أن يلتزم نظام الدفع الخاص بك بـ 281 معيارًا محددًا في معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS). يجب على جميع مقدمي الخدمات والتجار الامتثال لهذه المعايير، إذا كانوا يخزنون ويعالجون بيانات حاملي البطاقات بشكل مباشر.

    ملاحظة: المعلومات التي تم مناقشتها في هذه المقالة وعلى هذه الصفحة مخصصة للنقاش التعليمي فقط وتحتوي على معلومات عامة بحتة تتعلق بالقضايا التجارية والقانونية وغيرها. لا تعتبر توجيهات قانونية ويجب ألا تُعتبر كذلك. المعلومات في هذه المقالة مقدمة "كما هي" خالية من أي ضمانات أو تمثيلات، ضمنية أو صريحة. نحن لا نقدم أي ضمانات أو تمثيلات فيما يتعلق بمحتوى هذه المقالة وجميع المسؤوليات المتعلقة بالأفعال التي تم القيام بها أو لم يتم القيام بها فيما يتعلق بمحتوى هذه المقالة يتم التنصل منها صراحة. يجب ألا تعتبر المعلومات في هذه المقالة بديلاً عن المشورة القانونية من مزود خدمة قانونية محترف أو محامٍ. إذا كان لديك سؤال معين حول أي قضية قانونية، يجب عليك الاتصال بمحاميك أو مزود خدمة قانونية محترف آخر. قد تتضمن هذه المقالة روابط لمواقع طرف ثالث مختلفة. هذه الروابط هي فقط لراحة المستخدم أو المتصفح أو القارئ؛ نحن لا نؤيد أو نوصي بالمعلومات من أي مواقع ويب طرف ثالث.

    حول هذا Explainer:

    هذا المحتوى هو جزء من سلسلة حولالتوافق مع معايير PCI.

    القراءة الموصى بها:ما هو SIEM، ولماذا هو مهم و 13 قدرة رئيسية.

    متطلبات تدقيق PCI

    إذا كانت منظمتك ملزمة بتقديم تقرير PCI DSS أو اجتياز تدقيق داخلي، فهناك قواعد معينة يجب عليك الالتزام بها. اعتمادًا على المستوى الذي تم تصنيف منظمتك به، قد يُطلب منك:

    • قم بتوظيف جهة معتمدة (QSA) من قبل معايير أمان بيانات بطاقات الدفع (PCI DSS) لإجراء تدقيق داخلي على سياسات الأمان والضوابط والممارسات الخاصة بك، فيما يتعلق ببيئة بيانات حاملي البطاقات (CDE).
    • قم بتزويد المدقق الداخلي في منظمتك بشهادة وتدريب PCI SSC كـ ISA حتى يتمكن الأفراد من إجراء تدقيقات PCI DSS كل عام.
    • تلبية متطلبات التدقيق حتى يتمكن المدقق المعتمد (ISA أو QSA) من تقديم تقرير الامتثال (ROC) إلى البنك المشتري.
    • تأكد من الامتثال حتى موعد التدقيق السنوي التالي، من خلال إجراء اختبارات التحكم، وفحوصات الثغرات، واختبارات الاختراق بانتظام للتأكد من أن شبكاتك وأنظمتك تحافظ على أمان بيانات حاملي بطاقات الائتمان والخصم.
    تعلم المزيد:

    اقرأ شرحنا المفصل حول متطلبات PCI DSS.

    من يجب عليه إجراء تدقيق وفقًا لمعيار PCI DSS؟

    يجب على جميع مقدمي الخدمات والتجار الذين يقومون بمعالجة أو قبول أو نقل أو الاحتفاظ بمعلومات بطاقات الخصم أو بطاقات الائتمان الالتزام بقواعد PCI DSS. يتطلب ذلك تنفيذ منهجية أمان المعلومات تحتوي على 281 توجيهًا و12 متطلبًا أساسيًا.

    يجب أن يتم تدقيق التجار الذين يعالجون أكثر من مليون أو 6 ملايين معاملة بطاقة دفع سنويًا (قد يختلف هذا وفقًا لعلامات البطاقات التي تعترف بها) ومقدمي الخدمات الذين يحتفظون أو ينقلون أو يعالجون أكثر من 300,000 معاملة بطاقة سنويًا من أجل الامتثال لمعيار PCI DSS.

