استاندارد امنیت داده های صنعت کارت پرداخت (PCI DSS) توسط قرارداد برای آن دسته از داده های دارنده کارت ، خواه شما یک شرکت نوپا باشد یا یک شرکت جهانی. تجارت شما همیشه باید سازگار باشد و انطباق شما باید سالانه تأیید شود. این امر به طور کلی توسط شرکت های کارت اعتباری اجباری شده و در توافق نامه های شبکه کارت اعتباری مورد بحث قرار می گیرد.
شورای استاندارد PCI (SSC) مسئولیت تدوین استانداردهای مربوط به انطباق PCI را بر عهده دارد. هدف آن کمک به امنیت و محافظت از کل اکوسیستم کارت پرداخت است. این استانداردها برای بازرگانان اعمال می شود ، ارائه دهندگان خدمات معاملات پرداخت کارت اعتباری/بدهی را پردازش می کنند.
انطباق PCI چیست؟
انطباق صنعت کارت پرداخت (PCI) توسط شرکت های کارت اعتباری موظف است تا از امنیت معاملات کارت اعتباری در صنعت پرداخت اطمینان حاصل کند. انطباق صنعت کارت پرداخت به استانداردهای فنی و عملیاتی اشاره دارد که مشاغل برای ایمن سازی و محافظت از داده های کارت اعتباری ارائه شده توسط دارندگان کارت و انتقال از طریق معاملات پردازش کارت ، از آنها پیروی می کنند. استانداردهای PCI برای انطباق توسط شورای استانداردهای امنیتی PCI تهیه و مدیریت می شود.
12 نیاز PCI DSS
الزامات مندرج در PCI SSC هر دو عملیاتی و فنی هستند و تمرکز اصلی این قوانین همیشه محافظت از داده های دارنده کارت است.
12 مورد نیاز PCI DSS عبارتند از:
- برای محافظت از داده های دارنده کارت ، پیکربندی فایروال را نصب و نگهداری کنید
- از پیش فرض های فروشنده برای رمزهای عبور سیستم و سایر پارامترهای امنیتی استفاده نکنید
- از داده های دارنده کارت ذخیره شده محافظت کنید
- رمزگذاری داده های دارنده کارت در شبکه های عمومی باز و باز
- از نرم افزار یا برنامه های ضد ویروس به طور مرتب استفاده و به روز کنید
- سیستم ها و برنامه های ایمن را توسعه داده و حفظ کنید
- دسترسی به داده های دارنده کارت توسط تجارت را محدود کنید
- یک شناسه منحصر به فرد را به هر شخص با دسترسی به رایانه اختصاص دهید
- دسترسی فیزیکی به داده های دارنده کارت را محدود کنید
- پیگیری و نظارت بر دسترسی به منابع شبکه و داده های دارنده کارت
- به طور مرتب سیستم ها و فرآیندهای امنیتی را آزمایش کنید
- سیاستی را حفظ کنید که به امنیت اطلاعات برای همه پرسنل بپردازد
قبل از ورود به نیازهای PCI DSS ، شما همچنین می خواهید نحوه تعریف دامنه PCI DSS را پیدا کنید. کاهش دامنه حسابرسی PCI DSS بسیار مهم است زیرا به کاهش هزینه های انطباق ، هزینه های عملیات و ریسک مرتبط با تعامل با داده های کارت پرداخت کمک می کند.
الزامات PCI DSS 12 مجموعه ای از کنترل های امنیتی است که مشاغل برای محافظت از داده های کارت اعتباری و مطابق با استاندارد امنیت داده های صنعت کارت پرداخت (PCI DSS) موظفند پیاده سازی کنند.
PCI DSS مورد نیاز 1: برای محافظت از داده های دارنده کارت ، پیکربندی فایروال را نصب و نگهداری کنید
این نیاز اول تضمین می کند که ارائه دهندگان خدمات و بازرگانان از طریق پیکربندی مناسب یک فایروال و همچنین روترها در صورت کاربرد ، یک شبکه ایمن را حفظ می کنند. فایروال های پیکربندی شده به درستی از محیط داده کارت خود محافظت می کنند. فایروال ها از طریق قوانین و معیارهای پیکربندی شده توسط سازمان شما ، ترافیک شبکه ورودی و خروجی را محدود می کنند.
فایروال ها اولین خط محافظت را برای شبکه شما فراهم می کنند. سازمان ها باید فایروال ها و استانداردهای روتر را ایجاد کنند که این امکان را برای یک فرآیند استاندارد برای اجازه یا انکار قوانین دسترسی به شبکه فراهم می کند. قوانین پیکربندی باید به صورت دوسالانه بررسی شود و اطمینان حاصل شود که هیچ قانون دسترسی ناامن وجود ندارد که بتواند دسترسی به محیط داده کارت را فراهم کند.
