انطباق PCI DSS چیست؟

PCI DSS که مخفف استاندارد امنیت داده در صنعت کارت‌های پرداخت است، توسط شورای استانداردهای امنیت PCI به منظور کاهش کلاهبرداری‌ها از طریق کارت‌های بانکی ایجاد شده است.‌ هر سازمانی که با داده‌های مربوط به دارندگان کارت‌ها سروکار داشته و آنها را پردازش می کند بایستی از الزامات PCI DSS پیروی کند. اعتبارسنجی این انطباق، توسط ارزیاب امنیتی واجد شرایط (QSA)، ارزیاب امنیتی داخلی (ISA) یا برای شرکت‌هایی که با حجم کمتری از داده‌های مالکان کارت‌ها سروکار دارند، از طریق پرسشنامه خودارزیابی (SQA) انجام می‌شود.

الزامات PCI DSS، یک استاندارد جهانی است و هر چند در ایالات متحده آمریکا در قالب قانون درنیامده است اما کلیه ایالت‌ها به نوعی آیین‌نامه‌هایی را در خصوص داده‌های دارندگان کارت‌های بانکی ایجاد کرده‌اند که عدم انطباق با آنها اغلب منجر به پرداخت جرایم سنگینی برای شرکت‌های خاطی خواهد شد.

دلایل اهمیت PCI DSS چیست؟

انطباق با PCI DSS به معنی برداشتن گام‌هایی در راستای محافظت از داده‌های دارندگان کارت‌ها در برابر سرقت سایبری و مصارف مجرمانه از این داده ها است. این الزامات به همان اندازه که بر مشتریان کسب و کارها تأثیرگذار هستند بر روی خود مشاغل نیز تأثیرگذار خواهند بود، چرا که یک حمله سایبری ممکن است پیامدهای مخربی همچون از دست رفتن سود، مشتریان، اعتبار و اعتماد را به دنبال داشته باشد.

رخنه در داده‌ها رویدادی است که برای کسب‌وکارهای کوچک با تجهیزات و ابزارهای امنیتی کمتر، بسیار متداول است. برای مثال در انگلستان، یک نظرسنجی در زمینه رخنه های امنیت اطلاعات در سال 1394 نشان داد که 74% از سازمان‌های کوچک، رخنه ای را در آن سال گزارش کرده اند.

با در نظر گرفتن این موضوع، پذیرش مسئولیت داده‌های کاربران و اطمینان از انجام اقدام های امنیتی متناسب برای حفظ این داده‌ها اهمیت زیادی پیدا می‌کند.

 

برای انطباق با الزامات PCI DSS چه مراحلی می‌بایست گذرانده شود؟

 

برای سازمان‌هایی که قصد سازگاری (انطباق) با الزامات این استاندارد را دارند؛ اولین گام، درک نحوه ثبت، ذخیره سازی و سازمان‌دهی داده‌های پرداخت الکترونیک مشتریان است. بسیاری از شرکت‌ها برای مدیریت این روند، از پیمانکاران برون سازمانی استفاده می کنند.

میزان این انطباق، با ارزیابی میزان تطبیق محیط نگهداری داده‌های دارندگان کارت‌ها با استانداردهای تعیین شده توسط ارایه‌دهندگان سرویس یا تجار اندازه‌گیری می‌شود.

در این استاندارد لازم است که تاجران و اعضای تأمین‌کننده سرویس (MSP) در روند ذخیره‌سازی، پردازش یا انتقال داده‌های دارندگان کارت ها به منظور:

• ایجاد و نگهداری یک شبکه فناوری اطلاعات امن
• محافظت از داده‌های دارندگان کارت‌ها
• داشتن برنامه ای برای مدیریت نقاط آسیب‌پذیر
• نظارت و آزمون مداوم شبکه‌ها
• داشتن قوانینی در حوزه امنیت اطلاعات

مشارکت داشته باشند.

این موارد در ادامه این مطلب، در قالب 12 الزامی که هر تاجر یا MSP باید برای ایجاد انطباق و سازگاری آنها را انجام دهد، بیان شده است.