    بالنسبة للتجار الذين يتعاملون مع كمية صغيرة من البيانات، يُعتبر ملء استبيان التقييم الذاتي (SAQ) وإكمال شهادة الامتثال (AOC) كافياً عادةً.

    بغض النظر عن حجم ونوع المنظمة، يجب على جميع مقدمي الخدمات والتجار الذين كانوا ضحايا لاختراقات البيانات التي كشفت معلومات بطاقات الدفع أن يخضعوا لتدقيق سنوي في الموقع لضمان الامتثال لمعايير PCI.

    تعلم المزيد:

    اقرأ شرحنا المفصل حول مستويات الامتثال لمعيار PCI.

    كيف يعمل تدقيق PCI DSS؟

    الهدف الرئيسي من التدقيق هو اكتشاف عدم الامتثال، وتقديم الإرشادات حول كيفية استعادة الامتثال، وإظهار أنك قد عالجت جميع المشكلات.

    الخطوة الأولية تتضمن العثور على جهة معتمدة مناسبة (QSA) لإجراء التدقيق. فقط الجهات المعتمدة (QSAs) مسموح لها بإجراء التدقيقات - حيث يتم التحقق منها من قبل مجلس PCI للتأكد من معرفتها بمعايير أمان البيانات.

    أسهل وسيلة للعثور على QSA هي من خلال اختيار واحد من قائمة موقع PCI. يُنصح بالتحدث مع عدد من QSAs، حيث إن ليس جميعهم لديهم نفس مستوى الخبرة. يجب ألا توظف شركة تدعي أنها QSA إذا لم تظهر في قائمة PCI. مثل هذه الشركات إما ستبيع لك خدمات مختلفة أو ستقوم بتعهيد متطلباتك.

    بمجرد أن يكون المدقق في الموقع، سيقوم بالتحقق من مجالات مختلفة في منظمتك. قد يشمل ذلك بيئة بيانات حاملي البطاقات، التي تتضمن أي مكونات أو أجهزة أو شبكات أو تطبيقات تعالج أو تنقل أو تحتفظ بمعلومات حاملي البطاقات. كما تتضمن إجراءاتك وسياساتك التي توضح كيفية استخدام هذه الأنظمة.

    مدقق PCI مسؤول عن منع تعرض معلومات حاملي البطاقات للخطر، وليس عن معاقبة مؤسستك. طالما أنك تبقى متفاعلاً ومتعاوناً، سيخبرك المدقق بكيفية التحسين وسيساعدك في هذه العملية.

    لإجراء هذه التغييرات بشكل فعال، يمكنك ترشيح قائد للامتثال من منظمتك. سيكون هذا الشخص مسؤولاً عن الامتثال، ولكن يجب أن يكون لديه أيضاً القدرة على إحداث التغيير في فرقك.

    نصائح من الخبير

    Steve Moore

    ستيف مور هو نائب الرئيس ورئيس استراتيجيات الأمن في إكزبيم، يساعد في تقديم الحلول لاكتشاف التهديدات وتقديم المشورة للعملاء بشأن برامج الأمن والاستجابة للاختراقات. وهو مضيف بودكاست "The New CISO Podcast"، و عضو في Forbes Tech Council، ومؤسس مشارك لـ TEN18 at Exabeam.

    من خلال تجربتي، إليكم نصائح لتحضير أفضل واجتياز تدقيق PCI DSS، مع بناء وضع أمني أقوى:

    ابدأ بمراجعة شاملة لنطاق العمل.

    تأكد من تعريف بيئة بيانات حامل البطاقة (CDE) بدقة. يؤدي عدم تحديدها بشكل صحيح إلى عدم الامتثال أو تعقيدات غير ضرورية في التدقيق. قم بتضمين تدفقات البيانات والأنظمة المتصلة والخدمات الخارجية في مراجعتك.

    استخدم التوثيق القائم على الأدوار أثناء التدقيق.

