قائمة تحقق سريعة للامتثال لمعايير PCI: كن مستعدًا لتدقيقك القادم.

ما هي قائمة التحقق الخاصة بالامتثال لمعيار PCI؟

معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS) إلزامي لأي منظمة تخزن أو تعالج بيانات حاملي بطاقات الدفع. الامتثال لمعيار PCI عملية معقدة. سيحدد مستوى تاجر PCI الخاص بك (1-4) مستوى التدقيق الخاص بك - من استبيانات التقييم الذاتي (SAQ) إلى تدقيق خارجي كامل، والذي يتطلب تحضيرًا شاملاً.

يمكن أن تساعدك قائمة التحقق للامتثال لمعايير PCI في تنظيم جهودك للامتثال، بغض النظر عن مستوى التاجر. من خلال اتباع قائمة التحقق، يمكنك تحديد المجالات التي تتطلب اهتمامًا وتحسين ضوابط الأمان بشكل استباقي بما يتماشى مع متطلبات PCI.

ملاحظة: المعلومات المقدمة في هذه المقالة وفي أماكن أخرى على هذا الموقع مخصصة فقط للنقاش التعليمي وتحتوي على معلومات عامة حول الأمور القانونية والتجارية وغيرها. إنها ليست نصيحة قانونية ولا ينبغي اعتبارها كذلك. قد لا تشكل المعلومات الموجودة على هذا الموقع أحدث المعلومات القانونية أو غيرها. المعلومات في هذه المقالة مقدمة "كما هي" دون أي تمثيلات أو ضمانات، صريحة أو ضمنية. نحن لا نقدم أي تمثيلات أو ضمانات فيما يتعلق بالمعلومات في هذه المقالة وجميع المسؤوليات المتعلقة بالإجراءات المتخذة أو غير المتخذة بناءً على محتويات هذه المقالة يتم إخلاء مسؤوليتها صراحةً. يجب ألا تعتمد على المعلومات في هذه المقالة كبديل عن النصيحة القانونية من محاميك أو مزود خدمات قانونية محترف آخر. إذا كان لديك أي أسئلة محددة حول أي مسألة قانونية، يجب عليك استشارة محاميك أو مزود خدمات قانونية محترف آخر. قد تحتوي هذه المقالة على روابط لمواقع ويب طرف ثالث أخرى. هذه الروابط هي فقط لراحة القارئ أو المستخدم أو المتصفح؛ نحن لا نوصي أو نؤيد محتويات أي مواقع طرف ثالث.

القراءة الموصى بها:ما هو SIEM، ولماذا هو مهم و 13 قدرة رئيسية.

هل تحتاج إلى الامتثال لمعايير PCI؟

إذا كانت لديك منظمة تتعامل مع مدفوعات بطاقات الخصم أو الائتمان، يجب عليك الالتزام بمعايير PCI DSS.

تتكون بيانات حامل البطاقة أو بيانات بطاقة الائتمان من رقم البطاقة (PAN) مع تاريخ انتهاء الصلاحية، واسم حامل البطاقة، أو رمز الخدمة. كما أن الامتثال لمعايير PCI ضروري للحصول على معلومات المصادقة الحساسة. تشمل هذه المعلومات الحساسة، على سبيل المثال، أرقام التعريف الشخصية، وبيانات الشريط المغناطيسي أو شريحة البطاقة، ورموز التحقق من البطاقة، وغيرها من التفاصيل المستخدمة للتحقق من حامل البطاقة لتأكيد معاملات بطاقات الدفع.

أنشأت PCI SSC أربع مراحل من الامتثال لتجار الجملة ومستويين لمقدمي التجزئة. يحدد مستوى منظمتك ما إذا كنت بحاجة إلى تدقيق PCI من قبل QSA أو إذا كان يكفي إكمال SAQ.

غرامات عدم الامتثال لمعايير PCI

عدم الامتثال لمعايير PCI ليس متطلبًا قانونيًا، لكن عدم الامتثال لا يزال يمثل مصدر قلق كبير. يمكن أن تواجه الشركات التي لا تلتزم بمعايير PCI مخاطر مثل خروقات البيانات، والغرامات، وتكاليف استبدال البطاقات، وتدقيقات جنائية مكلفة، والتحقيقات التجارية، بالإضافة إلى الأضرار طويلة الأمد لصورة علامتها التجارية وسمعتها.

