فهرس المحتويات
ما هي متطلبات معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS)؟
معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS) هو معيار أمان بيانات ينطبق على المنظمات التي تعالج معلومات بطاقات الدفع. تم إنشاء متطلبات PCI DSS وتحت إشراف مجلس معايير أمان PCI.
يتكون معيار PCI DSS من 12 متطلبًا لتنفيذ تدابير الأمان التي تساعد في ضمان حماية معلومات بطاقات الائتمان وهي ضرورية لإثبات الامتثال لمعيار PCI. يجب على جميع المنظمات التي تتعامل مع بطاقات الدفع في التخزين أو المعالجة مقابل تبادل السلع أو الخدمات، مثل بطاقات الائتمان والخصم، الالتزام بـ 12 متطلبًا إما من خلال التحكم التعويضي أو مباشرة.
يرجى ملاحظة أن بعض الضوابط التعويضية قد لا تكون مسموحة ويجب الموافقة عليها بشكل فردي من قبل مدقق PCI QSA. إذا لم تلتزم مؤسستك بمتطلبات PCI DSS الاثني عشر، فقد تتعرض لغرامة أو يتم إنهاء حقوقك في معالجة بطاقات الائتمان.
المعلومات المقدمة في هذا المقال مخصصة لأغراض تعليمية فقط وتحتوي على تفاصيل عامة حول القضايا التجارية والقانونية وغيرها. إنها ليست نصيحة قانونية ويجب عدم التعامل معها على هذا الأساس. قد لا تكون المعلومات الموجودة في هذه الصفحة هي الأحدث.
المعلومات الواردة في هذه الصفحة تُقدم "كما هي" دون أي ضمانات أو تمثيلات، سواء كانت ضمنية أو صريحة. نحن لا نقدم أي ضمانات أو تمثيلات تتعلق بالمعلومات الموجودة في هذه الصفحة، وجميع المسؤوليات المتعلقة بأي أفعال تُنفذ أو تُمتنع بناءً على المعلومات في هذه المقالة يتم التنصل منها بشكل صريح.
لا ينبغي عليك الاعتماد على محتوى هذه المقالة كبديل عن المشورة القانونية من مزود خدمة قانونية محترف أو محامٍ. إذا كان لديك أي أسئلة معينة حول مسألة قانونية، يجب عليك استشارة مزود الخدمة القانونية المحترف أو المحامي.
قد يحتوي هذا المقال على روابط لمواقع طرف ثالث. تم وضع هذه الروابط هنا فقط لتسهيل الوصول للمستخدم أو القارئ أو المتصفح، ونحن لا نؤيد أو نوصي بالمعلومات أو المحتوى الموجود في أي من هذه المواقع.
هذا المحتوى هو جزء من سلسلة حولالتوافق مع معايير PCI.
القراءة الموصى بها:ما هو SIEM، ولماذا هو مهم و 13 قدرة رئيسية.
هل تحتاج إلى الامتثال لمعايير PCI؟
إذا كانت لديك منظمة تتعامل مع مدفوعات بطاقات الخصم أو الائتمان، يجب عليك الالتزام بمعايير PCI DSS.
تتكون بيانات حامل البطاقة أو بيانات بطاقة الائتمان من رقم البطاقة (PAN) مع تاريخ انتهاء الصلاحية، واسم حامل البطاقة، أو رمز الخدمة. كما أن الامتثال لمعايير PCI ضروري للحصول على معلومات المصادقة الحساسة. تشمل هذه المعلومات الحساسة، على سبيل المثال، أرقام التعريف الشخصية، وبيانات الشريط المغناطيسي أو شريحة البطاقة، ورموز التحقق من البطاقة، وغيرها من التفاصيل المستخدمة للتحقق من حامل البطاقة لتأكيد معاملات بطاقات الدفع.
أنشأت PCI SSC أربع مراحل من الامتثال لتجار الجملة ومستويين لمقدمي التجزئة. يحدد مستوى منظمتك ما إذا كنت بحاجة إلى تدقيق PCI من قبل QSA أو إذا كان يكفي إكمال SAQ.
اقرأ شرحنا المفصل حول مستويات الامتثال لمعيار PCI.
