ما هي شهادة الامتثال PCI (AoC)؟

شهادة التوافق مع معايير أمان بيانات صناعة بطاقات الدفع (AoC) هي إعلان تقدمه منظمة تؤكد فيه التزامها بمعايير أمان بيانات صناعة بطاقات الدفع (PCI DSS). تصدر شهادة AoC من قبل مقيم مؤهل، أو بعد إجراء تقييم ذاتي للتوافق، وتعمل كدليل على أن التدابير الأمنية اللازمة لحماية بيانات حاملي البطاقات موجودة.

تقديم شهادة الالتزام (AoC) هو الخطوة النهائية في الطريق نحو الامتثال لمعايير PCI DSS. تتضمن تفاصيل التقييم الذي تم إجراؤه للمنظمة، الحالة الحالية للامتثال، منهجية التقييم، والضوابط الأمنية الحالية المعمول بها. شهادة الالتزام صالحة لمدة عام واحد، وبعد ذلك تحتاج المنظمة إلى إجراء تقييم جديد والحصول على الشهادة مرة أخرى.

القراءة الموصى بها:ما هو SIEM، ولماذا هو مهم و 13 قدرة رئيسية.

من يحتاج إلى AoC؟

يجب على الكيانات المعنية بمعالجة أو تخزين أو نقل معلومات بطاقات الائتمان تقديم شهادة التوافق مع معايير أمان بيانات بطاقات الدفع (PCI AoC). يشمل ذلك التجار من جميع الأحجام ومقدمي الخدمات والكيانات الأخرى التي تؤثر على أمان معاملات بطاقات الدفع. إذا كانت عملياتك تشمل التعامل مع بيانات حاملي البطاقات، فمن الضروري تقديم شهادة التوافق (AoC) مما يتيح لك العمل ضمن إطار عمل معايير أمان بيانات بطاقات الدفع (PCI DSS).

كيف تحصل الشركة على شهادة الامتثال لمعايير أمان بيانات صناعة بطاقات الدفع (PCI AoC)؟

1. الالتزام بمعايير PCI DSS

يجب على المنظمة فهم متطلبات معيار PCI DSS وتنفيذ تدابير الأمان المحددة لحماية بيانات حاملي البطاقات. تشمل هذه التدابير الحفاظ على شبكة آمنة، وتشفير بيانات حاملي البطاقات، وإجراء تقييمات أمنية منتظمة. يجب على الشركات توثيق هذه الضوابط بدقة، مما يظهر التزامها بأمان البيانات.

2. حدد مستوى امتثالك ونوع التقييم.

يحدد معيار PCI DSS أربعة مستويات للتجار، كل منها له متطلباته الخاصة لتحقيق الامتثال والحصول على شهادة AoC.

• مستوى الامتثال لمعيار PCI DSS 1: ينطبق على التجار الذين يعالجون أكثر من 6 ملايين معاملة بطاقة سنويًا. في هذا المستوى، يجب على التجار إجراء تدقيق خارجي مع مقيم أمان مؤهل (QSAs). ثم يقوم المدقق بتفصيل النتائج في تقرير الامتثال (RoC). إذا نجح التاجر في تقرير الامتثال، يقوم QSA بإعداد شهادة الامتثال.
• مستوى الامتثال لمعيار PCI DSS 2: ينطبق على التجار الذين يعالجون بين 1-6 مليون معاملة سنويًا. قد يتطلب بعض هؤلاء التجار تدقيقًا خارجيًا من قبل QSA وتقرير RoC، ولكن يمكن لمعظمهم إجراء تقييم داخلي وتقديم استبيان تقييم ذاتي (SAQ). بناءً على RoC أو SAQ، يمكنهم تقديم شهادة الامتثال.
• مستوى الامتثال لمعيار PCI DSS 3: ينطبق على التجار الذين يعالجون ما بين 20,000 و 1 مليون معاملة سنويًا. يحتاج هؤلاء التجار إلى تقديم استبيان لتقييم الامتثال (SAQ)، وبناءً على ذلك، يمكنهم إصدار شهادة الامتثال.
• مستوى الامتثال لمعيار PCI DSS 4: ينطبق على أي تاجر يعالج أقل من 20,000 معاملة سنويًا. تواجه المنظمات في هذا المستوى بشكل رئيسي متطلبات PCI الخاصة ببنكها. قد تحتاج أو لا تحتاج إلى نموذج SAQ ونموذج AoC.