    توفير وثائق مخصصة لأدوار التدقيق المختلفة (مثل مديري تكنولوجيا المعلومات ومديري الأعمال) لإظهار أن الضوابط تُطبق بشكل متسق. المواد المعتمدة على الأدوار تسهل التواصل مع المدقق.

    اعتماد المراقبة المستمرة للامتثال

    لا تعتبر PCI حدثًا لمرة واحدة. استخدم أدوات مثل SIEM وإدارة التكوين لمراقبة الامتثال على مدار السنة، مع الإبلاغ عن المشكلات المحتملة قبل التدقيق.

    بناء مستودع للأدلة

    قم بتركيز الأدلة مثل السياسات والإجراءات وتكوينات النظام وسجلات المراقبة. استخدم أدوات يمكنها توليد تقارير جاهزة للتدقيق تلقائيًا لتوفير الوقت أثناء جمع الأدلة.

    اختبر ضوابط الوصول قبل التدقيق.

    تأكد من أن جميع ضوابط الوصول (مثل أقل امتياز، معرفات فريدة، والمصادقة الثنائية) تعمل كما هو مطلوب. اختبر بانتظام أنه لا توجد حسابات غير ضرورية لها وصول إلى موارد CDE.

    5 خطوات للتحضير لتدقيق PCI DSS الخاص بك

    قبل أن تخضع لتدقيق PCI، تأكد من أنك تقوم باتخاذ الممارسات التالية.

    قم بتقييم حالة امتثالك لمعيار PCI DSS من خلال تحليل الفجوات.

    قد لا تكون متوافقًا هذا العام، حتى لو اجتازت اختبار التوافق في العام السابق. قد تعمل المنظمات جنبًا إلى جنب مع جهة تقييم معتمدة في وقت مبكر للتأكد من أنها تظهر التوافق مع معايير PCI DSS.

    قد تستغرق إجراءات تدقيق الامتثال لمعيار PCI DSS في الموقع وقتًا لإنشائها إذا لم تكن مستعدًا. للبدء، يمكن للمدقق المعتمد (QSA) إجراء تدقيق مسبق لمؤسستك لاكتشاف ما إذا كنت تقوم بأي شيء لا يتماشى مع متطلبات PCI DSS. بعد ذلك، يمكن للمدقق المعتمد إجراء تحليل للفجوات المتعلقة بمعيار PCI DSS.

    يمكن أن يساعدك هذا في تطوير استراتيجية امتثال أكثر فعالية (بما في ذلك الفعالية من حيث التكلفة). كما يمكن أن يساعدك في تحديد أي فجوات قبل أن يتم تدقيقك حتى تتمكن من اتخاذ الإجراءات اللازمة قبل تدقيق PCI DSS في الموقع.

    قم بتجميع سجلاتك والبيانات ذات الصلة.

    يجب عليك توثيق جميع الاحتياطات والأنشطة المتعلقة بالسلامة حتى يتمكن المدققون من العثور بسهولة على المشكلات المحتملة. كلما كانت سجلاتك أكثر تفصيلاً، كانت عملية التدقيق أكثر سلاسة وسرعة.

    تعتبر بعض المنظمات أن التوثيق عملية مزعجة ومتطلبة. ومع ذلك، فإن التوثيق المفصل يحمي المنظمة، خاصة عندما تذكر بوضوح طرق الأمان الخاصة بك. من المثالي أن تتحقق من أن جميع مستنداتك محدثة بانتظام.

    يجب أن تحتوي وثائقك على معلومات حول بروتوكولات التشفير، وإجراءات تأمين معلومات البطاقة المخزنة، وطرق إدارة المفاتيح. تُظهر هذه السجلات أن المؤسسة تفي بمتطلبات الامتثال ولديها طرق منظمة ومراقبة لضمان الاستمرار في تلبية متطلبات التدقيق.

    إذا قامت منظمتك بتغيير سياساتها أو طرق بيانات البطاقات، يرجى تحديث الوثائق الخاصة بك وفقًا لذلك، حيث إن هذه التغييرات قد تؤثر على حالة امتثالك لمعايير PCI.

    قم بتقييم مستوى المخاطر لديك.