PCI DSS مورد نیاز 2: برای رمزهای عبور سیستم و سایر پارامترهای امنیتی از پیش فرض های تهیه شده از فروشنده استفاده نکنید
این تمرکز بر سخت شدن سیستم های سازمان شما مانند سرورها ، دستگاه های شبکه ، برنامه ها ، فایروال ها ، نقاط دسترسی بی سیم و غیره است. بیشتر سیستم های عامل و دستگاه ها با تنظیمات پیش فرض کارخانه مانند نام کاربری ، رمزهای عبور و سایر پارامترهای پیکربندی ناامن همراه هستند. این نام های کاربری و رمزهای عبور پیش فرض ساده است و بیشتر آنها حتی در اینترنت منتشر می شوند.
چنین رمزهای عبور پیش فرض و سایر پارامترهای امنیتی در هر این نیاز مجاز نیستند. این نیاز همچنین می خواهد موجودی همه سیستم ها ، روش های پیکربندی/سخت شدن را حفظ کند. این رویه ها باید هر بار که سیستم جدیدی در زیرساخت IT معرفی شود ، دنبال شود.
PCI DSS مورد نیاز 3: از داده های دارنده کارت ذخیره شده محافظت کنید
این مهمترین نیاز استاندارد PCI است. مطابق با الزام 3 ، ابتدا باید تمام داده هایی را که می خواهید به همراه مکان و دوره نگهداری آن ذخیره کنید ، بدانید. تمام این داده های دارنده کارت باید با استفاده از الگوریتم های پذیرش صنعت (به عنوان مثال ، AES-256 ، RSA 2048) رمزگذاری شوند ، کوتاه شده ، نشانه گذاری شده یا هشدار (به عنوان مثال SHA 256 ، PBKDF2). همراه با رمزگذاری داده های کارت ، این نیاز همچنین در مورد یک فرآیند مدیریت کلید رمزگذاری رمزگذاری PCI DSS قوی صحبت می کند.
بسیاری از اوقات ارائه دهندگان خدمات یا بازرگانان نمی دانند که شماره های حساب اولیه رمزگذاری نشده (PAN) را ذخیره می کنند و بنابراین اجرای ابزاری مانند کشف داده های کارت مهم می شود. توجه داشته باشید که مکانهای متداول که داده های کارت در آن یافت می شود ، پرونده های ورود به سیستم ، پایگاه داده ها ، صفحات گسترده و غیره هستند. این الزام همچنین شامل قوانینی برای نحوه نمایش شماره حساب های اولیه است ، مانند آشکار کردن فقط شش و چهار رقم اول.
PCI DSS مورد نیاز 4: رمزگذاری انتقال داده های دارنده کارت در شبکه های عمومی باز و عمومی
مشابه نیاز 3 ، در این نیاز ، شما باید هنگام انتقال از طریق یک شبکه باز یا عمومی (به عنوان مثال اینترنت ، 802. 11 ، بلوتوث ، GSM ، CDMA ، GPRS) داده های کارت را ایمن کنید. شما باید بدانید که کجا می خواهید داده های کارت را به/از/دریافت کنید. عمدتا ، داده های کارت برای پردازش معاملات به دروازه پرداخت ، پردازنده و غیره منتقل می شوند.
مجرمان سایبری به طور بالقوه می توانند هنگام انتقال از طریق شبکه های عمومی به داده های دارنده کارت دسترسی پیدا کنند. رمزگذاری داده های نگهدارنده کارت قبل از انتقال با استفاده از نسخه امن پروتکل های انتقال مانند TLS ، SSH و غیره می تواند احتمال به خطر انداختن چنین داده هایی را محدود کند.
PCI DSS مورد نیاز 5: از نرم افزار یا برنامه های ضد ویروس به طور مرتب استفاده و به روز کنید
این نیاز بر محافظت در برابر انواع بدافزار که می توانند بر سیستم ها تأثیر بگذارند ، متمرکز است. کلیه سیستم ها از جمله ایستگاه های کاری ، لپ تاپ ها و دستگاه های تلفن همراه که ممکن است کارمندان برای دسترسی به سیستم به صورت محلی و از راه دور استفاده کنند ، باید یک راه حل ضد ویروس مستقر در آنها داشته باشند. شما باید اطمینان حاصل کنید که برنامه های ضد ویروس یا ضد بدافزار به طور مرتب به روز می شوند تا بدافزارهای شناخته شده را تشخیص دهند. حفظ یک برنامه ضد بدافزار به روز ، مانع از آلوده کردن سیستم های بدافزار شناخته شده می شود.
