راهنمای مرجع سریع شما برای انطباق PCI DSS

کلیه سازمان هایی که داده های دارنده کارت را ذخیره می کنند ، انتقال می دهند یا پردازش می کنند ، باید تعدادی از الزامات را به عنوان بخشی از استاندارد امنیت صنعت صنعت کارت پرداخت (PCI DSS) برآورده کنند. این الزامات با هدف ایمن نگه داشتن داده های دارنده کارت در طی فرآیند ذخیره ، انتقال و پردازش داده های دارنده کارت و ارائه یک چارچوب مداوم برای ایمن نگه داشتن داده ها در سطح جهانی. نقض اطلاعات سالهاست که یک مشکل رایج بوده است. آنها تهدیدی جدی برای سازمان ها و صاحبان کارت ایجاد می کنند. PCI DSS برای بازرگانان ، ارائه دهندگان خدمات ، صادرکنندگان ، پردازنده ها و سایر اشخاص ثالث کاربرد دارد.

سطح انطباق PCI

بازرگانان بر اساس حجم معاملات سالانه خود به چهار سطح تقسیم می شوند ، همانطور که توسط شرکت Visa و MasterCard تعریف شده است. حجم معاملات شامل کلیه معاملات بدهی ، اعتبار و پیش پرداخت انجام شده توسط یک بازرگان است. در اینجا چهار سطح وجود دارد:

ارائه دهندگان خدمات به دو سطح تقسیم می شوند. طبق گفته MasterCard ، هر پردازنده شخص ثالث (TPP) به عنوان ارائه دهنده خدمات سطح 1 در نظر گرفته می شود ، در حالی که نهادهای ذخیره داده (DSE) بسته به حجم سالانه معاملات مستر کارت ، به عنوان ارائه دهنده خدمات سطح 1 یا 2 در نظر گرفته می شوند. برای ویزا شرکت ، کلیه ارائه دهندگان خدمات که معاملات ویزا را ذخیره می کنند ، پردازش و یا انتقال می دهند به عنوان سطح 1 و 2 رتبه بندی می شوند.

• همه پردازنده های شخص ثالث
• کلیه نهادهای ذخیره داده با بیش از 300000 کل معاملات سالانه ترکیبی MasterCard و Maestro

• هر ارائه دهنده خدمات که بیش از 300000 معاملات ویزا را در سال ذخیره ، فرآیند و یا انتقال می دهد

• کلیه DSE ها با 300000 یا کمتر از کل معاملات سالانه MasterCard و Maestro.

• هر ارائه دهنده خدمات که کمتر از 300،000 معاملات ویزا در سال را ذخیره ، فرآیند و یا انتقال می دهد

اعتبار سنجی انطباق در هر سطح

هر بازرگان و ارائه دهنده خدمات باید حداقل دو الزام اعتبار سنجی را برای تأیید اعتبار خود با PCI DSS انجام دهند. الزامات اعتبار سنجی برای هر سطح را می توان به شرح زیر درک کرد:

کنترل های امنیتی و الزامات PCI DSS

هدف توسعه PCI DSS اجرای کنترل های امن برای داده های دارنده کارت و تقویت تصویب مداوم و جهانی این کنترل های امنیتی بود. مروری بر 6 کنترل امنیتی و 12 الزام آن در زیر آورده شده است:

• پیکربندی فایروال را برای محافظت از داده های دارنده کارت نصب و نگهداری کنید
• از پیش فرض های فروشنده برای رمزهای عبور سیستم و سایر پارامترهای امنیتی استفاده نکنید

• از داده های دارنده کارت ذخیره شده محافظت کنید
• رمزگذاری داده های دارنده کارت در شبکه های عمومی باز و باز

• از همه سیستم ها در برابر بدافزار محافظت کنید و به طور مرتب نرم افزار یا برنامه های ضد ویروس را به روز کنید
• سیستم ها و برنامه های ایمن را توسعه داده و حفظ کنید

• محدود کردن دسترسی به داده های دارنده کارت توسط تجارت باید بدانید
• دسترسی به اجزای سیستم را شناسایی و تأیید کنید
• دسترسی فیزیکی به داده های دارنده کارت را محدود کنید

• پیگیری و نظارت بر دسترسی به منابع شبکه و داده های دارنده کارت
• به طور مرتب سیستم ها و فرآیندهای امنیتی را آزمایش کنید

• سیاستی را حفظ کنید که به امنیت اطلاعات برای همه پرسنل بپردازد

دستیابی به انطباق PCI DSS

همانطور که قبلاً نیز گفته شد ، برای همه بازرگانان ، ارائه دهندگان خدمات و اشخاص ثالث که در ذخیره ، پردازش یا انتقال داده های دارنده کارت برای رعایت PCI DSS شرکت می کنند ، الزامی است. بدون انطباق ، این سازمان ها نمی توانند فعالیت های کارت اعتباری یا بدهی خود را انجام دهند. اگرچه شورای استانداردهای امنیتی PCI PCI DSS را مدیریت می کند ، اما هر مارک کارت استراتژی خاص خود را برای اجرای پیروی از مشتریان خود دارد. الزامات برای اعتبار سنجی انطباق برای هر مارک کارت متفاوت است ، اما به طور کلی ، سطح سازمان تعیین می کند که برای دستیابی به انطباق PCI DSS چه مسیری را باید طی کرد.

