شرح 4 مستويات للامتثال لمعيار PCI

ما هي مستويات الامتثال لمعيار PCI؟

يجب على جميع مقدمي الخدمات والتجار الذين يخزنون أو ينقلون أو يعالجون معلومات بطاقات الائتمان الالتزام بمعايير PCI DSS. الهدف من PCI DSS هو تقليل الاحتيال في بطاقات الائتمان وتحسين حماية البيانات. الامتثال لمعايير PCI مهم للحفاظ على سمعة الشركة وحماية بيانات المستهلك من خلال تجنب مشكلات الأمان وانتهاكات البيانات.

هناك أربعة مستويات من الامتثال لمعيار PCI DSS للتجار، بناءً على عدد معاملات البطاقات التي يقومون بمعالجتها كل عام:

• المستوى 1: الأعمال التي تعالج أكثر من 6 ملايين معاملة بطاقة في السنة
• المستوى 2: الأعمال التي تعالج ما بين 1 مليون و 6 ملايين معاملة بطاقة سنويًا
• المستوى 3: الأعمال التي تعالج ما بين 20,000 و 1 مليون معاملة بطاقة سنويًا
• المستوى 4: الأعمال التي تعالج أقل من 20,000 معاملة بطاقة في السنة

مستويات الامتثال لمعايير PCI DSS محددة من قبل هيئة معايير أمان PCI (SSC)، وهي اتحاد من شركات بطاقات الائتمان الكبرى، بما في ذلك فيزا وماستركارد وأمريكان إكسبريس وJCB وDiscover. يمكن للشركات التي تمتثل لمستويات PCI من 2 إلى 4 إكمال استبيان التقييم الذاتي (SAQ) بدلاً من الخضوع لتدقيق خارجي.

ملاحظة: المعلومات التي تم مناقشتها في هذه المقالة وعلى هذه الصفحة مخصصة للنقاش التعليمي فقط وتحتوي على معلومات عامة بحتة تتعلق بالقضايا التجارية والقانونية وغيرها. لا تعتبر توجيهات قانونية ويجب ألا تُعتبر كذلك. المعلومات في هذه المقالة مقدمة "كما هي" خالية من أي ضمانات أو تمثيلات، ضمنية أو صريحة. نحن لا نقدم أي ضمانات أو تمثيلات فيما يتعلق بمحتوى هذه المقالة وجميع المسؤوليات المتعلقة بالأفعال التي تم القيام بها أو لم يتم القيام بها فيما يتعلق بمحتوى هذه المقالة يتم التنصل منها صراحة. يجب ألا تعتبر المعلومات في هذه المقالة بديلاً عن المشورة القانونية من مزود خدمة قانونية محترف أو محامٍ. إذا كان لديك سؤال معين حول أي قضية قانونية، يجب عليك الاتصال بمحاميك أو مزود خدمة قانونية محترف آخر. قد تتضمن هذه المقالة روابط لمواقع طرف ثالث مختلفة. هذه الروابط هي فقط لراحة المستخدم أو المتصفح أو القارئ؛ نحن لا نؤيد أو نوصي بالمعلومات من أي مواقع ويب طرف ثالث.

القراءة الموصى بها:ما هو SIEM، ولماذا هو مهم و 13 قدرة رئيسية.

"PCI SSC: الهيئة المسؤولة عن مستويات الامتثال لمعايير PCI"

تم تأسيس مجلس معايير أمان PCI (SSC) بهدف تعزيز أمان البيانات لمعلومات بطاقات الدفع. إنه منظمة تقدم أطر عمل وأدوات وموارد دعم لمساعدة المنظمات في ضمان أمان معلومات حاملي البطاقات.

معيار PCI DSS هو معيار تم إنشاؤه بواسطة SSC، ويوفر إطار عمل لعملية أمان بيانات بطاقات الدفع بشكل كامل، بما في ذلك الوقاية من الحوادث الأمنية، والكشف عنها، والاستجابة المناسبة.