اطمینان حاصل کنید که مکانیسم های ضد ویروس همیشه با استفاده از آخرین امضاها و ایجاد سیاهههای مربوط به شنیداری ، همیشه فعال هستند.
PCI DSS مورد نیاز 6: سیستم ها و برنامه های ایمن را توسعه و نگهداری کنید
تعریف و اجرای فرایندی که امکان شناسایی و طبقه بندی خطر آسیب پذیری های امنیتی در محیط PCI DSS را از طریق منابع خارجی قابل اعتماد فراهم می کند ، مهم است. سازمان ها باید با استفاده از تکه های مهم به موقع ، پتانسیل سوء استفاده ها را محدود کنند. همه سیستم ها را در محیط داده کارت ، از جمله:
- سیستم های عامل
- فایروال ها ، روترها ، سوئیچ ها
- نرم افزار کاربردی
- دیتابیس
- پایانه های POS
جدا از این ، شما را ملزم به تعریف و پیاده سازی یک فرآیند توسعه می کند که شامل الزامات امنیتی در کلیه مراحل توسعه است.
برای اجرای PCI DSS به کمک نیاز دارید؟QSA های ما می توانند کمک کنند.
PCI DSS مورد نیاز 7: دسترسی به داده های دارنده کارت توسط تجارت را محدود کنید
برای اجرای اقدامات کنترل دسترسی قوی ، ارائه دهندگان خدمات و بازرگانان باید بتوانند دسترسی به سیستم های داده دارنده کارت را مجاز یا انکار کنند. این نیاز همه چیز در مورد کنترل دسترسی مبتنی بر نقش (RBAC) است ، که دسترسی به داده ها و سیستم های کارت را بر اساس نیاز به دانستن اعطا می کند.
نیاز به دانستن یک مفهوم اساسی در PCI DSS است. سیستم کنترل دسترسی (به عنوان مثال Active Directory ، LDAP) باید هر درخواست را ارزیابی کند تا از قرار گرفتن در معرض داده های حساس به کسانی که به این اطلاعات احتیاج ندارند جلوگیری کند. شما باید لیستی از همه کاربران را با نقش های خود که نیاز به دسترسی به محیط داده کارت دارند ، مستند کرده باشید. این لیست باید شامل هر نقش ، تعریف نقش ، سطح امتیاز فعلی ، سطح امتیاز فعلی و منابع داده برای هر کاربر برای انجام عملیات بر روی داده های کارت باشد.
PCI DSS مورد نیاز 8: یک شناسه منحصر به فرد را به هر شخص با دسترسی به رایانه اختصاص دهید
طبق نیاز 8 ، شما نباید از کاربر و رمزهای عبور مشترک/گروه استفاده کنید. هر کاربر مجاز باید دارای یک شناسه منحصر به فرد باشد و رمزهای عبور باید به اندازه کافی پیچیده باشند. این تضمین می کند که هر زمان که به داده های دارنده کارت دسترسی پیدا کند ، می توان آن فعالیت را در یک کاربر شناخته شده ردیابی کرد و مسئولیت پذیری را می توان حفظ کرد. برای کلیه دسترسی های اداری غیر کنسول (دسترسی از راه دور) ، مجوز دو عاملی لازم است.
نیاز PCI DSS 9: دسترسی فیزیکی به داده های دارنده کارت را محدود کنید
این نیاز بر حمایت از دسترسی فیزیکی به سیستم هایی با داده های دارنده کارت متمرکز است. بدون کنترل دسترسی فیزیکی ، افراد غیرمجاز می توانند برای سرقت ، غیرفعال کردن ، قطع یا از بین بردن سیستم های بحرانی و داده های دارنده کارت به نصب دسترسی پیدا کنند.
برای نظارت بر ورودی و خروج درهای مکانهای فیزیکی مانند مرکز داده ، نیاز به استفاده از دوربین های فیلمبرداری/کنترل دسترسی الکترونیکی دارد. ضبط ها یا گزارش های دسترسی به حرکت پرسنل باید برای حداقل 90 روز خرده فروشی شود. شما باید یک فرآیند دسترسی را اجرا کنید که امکان تمایز بین بازدید کنندگان مجاز و کارمندان را فراهم می کند. کلیه رسانه های قابل جابجایی یا قابل حمل حاوی داده های دارنده کارت باید از نظر جسمی محافظت شوند. لازم است همه رسانه ها را نابود کنید وقتی که تجارت دیگر نیازی به آن نداشته باشد.