غرامات عدم الامتثال لمعايير PCI
عدم الامتثال لمعايير PCI ليس متطلبًا قانونيًا، لكن عدم الامتثال لا يزال يمثل مصدر قلق كبير. يمكن أن تواجه الشركات التي لا تلتزم بمعايير PCI مخاطر مثل خروقات البيانات، والغرامات، وتكاليف استبدال البطاقات، وتدقيقات جنائية مكلفة، والتحقيقات التجارية، بالإضافة إلى الأضرار طويلة الأمد لصورة علامتها التجارية وسمعتها.
عدم الامتثال لمعايير PCI يحمل عقوبات، على الرغم من أنها ليست معروفة جيدًا. على سبيل المثال، إذا انتهكت شركة ما معايير الامتثال لمعايير PCI، يمكن أن تفرض علامة تجارية للبطاقات الائتمانية غرامة على البنك المتعامل تتراوح بين 5000 إلى 100000 دولار شهريًا. عادةً ما تمرر البنوك هذه الرسوم إلى البائع، أو تنهي العقد، أو تزيد من رسوم المعاملات عندما ينتهك البائع متطلبات PCI.
بالإضافة إلى التكاليف المالية، هناك أضرار محتملة أخرى يمكن أن تؤثر على عملك. يمكن أن يؤدي عدم الامتثال لمعايير PCI إلى عواقب سلبية تشمل:
- فقدان ثقة العملاء، انخفاض في المبيعات والإيرادات، وفي الحالات القصوى، إغلاق الأعمال.
- رسوم إعادة إصدار بطاقات الدفع الجديدة
- قد يكون عملك ممنوعًا من قبول بطاقات الائتمان تمامًا.
- الاحتيال الذي يؤدي إلى خسائر مالية أو أضرار لعملائك.
- تكاليف الامتثال اللاحقة أعلى.
- رسوم المحكمة، التسويات والقرارات
- أضرار مهنية للأدوار مثل CISO، CIO، CEO، CFO.
نصائح من الخبير
ستيف مور هو نائب الرئيس ورئيس استراتيجيات الأمن في إكزبيم، يساعد في تقديم الحلول لاكتشاف التهديدات وتقديم المشورة للعملاء بشأن برامج الأمن والاستجابة للاختراقات. وهو مضيف بودكاست "The New CISO Podcast"، و عضو في Forbes Tech Council، ومؤسس مشارك لـ TEN18 at Exabeam.
من خلال تجربتي، إليكم استراتيجيات ورؤى إضافية لتعزيز جهودكم في الامتثال لمعيار PCI DSS وتأمين بيئة بيانات حاملي البطاقات.
استخدم مبادئ الثقة الصفرية للتحكم في الوصول.
فرض تحقق صارم من الهوية لكل مستخدم وجهاز يحاول الوصول إلى الموارد داخل بيئة البيانات الحساسة (CDE). اعتماد مبادئ الوصول الأقل امتيازًا لضمان أن المستخدمين يمكنهم فقط الوصول إلى البيانات التي يحتاجونها لأداء مهامهم.
أتمتة مراقبة سلامة الملفات (FIM)
تنفيذ أدوات آلية لنظام إدارة الملفات (FIM) لضمان بقاء الملفات الحرجة وتكوينات النظام ضمن بيئة البيانات الحساسة (CDE) دون تغيير. هذا يسهل الامتثال لمتطلبات PCI للكشف عن التلاعب ويسرع من استجابة الحوادث.
اعتماد تمارين محاكاة الاختراق
قم بمحاكاة الحوادث الأمنية بانتظام (مثل هجمات الفدية أو هجمات التصيد التي تستهدف بيئة البيانات الحساسة) لاختبار فعالية ضوابط الأمان، وتدريب الموظفين، وخطط الاستجابة للحوادث.
استفد من حلول SIEM المدعومة بالذكاء الاصطناعي.
استخدم أدوات SIEM المتقدمة التي تتمتع بقدرات التعلم الآلي لتحليل بيانات السجلات، واكتشاف الشذوذ، وتحديد الأنماط التي قد تشير إلى تهديد أمني. يمكن أن تقلل الرؤى المدفوعة بالذكاء الاصطناعي من الإيجابيات الكاذبة وتبرز المخاطر الحقيقية في الوقت الفعلي.
تنفيذ التجزئة الدقيقة
تجاوز تقسيم الشبكة التقليدي، استخدم التقسيم الدقيق لإنشاء مناطق أمان دقيقة داخل بيئة البيانات الحساسة (CDE). يساعد هذا الأسلوب في الحد من الحركة الجانبية في حالة حدوث اختراق ويعزل الأصول ذات القيمة العالية.