تشمل الأدوات والموارد التي تقدمها PCI SSC ما يلي:

• الموارد المكتوبة بما في ذلك قائمة المقيمين الأمنيين المؤهلين (QSAs)، ومقيم الأمن المعتمد لتطبيقات الدفع (PA-QSA)، والبائعين المعتمدين لفحص الأمان (ASV)
• استبيانات التقييم الذاتي (SAQ) التي يمكن للمنظمات استخدامها لتقييم جاهزيتها للامتثال والإبلاغ إلى هيئة PCI SSC.
• متطلبات الأمان لأجهزة المعاملات باستخدام الرقم السري، مع تعليمات أمان محددة لكل نوع من الأجهزة.
• تطبيقات الدفع المعتمدة وفقًا لمعيار PA-DSS

يرجى ملاحظة أن استبيانات التقييم الذاتي (SAQs) ذات صلة فقط للمستويات 2-4. وهي متاحة بأشكال مختلفة لتلبية احتياجات بيئات التجار المتنوعة. يتكون SAQ من سلسلة من الأسئلة التي تتطلب إجابات بنعم أو لا لكل متطلب من متطلبات الامتثال لمعايير PCI.

ما هي مستويات الامتثال الأربعة لمعيار PCI؟

مستويات الامتثال لمعيار PCI تعتمد على عدد المعاملات. تُعرف المعاملة بأنها أي من الأمور التالية، بغض النظر عن المنطقة الجغرافية:

• معاملة قائمة على بطاقة الائتمان
• لا توجد معاملات بالبطاقة
• معاملة التجارة الإلكترونية

مستوى الامتثال لمعيار PCI DSS 4

ينطبق على: التجار الذين يعالجون أكثر من 6 ملايين معاملة بطاقة سنويًا - على سبيل المثال، تجار التجزئة الكبار الذين يعملون في عدة دول.

يتطلب المستوى الأول من التجار استخدام مدقق خارجي. يتم إجراء التدقيقات الخارجية بواسطة مقيمين أمنيين مؤهلين (QSAs). يجب أن يكون هذا النوع من المدققين معتمدًا من PCI SSC لإجراء مراجعة شاملة لممارسات المنظمة لضمان الامتثال.

تحدد QSA نطاق التدقيق، وتراجع السجلات المكتوبة وبيانات التخزين الخاصة بالمنظمة، وتحدد الامتثال لمعايير PCI. ثم يقوم المدقق بتفصيل النتائج في تقرير الامتثال (ROC).

تشمل المتطلبات الإضافية للتجار من المستوى الأول ما يلي:

• مسح الشبكة ربع السنوي– هذه المسحات هي نوع من التدقيق البسيط، وتتم بواسطة بائعي المسح المعتمدين (ASVs). يمكن إجراء مسحات الشبكة عن بُعد، وهي ليست مفصلة مثل التقييمات السنوية الكاملة.
• نموذج شهادة الامتثال– هذه فرصة لشرح جهود الامتثال للمنظمة للسلطة المعنية بـ PCI SSC. على عكس التدقيقات الخارجية، يتم كتابة شهادة الامتثال وتقديمها من قبل الموظفين الداخليين.

امتثال PCI DSS المستوى 2

ينطبق على: المنظمات التي تعالج ما بين 1 و 6 ملايين معاملة سنويًا. على سبيل المثال، شركة صغيرة إلى متوسطة الحجم (SME) تعمل في مناطق التجارة النشطة أو عبر خطوط الولايات أو المقاطعات.

يجب على التجار من مستوى 2 وفقًا لمعيار PCI DSS تقديم تقرير الامتثال (ROC)، ولكن يتم ذلك من خلال تقييم داخلي، وليس تدقيقًا خارجيًا. يتم توجيه التقييم الداخلي بواسطة استبيان التقييم الذاتي (SAQ) المقدم من PCI SSC.

بينما لا يحتاج التاجر من المستوى الثاني إلى إشراك جهة تقييم خارجية (QSA)، إلا أنه لا يزال يتعين عليه إثبات أنه قد نفذ جميع إرشادات التوافق مع معايير PCI. مثل التجار من المستوى الأول، يجب عليهم:

• قم بإجراء مسح للشبكة كل ثلاثة أشهر بواسطة مقدمي خدمات التحقق المعتمدين (ASVs).
• قدّم شهادة الامتثال.

امتثال PCI DSS المستوى 3

ينطبق على: التجار الذين يعالجون ما بين 20,000 و 1 مليون معاملة كل عام. على سبيل المثال، الشركات الصغيرة إلى المتوسطة التي تعمل في منطقة محلية.

