- سرمایه گذاری در بازار و قیمت فعلی Cryptocurrency SLP
- بهترین حساب های نمایشی و برنامه های نمایشی تجارت رمزنگاری در سال 2023
- بهترین نسبت پاداش ریسک برای معاملات روز
- پیش بینی بلند مدت اونس طلا
- بهترین کتاب برای بورس سهام که باید قبل از سرمایه گذاری بخوانید
- پیشنهاد SEBI برای ارائه خروج از AIF - یک نقد
- به دنبال ICT EW CP با استعداد با ربات Grid، دارای کدهای منبع هستید
- حساب کارگزاری چیست؟
- تجزیه و تحلیل اتریوم ، بیت کوین و 1200+ ارزهای رمزپایه دیگر با استفاده از postgresql
- 8 مرحله برای استفاده از تجزیه و تحلیل SWOT برای استراتژی بازاریابی 2022
آخرین مطالب
امکانات وب
PCI DSS یک موضوع پیچیده است ، اما اهمیت آن است زیرا عدم رعایت می تواند هر ماه ده ها هزار دلار برای شما هزینه کند! در اینجا یک آغازگر در مورد چگونگی رعایت الزامات انطباق PCI DSS و جلوگیری از جریمه و مجازات ها وجود دارد
آیا می دانید که فقط از هر پنج سازمان در قاره آمریکا ، انطباق کامل PCI DSS را حفظ می کنند؟داده های گزارش امنیت پرداخت Verizon 2019 نشان می دهد که تنها 36. 7 ٪ از شرکت ها در سطح جهان کاملاً سازگار هستند. به همین دلیل مهم است که بتوانید به این سؤال پاسخ دهید ، "PCI DSS چیست؟"و بدانید که چگونه آن را برای اطمینان از انطباق استفاده کنید.
هنگامی که هنگام انجام خرید آنلاین ، جزئیات کارت پرداخت را به یک وب سایت ارائه می دهید ، چگونه می توانید مطمئن باشید که داده های حساس شما با بازرگان ایمن خواهد بود؟درست مانند اکثر افراد ، شما اطمینان دارید که بازرگان برای محافظت از اطلاعات مالی کاربران ، برخی از روشهای امنیتی خاص را دنبال کرده است. و درست استبازرگانان ، فروشندگان و سازمانی که داده های کارت پرداخت را می پذیرند ، انتقال می دهند ، پردازش می کنند یا ذخیره می کنند ، باید به دستورالعمل ها و استانداردهای جهانی مقرر شده توسط PCI DSS رعایت کنند.
اگر سازمان شما داده های کارت پرداخت را کنترل می کند ، باید بدانید که PCI DSS چیست و چگونه بر ساختار امنیتی تجارت شما تأثیر می گذارد. در این مقاله ، ما به سؤالات شما پیرامون موضوع مربوط به آنچه PCI DSS مخفف است ، چه کسی آن را تنظیم می کند ، پاسخ خواهیم داد ، و "نیازهای اصلی PCI DSS چیست؟"
PCI DSS چیست؟
به عبارت ساده ، PCI DSS مخفف استانداردهای امنیتی داده های صنعت پرداخت کارت است. این 12 استاندارد امنیت اطلاعات برای کمک به مشاغل و سازمانهای سراسر جهان با اطمینان از داده های دارنده کارت پرداخت استفاده می شود.
این الزامات سازمانهای لازم را برای کمک به آنها در توسعه و اجرای سیاست ها ، فناوری ها و فرآیندهای اطراف داده های کارت پرداخت راهنمایی می کنند. استانداردها کارتهای پرداخت را به این ترتیب تعریف می کنند:
"[…] هر کارت/دستگاه پرداختی که دارای آرم اعضای موسس PCI SSC باشد ، American Express ، Discover Services Financial ، JCB Inteational ، MasterCard در سراسر جهان یا Visa ، Inc."
چه کسی باید سازگار با PCI باشد؟
مطمئن نیستید که آیا الزامات انطباق PCI DSS برای شما اعمال می شود؟خوب ، اگر شما هر نوع اطلاعات کارت اعتباری یا بدهی را اداره می کنید ، پس این کار را می کنید! اگرچه این الزامات در واقع قوانین یا مقررات به معنای حقوقی در نظر گرفته نمی شوند ، اما این استانداردها بر هر سازمان که به نوعی با استفاده از کارت های پرداخت همراه هستند ، تأثیر می گذارد. این لیست از سازمان های قابل اجرا شامل موارد زیر است:
- موسسات مالی ، بانک ها و بانک های بازرگان
- بازرگانان آجر و ملات و تجارت الکترونیک ،
- ارائه دهندگان خدمات،
- فروشندگان نقطه فروش.
