Securityآموزش

استاندارد PCI DSS چیست و چه اهمیتی دارد؟

امروزه کلاهبرداری با کارت های اعتباری زیاد شده است. به همین خاطر شورای استاندارد امنیتی صنعت کارت پرداخت (PCI SSC) برای جلوگیری از بروز نقض داده و کلاهبرداری از افراد دست به کار شده است و استاندارد PCI DSS را تعریف کرده است. این استاندارد مدت زیادی است که در هر کسب و کاری رعایت می شود.

اما بسیاری از افراد با وجود شنیدن و دیدن کلاهبرداری های متعدد این استاندارد را در کسب و کار خود رعایت نمی کنند. به همین خاطر در این پست شما را با استاندارد PCI DSS آشنا می کنیم تا با رعایت آن در کسب و کار خود روابط طولانی‌ مدت و قابل اعتمادی با مشتریان خود داشته باشید.

PCI DSS چیست؟

استاندارد PCI DSS مجموعه ای از استانداردهای امنیتی است که در سال 2004 توسط Visa، MasterCard، Discover Financial Services، JCB International و American Express شکل گرفت. این طرح که توسط شورای استانداردهای امنیتی صنعت کارت پرداخت اداره می شود، با هدف ایمن سازی تراکنش های کارت اعتباری و نقدی در برابر سرقت داده ها و کلاهبرداری انجام می شود.

این استاندارد برای هر کسب و کاری که تراکنش های کارت اعتباری را پردازش می کند، الزامی است. استاندارد PCI DSS بهترین راه برای محافظت از داده‌ ها و اطلاعات حساس است. استاندارد PCI DSS به کسب‌ و کار ها کمک می‌ کند تا روابط طولانی‌ مدت و قابل اعتمادی با مشتریان خود ایجاد کنند.

اهمیت رعایت استاندارد PCI DSS

استاندارد PCI DSS اشتباهاتی که صاحبان کسب و کار مرتکب می شوند و معمولا سارقان سایبری دست روی آن ها می‌ گذارند را در نظر گرفته است و برای جلوگیری از آن ها راه حل هایی دارد. به طور مثال رمز عبور ضعیف، فناوری‌ های نادرست و کارمندان آموزش‌ ندیده، مواردی هستند که مورد توجه سارقان هستند.

رعایت استاندارد PCI DSS به مشتریان اطمینان می دهد تجارت شما برای معامله ایمن است. در صورت عدم رعایت این استاندارد و فاش شدن اطلاعات حساس مشتری ها، ممکن است متحمل زیان های متعددی شوید از جمله جریمه، دعوای قضایی، کاهش فروش و صدمه شدید به شهرت کسب و کار شما.

طبق تحقیقات انجام شده کسب و کار هایی که نقض داده برایشان اتفاق افتاده است، هیچ یک، از استاندارد های PCI DSS به طور کامل پیروی نمی کردند. پیروی از استاندارد PCI DSS برای هر کسب و کاری که در آن پرداخت کارتی صورت می‌ گیرد الزامی است. این پرداخت کارتی به هر شکل که باشد باید در محیطی امن و مطمئن انجام شود.

سطوح PCI DSS

استاندارد PCI DSS بر اساس تعداد سالانه تراکنش های کارت اعتباری یا بدهی در یک تجارت به چهار سطح تقسیم می شود. هر سطح مشخص می کند که یک شرکت باید چه کاری انجام دهد تا امنیت را برای کسب و کار خود حفظ کند.

سطوح استاندارد PCI DSS
  • سطح 1: این سطح از استاندارد برای بازرگانی هایی اعمال می شود که سالانه بیش از شش میلیون تراکنش کارت اعتباری یا نقدی واقعی را پردازش می کنند. آن ها باید سالی یک بار تحت ممیزی داخلی قرار گیرند. علاوه بر این، هر سه ماه یک بار آن ها باید توسط ASV اسکن PCI را ارسال کنند.
  • سطح 2: این سطح از استاندارد برای بازرگانی هایی اعمال می شود که سالانه بین یک تا شش میلیون تراکنش کارت اعتباری یا نقدی واقعی را پردازش می کنند. آن ها ملزم هستند که یک بار در سال به تکمیل ارزیابی پرسشنامه خود ارزیابی (SAQ) بپردازند. علاوه بر این، یک اسکن PCI سه ماهه ممکن است نیاز باشد.
  • سطح 3: سطح 3 استاندارد های PCI DSS برای بازرگانی هایی اعمال می شود که سالانه بین 20000 تا یک میلیون تراکنش را پردازش می کنند. آن ها باید یک ارزیابی سالانه را با استفاده از SAQ مربوطه تکمیل کنند. اسکن PCI سه ماهه نیز ممکن است نیاز باشد.
  • سطح 4: سطح آخر این استاندارد برای بازرگانی هایی که سالانه کمتر از 20000 تراکنش را پردازش می کنند یا تاجرانی که حداکثر یک میلیون تراکنش واقعی را پردازش می کنند اعمال می شود. این بازرگانی ها باید یک ارزیابی سالانه با استفاده از SAQ مربوطه باید تکمیل شود و ممکن است یک اسکن PCI سه ماهه مورد نیاز باشد.

الزامات PCI DSS

شورای PCI SSC الزامات را برای مدیریت داده های دارنده کارت و حفظ یک شبکه امن بیان کرده است که عبارت اند از:

  1. یک پیکربندی فایروال باید نصب و نگهداری شود
  2. رمز های عبور سیستم باید اورجینال باشند
  3. داده های ذخیره شده دارنده کارت باید محافظت شوند
  4. انتقال داده های دارنده کارت از طریق شبکه های عمومی باید رمزگذاری شود
  5. باید از نرم افزار های آنتی ویروس استفاده شود و به طور مرتب به روز شود
  6. سیستم ها و برنامه های کاربردی ایمن باید توسعه و نگهداری شوند
  7. دسترسی به داده های دارنده کارت باید محدود به نیاز های کسب و کار باشد
  8. به هر شخصی که به رایانه دسترسی دارد باید یک شناسه منحصر به فرد اختصاص داده شود
  9. دسترسی فیزیکی به اطلاعات دارندگان کارت باید محدود شود
  10. دسترسی به داده های دارنده کارت و منابع شبکه باید ردیابی و نظارت شود
  11. سیستم ها و فرآیندهای امنیتی باید به طور مرتب آزمایش شوند
  12. سیاستی که با امنیت اطلاعات سر و کار دارد باید حفظ شود

از زمان شکل‌ گیری، استاندارد های PCI DSS تمام الزاماتی که از ابتدا تعریف شده بودند هنوز هم وجود دارند، اما الزامات جدید به طور دوره ای اضافه می شوند.

منبع: imperva.com

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

دکمه بازگشت به بالا