لا يحتاج تجار مستوى 3 وفقًا لمعيار PCI DSS إلى إجراء تدقيق خارجي، ولا يحتاجون إلى تقديم تقرير الامتثال (ROC). ومع ذلك، يمكنهم القيام بذلك طواعية لتحسين موقفهم مع العملاء أو لضمان أمان بيانات حاملي البطاقات.

بخلاف ذلك، يواجهون نفس المتطلبات التي يواجهها التجار من المستوى الثاني:

• استبيان التقييم الذاتي السنوي
• مسح ربع سنوي للشبكة يتم تنفيذه عبر ASV.
• شهادة الامتثال (AOC)

مستوى الامتثال لمعيار PCI DSS 4

ينطبق على: أي تاجر يعالج أقل من 20,000 معاملة تجارة إلكترونية سنويًا، وجميع التجار الآخرين - بغض النظر عن قناة القبول - الذين يعالجون ما يصل إلى 1 مليون معاملة فيزا سنويًا.  على سبيل المثال، عمل محلي صغير.

على عكس المستويات الأعلى من الامتثال لمعايير PCI، فإن التجار في المستوى الرابع من PCI DSS لا يحتاجون إلى تدقيقات، ولا يقدمون تقارير الامتثال (ROC)، وقد لا يحتاجون إلى نماذج (AOC).

تواجه المنظمات في هذا المستوى بشكل رئيسي متطلبات PCI الخاصة ببنكها. تشمل متطلباتها عادة ما يلي:

• استخدام فقط المدمجين والموزعين المؤهلين (QIRs) لتركيب وتكامل وصيانة معدات وتطبيقات نقاط البيع (POS).

• قم بإجراء استبيان ذاتي سنوي (SAQ)
• قم بإجراء مسح ربع سنوي للشبكة باستخدام مزود خدمات التحقق من الأمان (ASV).

نصائح من الخبير

ستيف مور هو نائب الرئيس ورئيس استراتيجيات الأمن في إكزبيم، يساعد في تقديم الحلول لاكتشاف التهديدات وتقديم المشورة للعملاء بشأن برامج الأمن والاستجابة للاختراقات. وهو مضيف بودكاست "The New CISO Podcast"، و عضو في Forbes Tech Council، ومؤسس مشارك لـ TEN18 at Exabeam.

من خلال تجربتي، إليكم نصائح لتحضير أفضل واجتياز تدقيق PCI DSS، مع بناء وضع أمني أقوى:

ابدأ بمراجعة شاملة لنطاق العمل.

تأكد من تعريف بيئة بيانات حامل البطاقة (CDE) بدقة. يؤدي عدم تحديدها بشكل صحيح إلى عدم الامتثال أو تعقيدات غير ضرورية في التدقيق. قم بتضمين تدفقات البيانات والأنظمة المتصلة والخدمات الخارجية في مراجعتك.

استخدم التوثيق القائم على الأدوار أثناء التدقيق.

توفير وثائق مخصصة لأدوار التدقيق المختلفة (مثل مديري تكنولوجيا المعلومات ومديري الأعمال) لإظهار أن الضوابط تُطبق بشكل متسق. المواد المعتمدة على الأدوار تسهل التواصل مع المدقق.

اعتماد المراقبة المستمرة للامتثال

لا تعتبر PCI حدثًا لمرة واحدة. استخدم أدوات مثل SIEM وإدارة التكوين لمراقبة الامتثال على مدار السنة، مع الإبلاغ عن المشكلات المحتملة قبل التدقيق.

بناء مستودع للأدلة

قم بتركيز الأدلة مثل السياسات والإجراءات وتكوينات النظام وسجلات المراقبة. استخدم أدوات يمكنها توليد تقارير جاهزة للتدقيق تلقائيًا لتوفير الوقت أثناء جمع الأدلة.

اختبر ضوابط الوصول قبل التدقيق.

تأكد من أن جميع ضوابط الوصول (مثل أقل امتياز، معرفات فريدة، والمصادقة الثنائية) تعمل كما هو مطلوب. اختبر بانتظام أنه لا توجد حسابات غير ضرورية لها وصول إلى موارد CDE.