متطلبات الامتثال لمعيار PCI DSS
فيما يلي نلخص المتطلبات الرئيسية لمعيار PCI DSS.
1. قم بتثبيت والحفاظ على جدار ناري لحماية بيانات حاملي البطاقات.
تأكد من أمان الشبكة من خلال تثبيت وتكوين جدار حماية بشكل صحيح لحماية بيئة بيانات حاملي البطاقات. الغرض الرئيسي من جدار الحماية هو تنظيم حركة مرور الشبكة من خلال قواعد تقييدية. يتم نشر جدار الحماية عند حافة الشبكة وهو خط الدفاع الأول ضد المهاجمين الذين يحاولون اختراق الشبكة. تتطلب PCI من المؤسسات مراجعة قواعد جدار الحماية مرتين في السنة لضمان ملاءمتها لتأمين البيئة.
2. كلمات مرور قوية وتكوين آمن
لا تترك الأجهزة والبرمجيات بكلمات مرورها الافتراضية. الأجهزة مثل أجهزة التوجيه ومعدات نقاط البيع (POS) تكون عرضة بشكل خاص لأنها تأتي مع أسماء مستخدمين وكلمات مرور قياسية معروفة للمهاجمين، أو سهلة التخمين أو الكسر. للامتثال لمعايير PCI، يجب على مؤسستك إنشاء جرد لجميع الأجهزة التي تؤثر على بيئة حاملي البطاقات والتأكد من أن جميعها تحتوي على كلمات مرور آمنة وإعدادات أمان مناسبة.
3. حماية بيانات حاملي البطاقات المخزنة
قم بإعداد قائمة شاملة بمعلومات حاملي البطاقات في مؤسستك، ومكان تخزينها، ومدة الاحتفاظ بها. يجب حماية جميع البيانات باستخدام وسائل مثل التشفير القوي، والتجزئة أحادية الاتجاه، والتقليص، أو التوكنيزيشن. يفرض معيار PCI عملية صارمة لإدارة مفاتيح التشفير. إذا وجدت صعوبة في اكتشاف مكان تخزين تفاصيل بطاقات الائتمان، يمكنك استخدام أدوات اكتشاف بيانات البطاقات التي تقوم بمسح مصادر البيانات بحثًا عن أرقام الحسابات الرئيسية (PAN).
4. تشفير نقل بيانات حامل البطاقة عبر الشبكات العامة
قم بتأمين بيانات حاملي البطاقات عن طريق تشفيرها كلما تم نقلها عبر شبكة مفتوحة أو عامة. يشمل ذلك الإنترنت العام، وشبكات الهاتف المحمول مثل GSM أو GPRS، وBluetooth، وما إلى ذلك. يجب أن تكون على دراية بموعد ومكان نقل مؤسستك لبيانات حاملي البطاقات، والتأكد من أنها مشفرة باستخدام بروتوكول آمن مثل أمان طبقة النقل (TLS) أو شل آمن (SSH).
5. استخدم وقم بتحديث برامج مكافحة الفيروسات بانتظام.
قم بتثبيت برامج مكافحة الفيروسات على جميع الأنظمة الحاسوبية في بيئة بيانات حاملي البطاقات، وقم بتحديثها بانتظام. يجب أيضًا تجهيز معدات نقاط البيع ببرامج مكافحة الفيروسات، ويجب إجراء الفحوصات بشكل دوري، سواء من قبل مؤسستك أو من قبل بائع نقاط البيع. بالإضافة إلى ذلك، ضع ضوابط يمكن أن تنبه عن الأنشطة المشبوهة مثل الملفات غير المعروفة، حتى لو لم تتطابق مع توقيعات البرمجيات الخبيثة المعروفة.
6. إنشاء والحفاظ على أنظمة وتطبيقات آمنة
قم بتطبيق التصحيحات والتحديثات البرمجية على جميع الأنظمة، بمجرد أن تصبح متاحة. بالإضافة إلى ذلك، يجب عليك البحث بنشاط عن الثغرات في الأنظمة البرمجية، وتصنيفها حسب الخطورة، ومعالجتها. إذا كانت مؤسستك تقوم بتطوير البرمجيات، يجب فحص أي كود جديد أو معدل بحثًا عن الثغرات المعروفة، وتقييمه من حيث ممارسات البرمجة غير الآمنة أو الثغرات غير المعروفة.