    الهدف المركزي من الامتثال لمعايير PCI هو تقليل احتمالية خروقات بطاقات الائتمان. خطوة أولى جيدة يمكن أن تتخذها المنظمة هي رسم العلاقة بين نظام معالجة المدفوعات والبنية التحتية لتكنولوجيا المعلومات. هذا يسمح لك بالحصول على صورة واضحة عن الثغرات المحتملة التي تهدد أصول منظمتك.

    يتضمن تحليل المخاطر مستويات المخاطر للأصول الحيوية من الأجهزة والبرمجيات في المؤسسة. سيساعدك ذلك في إنشاء قائمة بالإجراءات التي يجب اتخاذها ومتى يجب اتخاذها. تحتاج إلى معيار حتى تعرف كيف تحسن أمانك.

    اختبر بنيتك التحتية بشكل منتظم.

    قم بإدارة بيئة البيانات الحساسة (CDE) بشكل استباقي. يمكن لاستشاريي أمن المعلومات ومدققي الأمن السيبراني وQSA مساعدتك في الامتثال لمعايير PCI DSS وحماية الأمان لديك.

    يجب عليك إجراء الاختبارات المذكورة هنا واتباع التدابير اللازمة وفقًا للنتائج التي تحصل عليها:

    • اختبارات تطبيقات الويب– يتطلب إجراء اختبارات تطبيقات الويب السنوية لتلبية متطلبات التقرير والاختبار لمتطلبات PCI DSS رقم 6.6.
    • فحوصات الثغرات– تقيم أنظمة الشبكة الخارجية الخاصة بك عبر مزود مسح معتمد للامتثال لمتطلبات PCI DSS رقم 11.2. خطط لإجراء مسح ASV كل ثلاثة أشهر.
    • فحوصات ثغرات الشبكة المحلية– تتيح لك عزل الثغرات في الشبكة المحلية. يجب عليك إجراء فحوصات ثغرات الشبكة المحلية على أساس ربع سنوي.
    • اختبارات الاختراق– يجب عليك إجراء اختبار اختراق سنوي للامتثال لمتطلبات PCI DSS رقم 11.3.

    استشر خبراء من طرف ثالث

    غالبًا ما يكون من المنطقي العمل مع طرف ثالث. كل منظمة لديها تركيزها وخبرتها الخاصة - من خلال التعاون مع طرف ثالث، يمكنك الحصول على وجهة نظر جديدة حول المنهجيات الحالية. من المرجح أن يكون لدى الخبراء الخارجيين المسافة اللازمة لتشكيل تقييم موضوعي.

    يمكنك اختيار تفويض الأنشطة التالية:

    • تحليل الشيفرة المصدرية
    • مراجعة قواعد جدار الحماية
    • تحديث الوثائق
    • اكتشاف ومعالجة الثغرات

    كيف يمكن لنظام إدارة معلومات الأمان (SIEM) أن يساعد في تدقيقك

    إليك عدة طرق يمكن لتكنولوجيا إدارة معلومات الأمن والأحداث (SIEM) أن تساعدك في تدقيق PCI الخاص بك:

    جمع السجلات

    يتطلب معيار PCI DSS من الشركات مراقبة مستمرة لوسائل الأمان المدمجة في بيئة البيانات الحساسة الخاصة بها. على وجه الخصوص، يتعلق المطلب 10 من PCI DSS بمراقبة الشبكات، بينما يتعلق المطلب 11.5 بتنفيذ آليات اكتشاف التغييرات.

    تعتبر هذان الجانبان مهمين بشكل خاص للامتثال لمعايير PCI، لأن سجلات النظام تمكّن من التحقيق والاستجابة خلال الأحداث الأمنية. يمكن أن تساعد حلول SIEM في تحقيق هذه الأهداف من خلال جمع السجلات من جميع الضوابط الأمنية داخل المؤسسة ومراقبة هذه البيئات بشكل مستمر.

    إنشاء تقارير

    بالإضافة إلى جمع السجلات ومراقبة الأنظمة والشبكات، يمكن لحلول SIEM توفير التقارير الدورية اللازمة للتدقيق. كما يمكن لأدوات SIEM إطلاق تنبيهات عند اكتشاف أنشطة مشبوهة معينة - عادةً الحوادث التي قد تعرض بياناتك للخطر.