PCI DSS مورد نیاز 10: دسترسی و نظارت بر دسترسی به منابع شبکه و داده های دارنده کارت
آسیب پذیری ها در شبکه های فیزیکی و بی سیم باعث می شود که مجرمان سایبری داده های کارت را سرقت کنند. این نیاز مستلزم آن است که تمام سیستم ها باید دارای خط مشی حسابرسی صحیح باشند و سیاههها را به سرور متمرکز Syslog ارسال کنند. این سیاهههای مربوط باید حداقل روزانه مورد بررسی قرار گیرند تا به دنبال ناهنجاری ها و فعالیت های مشکوک باشید.
اطلاعات امنیتی و ابزارهای نظارت بر رویداد (SIEM) می تواند به شما در ورود به سیستم و فعالیت های شبکه ، نظارت بر سیاهههای مربوط و هشدار از فعالیت های مشکوک کمک کند. PCI DSS همچنین مستلزم آن است که سوابق دنباله حسابرسی باید از نظر اطلاعات موجود ، استاندارد خاصی را رعایت کند. هماهنگ سازی زمان لازم است. داده های حسابرسی باید تضمین شود ، و چنین داده هایی باید برای مدت زمانی کوتاه تر از یک سال حفظ شوند.
نیاز PCI DSS 11: به طور مرتب سیستم ها و فرآیندهای امنیتی را آزمایش کنید
آسیب پذیری ها به طور مداوم توسط افراد و محققان مخرب کشف می شوند ، بنابراین ، تمام سیستم ها و فرایندها باید به صورت مکرر آزمایش شوند تا از حفظ امنیت اطمینان حاصل شود.
فعالیت های دوره ای زیر مورد نیاز است:
- آنالایزر بی سیم برای شناسایی و شناسایی کلیه نقاط دسترسی بی سیم مجاز و غیرمجاز به صورت سه ماهه اسکن می شود.
- تمام IP ها و دامنه های خارجی در معرض CDE لازم است حداقل سه ماهه توسط یک فروشنده اسکن تأیید شده PCI (ASV) اسکن شوند. باید حداقل سه ماهه انجام شود.
- تمام IP ها و دامنه های خارجی باید حداقل سالانه یا بعد از هرگونه تغییر قابل توجه ، آزمایش نفوذ برنامه و نفوذ شبکه را انجام دهند.
نظارت بر پرونده نیز یک ضرورت است. سیستم باید هر هفته مقایسه پرونده را انجام دهد تا تغییراتی را که ممکن است در غیر این صورت بدون توجه بوده اند ، تشخیص دهد.
PCI DSS مورد نیاز 12: سیاستی را حفظ کنید که امنیت اطلاعات را برای همه پرسنل مورد بررسی قرار دهد
این نیاز نهایی پیروی از PCI است و به هدف اصلی PCI DSS از اجرای و حفظ یک سیاست امنیت اطلاعاتی برای همه کارمندان و سایر احزاب مربوطه اختصاص یافته است. سیاست امنیت اطلاعات باید حداقل سالانه مورد بررسی قرار گیرد و برای همه کارمندان ، فروشندگان/پیمانکاران منتشر شود. کاربران باید خط مشی را بخوانند و تصدیق کنند.
این نیاز همچنین شما را به انجام نیاز دارد:
- ارزیابی ریسک سالانه و رسمی که دارایی های بحرانی ، تهدیدها و آسیب پذیری ها را مشخص می کند.
- آموزش آگاهی کاربر
- چک های پیش زمینه کارمند
- مدیریت حادثه
تمام این الزامات توسط QSA بررسی شده و تأیید می شود که آنها به اندازه کافی اجرا شده اند.
انطباق PCI DSS آسان نیست - حتی برای شرکت هایی که بهترین اهداف را دارند. اگرچه حفظ این یک استاندارد دشوار است ، اما مزایا ارزش آن را دارند. با وجود مشکلات ، شرکت ها باید تلاش کنند تا PCI DSS را رعایت کنند ، زیرا عدم رعایت می تواند عواقب قابل توجهی داشته باشد.
برای بحث در مورد الزامات خاص حسابرسی PCI DSS یا سایر خدمات امنیتی ، با ما در اینجا تماس بگیرید.
ویدیو های آموزشی فارکس...
ما را در سایت ویدیو های آموزشی فارکس دنبال می کنید
برچسب :
نویسنده : محبوب امانی
بازدید : 56
تاريخ : پنجشنبه
24 فروردين
1402 ساعت: 15:16