7. قيد الوصول إلى بيانات حاملي البطاقات بناءً على "الحاجة إلى المعرفة".
يجب أن يكون الوصول إلى بيانات حاملي البطاقات، حتى لو كانت مخزنة بشكل آمن، محدودًا داخل مؤسستك. يجب أن يحصل الموظفون الذين يحتاجون إلى الوصول لأداء مهمة ما على الوصول فقط خلال الوقت الذي يحتاجون فيه لأداء تلك المهمة - وهذا ما يُعرف بمبدأ "الحاجة إلى المعرفة". إذا طلب موظف أو طرف ثالث بيانات حاملي البطاقات، ولم يكن لديهم تفويض، يجب رفض طلبهم.
يجب أن يأخذ التحكم في الوصول في الاعتبار ما إذا كان الوكيل الذي يقدم الطلب مخولاً وما إذا كان يحتاج فعلاً إلى البيانات في السياق الحالي.
8. معرفات فريدة لكل شخص لديه وصول إلى الكمبيوتر
قم بتعيين معرف فريد لكل شخص لديه وصول إلى أنظمة الحوسبة في بيئة حامل البطاقة. كلما قام شخص ما بالوصول إلى بيانات محمية، يجب أن يكون هناك سجل يتتبع النشاط إلى شخص محدد.
متطلب آخر هو المصادقة الثنائية - على سبيل المثال، يتطلب من المستخدمين تقديم شيء يعرفونه (كلمة مرور) وشيء يمتلكونه (مثل رمز الأمان) للوصول. يوصي معيار PCI باستخدام رموز RADIUS أو TACACS التي تعتبر آمنة للغاية.
9. تقييد الوصول الفعلي إلى بيانات حاملي البطاقات
تأكد من أن الأشخاص غير المصرح لهم لا يمكنهم الوصول جسديًا إلى المعدات في بيئة حاملي البطاقات. ينطبق هذا على الجميع - الموظفين، والمقاولين أو البائعين من الطرف الثالث، والضيوف. يجب تقييد الوصول إلى أنظمة الحوسبة، والأجهزة، ووسائط التخزين، والنسخ الورقية، وأي شيء آخر يخزن أو يتيح الوصول إلى بيانات حاملي البطاقات.
يتطلب ذلك التحكم الصارم في الوصول إلى المرافق المادية، وتسجيل الدخول والحركة داخل المنشأة، ووجود موظفين أمنيين مخصصين في الموقع. يجب تخزين بيانات حاملي البطاقات بشكل آمن، مع وجود نسخ احتياطية في موقع بعيد. يجب تدمير البيانات عندما لا تكون هناك حاجة إليها. يجب أن تكون لدى المنظمة إجراءات واضحة لتحديد كيفية توزيع المعلومات بعد الموافقة على الوصول.
10. تتبع ومراقبة الوصول إلى الشبكة وبيانات حاملي البطاقات.
تأكد من أن الشبكات في بيئة بيانات حاملي البطاقات لديها سياسات تدقيق مناسبة بحيث تقوم بتسجيل جميع الأنشطة وإرسالها إلى خادم syslog. تتطلب PCI مراجعة السجلات على الأقل مرة واحدة في اليوم لتحديد الأنشطة المشبوهة. يمكن لنظام أدوات مراقبة المعلومات الأمنية والأحداث (SIEM) أتمتة عملية التخزين المركزي وتحليل البيانات السجلية وإصدار التنبيهات.
يتطلب PCI أيضاً أن تحتوي سجلات التدقيق على حد أدنى من البيانات وأن تكون متزامنة زمنياً. يجب تأمين بيانات التدقيق نفسها لتجنب التلاعب ويجب الاحتفاظ بها لمدة 12 شهراً.
11. اختبار أنظمة الأمان والعمليات بشكل دوري.
ليس كافياً "تعيين ونسيان" ضوابط وإجراءات الأمان. بيئات تكنولوجيا المعلومات ديناميكية، ويتم تقديم تهديدات وثغرات جديدة يومياً، لذا يجب عليك اختبار العمليات الأمنية بانتظام لضمان أن الأنظمة لا تزال آمنة. على وجه التحديد، تتطلب PCI اختباراً منتظماً لـ:
- الوصول غير المصرح به إلى نقاط الوصول اللاسلكية (WAP)
- فحص الثغرات الداخلية والخارجية، مرة كل ربع سنة أو عند إجراء تغييرات كبيرة على الشبكة.