عدم الامتثال لمعايير PCI يحمل عقوبات، على الرغم من أنها ليست معروفة جيدًا. على سبيل المثال، إذا انتهكت شركة ما معايير الامتثال لمعايير PCI، يمكن أن تفرض علامة تجارية للبطاقات الائتمانية غرامة على البنك المتعامل تتراوح بين 5000 إلى 100000 دولار شهريًا. عادةً ما تمرر البنوك هذه الرسوم إلى البائع، أو تنهي العقد، أو تزيد من رسوم المعاملات عندما ينتهك البائع متطلبات PCI.

بالإضافة إلى التكاليف المالية، هناك أضرار محتملة أخرى يمكن أن تؤثر على عملك. يمكن أن يؤدي عدم الامتثال لمعايير PCI إلى عواقب سلبية تشمل:

• فقدان ثقة العملاء، انخفاض في المبيعات والإيرادات، وفي الحالات القصوى، إغلاق الأعمال.
• رسوم إعادة إصدار بطاقات الدفع الجديدة
• قد يكون عملك ممنوعًا من قبول بطاقات الائتمان تمامًا.
• الاحتيال الذي يؤدي إلى خسائر مالية أو أضرار لعملائك.
• تكاليف الامتثال اللاحقة أعلى.
• رسوم المحكمة، التسويات والقرارات
• أضرار مهنية للأدوار مثل CISO، CIO، CEO، CFO.

نصائح من الخبير

ستيف مور هو نائب الرئيس ورئيس استراتيجيات الأمن في إكزبيم، يساعد في تقديم الحلول لاكتشاف التهديدات وتقديم المشورة للعملاء بشأن برامج الأمن والاستجابة للاختراقات. وهو مضيف بودكاست "The New CISO Podcast"، و عضو في Forbes Tech Council، ومؤسس مشارك لـ TEN18 at Exabeam.

من خلال تجربتي، إليكم نصائح متقدمة لمساعدتكم في إنشاء وتنفيذ قائمة مراجعة فعالة للامتثال لمعايير PCI مع ضمان أمان بيانات حاملي البطاقات:

تصنيف الأنظمة حسب مستويات المخاطر خلال مرحلة تحديد النطاق.

عند تعريف بيئة بيانات حامل البطاقة (CDE)، يجب تصنيف الأنظمة المتصلة بناءً على تعرضها للمخاطر لضمان أن الأنظمة عالية المخاطر تتلقى الأولوية في تدابير الأمان والمراقبة.

إجراء تقييم شامل قبل التدقيق

قبل إجراء تدقيق رسمي أو تقديم SAQ، قم بإجراء مراجعة داخلية للامتثال لتحديد الفجوات. استخدم أدوات آلية للتحقق من التكوينات مقابل متطلبات PCI.

تطبيق سياسات تقليل البيانات

تقليل تخزين بيانات حاملي البطاقات بشكل استباقي عن طريق تحويل المعلومات الحساسة إلى توكنات أو تجنب التخزين تمامًا. تحديد سياسات صارمة للاحتفاظ بالبيانات وفرض عمليات الحذف التلقائي.

دمج استخبارات التهديد في المراقبة

تعزيز قدرات نظام إدارة معلومات الأمان (SIEM) من خلال دمج مصادر تهديد خارجية تتعلق بجرائم الاحتيال في بطاقات الدفع. يساعد ذلك في التعرف على أساليب الهجوم الناشئة التي تستهدف أنظمة الدفع.

إنشاء معايير تكوين آمنة

الحفاظ على تكوينات أساسية متوافقة مع معايير PCI لجدران الحماية والخوادم والأجهزة. تحقق بانتظام من هذه التكوينات من خلال أدوات آلية للكشف عن التغييرات غير المصرح بها.

متطلبات الامتثال لمعيار PCI DSS

فيما يلي نلخص المتطلبات الرئيسية لمعيار PCI DSS.

1. قم بتثبيت والحفاظ على جدار ناري لحماية بيانات حاملي البطاقات.