مستويات PCI DSS لمقدمي الخدمات

إذا لم يكن لديك معرف تاجر، وإذا لم تعتمد على معالج مدفوعات معتمد من PCI DSS، فما هي خياراتك؟

هنا كيف تعرف PCI SSC مزود الخدمة:

كيان تجاري لا يُصنف كعلامة دفع، ويشارك في نقل أو تخزين أو معالجة معلومات حاملي البطاقات. وهذا يعني أيضًا الشركات التي تقدم خدمات يمكن أن تؤثر أو تتحكم في أمان معلومات حاملي البطاقات.

إليك المستويان لمقدمي الخدمات. يتم تصنيفهم وفقًا لعدد المعاملات التي يقومون بمعالجتها:

• المستوى 1– أكثر من 300 ألف معاملة سنويًا
• المستوى 2– أقل من 300 ألف معاملة سنويًا

إذا كانت منظمتك تعمل كمزود خدمة (بغض النظر عن مستواك) فقد ترغب في التفكير في جدوى إجراء تدقيق PCI من المستوى الأول، والذي يُعرف أيضًا باسم PCI ROC. يجب أن يتم ذلك من خلال جهة معتمدة (QSA)، والتي ستعتمد حالة امتثال منظمتك لمعايير PCI، وإذا كنت قد قمت بجميع الخطوات اللازمة لتكون متوافقًا مع PCI.

إذا استوفيت جميع المتطلبات، سيتم إصدار شهادة AOC يمكنك عرضها على أي شخص يرغب في التحقق من وضع امتثالك لمعايير PCI.

بالنسبة لمقدمي الخدمات الذين لا يعالجون 300 ألف معاملة، يمكنك إكمال SAQ-D (هذا هو الاستبيان الذي يمكن لمقدمي الخدمات إكماله وفقًا لمعايير PCI SSC).

كيفية اجتياز تدقيق PCI DSS

بالنسبة للتجار من المستوى الأول، يتطلب إعداد تقرير الامتثال (ROC) تدقيقًا ميدانيًا من قبل مقيم أمان مؤهل خارجي (QSA).

بالنسبة للتجار من المستوى 2، يتم إعداد تقرير الامتثال من قبل مقيم أمان داخلي. قد تستغرق عملية التدقيق ما يصل إلى عامين، لأن معيار PCI DSS يتضمن 12 هدفًا و281 إرشادًا. التقييم الذاتي أسرع، ولكنه قد يستغرق أيضًا ما يصل إلى عام حسب الموارد والقدرة على جمع التقارير وحالة المخاطر لشبكتك وتطبيقاتك.

تشمل عملية التدقيق عددًا كبيرًا من التقييمات والاختبارات بما في ذلك:

• اختبار سيطرة المنظمة على بيئة بيانات حاملي البطاقات ومعدات نقاط البيع.
• تقييم ضوابط الوصول، بما في ذلك الوصول الفيزيائي.
• تقييم مستوى الأمان لموردي تكنولوجيا المعلومات
• فحص فعالية تقسيم الشبكة
• تحديد التطبيقات التي تعالج معلومات الدفع
• تقييم ما إذا كانت معلومات البطاقة مخزنة، وأين، وكيف.
• ضمان وجود تشفير البيانات

هذه قائمة جزئية من التقييمات الأكثر شيوعًا. لحسن الحظ، فإن معيار PCI DSS موحد جدًا، ويشير بوضوح إلى ما يجب القيام به لاتباع كل تعليمات. عند التحضير لتدقيق أو تقييم ذاتي، يمكنك تسريع العملية وتقليل التكاليف من خلال اتباع هذه الخطوات:

1. حدد النطاق– حدد الإرشادات ذات الصلة بمنظمتك والتقييمات ذات الصلة بكل قسم أو نظام داخل المنظمة.
2. تقليل النطاق– طريقة سهلة لتقليل نطاقك هي إعداد جدار ناري حول بيئة البيانات الحساسة (CDE)، مما يعزلها ويحد من تحقيق PCI إلى الأنظمة خلف جدار الحماية.
3. تحديد كيفية تحقيق متطلبات PCI DSS– إعداد وثيقة تقييم المخاطر، تحديد مخاطر عدم الامتثال، وتطبيق التدابير اللازمة لمعالجتها.
4. اختبر ضوابطك– قم بذلك قبل وبعد تدقيقك السنوي أو تقييمك. إن الامتثال لمعيار PCI DSS هو عملية مستمرة ويتطلب اليقظة في جميع الأوقات.
5. جمع الأدلة– تتطلب جميع عمليات التدقيق وثائق كاملة لعملياتك وضوابطك وتدابيرك الأمنية. قم بإعدادها مسبقًا لتوفير الوقت.