3. تقديم استبيان أو تقرير عن الامتثال

بعد إجراء التدقيق الخارجي أو التقييم الداخلي، ستحتاج المنظمة إلى تقديم تقرير عن الامتثال (RoC) أو استبيان التقييم الذاتي (SAQ) على التوالي. تقيم هذه التقييمات مدى التزام الشركة بمعايير PCI DSS، حيث تكون النتيجة إما الامتثال الكامل أو خطة لمعالجة النواقص.

إذا كانت هناك مجالات لا تمتثل فيها المنظمة لمتطلبات PCI DSS، فسيتعين عليها تحسين تدابير الأمان لديها وإعادة التقييم. عندما يتم معالجة جميع القضايا، يمكنها أخيرًا تقديم شهادة الامتثال (AoC).

ما هو مقيّم الأمان المؤهل (QSA)؟

"مقيم أمان مؤهل" (QSA) هو متخصص معتمد من قبل مجلس معايير أمان الدفع (PCI) لتقييم المؤسسات وفقًا لمعيار أمان بيانات صناعة بطاقات الدفع (PCI DSS). فقط التجار في المستوى 1 من PCI DSS (وأحيانًا المستوى 2) هم المطلوب منهم إجراء تدقيقات خارجية مع QSA.

عملية اعتماد مراجعي الأمن المعتمدين (QSAs) صارمة، حيث تتطلب منهم إظهار معرفة واسعة وخبرة في مجال أمن المعلومات. يتحمل QSAs مسؤولية إجراء تقييمات شاملة تغطي تدابير الأمان والسياسات والإجراءات الخاصة بالمنظمة لضمان توافقها مع متطلبات PCI DSS.

يتضمن تدقيق QSA مزيجًا من مراجعة الوثائق، والمقابلات، والاختبارات الفنية. بعد التقييم، يقوم QSAs بإعداد تقرير عن الامتثال (RoC) يوضح نتائجهم وما إذا كانت المنظمة تفي بمعايير PCI DSS. إذا تم العثور على جميع متطلبات PCI المعمول بها "في مكانها"، سيقوم QSA بعد ذلك بإعداد شهادة الامتثال (AoC) التي تشير إلى أن المنظمة متوافقة مع PCI DSS.

نصائح من الخبير

ستيف مور هو نائب الرئيس ورئيس استراتيجيات الأمن في إكزبيم، يساعد في تقديم الحلول لاكتشاف التهديدات وتقديم المشورة للعملاء بشأن برامج الأمن والاستجابة للاختراقات. وهو مضيف بودكاست "The New CISO Podcast"، و عضو في Forbes Tech Council، ومؤسس مشارك لـ TEN18 at Exabeam.

من خلال تجربتي، إليكم نصائح متقدمة للحصول على والحفاظ على شهادة الامتثال PCI (AoC) مع الحد الأدنى من الاضطراب:

تحسين تحديد النطاق بدقة

حدد بوضوح بيئة بيانات حامل البطاقة (CDE) وعزلها باستخدام تقسيم الشبكة. هذا يقلل من عدد الأنظمة المعنية ويقلل من الجهد المطلوب للتقييم والامتثال.

التدقيق الأولي مع المقيمين الداخليين

قم بإجراء تدقيق داخلي مفصل مسبق باستخدام مقيم أمن المعلومات (ISA) أو الفرق الداخلية لديك. يساعد ذلك في تحديد الفجوات، ويسمح بالإصلاح قبل التدقيق الرسمي، ويوفر الوقت خلال مراجعة QSA.

تنفيذ جمع الأدلة بشكل آلي

استخدم أدوات الأتمتة لجمع السجلات والتكوينات والأدلة المرتبطة بمتطلبات PCI. هذا يقلل من الجهد اليدوي ويضمن توفر الوثائق الدقيقة في الوقت المناسب خلال عمليات التدقيق.

فرض التحقق المستمر من السيطرة

اعتمد أدوات مثل مراقبة سلامة الملفات (FIM) وحلول إدارة معلومات الأمان (SIEM) وأدوات فحص الثغرات للتحقق من الضوابط الأمنية بشكل مستمر. يضمن التحقق في الوقت الحقيقي بقاء الامتثال سليمًا طوال العام.