تأكد من أمان الشبكة من خلال تثبيت وتكوين جدار حماية بشكل صحيح لحماية بيئة بيانات حاملي البطاقات. الغرض الرئيسي من جدار الحماية هو تنظيم حركة مرور الشبكة من خلال قواعد تقييدية. يتم نشر جدار الحماية عند حافة الشبكة وهو خط الدفاع الأول ضد المهاجمين الذين يحاولون اختراق الشبكة. تتطلب PCI من المؤسسات مراجعة قواعد جدار الحماية مرتين في السنة لضمان ملاءمتها لتأمين البيئة.

2. كلمات مرور قوية وتكوين آمن

لا تترك الأجهزة والبرمجيات بكلمات مرورها الافتراضية. الأجهزة مثل أجهزة التوجيه ومعدات نقاط البيع (POS) تكون عرضة بشكل خاص لأنها تأتي مع أسماء مستخدمين وكلمات مرور قياسية معروفة للمهاجمين، أو سهلة التخمين أو الكسر. للامتثال لمعايير PCI، يجب على مؤسستك إنشاء جرد لجميع الأجهزة التي تؤثر على بيئة حاملي البطاقات والتأكد من أن جميعها تحتوي على كلمات مرور آمنة وإعدادات أمان مناسبة.

3. حماية بيانات حاملي البطاقات المخزنة

قم بإعداد قائمة شاملة بمعلومات حاملي البطاقات في مؤسستك، ومكان تخزينها، ومدة الاحتفاظ بها. يجب حماية جميع البيانات باستخدام وسائل مثل التشفير القوي، والتجزئة أحادية الاتجاه، والتقليص، أو التوكنيزيشن. يفرض معيار PCI عملية صارمة لإدارة مفاتيح التشفير. إذا وجدت صعوبة في اكتشاف مكان تخزين تفاصيل بطاقات الائتمان، يمكنك استخدام أدوات اكتشاف بيانات البطاقات التي تقوم بمسح مصادر البيانات بحثًا عن أرقام الحسابات الرئيسية (PAN).

4. تشفير نقل بيانات حامل البطاقة عبر الشبكات العامة

قم بتأمين بيانات حاملي البطاقات عن طريق تشفيرها كلما تم نقلها عبر شبكة مفتوحة أو عامة. يشمل ذلك الإنترنت العام، وشبكات الهاتف المحمول مثل GSM أو GPRS، وBluetooth، وما إلى ذلك. يجب أن تكون على دراية بموعد ومكان نقل مؤسستك لبيانات حاملي البطاقات، والتأكد من أنها مشفرة باستخدام بروتوكول آمن مثل أمان طبقة النقل (TLS) أو شل آمن (SSH).

5. استخدم وقم بتحديث برامج مكافحة الفيروسات بانتظام.

قم بتثبيت برامج مكافحة الفيروسات على جميع الأنظمة الحاسوبية في بيئة بيانات حاملي البطاقات، وقم بتحديثها بانتظام. يجب أيضًا تجهيز معدات نقاط البيع ببرامج مكافحة الفيروسات، ويجب إجراء الفحوصات بشكل دوري، سواء من قبل مؤسستك أو من قبل بائع نقاط البيع. بالإضافة إلى ذلك، ضع ضوابط يمكن أن تنبه عن الأنشطة المشبوهة مثل الملفات غير المعروفة، حتى لو لم تتطابق مع توقيعات البرمجيات الخبيثة المعروفة.

6. إنشاء والحفاظ على أنظمة وتطبيقات آمنة

قم بتطبيق التصحيحات والتحديثات البرمجية على جميع الأنظمة، بمجرد أن تصبح متاحة. بالإضافة إلى ذلك، يجب عليك البحث بنشاط عن الثغرات في الأنظمة البرمجية، وتصنيفها حسب الخطورة، ومعالجتها. إذا كانت مؤسستك تقوم بتطوير البرمجيات، يجب فحص أي كود جديد أو معدل بحثًا عن الثغرات المعروفة، وتقييمه من حيث ممارسات البرمجة غير الآمنة أو الثغرات غير المعروفة.

