أمان PCI: 7 خطوات لتحقيق الامتثال لمعايير PCI

إذا كانت عملياتك التجارية تعالج مدفوعات بطاقات الائتمان، يجب عليك الامتثال لمعايير PCI DSS. تحتوي معايير الأمان PCI على 12 متطلبًا قد تبدو بسيطة، لكنها مقسمة إلى مئات من المتطلبات الفرعية التفصيلية.

يتطلب الامتثال لمعايير أمان PCI تبني والالتزام بسياسة أمان معلومات صارمة information security. تعرف على ما هو الامتثال لمعايير PCI. بما في ذلك قائمة مرجعية للامتثال لمعايير PCI وخطوات أساسية يمكن أن تساعدك في أن تصبح متوافقًا مع PCI.

القراءة الموصى بها:ما هو SIEM، ولماذا هو مهم و 13 قدرة رئيسية.

ما هو امتثال PCI؟

PCI هو اختصار لصناعة بطاقات الدفع. معيار PCI DSS (معيار أمان بيانات صناعة بطاقات الدفع) هو مبادرة تدعمها شركات بطاقات الائتمان والتجار، والتي توفر استراتيجية موحدة لحماية معلومات مستخدمي بطاقات الائتمان. تهدف هذه المبادرة إلى مكافحة الاحتيال المرتبط ببطاقات الائتمان والانتهاكات الأمنية ذات الصلة.

ثلاثة أعمدة لمعايير أمان PCI

تطبق معايير PCI DSS على جميع الشركات، بغض النظر عن حجمها، التي تقبل مدفوعات بطاقات الائتمان. تحتوي معايير أمان PCI على ثلاثة أعمدة رئيسية:

1. مركّز على بيانات بطاقات الائتمان– يجب على الشركات التي تتعامل مباشرة مع بيانات بطاقات الائتمان الالتزام بأكثر من 300 متطلب محدد في معيار أمان PCI (منظم في 12 متطلبًا عالي المستوى). الشركات التي لا تتعامل مباشرة مع بيانات البطاقة تحتاج إلى الالتزام بمتطلبات أمان أقل، حيث يتم التعامل مع البيانات الحساسة من قبل أطراف ثالثة ولا يتم تخزينها من قبل الشركة.
2. حماية البيانات المخزنة– يجب على الشركات التي تخزن بيانات حاملي البطاقات فصل الأنظمة التي تتفاعل مع بيانات حاملي البطاقات عن العمليات التجارية الأخرى. خلاف ذلك، سيتعين عليهم تطبيق تدابير أمان معيار PCI على جميع منصاتهم.
3. التحقق السنوي– يجب على الشركات التي تتعامل مع بطاقات الائتمان ملء نموذج تحقق PCI سنويًا. تشمل العوامل التي تؤثر على تحقق PCI عدد المعاملات المعالجة سنويًا، وما إذا كانت الشركة قد تعرضت لخرق. قد تطلب أطراف أخرى من الشركة تقديم شهادة التحقق الخاصة بها.

مستويات الامتثال لمعايير PCI

هناك أربعة مستويات للامتثال لمعيار PCI. يتم تعيين مستوى للأعمال بناءً على عدد المعاملات السنوية التي تعالجها. قد تختلف الأرقام قليلاً بين شركات بطاقات الائتمان.

• المستوى 1– أكثر من 6 ملايين معاملة، أو عمل تعرض للاختراق
• المستوى 2– بين 1 و 6 مليون معاملة
• المستوى 3– بين 20,000 و 1 مليون معاملة على الإنترنت
• المستوى 4– أقل من 20,000 معاملة على الإنترنت أو أقل من 1 مليون معاملة باستخدام بطاقات فعلية

تُطلب من الأعمال من المستوى 1 إجراء تدقيق داخلي سنوي، وفحص PCI ربع سنوي يتم بواسطة بائع خارجي معتمد. بعد الانتهاء من التدقيق، يعود الأمر إلى العمل لمعالجة نقاط الضعف الخاصة به. يجب على الأعمال التي تقع تحت المستويات 2-4 إجراء تقييم ذاتي سنوي باستخدام استبيان محدد. قد يُطلب منها أيضًا إجراء فحص PCI ربع سنوي.

نصائح من الخبير

ستيف مور هو نائب الرئيس ورئيس استراتيجيات الأمن في إكزبيم، يساعد في تقديم الحلول لاكتشاف التهديدات وتقديم المشورة للعملاء بشأن برامج الأمن والاستجابة للاختراقات. وهو مضيف بودكاست "The New CISO Podcast"، و عضو في Forbes Tech Council، ومؤسس مشارك لـ TEN18 at Exabeam.