 

1. نصب و نگهداری از یک فایروال برای حفاظت از داده‌های صاحبان کارت‌ها

2. عدم استفاده از گزینه‌های پیش‌فرض ایجاد شده توسط فروشندگان و تولیدکنندگان، برای کلمه های عبور سیستمی و سایر موارد امنیتی

3. محافظت از داده‌های دارندگان کارت‌ها

 

برای مرتب‌سازی و نگهداری امن از داده‌ها قوانین، رویه‌ها و فرایند‌های مناسبی را ایجاد کرده و همواره آنها را به‌روزرسانی و اصلاح کنید. برخی داده‌ها نظیر شماره شناسایی، هرگز نباید ذخیره شوند. برای امن‌سازی داده‌های صاحبان کارت‌ها باید از رمزنگاری استفاده شود.

 

4. رمزنگاری داده‌های دارندگان کارت‌ها در هنگام انتقال در شبکه‌های باز و عمومی

نمونه‌هایی از این شبکه‌ها فناوری‌های بی‌سیمی همچون بلوتوث، GPRS و ارتباطات ماهواره‌ای هستند.

 

5. استفاده از نرم‌افزارهای آنتی‌ویروس و به روز رسانی مداوم آنها

سیستم‌ها را در برابر بدافزارها محافظت کرده و نرم افزارهای آنتی‌ویروس را به طور منظم به‌روزرسانی کنید تا درصد ویروس‌ها، کرم‌ها و تروجان ها را کم کنید. پیاده‌سازی، نگهداری و به اجرا درآوردن ابزارهای آنتی‌ویروس، به طور قطع لازم و بسیار ضروری است.

 

6. ایجاد برنامه‌ها و سیستم‌های امن و ایمن نگهداشتن آنها

این مورد بدین معنی است که به طور متناوب، به‌روزرسانی‌های ارایه شده برای نرم‌افزارها را بررسی کرده و برای محافظت از آنها در برابر آخرین آسیب‌پذیری‌های کشف شده، همواره آنها را به‌روز نگه دارید.

 

7. ایجاد قوانین محدود کننده برای دسترسی به داده‌ها

 

سیستم‌ها و فرایندها بایستی به گونه‌ای طرح‌ریزی شوند که بدانید چه شخصی و به چه دلیلی به این داده‌ها دسترسی دارد. دسترسی تنها باید در اختیار افرادی قرار گیرد که برای انجام وظایفشان نیاز به این داده‌ها دارند.

 

8. اختصاص شناسه کاربری منحصر به فرد برای هر شخص دارای دسترسی به یک سیستم رایانه ای

به این ترتیب می‌توانید بفهمید که در هر زمانی، چه فردی به داده‌ها دسترسی خواهد داشت تا مطمئن شوید تنها افراد مجاز به سیستم‌ها و تجهیزات خاص شبکه دسترسی دارند. یک روش برای اطمینان از تخصیص مجوزهای مناسب، استفاده از راهکارهای احراز هویت دوعاملی نظیر کارت‌های هوشمند، ژتون‌ها یا ویژگی های زیست سنجی است.

 

9. محدود کردن دسترسی فیزیکی به محل نگهداری داده‌های صاحبان کارت‌ها

 

از دست رفتن داده از طریق رخنه های امنیتی فیزیکی نیز محتمل است. در نتیجه برای اطمینان از اعمال محدودیت و نظارت بر روی سوابق فیزیکی باید اقدام های احتیاطی متناسبی را انجام دهید. دسترسی به اتاق‌های سرور و مرکز داده‌ها باید محدود شوند. همچنین باید واسط‌ها از بین رفته و دستگاه‌های حامل داده از هرگونه مداخله و دستکاری محافظت شده و تحت نظارت دقیق قرار گیرند.

