2022 لیست چک لیست انطباق PCI - آیا شما سازگار هستید؟

آیا نگران رعایت استاندارد امنیت داده های صنعت کارت پرداخت (PCI DSS) هستید؟مقاله وبلاگ زیر نحوه دستیابی به انطباق PCI و ارائه چک لیست انطباق PCI را توضیح می دهد.

شما می توانید خودتان به انطباق برسید یا شخص ثالث را استخدام کنید تا در پایان این پست پوشش دهیم.

PCI DSS: همه چیز در مورد چیست؟

در پردازش کارت های بانکی و اعتباری ، PCI DSS (استاندارد امنیت داده های صنعت کارت پرداخت) مجموعه ای از کنترل ها و مسئولیت هایی را که شرکت ها در هر اندازه باید در اختیار داشته باشند ، توصیف می کند تا از سازش اطلاعات کارت پرداخت جلوگیری کند.

به عبارت ساده تر ، این نشان می دهد که چگونه سازمانها باید پرداخت ها و داده های دارنده کارت را به طور ایمن مدیریت کنند تا حداکثر محافظت از داده های دارنده کارت را در طی مراحل جمع آوری ، ذخیره و انتقال معامله به حداکثر برسانند.

شورای استاندارد امنیت صنعت کارت پرداخت (PCI SSC) ، که از ارائه دهندگان عمده کارت اعتباری (American Express ، Discover Services Financial ، Visa ، MasterCard و JCB Inteational) تشکیل شده است ، استاندارد را تنظیم می کند.

چندین استاندارد امنیتی صنعت کارت توسط SSC برای مبارزه با کلاهبرداری کارت پرداخت و محافظت از داده های کارت پرداخت تنظیم شده است. یک بازرگان یا ارائه دهنده ای که اطلاعات کارت پرداخت را پردازش می کند باید برای ادامه کار با شرکت های بزرگ کارت اعتباری ، 12 الزامات PCI DSS را دنبال کند.

هر شرکت کارت اعتباری PCI DSS را در کلیه برنامه های انطباق خاص خود مربوط به امنیت اطلاعات قرار می دهد.

این استانداردهای امنیتی توسط SSC ارائه ، حفظ ، تکامل یافته و ترویج می شود. و همچنین ارائه ابزاری برای بازرگانان و ارائه دهندگان خدمات برای اجرای استانداردهای PCI ، SSC همچنین صلاحیت های ارزیابی و اسکن ، پرسشنامه خود ارزیابی (SAQ) ، آموزش و آموزش و همچنین برنامه های صدور گواهینامه را ارائه می دهد.

انطباق PCI به چه معنی است؟

تا زمانی که یک سازمان یک محیط داده های نگهدارنده کارت (CDE) را حفظ کند و به طور مداوم با الزامات PCI DSS مطابقت داشته باشد ، پس آن سازمان سازگار با PCI است.

شما می توانید انطباق PCI خود را بسته به تعداد معاملات شما در یک سال (بیشتر در زیر) ارزیابی کنید.

لیست چک لیست انطباق PCI

الزامات PCI SSC الزامات عملیاتی و فنی را تعیین کرده و از داده های نگهدارنده کارت را بیش از هر چیز اولویت بندی می کند.

تعریف دامنه PCI DSS یکی دیگر از اقدامات مهم قبل از ورود به نیازهای PCI DSS است. برای کاهش انطباق و هزینه های عملیاتی و همچنین ریسک شما در ارتباط با داده های کارت پرداخت ، باید دامنه حسابرسی PCI DSS کاهش یابد.

برای یافتن نیازهای اصلی انطباق PCI از لیست چک لیست انطباق PCI استفاده کنید.

1. از فایروال ها استفاده و نگهداری کنید

در اصل ، فایروال ها از دسترسی احزاب غیرمجاز به اطلاعات خصوصی جلوگیری می کنند. حملات سایبری (مخرب یا نه) اغلب توسط این سیستم ها پیشگیری می شود. با توجه به اثربخشی آنها در جلوگیری از دسترسی غیرمجاز ، فایروال ها برای انطباق PCI DSS لازم است.

2. محافظت از رمز عبور مناسب

سیستم های POS ، روترها ، مودم ها و سایر محصولات شخص ثالث غالباً با رمزهای عبور عمومی و اقدامات امنیتی به راحتی در دسترس عموم هستند. این آسیب پذیری ها اغلب توسط مشاغل نادیده گرفته می شوند. در این زمینه ، اطمینان از انطباق شامل لیستی از کلیه دستگاه ها و نرم افزارهای نیاز به رمزهای عبور (یا سایر اقدامات امنیتی) است. موجودی دستگاه ها و رمزهای عبور نباید تنها اقدامات احتیاطی گرفته شده (به عنوان مثال تغییر رمز عبور) باشد.