من خلال تجربتي، إليك بعض النصائح التي يمكن أن تساعدك في تحقيق والحفاظ على الامتثال لمعيار PCI بشكل فعال:

تحسين نطاق PCI من خلال تغييرات في سير العمل التجاري.

قم بتقييم وتقليل تعرض عملك لبيانات حاملي البطاقات من خلال اعتماد التشفير من نقطة إلى نقطة (P2PE) واستخدام معالجات الدفع من طرف ثالث. هذا يقلل من الأنظمة في نطاق PCI الخاص بك، مما يقلل من التعقيد والمخاطر.

تنفيذ مراقبة حقيقية على عناصر التحكم الرئيسية لمعايير PCI

استخدم الأتمتة لمراقبة الامتثال لمعايير PCI الأساسية، مثل تكوينات جدران الحماية، سجلات الوصول، ومعايير التشفير. نفذ تنبيهات لرصد الانحرافات على الفور، مما يسمح بالتدخل السريع.

قم بإجراء تمرين لتخطيط تدفق البيانات بانتظام.

تجاوز التعيين الأولي لتدفقات بيانات بطاقات الائتمان. قم بتحديث هذه الخريطة سنويًا أو بعد أي تغييرات كبيرة في النظام لضمان عدم إنشاء مسارات جديدة غير مقصودة للبيانات الحساسة.

اعتماد ممارسات تطوير البرمجيات الآمنة

إذا كانت منظمتك تطور تطبيقات تتعامل مع بيانات الدفع، فقم بدمج متطلبات PCI DSS في دورة حياة تطوير البرمجيات (SDLC). استخدم أدوات لاختبار أمان التطبيقات بشكل ثابت وديناميكي (SAST/DAST).

استثمر في عملية قوية لإدارة التغيير.

تأكد من أن جميع التغييرات المتعلقة بأنظمة PCI تخضع لاختبارات صارمة وعمليات موافقة لتجنب إدخال تكوينات غير متوافقة أو ثغرات بشكل غير مقصود.

كيفية تحقيق الامتثال لمعايير PCI: 12 متطلبًا من معايير أمان PCI

لكي تصبح متوافقًا مع معيار PCI، يجب عليك تلبية 12 متطلبًا من متطلبات الامتثال لمعيار PCI، والتي تتوزع على 300 متطلب فرعي. تشمل متطلبات الامتثال لمعيار PCI التالية أنظمة الأمان، والعمليات التنظيمية، والاختبارات، والسياسات التي يمكن أن تساعد في حماية بيانات حاملي البطاقات.

تم تلخيص متطلبات الامتثال لمعيار PCI الاثني عشر أدناه:

1. الحفاظ على جدار الحماية– يحمي بيانات حاملي البطاقات داخل الشبكة المؤسسية
2. يجب أن تكون كلمات المرور فريدة– قم بتغيير كلمات المرور بشكل دوري، ولا تستخدم الافتراضية
3. حماية البيانات المخزنة– تنفيذ تدابير مادية ورقمية لتجنب خروقات البيانات
4. تشفير نقل بيانات حامل البطاقة عبر الشبكات العامة– يجب تشفير البيانات، ويجب ألا تقوم أبداً بتخزين بيانات التحقق من البطاقة
5. مضاد الفيروسات– استخدم وقم بتحديث مضاد الفيروسات بانتظام على جميع الأنظمة التي تحتوي على بيانات حساسة
6. تطوير وصيانة أنظمة وتطبيقات آمنة– البحث بنشاط عن الثغرات وإصلاحها
7. تقييد الوصول إلى بيانات حاملي البطاقات– يجب أن تكون البيانات الحساسة متاحة على أساس الحاجة إلى المعرفة لتقليل الضعف
8. تقييد الوصول إلى مكونات النظام– يجب أن تكون الأنظمة التي تحتوي على بيانات حساسة متاحة فقط مع المصادقة وتحديد هوية المستخدم بشكل واضح
9. تقييد الوصول المادي إلى بيانات حاملي البطاقات
10. تتبع ومراقبة الوصول إلى موارد الشبكة وبيانات حاملي البطاقات– لتوفير سجل تدقيق والمساعدة في التحقيقات المتعلقة بالاختراقات
11. اختبر أنظمة الأمان والعمليات بانتظام– حدد نقاط الضعف وقم بإصلاحها
12. سياسة الأمان– الحفاظ على سياسة واضحة تعالج أمن المعلومات لجميع الأفراد

قائمة التحقق من الامتثال لأمان PCI

اتبع هذه العملية لضمان توافق مؤسستك مع معايير PCI:

