انطباق PCI DSS چیست؟

PCI DSS که مخفف استاندارد امنیت داده در صنعت کارتهای پرداخت است، توسط شورای استانداردهای امنیت PCI به منظور کاهش کلاهبرداریها از طریق کارتهای بانکی ایجاد شده است. هر سازمانی که با دادههای مربوط به دارندگان کارتها سروکار داشته و آنها را پردازش می کند بایستی از الزامات PCI DSS پیروی کند. اعتبارسنجی این انطباق، توسط ارزیاب امنیتی واجد شرایط (QSA)، ارزیاب امنیتی داخلی (ISA) یا برای شرکتهایی که با حجم کمتری از دادههای مالکان کارتها سروکار دارند، از طریق پرسشنامه خودارزیابی (SQA) انجام میشود.
الزامات PCI DSS، یک استاندارد جهانی است و هر چند در ایالات متحده آمریکا در قالب قانون درنیامده است اما کلیه ایالتها به نوعی آییننامههایی را در خصوص دادههای دارندگان کارتهای بانکی ایجاد کردهاند که عدم انطباق با آنها اغلب منجر به پرداخت جرایم سنگینی برای شرکتهای خاطی خواهد شد.
دلایل اهمیت PCI DSS چیست؟
انطباق با PCI DSS به معنی برداشتن گامهایی در راستای محافظت از دادههای دارندگان کارتها در برابر سرقت سایبری و مصارف مجرمانه از این داده ها است. این الزامات به همان اندازه که بر مشتریان کسب و کارها تأثیرگذار هستند بر روی خود مشاغل نیز تأثیرگذار خواهند بود، چرا که یک حمله سایبری ممکن است پیامدهای مخربی همچون از دست رفتن سود، مشتریان، اعتبار و اعتماد را به دنبال داشته باشد.
رخنه در دادهها رویدادی است که برای کسبوکارهای کوچک با تجهیزات و ابزارهای امنیتی کمتر، بسیار متداول است. برای مثال در انگلستان، یک نظرسنجی در زمینه رخنه های امنیت اطلاعات در سال 1394 نشان داد که 74% از سازمانهای کوچک، رخنه ای را در آن سال گزارش کرده اند.
با در نظر گرفتن این موضوع، پذیرش مسئولیت دادههای کاربران و اطمینان از انجام اقدام های امنیتی متناسب برای حفظ این دادهها اهمیت زیادی پیدا میکند.
برای انطباق با الزامات PCI DSS چه مراحلی میبایست گذرانده شود؟
برای سازمانهایی که قصد سازگاری (انطباق) با الزامات این استاندارد را دارند؛ اولین گام، درک نحوه ثبت، ذخیره سازی و سازماندهی دادههای پرداخت الکترونیک مشتریان است. بسیاری از شرکتها برای مدیریت این روند، از پیمانکاران برون سازمانی استفاده می کنند.
میزان این انطباق، با ارزیابی میزان تطبیق محیط نگهداری دادههای دارندگان کارتها با استانداردهای تعیین شده توسط ارایهدهندگان سرویس یا تجار اندازهگیری میشود.
در این استاندارد لازم است که تاجران و اعضای تأمینکننده سرویس (MSP) در روند ذخیرهسازی، پردازش یا انتقال دادههای دارندگان کارت ها به منظور:
- ایجاد و نگهداری یک شبکه فناوری اطلاعات امن
- محافظت از دادههای دارندگان کارتها
- داشتن برنامه ای برای مدیریت نقاط آسیبپذیر
- نظارت و آزمون مداوم شبکهها
- داشتن قوانینی در حوزه امنیت اطلاعات
مشارکت داشته باشند.
این موارد در ادامه این مطلب، در قالب 12 الزامی که هر تاجر یا MSP باید برای ایجاد انطباق و سازگاری آنها را انجام دهد، بیان شده است.
1. نصب و نگهداری از یک فایروال برای حفاظت از دادههای صاحبان کارتها
2. عدم استفاده از گزینههای پیشفرض ایجاد شده توسط فروشندگان و تولیدکنندگان، برای کلمه های عبور سیستمی و سایر موارد امنیتی
3. محافظت از دادههای دارندگان کارتها
برای مرتبسازی و نگهداری امن از دادهها قوانین، رویهها و فرایندهای مناسبی را ایجاد کرده و همواره آنها را بهروزرسانی و اصلاح کنید. برخی دادهها نظیر شماره شناسایی، هرگز نباید ذخیره شوند. برای امنسازی دادههای صاحبان کارتها باید از رمزنگاری استفاده شود.
4. رمزنگاری دادههای دارندگان کارتها در هنگام انتقال در شبکههای باز و عمومی
نمونههایی از این شبکهها فناوریهای بیسیمی همچون بلوتوث، GPRS و ارتباطات ماهوارهای هستند.
5. استفاده از نرمافزارهای آنتیویروس و به روز رسانی مداوم آنها
سیستمها را در برابر بدافزارها محافظت کرده و نرم افزارهای آنتیویروس را به طور منظم بهروزرسانی کنید تا درصد ویروسها، کرمها و تروجان ها را کم کنید. پیادهسازی، نگهداری و به اجرا درآوردن ابزارهای آنتیویروس، به طور قطع لازم و بسیار ضروری است.
6. ایجاد برنامهها و سیستمهای امن و ایمن نگهداشتن آنها
این مورد بدین معنی است که به طور متناوب، بهروزرسانیهای ارایه شده برای نرمافزارها را بررسی کرده و برای محافظت از آنها در برابر آخرین آسیبپذیریهای کشف شده، همواره آنها را بهروز نگه دارید.
