هر آنچه شما باید در مورد انطباق PCI در سال 2022 بدانید: یک لیست چک

استاندارد امنیت داده های صنعت کارت پرداخت (PCI DSS) یک الزام امنیتی جهانی برای هر سازمانی است که اطلاعات مربوط به کارت اعتباری را پردازش ، ذخیره یا انتقال می دهد. این استاندارد در سال 2006 منتشر شد ، به عنوان حداقل مجموعه ای از الزامات لازم برای محافظت از داده های پرداخت مشتریان از به خطر انداختن و تضمین امنیت معاملات کارت اعتباری در صنعت پرداخت.

چالش های مداوم برای اجرای PCI DSS 4. 0

پس از حباب Dot-Com ، بازرگانان مشتاق بودند که از اینترنت استفاده کنند تا درآمد را از طریق تجارت الکترونیکی افزایش دهند ، تاکتیکی که در دنیای کاملاً دیجیتال امروز مشهور است. اما در این زمان ، "غرب وحشی" بود که تنظیم این کار انجام شد. علاوه بر این ، مجرمان سایبری در حال حاضر راه هایی برای نفوذ به وب سایت های تجارت الکترونیکی ، سیستم های پردازش کارت پرداخت و شبکه های خرده فروشی الکترونیکی از شبکه های فروش پیدا می کردند. بنابراین ، انطباق PCI از ضرورت متولد شد.

PCI DSS به طور مداوم در حال تحول و تطبیق با دنیای فعلی است زیرا شورای امنیت استاندارد PCI (PCI SSC) با مشورت با ذینفعان صنعت از جمله PCI QSA (ارزیابی کننده های امنیتی واجد شرایط) ، پردازنده های پرداخت ، بازرگانان بزرگ و سایر شرکت کنندگان در صنعت پرداخت مناسب است. American Express ، Visa ، MasterCard و Discover چهار مارک اصلی کارت پرداخت نظارت بر این شورا هستند.

انطباق PCI برای چه کسی اعمال می شود؟

انطباق PCI بدون در نظر گرفتن اندازه یا تعداد معاملات ، در مورد هر سازمان اعمال می شود ، که داده های دارنده کارت را منتقل می کند ، می پذیرد یا ذخیره می کند.

چهار سطح انطباق PCI چقدر است؟

مقررات مربوط به PCI DSS بر هر جنبه ای از پرداخت کارت پذیرش تجارت تأثیر می گذارد. این هم برای سخت افزار و هم برای نرم افزاری که بازرگانان از آنها استفاده می کنند - سیستم هایی به عنوان رایانه هایی که مدیریت پرداخت ها را در تمام راه به پین پین که کارت اعتباری خود را از طریق آن می کشید ، کاربرد دارد. این علاوه بر انواع دیگر فناوری ها و فرآیندهای افراد ، از جمله سیاست های امنیتی ، رویه ها ، کنترل های امنیتی و آگاهی از داده های عمومی است.

اما همین الزامات جهانی برای همه بازرگانان اعمال نمی شود. در حقیقت ، چهار سطح انطباق PCI وجود دارد که با تعداد معامله هایی که هر سال سازمان انجام می دهد تعیین می شود. آنها به این ترتیب تقسیم می شوند:

• بازرگان سطح 1: هر بازرگان بیش از 6 میلیون معاملات ویزا در سال پردازش می کند ، و هر بازرگانی که ویزا تعیین می کند باید الزامات بازرگان سطح 1 را برآورده کند تا ریسک برای اکوسیستم مارک های پرداخت به حداقل برسد.
• بازرگان سطح 2: هر بازرگان پردازش 1 متر تا 6 متر در سال.
• بازرگان سطح 3: هر بازرگان پردازش 20،000 تا 1 میلیون معاملات تجارت الکترونیکی در سال.
• بازرگان سطح 4: هر بازرگان پردازش کمتر از 20،000 معاملات تجارت الکترونیکی در سال و سایر بازرگانان که تا 1 میلیون معاملات در سال پردازش می کنند.

الزامات مربوط به انطباق PCI

12 الزامات مختلف انطباق PCI وجود دارد که اشخاص تحت پوشش باید برای رسیدگی به اطلاعات کارت اعتباری در یک موضوع امن دنبال کنند. عدم پیروی از این الزامات ، احتمال هک شدن ، فعالیت کلاهبرداری یا نقض داده ها را به شدت افزایش می دهد.