7. قيد الوصول إلى بيانات حاملي البطاقات بناءً على "الحاجة إلى المعرفة".

يجب أن يكون الوصول إلى بيانات حاملي البطاقات، حتى لو كانت مخزنة بشكل آمن، محدودًا داخل مؤسستك. يجب أن يحصل الموظفون الذين يحتاجون إلى الوصول لأداء مهمة ما على الوصول فقط خلال الوقت الذي يحتاجون فيه لأداء تلك المهمة - وهذا ما يُعرف بمبدأ "الحاجة إلى المعرفة". إذا طلب موظف أو طرف ثالث بيانات حاملي البطاقات، ولم يكن لديهم تفويض، يجب رفض طلبهم.

يجب أن يأخذ التحكم في الوصول في الاعتبار ما إذا كان الوكيل الذي يقدم الطلب مخولاً وما إذا كان يحتاج فعلاً إلى البيانات في السياق الحالي.

8. معرفات فريدة لكل شخص لديه وصول إلى الكمبيوتر

قم بتعيين معرف فريد لكل شخص لديه وصول إلى أنظمة الحوسبة في بيئة حامل البطاقة. كلما قام شخص ما بالوصول إلى بيانات محمية، يجب أن يكون هناك سجل يتتبع النشاط إلى شخص محدد.

متطلب آخر هو المصادقة الثنائية - على سبيل المثال، يتطلب من المستخدمين تقديم شيء يعرفونه (كلمة مرور) وشيء يمتلكونه (مثل رمز الأمان) للوصول. يوصي معيار PCI باستخدام رموز RADIUS أو TACACS التي تعتبر آمنة للغاية.

9. تقييد الوصول الفعلي إلى بيانات حاملي البطاقات

تأكد من أن الأشخاص غير المصرح لهم لا يمكنهم الوصول جسديًا إلى المعدات في بيئة حاملي البطاقات. ينطبق هذا على الجميع - الموظفين، والمقاولين أو البائعين من الطرف الثالث، والضيوف. يجب تقييد الوصول إلى أنظمة الحوسبة، والأجهزة، ووسائط التخزين، والنسخ الورقية، وأي شيء آخر يخزن أو يتيح الوصول إلى بيانات حاملي البطاقات.

يتطلب ذلك التحكم الصارم في الوصول إلى المرافق المادية، وتسجيل الدخول والحركة داخل المنشأة، ووجود موظفين أمنيين مخصصين في الموقع. يجب تخزين بيانات حاملي البطاقات بشكل آمن، مع وجود نسخ احتياطية في موقع بعيد. يجب تدمير البيانات عندما لا تكون هناك حاجة إليها. يجب أن تكون لدى المنظمة إجراءات واضحة لتحديد كيفية توزيع المعلومات بعد الموافقة على الوصول.

10. تتبع ومراقبة الوصول إلى الشبكة وبيانات حاملي البطاقات.

تأكد من أن الشبكات في بيئة بيانات حاملي البطاقات لديها سياسات تدقيق مناسبة بحيث تقوم بتسجيل جميع الأنشطة وإرسالها إلى خادم syslog. تتطلب PCI مراجعة السجلات على الأقل مرة واحدة في اليوم لتحديد الأنشطة المشبوهة. يمكن لنظام أدوات مراقبة المعلومات الأمنية والأحداث (SIEM) أتمتة عملية التخزين المركزي وتحليل البيانات السجلية وإصدار التنبيهات.

يتطلب PCI أيضاً أن تحتوي سجلات التدقيق على حد أدنى من البيانات وأن تكون متزامنة زمنياً. يجب تأمين بيانات التدقيق نفسها لتجنب التلاعب ويجب الاحتفاظ بها لمدة 12 شهراً.

11. اختبار أنظمة الأمان والعمليات بشكل دوري.