این استانداردها چه چیزی را پوشش می دهند؟
علاوه بر دانستن اینکه این استانداردها به چه کسی اعمال می شود ، دانستن اینکه چه چیزی را پوشش می دهند نیز ضروری است. کلیه مؤلفه های سیستم که در داخل یا به محیط داده های دارنده کارت قرار دارند ، تحت PCI DSS پوشانده شده اند.
- افراد ، فرآیندها و فناوری هایی که داده های دارنده کارت یا داده های احراز هویت حساس را اداره می کنند.
- دستگاه های شبکه یعنی سیمی و بی سیم ، سرورها ، دستگاه های محاسباتی و برنامه ها.
- مؤلفه های مجازی سازی ، یعنی ماشین های مجازی ، سوئیچ های مجازی/روترها ، لوازم مجازی ، برنامه های مجازی/دسک تاپ ، و هایپریزور و غیره که داده های نگهدارنده کارت را می پذیرند ، منتقل می کنند و ذخیره می کنند.
با توجه به همه این موارد ، اکنون وقت آن رسیده است که وارد PCI DSS شوید تا بتوانید الزامات مربوط به انطباق آن را درک کنید.
اجزای اصلی PCI DSS چیست؟
این غرفه های امنیتی داده ها شامل مجموعه ای از قوانین و دستورالعمل های امنیتی برای کلیه مشاغل هستند که جزئیات کارت پرداخت مشتریان را می پذیرند ، پردازش و ذخیره می کنند. هنگامی که بازرگان دستورالعمل های لازم را پیاده سازی می کند ، تجارت آنها سازگار با PCI DSS است. تمام مارک های اصلی کارت پرداخت ، این امر را برای بازرگانان سازگار با PCI DSS اجباری کرده است. هدف اصلی انطباق PCI DSS این است که:
- از داده های کارت کاربران نهایی محافظت کنید ،
- خطر کلاهبرداری های مختلف مالی و هویتی را کاهش دهید و
- بدهی های بازرگان را در یک رویداد ناگوار از حمله سایبری تعیین کنید.
سازندگان و سرپرستان PCI DSS
PCI DSS توسط پنج شرکت بزرگ کارت ، یعنی Visa ، MasterCard ، American Express ، American Express و JCB ایجاد شده است. اولین پیش نویس (به نام PCI DSS نسخه 1. 0) در سال 2004 منتشر شد. در سال 2006 ، این شرکت ها شورای استاندارد امنیت صنعت کارت پرداخت (PCI SSC) را برای مدیریت و توسعه PCI DSS تأسیس کردند.
هر سازمان خصوصی می تواند در شورا ثبت نام کند و پیشنهادات خود را برای تجدید نظر و توسعه بیشتر PCI DSS ارائه دهد. آخرین نسخه به روز شده ، PCI DSS 3. 2. 1 ، در سال 2018 منتشر شد.
الزامات قانونی و اجرای PCI DSS
در ایالات متحده ، شرکت ها از نظر قانونی موظف نیستند مطابق قانون فدرال با PCI DSS مطابقت داشته باشند. اما آنها به دستورالعمل های PCI DSS برای بررسی قدرت ساختار امنیتی بنگاهها و تعیین بدهی بنگاهها در حوادث جرایم سایبری یا حوادث نقض داده اشاره می کنند. سه ایالت - نوادا ، مینه سوتا و واشنگتن - PCI DSS را در قوانین ایالتی گنجانیده اند.
با این حال ، اگر بازرگانان در زمان نقض داده ها سازگار با PCI DSS نبودند ، طرح کارت هزینه ها و مجازات ها را تعیین کرده است. این مجازات ها می توانند به شرح زیر باشند.
با این حال ، توجه به این نکته حائز اهمیت است که انطباق توسط شورای استانداردهای امنیتی PCI اجرا نمی شود. درعوض ، اجرای خود مسئولیت شرکتهای کارت پرداخت (ویزا ، مستر کارت و غیره) است.
سطح انطباق PCI
آیا باید تمام الزامات ذکر شده در PCI DSS را دنبال کنید؟نه! این سطح انطباق را بر اساس تعداد معامله هایی که هر سال با تجارت روبرو می شود ، تعیین کرده است. بنابراین ، اگر یک تجارت کوچک یا یک راه اندازی هستید ، باید فقط مجموعه اصلی قوانین را مطابق آنچه در سطح انطباق تعیین شده توسط صادرکننده کارت خود مورد نیاز است ، دنبال کنید.