1. فایروال ها را برای محافظت از داده ها پیاده سازی کنید
2. محافظت از رمز عبور مناسب
3. از داده های دارنده کارت محافظت کنید
4. رمزگذاری داده های دارنده کارت منتقل شده
5. از نرم افزار آنتی ویروس استفاده کنید
6. نرم افزار را به روز کنید و سیستم های امنیتی را حفظ کنید
7. دسترسی به داده های دارنده کارت را محدود کنید
8. شناسه های منحصر به فرد به کسانی که به داده ها دسترسی دارند اختصاص داده شده است
9. دسترسی فیزیکی به داده ها را محدود کنید
10. سیاهههای مربوط به دسترسی را ایجاد و نظارت کنید
11. سیستم های امنیتی را بطور منظم آزمایش کنید
12. سیاستی را ایجاد کنید که مستند شده باشد و می توان آن را دنبال کرد

مزایای انطباق PCI

حفظ انطباق PCI چیزی بیش از اجتناب از جریمه های سنگین است. به طور مداوم ارزیابی هرگونه شکاف در برنامه امنیتی شما ، محافظت از اطلاعات مربوط به دارنده کارت و جلوگیری از سرقت ، نقض داده ها را تضمین می کند.

علاوه بر این ، شرکت ها موظفند به طور مرتب گزارش های مربوط به انطباق را به عنوان بخشی از توافق نامه های پردازش کارت خود ارائه دهند. با نظارت منظم و ارزیابی برنامه امنیتی خود برای انطباق PCI می توانید اطمینان حاصل کنید که این گزارش های مربوط به انطباق آماده خواهد شد.

از دیگر مزایای انطباق PCI می توان به حفظ شهرت قوی برند ، خوشحال کردن مشتریان ، به حداقل رساندن خطر سرقت هویت و نشان دادن به عموم مردم مبنی بر اینکه شما یک شرکت مسئول برای اولویت امنیت هستید.

چرا به روزرسانی PCI DSS 4. 0؟

در اینجا چهار دلیل اصلی وجود دارد:

1. منظره تهدید امنیتی به طور مداوم در حال تحول است. PCI DSS 4. 0 جدید یک چارچوب مدرن قوی برای دفاع در برابر این تهدیدها ارائه می دهد.
2. رعایت شما با PCI DSS یک رویداد یک بار نیست. این یک سفر مداوم است که باید طبق معمول (BAU) به تجارت تبدیل شود.
3. اعتبار سنجی PCI DSS سالانه اتفاق می افتد. در حالی که نسخه قدیمی برای یک دوره زمانی ادامه خواهد یافت ، بازنشسته می شود و هر برنامه ای را مطابق با نسخه استاندارد قدیمی منسوخ و در نتیجه غیر سازگار می داند.
4. مطابق با آخرین نسخه استاندارد شما ، سیگنال روشنی را برای مشتریان خود فراهم می کند ، و جامعه ای که سازمان شما امنیت داده ها را جدی می گیرد و به طور مداوم شیوه های خود را در نحوه ذخیره ، انتقال و پردازش داده های دارنده کارت بهبود می بخشد.

با این حال ، مشاغل باید اکنون برنامه ریزی کنند. برخی از سازمان ها ممکن است برای سازگاری با طراحی مجدد الزامات PCI با تمرکز بر مدیریت داده های اضافی و همچنین آزمایش امنیتی ، نیاز به تغییر بودجه داشته باشند. اجرای این تغییرات به احتمال زیاد نیاز به آموزش کارکنان و صعود به کارکنان و همچنین ابزارها و ابزارهای جدید کشف داده ها و راه حل ها برای تأیید دقیق تر دامنه PCI DSS به صورت مکرر خودکار دارد.

چه چیزی از v3. 2. 1 به 4. 0 تغییر می کند؟

با نسخه 4. 0 ، PCI DSS برای پشتیبانی از طیف وسیعی از محیط های در حال تحول ، فناوری ها و روش های دستیابی به امنیت در حال تحول است. هدف نهایی نسخه 4. 0 اطمینان از این است که استاندارد همچنان نیازهای امنیتی در حال تغییر صنعت خدمات مالی پرخطر را برآورده می کند.