ليس كافياً "تعيين ونسيان" ضوابط وإجراءات الأمان. بيئات تكنولوجيا المعلومات ديناميكية، ويتم تقديم تهديدات وثغرات جديدة يومياً، لذا يجب عليك اختبار العمليات الأمنية بانتظام لضمان أن الأنظمة لا تزال آمنة. على وجه التحديد، تتطلب PCI اختباراً منتظماً لـ:

• الوصول غير المصرح به إلى نقاط الوصول اللاسلكية (WAP)
• فحص الثغرات الداخلية والخارجية، مرة كل ربع سنة أو عند إجراء تغييرات كبيرة على الشبكة.
• اختبار الاختراق
• إعداد أنظمة الكشف عن التسلل ومنع التسلل (IDS/IPS)
• إعداد مراقبة سلامة الملفات (FIM)

12. الحفاظ على سياسة أمن المعلومات التي تؤثر على جميع الأفراد.

يجب أن تمتلك منظمتك سياسة أمنية رسمية ومكتوبة بشكل جيد، توضح بوضوح المسؤوليات الأمنية لجميع الأفراد المعنيين ببيئة حاملي بطاقات الدفع. يجب على الموظفين والآخرين الذين لديهم وصول إلى بيئة حاملي البطاقات الخضوع للتدريب، ويجب عليهم الاعتراف بالسياسة.

يجب أن تخضع السياسة لمراجعة سنوية، بناءً على تقييم رسمي للمخاطر. بالإضافة إلى ذلك، تتطلب PCI فحوصات خلفية للموظفين وعملية استجابة موثقة للحوادث.

الامتثال لمعيار PCI DSS مع نظام إدارة معلومات وأحداث الأمان (SIEM) من منصة دمج أمني.

في النهاية، التوافق مع معايير PCI DSS يتعلق بإثبات ما تقوله للمراجعين — ومنصة دمج أمني من Exabeam يمكن أن تساعد في ذلك. بينما تقدم أدوات DLP، ونقاط النهاية، وفحص الثغرات، والشبكات، والهوية أجزاء من اللغز، فإن نظام إدارة معلومات وأحداث الأمان (SIEM) من Exabeam يساعدك في تجميع كل ذلك لرؤية الصورة الكاملة للهجوم، مضيفًا السياق وتقييم المخاطر للأحداث والتنبيهات لإظهار صورة شاملة للتوافق مع معايير PCI DSS.

يقدم نظام إدارة معلومات وأحداث الأمان (SIEM) تقارير لفرق الأمان لديك حول الثغرات المكتشفة في أصول PCI. يتناول هذا التقرير تفاصيل بيانات مسح الثغرات التي تنتجها الجدران النارية والموجهات والمفاتيح وأي جهاز آخر ينتج بيانات الثغرات. تكشف مسحات الثغرات في بيئة بيانات حاملي البطاقات عن ثغرات محتملة في الشبكات التي يمكن أن يجدها ويستغلها الأفراد الخبيثون. تستخدم المنظمات منصة دمج أمني لتحديد الثغرات المحددة العالية و/أو الحرجة في أنظمة حاملي البطاقات التي تحتاج إلى إصلاح.

يعمل نظام Fusion SIEM أيضًا على مراقبة بيانات بطاقات الائتمان، سواء كانت في حالة حركة أو ساكنة، من أنظمة IDS وIPS وDLP، لتوفير رؤية حول أي نقل محتمل غير مصرح به لبيانات بطاقات الائتمان عبر الشبكة أو إلى أجهزة التخزين القابلة للإزالة غير المصرح بها. يستخدم العملاء هذا التقرير لتحديد مصدر النقل حتى يمكن التحقيق فيه وإصلاحه. يجب مراقبة بيئة بيانات حاملي البطاقات للكشف عن أي نقل غير مصرح به لبيانات بطاقات الائتمان باستخدام تقنيات تعتمد على IDS وIPS وDLP.

من الشذوذ في الاعتماديات والنشاطات غير العادية أو الحركة إلى الوصول إلى بيانات بطاقات الائتمان أو نقلها، تقدم Exabeam رؤية واضحة لما هو "طبيعي" بالنسبة لأي اعتماديات أو حركة بيانات أو نشاط، مما يساعد على تبسيط سير العمل في مركز العمليات الأمنية (SOC) والاستجابة في حالة وجود تهديدات داخلية أو خبيثة، بالإضافة إلى اكتشاف الحركة الجانبية للبرمجيات الخبيثة أو الفدية داخل نظامك البيئي.