سطح 1 - مشاغل که سالانه بیش از 6 میلیون معاملات را انجام می دهند ، باید کلیه مقررات مورد نیاز این سطح را رعایت کنند.
سطح 2 - مشاغل دارای 1 تا 6 میلیون معاملات سالانه در این گروه قرار می گیرند.
سطح 3 - مشاغل دارای معاملات سالانه بین 20،000 تا 1 میلیون.
سطح 4 - مشاغل دارای سالانه کمتر از 20،000 معاملات ، یعنی راه اندازی ها و مشاغل کوچک باید دستورالعمل های مورد نیاز در این سطح را دنبال کنند.
ممیزی و ارزیابی
توجه به این نکته ضروری است که انطباق PCI یک فرایند مداوم و مداوم است که شامل سه مرحله مهم است:
- ارزیابی داده های دارنده کارت و دارایی ها ، فرایندها ، اصلاح و گزارش دهی.
- اصلاح آسیب پذیری ها و از بین بردن داده ها (در صورت وجود).
- گزارش اطلاعات و مستندات لازم برای مقامات مناسب (دستیابی به بانک ها و مارک های کارت)
هر سازمانی که مشمول PCI DSS باشد ، باید یک ارزیابی کننده امنیتی واجد شرایط خارجی (QSA) را برای انجام حسابرسی وضعیت امنیتی خود و تأیید اینکه آیا این تجارت از PCI DSS سازگار است ، استخدام کند. همچنین یک پرسشنامه خود ارزیابی (SAQ) وجود دارد و فقط یک ارزیابی کننده امنیتی داخلی (ISA) می تواند خود ارزیابی را انجام دهد. ISA یک کارمند شرکت است که گواهینامه PCI SSC را برای انجام ارزیابی خود برای شرکت خود به دست آورده است. این SAQ باید هر سال توسط بازرگانان به بانک ها ارسال شود تا وضعیت انطباق PCI DSS خود را نشان دهد.
ساختار PCI DSS
برای پاسخ دادن به این سؤال "PCI DSS چیست؟"شما باید ساختار استانداردها را درک کنید. PCI DSS دارای شش هدف اصلی کنترل ، 12 مورد نیاز اصلی و بسیاری از موارد فرعی دیگر است که یک تجارت باید با آن ملاقات کند تا PCI DSS در نظر گرفته شود. هر الزام در سه بخش با نام اعلامیه مورد نیاز ، فرآیندهای آزمایش و راهنمایی توضیح داده شده است.
در جدول زیر تمام 12 الزامات PCI DSS ، دسته بندی اهداف که در آن تعلق دارند و توضیحات کوتاهی از هر نیاز:
| هدف کنترل | الزام اصلی | شفاف سازی |
| 1. ایجاد و حفظ یک شبکه امن | 1. از فایروال استفاده کنید | فایروال ها تمام درخواست های مخرب ورودی را مسدود کرده و از دسترسی غیرمجاز به داده ها جلوگیری می کنند. |
| 2. رمزهای عبور پیش فرض پیش فرض و سایر تنظیمات امنیتی را تغییر دهید. | این رمزهای عبور ضعیف ، به راحتی قابل حدس و گاهی در دسترس عموم هستند که امنیت کلی را تضعیف می کند. | |
| 2. از داده های دارنده کارت محافظت کنید | 3. از داده های ذخیره شده با استفاده از رمزگذاری ، هش یا ماسک محافظت کنید. | الگوریتم های ریاضی قوی مانند RSA ، ECC و غیره ، داده های ذخیره شده را تقلا کرده و آن را غیرقابل درک می کنند. هیچ کس نمی تواند چنین داده هایی را بخواند ، تفسیر کند ، دزدی کند یا اصلاح کند. |
| 4- رمزگذاری انتقال داده های دارنده کارت | برای اطمینان از داده ها در ترانزیت ، گواهی TLS/SSL لازم است. | |
| 3. یک برنامه مدیریت آسیب پذیری را حفظ کنید | 5- از یک نرم افزار ضد ویروس یا ضد بدافزار استفاده کنید | ابزار ضد ویروس دائماً ویروس ها ، کرم های اینترنتی ، جاسوسی ، اسب های تروجان و انواع دیگر بدافزار را که در غیر این صورت می توانند از سیستم سوء استفاده کنند ، نظارت ، کشف و از بین می برد. |