3. از داده های دارنده کارت محافظت کنید

محافظت از داده ها یک نیاز دو برابری از انطباق PCI DSS است. تمام اطلاعات مربوط به کارت باید با استفاده از الگوریتم های خاص رمزگذاری شوند. به عنوان یک الزام انطباق ، این رمزگذاری ها با کلیدهای رمزگذاری ایجاد می شوند. برای یک شبکه ایمن ، شماره حساب های اصلی (PAN) نیاز به نگهداری منظم و اسکن دارند.

4- داده های منتقل شده رمزگذاری شده

کانال های متعدد برای ارسال داده های دارنده کارت (به عنوان مثال ، پردازنده های پرداخت ، دفاتر خانه و غیره) استفاده می شود. بنابراین داده ها باید همیشه قبل از ارسال به این مکان ها رمزگذاری شوند و هرگز نباید به مکانهای شناخته شده اجازه دهند تا شماره های حساب را کنترل کنند.

5- استفاده و نگهداری ضد ویروس

انطباق PCI DSS نیازی به نصب نرم افزار آنتی ویروس ندارد ، اما تمام دستگاه های تعامل با و/یا ذخیره سازی PAN به نرم افزار ضد ویروس نیاز دارند. این نرم افزار باید به طور مرتب به روز و وصله شود. در هر کجا سیستم های POS به طور مستقیم نصب نمی شوند ، می توان از اقدامات ضد ویروس استفاده کرد.

6. نرم افزار به درستی به روز شده

فایروال ها و نرم افزار ضد ویروس باید مرتباً به روز شوند. یک تجارت همچنین باید تمام نرم افزارهای خود را به روز کند. تکه هایی برای پرداختن به آسیب پذیری های اخیراً کشف شده در به روزرسانی های نرم افزاری متداول است که سطح امنیت دیگری را ارائه می دهد. کلیه نرم افزارهای موجود در دستگاههایی که با اطلاعات مربوط به کارت ویزیت در تعامل هستند یا باید ذخیره شوند ، باید برای ماندن فعلی به روز شوند.

7. دسترسی به داده ها را محدود کنید

داده های دارنده کارت باید کاملاً "نیاز به دانستن" داشته باشد. هر کارمند ، اجرایی و شخص ثالث نباید به این اطلاعات دسترسی داشته باشند. استفاده از داده های حساس به نقش های کاملاً مستند نیاز دارد که به طور مرتب به روز می شوند-همانطور که توسط PCI DSS مورد نیاز است.

8. شناسه های منحصر به فرد برای دسترسی

هرکسی که به داده های دارنده کارت دسترسی داشته باشد باید اعتبار و شناسایی خود را داشته باشد. به داده های رمزگذاری شده نباید بیش از یک کارمند با همان رمز عبور و نام کاربری دسترسی پیدا کرد. یک شناسه منحصر به فرد امنیت داده ها را افزایش داده و آسیب پذیری را کاهش می دهد. همچنین در صورت نقض داده ، زمان پاسخ سریعتر را امکان پذیر می کند.

9. دسترسی فیزیکی را محدود کنید

تأمین جسمی داده های دارنده کارت ضروری است. علاوه بر داده ها از نظر جسمی یا نوشته شده ، سوابق دیجیتال نیز باید در یک کشو ، کابینت یا اتاق ایمن قفل شوند. داده های حساس نه تنها باید محدود شوند بلکه باید هر بار که به آن دسترسی پیدا کنید ، یک ورود به سیستم نگه داشته شود.

10. سیاهههای مربوط به دسترسی را ایجاد و حفظ کنید

هر زمان که داده های دارنده کارت یا شماره حساب اصلی (PAN) درگیر باشد ، ورود به سیستم لازم است. عدم مستندسازی صحیح و ضبط ضبط هنگام دسترسی به داده های حساس ، رایج ترین مسئله عدم رعایت است. بنابراین بسیار مهم است که شما جریان داده ها را به سازمان خود مستند کنید و تعداد زمان دسترسی به آنها لازم است. برای اطمینان از صحت ، از محصولات نرم افزاری که دسترسی به آنها را ردیابی می کنند نیز باید استفاده شوند.