    مراقبة المستخدمين

    يتطلب PCI من المنظمات الحفاظ على ضوابط المستخدمين. إليك كيف يمكن أن يساعد نظام إدارة معلومات الأمان (SIEM):

    • قم بتطوير سيناريو لنظام إدارة معلومات الأمان (SIEM) لأي حدث يؤدي إلى حذف أو تعديل أو إضافة بيانات اعتماد المستخدمين، والمعرفات، وأي كائنات تعريفية أخرى.
    • راقب جميع أحداث المصادقة التي قام بها جميع المستخدمين الذين تم إنهاء خدماتهم.
    • راقب جميع أنشطة الوصول المتعلقة بالحسابات غير النشطة.

    جمع سجلات مضادات الفيروسات

    يتطلب معيار PCI DSS من المنظمات نشر وصيانة حلول مكافحة الفيروسات بشكل مستمر. يمكن لأدوات SIEM أن تساعد في تحقيق هذه الأهداف من خلال مساعدة المنظمات في جمع سجلات مكافحة الفيروسات. كما يمكن أن تساعد في تحديد قائمة بجميع الخدمات والمنافذ غير الآمنة التي تم العثور عليها أثناء تشغيل المكالمة.

    بالإضافة إلى ذلك، يمكن للمنظمات دمج بيانات من أطراف ثالثة، ثم السماح لأداة SIEM باكتشاف جميع البروتوكولات والخدمات والمنافذ المعروفة بوجود ثغرات أمنية.

    تحقيق متطلبات السيطرة

    إليك عدة طرق يمكن أن يساعد بها نظام إدارة معلومات الأمان (SIEM) في تلبية متطلبات التحكم:

    • جمع سجلات النظام
    • تقييد الوصول إلى المستخدمين الذين لديهم صلاحيات إدارية أو صلاحيات الجذر فقط.
    • تمكين التدقيق في ملفات التدقيق والتحقق من الأحداث المتعلقة بالوصول.
    • تنبيهك كلما تم حذف أو إنشاء كائنات على مستوى النظام، بما في ذلك قواعد البيانات أو الإجراءات المخزنة أو الجداول.
    • إصدار تنبيهات كلما توقفت خدمات التدقيق على مضيف الامتثال.

    الامتثال لمعيار PCI مع نظام إدارة معلومات وأحداث الأمان (SIEM) من منصة دمج أمني.

    نظام إدارة معلومات وأحداث الأمان (SIEM) من منصة دمج أمني، هو حل سحابي يجمع بين نظام إدارة معلومات وأحداث الأمان التقليدي ونهج فعال قائم على النتائج لتلبية متطلبات الكشف عن التهديدات والاستجابة للحوادث (TDIR)، من خلال اكتشاف التهديدات باستخدام تحليلات السلوك، وأتمتة جهود الكشف والتحقيق والاستجابة. يمكن أن يدعم نظام Fusion SIEM قوائم التحقق من الامتثال لمعيار PCI والحوكمة من خلال مساعدتك:

    • الكشف عن جميع الحسابات المميزة والمشتركة والتنفيذية والسيطرة عليها.
    • تأكد من أن المستخدمين لديهم وصول فقط إلى الأنظمة المناسبة، واكتشف أي انتهاكات.
    • تتبع ومراقبة جميع الحسابات المميزة، الإدارية، والتنفيذية، بالإضافة إلى الوصول غير المعتاد إلى الأنظمة الحساسة.
    • تحديد جميع المستخدمين بشكل فريد، حتى لو حاولوا إخفاء هويتهم من خلال تغيير الأجهزة أو الحسابات.
    • تحليل وتحديد جميع السلوكيات الشاذة، سواء من حسابات مميزة أو عادية أو حسابات آلية، ثم تنبيه ومساعدة في التحقيق في هذه الأنشطة.
    • قدّم تقارير PCI الجاهزة لمساعدة فريق التدقيق الخاص بك في تحقيق أهداف الامتثال.

    تعلم المزيد عن إكزابييم

    تعرف على منصة Exabeam ووسع معرفتك في أمن المعلومات من خلال مجموعتنا من الأوراق البيضاء، البودكاست، الندوات، والمزيد.