| 6. توسعه و نگهداری سیستم ها و برنامه های ایمن | تکه های امنیتی و زیرساخت های امنیتی ضعیف در سیستم ها و برنامه ها باعث می شود که وضعیت امنیتی کلی تضعیف شود. آنها باید به طور محکم ساخته شوند و مرتباً به روز شوند. | |
| 4- اقدامات کنترل دسترسی قوی را اجرا کنید | 7. داده های دارنده کارت دسترسی را فقط به پرسنل مجاز اعطا کنید. | فقط کارمندی که "نیاز به دانستن" دارد باید به جزئیات کارت پرداخت مشتریان دسترسی داشته باشد. دسترسی غیرمجاز برای کاهش تهدیدهای خودی را محدود می کند. |
| 8. یک شناسه منحصر به فرد را به هر کارمند اختصاص دهید | این یک گام مهم برای تعیین مسئولیت پذیری و مجوز است. | |
| 9. دسترسی به سیستم فیزیکی که حاوی داده های دارندگان کارت است محدود کنید. | سیستم های فیزیکی را که در آن جزئیات کارت پرداخت ذخیره شده است ، برای کاهش خطر حذف یا سرقت داده های غیرمجاز ایمن کنید. | |
| 5- به طور مرتب شبکه ها را کنترل و آزمایش کنید | 10. پیگیری و نظارت کنید که چه کسی به داده های دارنده کارت و منابع دیگر دسترسی دارد. | استفاده از یک سیستم نظارت بر تغییر برای ردیابی هرگونه تغییر مجاز یا فعالیت های مشکوک کارمندان برای پیگیری اینکه آیا آنها به داده های محرمانه کارت بدون "نیاز به دانستن" دسترسی دارند. |
| 11. به طور مرتب سیستم ها ، نرم افزارها ، فرآیندها را برای یافتن و رفع آسیب پذیری ها بررسی کنید. | آسیب پذیری در نرم افزار و سیستم ها توسط مجرمان سایبری برای اجرای جرایم سایبری استفاده می شود. چنین آسیب پذیری های امنیتی باید به طور مداوم در پایگاه های منظم کنترل و ثابت شود. | |
| 6. یک سیاست امنیت اطلاعات را حفظ کنید | 12. برای همه کارمندان یک سیاست امنیتی در سازمان داشته باشید | خط مشی امنیتی را توسعه داده و به کارمندان آموزش دهید تا آنها را به درک حساسیت داده ها ، انواع مختلف خطرات سایبری و بهترین روشها برای کاهش آن خطرات درک کنند. |
برای بررسی جزئیات بیشتر در مورد این الزامات PCI DSS ، لطفاً به این راهنمای انطباق PCI مراجعه کنید.
پیچیدن
به عنوان یک صاحب مشاغل ، این مسئولیت قانونی و همچنین اخلاقی شماست که از هرگونه داده حساس به مشتریان خود محافظت کنید (طبق قوانین و مقررات مانند CCPA ، FIPS ، GDPR و غیره). دستورالعمل های PCI DSS یک منبع عالی برای درک آسیب پذیری های مختلف امنیتی است که داده های دارنده کارت را ناامن می کند ، چه چیزی به چنین آسیب پذیری ها آسیب می رساند ، و اقداماتی که می توانید برای کاهش خطرات انجام دهید.
هنگامی که یک نقض داده یا حمله سایبری صورت می گیرد ، رعایت این دستورالعمل ها سپر را در برابر مجازات قانونی سنگین به شما ارائه می دهد. این نشان می دهد که شما برای محافظت از داده های مشتریان خود اقدامات مناسب و معقولی انجام داده اید. از طرف دیگر ، عدم رعایت PCI DSS نه تنها جریمه های سنگین را به خود جلب می کند ، بلکه روابط شما را با شرکت های کارت پرداخت و بانک ها نیز خراب می کند. از این رو ، همیشه از دستورالعمل های اساسی PCI DSS برای ایجاد یک وضعیت امنیتی قوی استفاده کنید.
ما امیدواریم که این مقاله به اندازه کافی به سؤالات شما در مورد "PCI DSS چیست؟"و "انطباق PCI DSS چیست؟"
اخبار رمز ارزها...
ما را در سایت اخبار رمز ارزها دنبال می کنید
برچسب : نویسنده : علیمحمد افغانی بازدید : 27