 

10. ردگیری و مانیتورینگ تمامی دسترسی‌های انجام شده به منابع و داده‌های دارندگان کارت‌ها

نگهداشتن گزارش کلیه دسترسی‌ها برای شناسایی و کمینه‌سازی مخاطره رخنه در داده‌ها بسیاری ضروری است. باید مجموعه‌ بازرسی‌های ایمن و کنترل شده‌ای پیاده‌سازی شود که تمامی کارهای انجام شده برای هر نفر، از جمله دسترسی به داده، اولویت‌ها، تلاش‌های ناموفق برای ورود به سیستم و تغییرات اعمال شده بر روی سازوکارهای احراز هویت همچون پاک کردن اشیا را در قالب گزارش، ثبت و نگهداری کند. این گزارش ها باید به صورت مداوم، بررسی و در صورت نیاز بازبینی شوند.

 

11. تست مداوم سیستم‌ها و فرایند‌های امنیتی

 

تست نفوذپذیری، بخش مهمی از این انطباق را تشکیل می‌دهد و یکی از ابزارهای تیم امنیت فناوری اطاعات به شمار می‌رود که باید به صورت سالانه و پس از هرگونه تغییر قابل‌ملاحظه‌ای در شبکه انجام شود. این تست شامل اسکن‌های مربوط به آسیب‌پذیری‌ها، توپولوژی شبکه و نگهداری فایروال است.

 

12. ایجاد مقرراتی در خصوص مباحث امنیت اطلاعات مرتبط با کارکنان و پیمانکاران

این قوانین را دو بار در سال بازبینی کرده و بر اساس هر مخاطره جدیدی که با آن رو به رو می‌شوید، آنها را به‌روزرسانی کنید. برای شناسایی هرگونه تهدید یا آسیب‌پذیری، رویه ارزیابی مخاطره را اجرا کنید تا این قوانین و طرح پاسخ به رخداد، متناسب با مخاطره‌های موجود شکل بگیرند. پس از ایجاد و  اجرای آنها، لازم است یک برنامه آگاهی بخشی امنیتی نیز طراحی و پیاده‌سازی شود تا کارکنان را از قوانین و الزامات امنیتی آگاه کند.

 

این انطباق، چه نقشی در کسب‌وکارها دارد؟

کسب‌وکارهایی که به دنبال انطباق با الزامات PCI DSS هستند باید کنترل های امنیتی گفته شده توسط این استاندارد را کاملاً رعایت کنند. انجمن استانداردهای امنیتی PCI هم یک کتابخانه عالی از منابع را در اختیار مشاغل مربوطه قرار داده است.

نیازمندی‌های انطباق PCI DSS بهترین راهکارهای کلی امنیت سایبری هستند. اگر هنوز با قانون GDPR اتحادیه اروپا که در می 2018 اجرایی شده است آشنایی کافی ندارید باید این موضوع را بدانید که این قانون، تعداد زیادی از دستورالعمل‌های مربوط به بهترین راهکارها را در خود جای داده است. جدای از این که اندازه کسب‌وکار شما برای این انطباق چقدر است باید به دنبال امن‌سازی زیرساخت و شبکه‌تان بوده و محافظت از با ارزش‌ترین دارایی موجود در کسب‌وکارتان یعنی داده‌هایتان را نیز از یاد نبرید.

 

زیرساخت کلید عمومی (PKI) بهترین روش برای مدیریت و کنترل داده‌ هایتان است. استفاده از PKI امکان شناسایی یا صدور گواهی دیجیتالی برای کلیه سیستم‌ها و اجزای داخلی درون سازمان‌تان را که با یکدیگر ارتباط دارند، فراهم می‌کند. این گواهی‌ها می‌توانند برای شناسایی و احراز هویت کاربران، ماشین‌ها و دستگاه‌ها مورد استفاده قرار بگیرند. این قابلیت می تواند کنترل‌ دسترسی بهتر یا دسترسی‌های مبتنی بر اولویت، ارتباطات و انتقال داده‌های رمزنگاری شده را فراهم کرده و اطمینان لازم را از جامعیت داده‌های انتقالی فراهم کند.