- اختبار الاختراق
- إعداد أنظمة الكشف عن التسلل ومنع التسلل (IDS/IPS)
- إعداد مراقبة سلامة الملفات (FIM)
12. الحفاظ على سياسة أمن المعلومات التي تؤثر على جميع الأفراد.
يجب أن تمتلك منظمتك سياسة أمنية رسمية ومكتوبة بشكل جيد، توضح بوضوح المسؤوليات الأمنية لجميع الأفراد المعنيين ببيئة حاملي بطاقات الدفع. يجب على الموظفين والآخرين الذين لديهم وصول إلى بيئة حاملي البطاقات الخضوع للتدريب، ويجب عليهم الاعتراف بالسياسة.
يجب أن تخضع السياسة لمراجعة سنوية، بناءً على تقييم رسمي للمخاطر. بالإضافة إلى ذلك، تتطلب PCI فحوصات خلفية للموظفين وعملية استجابة موثقة للحوادث.
اقرأ شرحنا المفصل حول قائمة التحقق من الامتثال لمعيار PCI.
الامتثال لمعيار PCI DSS مع نظام إدارة معلومات وأحداث الأمان (SIEM) من منصة دمج أمني.
في النهاية، التوافق مع معايير PCI DSS يتعلق بإثبات ما تقوله للمراجعين — ومنصة دمج أمني من Exabeam يمكن أن تساعد في ذلك. بينما تقدم أدوات DLP، ونقاط النهاية، وفحص الثغرات، والشبكات، والهوية أجزاء من اللغز، فإن نظام إدارة معلومات وأحداث الأمان (SIEM) من Exabeam يساعدك في تجميع كل ذلك لرؤية الصورة الكاملة للهجوم، مضيفًا السياق وتقييم المخاطر للأحداث والتنبيهات لإظهار صورة شاملة للتوافق مع معايير PCI DSS.
يقدم نظام إدارة معلومات وأحداث الأمان (SIEM) تقارير لفرق الأمان لديك حول الثغرات المكتشفة في أصول PCI. يتناول هذا التقرير تفاصيل بيانات مسح الثغرات التي تنتجها الجدران النارية والموجهات والمفاتيح وأي جهاز آخر ينتج بيانات الثغرات. تكشف مسحات الثغرات في بيئة بيانات حاملي البطاقات عن ثغرات محتملة في الشبكات التي يمكن أن يجدها ويستغلها الأفراد الخبيثون. تستخدم المنظمات منصة دمج أمني لتحديد الثغرات المحددة العالية و/أو الحرجة في أنظمة حاملي البطاقات التي تحتاج إلى إصلاح.
يعمل نظام Fusion SIEM أيضًا على مراقبة بيانات بطاقات الائتمان، سواء كانت في حالة حركة أو ساكنة، من أنظمة IDS وIPS وDLP، لتوفير رؤية حول أي نقل محتمل غير مصرح به لبيانات بطاقات الائتمان عبر الشبكة أو إلى أجهزة التخزين القابلة للإزالة غير المصرح بها. يستخدم العملاء هذا التقرير لتحديد مصدر النقل حتى يمكن التحقيق فيه وإصلاحه. يجب مراقبة بيئة بيانات حاملي البطاقات للكشف عن أي نقل غير مصرح به لبيانات بطاقات الائتمان باستخدام تقنيات تعتمد على IDS وIPS وDLP.
من الشذوذ في الاعتماديات والنشاطات غير العادية أو الحركة إلى الوصول إلى بيانات بطاقات الائتمان أو نقلها، تقدم Exabeam رؤية واضحة لما هو "طبيعي" بالنسبة لأي اعتماديات أو حركة بيانات أو نشاط، مما يساعد على تبسيط سير العمل في مركز العمليات الأمنية (SOC) والاستجابة في حالة وجود تهديدات داخلية أو خبيثة، بالإضافة إلى اكتشاف الحركة الجانبية للبرمجيات الخبيثة أو الفدية داخل نظامك البيئي.
تعلم المزيد عن إكزابييم
تعرف على منصة Exabeam ووسع معرفتك في أمن المعلومات من خلال مجموعتنا من الأوراق البيضاء، البودكاست، الندوات، والمزيد.