مواءمة مخاطر الجهات الخارجية مع الامتثال لمعايير AoC

تأكد من أن جميع مقدمي الخدمات من الأطراف الثالثة الذين يؤثرون على سلسلة التوريد الخاصة بك يقدمون شهادات أو إقرارات مماثلة. قم بمراجعة حالة الامتثال لديهم بشكل دوري لتجنب مخاطر عدم الامتثال التي قد تؤثر على منظمتك.

ما الذي يتضمنه مستند AoC؟

إليك نظرة عامة على الأقسام الرئيسية الموجودة في وثيقة AoC.

نطاق التقييم

يتناول هذا القسم الأنظمة والشبكات والعمليات المحددة التي تم تقييمها خلال تقييم معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS). ويحدد حدود التقييم، مما يضمن تغطية كل مكون معني بمعالجة أو تخزين أو نقل بيانات بطاقات الدفع.

يساعد هذا القسم أيضًا المنظمات على فهم مدى جهود الامتثال الخاصة بها. من خلال تحديد النطاق بوضوح، يمكن للشركات إدارة وتأمين بيئاتها بشكل أفضل، مع التركيز على المجالات الحيوية لحماية بيانات حاملي البطاقات.

حالة الامتثال

هذا القسم يحدد ما إذا كانت الكيانات التي تم تقييمها تلبي متطلبات PCI DSS. يوفر مؤشراً واضحاً على الامتثال أو يبرز المجالات التي تحتاج إلى تحسين. بالنسبة للشركات، يوضح هذا القسم وضعها الأمني، مشيراً إلى النجاحات والمجالات التي تحتاج إلى تحسين فيما يتعلق بمعايير PCI.

منهجية التقييم

تتناول هذه الفقرة الإجراءات والاختبارات التي تُجرى لتحديد الامتثال لمعايير PCI DSS. وتشمل المنهجيات التي يستخدمها المقيّمون للتحقق من تنفيذ الضوابط الأمنية المطلوبة. وهذا يوفر نظرة على دقة وشمولية التقييم، مما يضمن للمساهمين أن التقييم كان شاملاً.

التحكم في الأمن

تتناول هذه الفقرة الضوابط والإجراءات المحددة التي نفذتها الشركة للامتثال لمتطلبات PCI DSS. وتبرز كيفية حماية البيانات الحساسة، بدءًا من التشفير وضوابط الوصول وصولاً إلى ممارسات المراقبة وإدارة المخاطر. وهذا يمنح أصحاب المصلحة رؤية واضحة عن الوضع الأمني للمنظمة.

معلومات المقيّم

يتضمن هذا القسم تفاصيل حول الكيانات التي قامت بإجراء التقييم. قد تكون هذه الكيانات مقيم أمني مؤهل (QSA)، بائع مسح معتمد (ASV)، و/أو مقيم أمني داخلي (ISA)، مع تقديم مؤهلاتهم وتفاصيل الاتصال الخاصة بهم.

ما هي مدة صلاحية شهادة الامتثال؟

شهادة الامتثال لمعايير أمان بيانات بطاقات الدفع (PCI AoC) صالحة لمدة عام واحد من تاريخ إصدارها. يجب على المنظمات التخطيط للتقييمات المنتظمة كجزء من استراتيجياتها الأمنية. يضمن التحقق السنوي الامتثال المستمر ويعالج أي ثغرات قد تنشأ نتيجة التغيرات في البيئة أو العمليات خلال العام.

ماذا ستحتاج لتقديمه لجعل تقييمك خالياً من الألم؟

لتسهيل عملية الحصول على شهادة الامتثال PCI (AoC) وجعل التقييم سلسًا قدر الإمكان، تحتاج الشركات إلى تحضير وتقديم معلومات ووثائق محددة. إليك ما ستحتاجه:

• توثيق مفصل لبيئة تكنولوجيا المعلومات الخاصة بك: يجب أن يكون لديك توثيق شامل لبنيتك التحتية لتكنولوجيا المعلومات، بما في ذلك المخططات الشبكية، ومخططات تدفق البيانات، وجرد لجميع الأنظمة المعنية في معالجة أو تخزين أو نقل بيانات حاملي البطاقات. يجب أن يحدد بوضوح حدود بيئة بيانات حاملي البطاقات (CDE).
• السياسات والإجراءات: إعداد وتوفير الوصول إلى سياسة أمن المعلومات الخاصة بك، سياسة التحكم في الوصول، خطة الاستجابة للحوادث، وأي إجراءات أخرى تتعلق بمتطلبات PCI DSS.
• أدلة على الضوابط المنفذة: كن مستعدًا لعرض أدلة على إعدادات التكوين، لقطات الشاشة، السجلات، أو أي دليل آخر يوضح الامتثال لمتطلبات PCI DSS. نظم هذه الأدلة بشكل منهجي لتتوافق مع كل متطلب.
• قائمة بمزودي الخدمات من طرف ثالث: إذا كنت تعتمد على مزودي خدمات من طرف ثالث لمعالجة أو تخزين أو نقل بيانات حاملي البطاقات، قم بتجميع قائمة بهؤلاء المزودين مع تفاصيل الخدمات التي يقدمونها. يجب أن يكون لديك أيضًا نسخ من أي اتفاقيات تؤكد أن هؤلاء المزودين ملتزمون بمعايير PCI DSS، حيث أن التزامهم يؤثر على التزامك.
• استبيان التقييم الذاتي (SAQ): بينما قد لا يحل SAQ محل الحاجة إلى تقييم كامل، إلا أنه يمكن أن يقدم رؤى قيمة حول استعدادك ويسلط الضوء على مجالات القوة والتحسين.

الامتثال لمعيار PCI DSS مع نظام إدارة معلومات وأحداث الأمان (SIEM) من منصة دمج أمني.

في النهاية، التوافق مع معايير PCI DSS يتعلق بإثبات ما تقوله للمراجعين — ومنصة دمج أمني من Exabeam يمكن أن تساعد في ذلك. بينما تقدم أدوات DLP، ونقاط النهاية، وفحص الثغرات، والشبكات، والهوية أجزاء من اللغز، فإن نظام إدارة معلومات وأحداث الأمان (SIEM) من Exabeam يساعدك في تجميع كل ذلك لرؤية الصورة الكاملة للهجوم، مضيفًا السياق وتقييم المخاطر للأحداث والتنبيهات لإظهار صورة شاملة للتوافق مع معايير PCI DSS.

يقدم نظام إدارة معلومات وأحداث الأمان (SIEM) تقارير لفرق الأمان لديك حول الثغرات المكتشفة في أصول PCI. يتناول هذا التقرير تفاصيل بيانات مسح الثغرات التي تنتجها الجدران النارية والموجهات والمفاتيح وأي جهاز آخر ينتج بيانات الثغرات. تكشف مسحات الثغرات في بيئة بيانات حاملي البطاقات عن ثغرات محتملة في الشبكات التي يمكن أن يجدها ويستغلها الأفراد الخبيثون. تستخدم المنظمات منصة دمج أمني لتحديد الثغرات المحددة العالية و/أو الحرجة في أنظمة حاملي البطاقات التي تحتاج إلى إصلاح.

يعمل نظام Fusion SIEM أيضًا على مراقبة بيانات بطاقات الائتمان، سواء كانت في حالة حركة أو ساكنة، من أنظمة IDS وIPS وDLP، لتوفير رؤية حول أي نقل محتمل غير مصرح به لبيانات بطاقات الائتمان عبر الشبكة أو إلى أجهزة التخزين القابلة للإزالة غير المصرح بها. يستخدم العملاء هذا التقرير لتحديد مصدر النقل حتى يمكن التحقيق فيه وإصلاحه. يجب مراقبة بيئة بيانات حاملي البطاقات للكشف عن أي نقل غير مصرح به لبيانات بطاقات الائتمان باستخدام تقنيات تعتمد على IDS وIPS وDLP.

من الشذوذ في الاعتماديات والنشاطات غير العادية أو الحركة إلى الوصول إلى بيانات بطاقات الائتمان أو نقلها، تقدم Exabeam رؤية واضحة لما هو "طبيعي" بالنسبة لأي اعتماديات أو حركة بيانات أو نشاط، مما يساعد على تبسيط سير العمل في مركز العمليات الأمنية (SOC) والاستجابة في حالة وجود تهديدات داخلية أو خبيثة، بالإضافة إلى اكتشاف الحركة الجانبية للبرمجيات الخبيثة أو الفدية داخل نظامك البيئي.