معمولاً برای دستیابی به انطباق PCI DSS باید مراحل زیر توسط یک سازمان انجام شود:

1. دامنه ارتباط PCI DSS با سازمان را تعیین کنید.
2. انطباق آزمون به استاندارد در نمونه ای از اجزای سیستم.
3. در صورتی که سازمان نتواند یک نیاز خاص را به دلیل محدودیت فنی یا تجاری برآورده کند ، کنترل های جبران خسارت را توسط QSA تأیید کنید.
4. گزارش مربوط به انطباق (ROC) و تأیید انطباق (AOC) را ارسال کنید.
5. در صورت درخواست توسط بانک خرید ، هرگونه ابهام در گزارش را روشن کنید.

دامنه مورد نیاز PCI DSS

دستیابی به انطباق PCI DSS می تواند یک فرایند دلهره آور باشد ، اما اگر یک تمرین مناسب قبل از شروع به تکمیل الزامات انجام نشود ، بسیار بدتر خواهد شد. برای سازمانها بسیار مهم است که دامنه PCI DSS را درک و به حداقل برسانند تا این روند تا حد امکان آسان شود. محیط داده دارنده کارت (CDE) دامنه PCI DSS را تشکیل می دهد و از فرآیندها ، افراد و فناوری مورد استفاده برای ذخیره ، پردازش و انتقال داده های دارنده کارت تشکیل شده است. به طور مشابه ، تمام مؤلفه های سیستم نیز در دامنه گنجانده شده اند. اینها شامل سرورها ، دستگاه های شبکه ، سیستم های رایانه ای ، برنامه ها و سایر مؤلفه های متصل به داده های دارنده کارت است.

پس از تعریف دامنه ، باید برای صحت آن بررسی شود تا اطمینان حاصل شود که همه جریان ها و مکان های داده های دارنده کارت در دامنه گنجانده شده است. مراحل زیر باید انجام شود:

1. جریان های موجود در CDE را شناسایی و مستند کنید و تأیید کنید که هیچ داده ای در خارج از CDE تعریف شده در حال حاضر وجود ندارد.
2. هرگونه داده ای که در حال حاضر به عنوان بخشی از دامنه تعریف نشده است باید حذف شود ، با خیال راحت در جای دیگر مهاجرت می شود یا در دامنه گنجانده می شود.
3. تمام مستندات را حفظ کنید که نشان می دهد چگونه دامنه برای تأیید دامنه آن را به ارزیابی کننده تحویل داده است.

انتخاب یک ارزیابی کننده امنیتی واجد شرایط برای انطباق PCI DSS شما

هنگامی که یک سازمان تمام اقدامات لازم را برای اجرای PCI DSS در سیستم های خود انجام داده است ، باید خدمات یک ارزیابی کننده امنیتی واجد شرایط (QSA) را برای انجام تأیید صحت انطباق در محل و ارزیابی امنیتی استخدام کند. شرکت های QSA آموزش دیده و همچنین توسط PCI SSC تأیید شده اند.

QSA با پر کردن گزارشی از انطباق (ROC) ، که سپس به بانک اکتسابی بازرگان ارسال می شود ، برای تأیید انطباق یک بازرگان به PCI DSS استفاده می کند. سپس بانک آن را برای تأیید انطباق به شرکت کارت اعتباری مربوطه ارسال می کند.

همیشه QSA را انتخاب کنید که تجربه گذشته در کار با سازمان های مشابه داشته باشد و تجارت شما را به خوبی درک کند. همچنین ، حفظ حسن نیت و رابطه طولانی مدت با QSA شما برای کمک به شما در ارزیابی های آسیب پذیری مداوم و اقدامات اصلاح مهم است.

ما که هستیم؟

StickMancyber توسط شورای استاندارد امنیت PCI به عنوان یک ارزیابی کننده امنیتی واجد شرایط برای PCI DSS تأیید شده است. این کار با کمک یک تیم زحمتکش و باتجربه ، پس از بازرسی کامل و بررسی دقیق توسط شورای استانداردهای امنیتی PCI امکان پذیر شد. ما گواهینامه ها و ارزیابی هایی را برای بازرگانان ، ارائه دهندگان خدمات ، خریداران و صادرکنندگان در آسیا و اقیانوسیه ، آفریقا و خاورمیانه انجام می دهیم.

چگونه ما میتوانیم به شما کمک کنیم؟

ما به عنوان یک شرکت به عنوان یک ارزیابی کننده امنیتی واجد شرایط ، می توانیم به شما کمک کنیم:

1. اطلاعات فنی ارائه شده توسط بازرگان را تأیید کنید
2. پشتیبانی در دستیابی به انطباق
3. برای تأیید انطباق ، ارزیابی مستقل انجام دهید
4. دامنه ارزیابی را تعریف کنید
5. اطمینان از رعایت مراحل ارزیابی امنیتی PCI.
6. اعتبار سنجی در محل انطباق را ارائه دهید
7. کنترل های جبران کننده را ارزیابی کنید
8. گزارش نهایی را تهیه کنید.

در مشاوره Stickman ، ما اطمینان می دهیم که مشتریان ما به دانش ، ابزارها و فرآیندهای لازم برای توسعه یک شبکه ایمن مجهز هستند. تیم متخصص مشاوران ما سالها تجربه در ارائه خدمات به بانک ها ، دولت ، ارائه دهندگان خدمات و خرده فروشان دارند.

آیا تجارت شما به دنبال سازگاری PCI DSS است؟سرویس انطباق PCI DSS StickMancyber یک روش 5 مرحله ای را مستقر می کند تا به شما در ایجاد اعتماد به مشتریان خود کمک کند و معاملات ایمن را با انطباق PCI DSS تضمین کنید.