التوافق مع معايير PCI باستخدام Exabeam

نظام إدارة معلومات وأحداث الأمان (SIEM) من منصة دمج أمني، هو حل سحابي يجمع بين إدارة سجلات SIEM التقليدية ونهج قائم على النتائج من خلال سير العمل التوجيهية ومحتوى محدد للتهديدات مُعبأ مسبقًا لحل اكتشاف التهديدات والتحقيق والاستجابة (TDIR) بشكل أسرع. تتضمن التكاملات المسبقة البناء مع مئات من أدوات الأمان الخارجية دمج الإشارات الضعيفة من منتجات أخرى مع تاريخ أنماط السلوك الطبيعي للعثور على التهديدات التي فاتت من قبل أدوات أخرى. تعمل أتمتة أنشطة الفرز والتحقيق والاستجابة من خلال لوحة تحكم مركزية واحدة على تعزيز إنتاجية المحللين وتقليل أوقات الاستجابة.

نظام إدارة معلومات وأحداث الأمان (SIEM) من منصة دمج أمني: تسجيل شامل للامتثال لمعيار PCI DSS.

يحتوي نظام Fusion SIEM على تقارير امتثال محددة مسبقًا لمعيار PCI DSS مثل "محاولات تسجيل الدخول الفاشلة عبر VPN" و"انتهاء جلسات العمل عن بُعد"، مما يسهل إثبات الامتثال للمراجعين. يمكن لـ Exabeam Cloud Archive الاحتفاظ ببيانات قابلة للبحث عبر الإنترنت لمدة تصل إلى عشر سنوات، مما يلبي متطلبات الاحتفاظ للجهات المعنية بالامتثال الداخلية والمراجعين الخارجيين.

كشف التهديدات الآلي والسريع

يُعتبر الكشف السريع عن التهديدات متطلبًا رئيسيًا لمعيار PCI DSS. تقوم Exabeam باستمرار بتحديد السلوك الطبيعي لجميع المستخدمين والكيانات على الشبكة، من خلال دمج المدخلات من أدوات الكشف والاستجابة على مستوى النقاط النهائية (EDR)، وأدوات الكشف والاستجابة على مستوى الشبكة (NDR)، وأدوات أمان السحابة، وحلول إدارة الهوية والوصول، وغيرها. يتم الإبلاغ عن الانحرافات عن السلوك الطبيعي - سواء من قبل المستخدم النهائي أو حسابات الخدمة - والوصول إلى الملفات أو الخوادم والسحابة المشبوهة، ويتم تعيين درجة مخاطر لها. يتم تنظيم جميع الحوادث والتنبيهات عبر الشبكة تلقائيًا في جداول زمنية توفر سياقًا لفرق الأمان للتحقيق واتخاذ إجراءات حاسمة. ونتيجة لذلك، يمكن للمحللين اكتشاف التهديدات الداخلية، والحسابات المخترقة، وفقدان البيانات، وأكثر من ذلك بسرعة.

تؤكد PCI DSS على أهمية مراقبة الحسابات بشكل مستمر - خاصة للمستخدمين المميزين والموردين الخارجيين الذين لديهم وصول خاص - ويدعم Exabeam هذه المهمة. يساعد Fusion SIEM محللي مركز العمليات الأمنية (SOC) على تحديد الأنشطة الخطرة المتعلقة بالتقارير المالية بسرعة ودقة بغض النظر عن مكان حدوثها. تقوم Exabeam بجمع بيانات السجلات من مجالات متباينة (مثل السحابة، قاعدة البيانات، البريد الإلكتروني، التطبيق) وتجميعها في سلسلة نشاط متماسكة لتحسين رؤية المحللين. فيما يتعلق باكتشاف التلاعب بالبيانات بشكل خاص، تحتوي Exabeam على نماذج مراقبة ملفات مدمجة تتعقب كل إجراء متعلق بالملفات - بما في ذلك الوصول الأول، وإرفاق البيانات برسالة بريد إلكتروني، والتنزيل، أو حتى الكتابة على محرك USB.