PCI DSS 4. 0 تأکید بیشتری بر امنیت به عنوان یک فرآیند مداوم قرار می دهد و شیوه های مدیریت داده های سیال را که با امنیت و وضعیت انطباق کلی یک سازمان ادغام می شوند ، ترویج می کند. با تغییر زبان از بیان آنچه "باید" به آنچه نتیجه امنیتی حاصل می شود "باید" تغییرات در الزامات آن حاصل شود ، حاصل می شود. تغییرات دیگر عبارتند از:

• احراز هویت ، توجه ویژه برای راهنمایی NIST MFA/رمز عبور
• کاربرد گسترده تر برای رمزگذاری داده های دارنده کارت در شبکه های قابل اعتماد
• الزامات نظارت برای در نظر گرفتن پیشرفت فناوری
• فرکانس بیشتر آزمایش کنترل های بحرانی ؛به عنوان مثال ، شامل برخی از الزامات موجودات تعیین شده اعتبار سنجی تکمیلی (PCI DSS ضمیمه A3) در شرایط منظم PCI DSS
• حذف کنترل های جبران کننده به نفع یک رویکرد انطباق سفارشی که می تواند متناسب با وضعیت منحصر به فرد یک سازمان باشد.

آماده سازی برای انطباق PCI DSS 4. 0: یک لیست چک

اگر از قبل با PCI DSS 3. 2. 1 مطابقت دارید ، یک پایه محکم برای کار از آن دارید. با این حال ، انتظار می رود PCI نسخه 4. 0 از V3. 2. 1 جامع در حال حاضر قوی تر باشد و سازمانها ابتدا باید درک کنند که چگونه به سرعت سازمان یافته و ارزیابی آنچه برای دستیابی به انطباق PCI مورد نیاز است. در اینجا یک چک لیست سریع انطباق PCI برای شروع کار ارائه شده است.

1. درک کنید که سطح انطباق برای تجارت شما صدق می کند
2. پروتکل ها و فرآیندهای لازم برای حفظ حریم خصوصی و انطباق داشته باشید
3. پاسخگویی در سازمان ایجاد کنید
4. آموزش انطباق را برای کارمندان ارائه دهید
5. انتصاب یک افسر حفاظت از داده ها (DPO)
6. به طور مرتب سیستم های امنیتی خود را آزمایش کنید
7. در صورت نقض داده یک برنامه پاسخ داشته باشید
8. حفاظت های فیزیکی و فنی را اجرا کنید
9. اطمینان حاصل کنید که سیاست امنیتی شما به روز است
10. دامنه کامل کلیه داده های دارنده کارت را بدون فرض از طریق استفاده از یک ابزار Data Discovery درک کنید

برای انطباق PCI DSS با آزمایشگاه های زمینی آماده شوید

منابع و پشتیبانی برای حرکت در نسخه 4. 0 در دسترس هستند. در حقیقت ، هسته اصلی راه حل آزمایشگاه های Ground Labs Enterprise Recon PCI از سال 2007 عمیقاً در انطباق PCI ریشه دارد و رهبر جهانی در اسکن داده های کارت PCI است. این امکان را به سازمانها می دهد تا اطلاعات داده های نگهدارنده کارت را کشف و اصلاح کنند ، و همچنین بیش از 300 نوع داده از جمله از پیش تعریف شده و انواع مختلفی که شامل داده های حساس ، شخصی و محرمانه در کل شبکه سازمان ، چه در پیش فرض و چه در ابر هستند. توابع اصلاح برای ماسک ، رمزگذاری یا حذف داده های حساس در دسترس است و یک راه حل مؤثر برای کمک به سازمانها در دستیابی و حفظ انطباق PCI DSS است.

PCI DSS 4. 0 نمایانگر جامع ترین استاندارد امنیت داده در تاریخ 15 ساله PCI SSC است - از انتشار رسمی پیش بروید و اطمینان حاصل کنید که سازمان شما با کمک آزمایشگاه های زمینی آماده است.

در مورد PCI DSS 4. 0 سؤالاتی دارید یا کنجکاو هستید که اطلاعات بیشتری در مورد Enterprise Recon PCI به شما در موفقیت کمک کند؟امروز یک نسخه ی نمایشی را با یک متخصص کشف داده PCI امروز برنامه ریزی کنید.