1. تحديد مستوى PCI– اكتشف عدد المعاملات التي تعالجها سنويًا، ثم قارنها بمتطلبات كل شركة بطاقة ائتمان تخطط لدعمها.
2. رسم خريطة تدفق بيانات حاملي البطاقات– بما في ذلك التطبيقات والأنظمة والأشخاص الذين يعملون مع بيانات بطاقات الائتمان. يجب تضمين جميع منصات الدفع الائتماني وأنظمة التخزين التي تحتوي على بيانات البطاقات. عادةً ما يتم ذلك بمساعدة موظفي تكنولوجيا المعلومات.
3. املأ استبيان التقييم الذاتي (SAQ)– ال SAQ هو أداة تستخدم للتحقق من الامتثال لمعايير PCI، والتي تتحقق مما إذا كانت أعمالك تلبي كل من المتطلبات الـ 12 المذكورة أعلاه (المُنظمة في 6 تدابير تحكم)؛ كل متطلب مُقسم إلى خطوات أصغر. يجب على عملك تلبية جميع المتطلبات ليكون متوافقًا. إذا كنت عملًا من المستوى 1 في PCI، فسيقوم مدقق معتمد من PCI بالتحقق من امتثالك.
4. املأ شهادة الامتثال (AOC)– هذه الوثيقة تختلف حسب مستوى الامتثال لمعايير PCI لعملك. تضمن AOC أنك تفي بكل خطوة من خطوات الامتثال لمعايير PCI.
5. قم بإجراء مسح للثغرات– يمكنك توظيف بائعين معتمدين (ASVs) لمسح الثغرات الأمنية والتأكد من أنك تلبي جميع المعايير. يمكنك أن تقرر ما إذا كنت بحاجة إلى ASV بناءً على نتائج SAQ الخاصة بك.
6. تقديم المستندات– قد تحتاج إلى تقديم مستندات بما في ذلك تقارير AOC و SAQ و ASV للبنوك وشركات بطاقات الائتمان، إلخ.
7. المراقبة– قد تتغير أعمالك والبنية التحتية والبيانات التي تخزنها مع كل فحص أمني. لذلك، من الضروري مراقبة الامتثال بشكل مستمر على مدار العام. يجب أن يكون هناك فريق أمني مسؤول عن المراقبة والاستجابة للثغرات والتهديدات.

شهادة PCI DSS مقابل الامتثال: ما الفرق؟

شهادة PCI هي في الأساس مشابهة للامتثال - فهي تتطلب من عملك الالتزام بنفس 12 متطلبًا، وفقًا لمستوى PCI الخاص بك. الفرق هو أن:

• التوافق مع PCI طوعي ويعتمد على التقييم الذاتي، أو تقييم خارجي خفيف يستغرق أقل من شهر.
• شهادة PCI هي عملية أطول بكثير يمكن أن تستغرق ما يصل إلى 6 أشهر، وتتضمن تحقيقًا معمقًا من قبل مقيم أمان مؤهل (QSA) لمعرفة ما إذا كانت شركتك تلبي كل واحد من المئات من المتطلبات الفرعية لمعيار PCI DSS.

هل تحتاج إلى شهادة PCI كاملة؟

إذا كنت شركة من المستوى الأول في PCI، فإن الإجابة هي نعم. إذا لم تكن كذلك، فلست ملزمًا بإجراء شهادة PCI، ولكن يمكنك اختيار القيام بذلك. العديد من الشركات تحصل على شهادة PCI لزيادة ثقة العملاء والأطراف الثالثة في معايير أمان المعلومات الخاصة بها.

فوائد الالتزام بمعايير PCI DSS

للالتزام بمعايير PCI DSS بعض المزايا الرئيسية:

• يقلل من المخاطر– يحمى الامتثال لمعايير PCI الأعمال من الاختراقات. وفقًا لدراسة أجرتها شركة Verizon، فإن الشركات الملتزمة أكثر عرضة بنسبة 50% للنجاح في مواجهة محاولات الاختراق.
• يزيد من ثقة العملاء– من المرجح أن يقوم العملاء بالشراء، خاصة على الإنترنت، من الشركات التي تستثمر في أمان البيانات وتكون متوافقة مع معايير PCI.
• يساعد في تجنب التكاليف الإضافية– قد تتعرض شركتك لغرامة من البنك إذا حدث خرق، وقد تحتاج إلى استبدال بطاقات الائتمان أو تعويض العملاء. عدد أقل من الخروقات يعني مخاطر أقل من الغرامات. إذا تعرضت شركتك لخرق، سيتم ترقيتك إلى مستوى PCI 1 وسيتعين عليك إجراء شهادة كاملة ومكلفة.
• يتماشى مع معايير الصناعة– يضمن الامتثال لمعايير PCI DSS أن تطبق الشركات في كل مكان نفس معايير الأمان العالية. من خلال التوافق مع معيار، تضمن أن أمان معلوماتك في مستوى مقبول في جميع أنحاء الصناعة.