7. ایجاد قوانین محدود کننده برای دسترسی به دادهها
سیستمها و فرایندها بایستی به گونهای طرحریزی شوند که بدانید چه شخصی و به چه دلیلی به این دادهها دسترسی دارد. دسترسی تنها باید در اختیار افرادی قرار گیرد که برای انجام وظایفشان نیاز به این دادهها دارند.
8. اختصاص شناسه کاربری منحصر به فرد برای هر شخص دارای دسترسی به یک سیستم رایانه ای
به این ترتیب میتوانید بفهمید که در هر زمانی، چه فردی به دادهها دسترسی خواهد داشت تا مطمئن شوید تنها افراد مجاز به سیستمها و تجهیزات خاص شبکه دسترسی دارند. یک روش برای اطمینان از تخصیص مجوزهای مناسب، استفاده از راهکارهای احراز هویت دوعاملی نظیر کارتهای هوشمند، ژتونها یا ویژگی های زیست سنجی است.
9. محدود کردن دسترسی فیزیکی به محل نگهداری دادههای صاحبان کارتها
از دست رفتن داده از طریق رخنه های امنیتی فیزیکی نیز محتمل است. در نتیجه برای اطمینان از اعمال محدودیت و نظارت بر روی سوابق فیزیکی باید اقدام های احتیاطی متناسبی را انجام دهید. دسترسی به اتاقهای سرور و مرکز دادهها باید محدود شوند. همچنین باید واسطها از بین رفته و دستگاههای حامل داده از هرگونه مداخله و دستکاری محافظت شده و تحت نظارت دقیق قرار گیرند.
10. ردگیری و مانیتورینگ تمامی دسترسیهای انجام شده به منابع و دادههای دارندگان کارتها
نگهداشتن گزارش کلیه دسترسیها برای شناسایی و کمینهسازی مخاطره رخنه در دادهها بسیاری ضروری است. باید مجموعه بازرسیهای ایمن و کنترل شدهای پیادهسازی شود که تمامی کارهای انجام شده برای هر نفر، از جمله دسترسی به داده، اولویتها، تلاشهای ناموفق برای ورود به سیستم و تغییرات اعمال شده بر روی سازوکارهای احراز هویت همچون پاک کردن اشیا را در قالب گزارش، ثبت و نگهداری کند. این گزارش ها باید به صورت مداوم، بررسی و در صورت نیاز بازبینی شوند.
11. تست مداوم سیستمها و فرایندهای امنیتی
تست نفوذپذیری، بخش مهمی از این انطباق را تشکیل میدهد و یکی از ابزارهای تیم امنیت فناوری اطاعات به شمار میرود که باید به صورت سالانه و پس از هرگونه تغییر قابلملاحظهای در شبکه انجام شود. این تست شامل اسکنهای مربوط به آسیبپذیریها، توپولوژی شبکه و نگهداری فایروال است.
12. ایجاد مقرراتی در خصوص مباحث امنیت اطلاعات مرتبط با کارکنان و پیمانکاران
این قوانین را دو بار در سال بازبینی کرده و بر اساس هر مخاطره جدیدی که با آن رو به رو میشوید، آنها را بهروزرسانی کنید. برای شناسایی هرگونه تهدید یا آسیبپذیری، رویه ارزیابی مخاطره را اجرا کنید تا این قوانین و طرح پاسخ به رخداد، متناسب با مخاطرههای موجود شکل بگیرند. پس از ایجاد و اجرای آنها، لازم است یک برنامه آگاهی بخشی امنیتی نیز طراحی و پیادهسازی شود تا کارکنان را از قوانین و الزامات امنیتی آگاه کند.
این انطباق، چه نقشی در کسبوکارها دارد؟
کسبوکارهایی که به دنبال انطباق با الزامات PCI DSS هستند باید کنترل های امنیتی گفته شده توسط این استاندارد را کاملاً رعایت کنند. انجمن استانداردهای امنیتی PCI هم یک کتابخانه عالی از منابع را در اختیار مشاغل مربوطه قرار داده است.
نیازمندیهای انطباق PCI DSS بهترین راهکارهای کلی امنیت سایبری هستند. اگر هنوز با قانون GDPR اتحادیه اروپا که در می 2018 اجرایی شده است آشنایی کافی ندارید باید این موضوع را بدانید که این قانون، تعداد زیادی از دستورالعملهای مربوط به بهترین راهکارها را در خود جای داده است. جدای از این که اندازه کسبوکار شما برای این انطباق چقدر است باید به دنبال امنسازی زیرساخت و شبکهتان بوده و محافظت از با ارزشترین دارایی موجود در کسبوکارتان یعنی دادههایتان را نیز از یاد نبرید.
زیرساخت کلید عمومی (PKI) بهترین روش برای مدیریت و کنترل داده هایتان است. استفاده از PKI امکان شناسایی یا صدور گواهی دیجیتالی برای کلیه سیستمها و اجزای داخلی درون سازمانتان را که با یکدیگر ارتباط دارند، فراهم میکند. این گواهیها میتوانند برای شناسایی و احراز هویت کاربران، ماشینها و دستگاهها مورد استفاده قرار بگیرند. این قابلیت می تواند کنترل دسترسی بهتر یا دسترسیهای مبتنی بر اولویت، ارتباطات و انتقال دادههای رمزنگاری شده را فراهم کرده و اطمینان لازم را از جامعیت دادههای انتقالی فراهم کند.