11. برای آسیب پذیری ها اسکن کنید و آنها را آزمایش کنید

بسیاری از چیزها می توانند شکست بخورند ، منسوخ شوند یا در معرض خطای انسانی باشند. با انجام اسکن های منظم و تست های آسیب پذیری ، می توانید الزامات امنیتی PCI DSS را کاهش دهید.

12. سیاست های اسناد

استانداردهای PCI DSS شما را ملزم می کند تا سابقه کلیه تجهیزات ، نرم افزارها و کارمندانی را که به امکانات مربوطه دسترسی دارند ، نگه دارید. نیاز به مستند سازی دسترسی به اطلاعات مربوط به کارت نیز وجود خواهد داشت. همچنین نیاز به مستندات مربوط به محل ذخیره اطلاعات ، نحوه استفاده از آن پس از فروش و چگونگی جریان آن به شرکت شما خواهد بود.

انطباق PCI چگونه به نفع تجارت شما است؟

رعایت استانداردهای امنیتی PCI ممکن است دلهره آور به نظر برسد. سازمان های بزرگ ممکن است مقابله با پیچ و خم استانداردها و مسائل را دشوار کنند ، چه رسد به سازمان های کوچکتر. نکته اصلی برای اطمینان از انطباق ، داشتن ابزارهای مناسب است. اطلاعات پرداخت باید به صورت رمزگذاری شده ذخیره شود یا با هیچ شبکه اصلی کارت پرداخت مانند Visa یا MasterCard کار نمی کند.

طبق گفته PCI SSC ، مزایای عمده انطباق وجود دارد ، به ویژه با توجه به اینکه عدم رعایت ممکن است منجر به عواقب جدی و طولانی مدت شود.

با دستیابی به انطباق PCI DSS می توانید به مزایای زیر برسید:

• اعتبار کسب و کار شما در هنگام سازگار با PCI با خریداران و مارک های پرداخت بهبود می یابد.
• انطباق PCI امنیت و اعتماد به نفس سیستم های شما را تضمین می کند تا مشتریان شما بتوانند اطلاعات کارت پرداخت حساس خود را به شما ارائه دهند. مشتریان به تجارت شما اطمینان می یابند و احتمال بیشتری برای خرید بیشتر از شما خواهند داشت.
• در حال حاضر و آینده ، انطباق PCI تضمین می کند که از نقض امنیت و سرقت داده های کارت پرداخت جلوگیری می شود. اجرای انطباق PCI به معنای مشارکت در راه حل جهانی امنیت کارت پرداخت است.
• تلاش های انطباق PCI شما به شما در دریافت گواهینامه های اضافی مانند HIPAA ، SOX و دیگران کمک می کند.
• حتی اگر این فقط یک نقطه شروع باشد ، انطباق PCI به شرکت ها کمک می کند تا امنیت خود را بهبود بخشند.
• راندمان زیرساخت IT احتمالاً در نتیجه انطباق PCI بهبود می یابد.

انطباق PCI چقدر مهم است؟

اگر یک سازمان داده های کارت اعتباری را جمع آوری ، انتقال ، نگهداری یا انتقال دهد ، باید بدون توجه به اندازه ، ارزش یا تعدادی از معاملات ، با PCI DSS مطابقت داشته باشد. هرکسی که از Visa ، MasterCard یا هر شرکت کارت اعتباری بزرگتر استفاده می کند ، باید استاندارد امنیت داده ها را رعایت کند.

در صورت عبور از اطلاعات کارت اعتباری از شبکه شما ، باید استانداردهای PCI را رعایت کنید.

مانند GDPR و CCPA ، جایی برای عدم رعایت PCI DSS وجود ندارد. در حالی که استانداردهای استاندارد نیستند ، سازمان هایی که با کارتهای پرداخت سروکار دارند باید مطابق با استانداردهای PCI باشند.

با وجود این واقعیت که PCI DSS قانونی نیست ، دستورالعمل هایی را برای محافظت از داده های کارت پرداخت ارائه می دهد. شرکتی که با PCI DSS مطابقت ندارد ، می تواند داده های مشتریان خود را در معرض خطر قرار دهد ، که می تواند پرهزینه باشد.

جریمه برای عدم رعایت PCI

اگر به رعایت PCI نرسیدید ، طبق گفته PCI SSC می توانید نتایج فاجعه بار را متحمل شوید.

هنگامی که مارک خود را ساخته اید و اطلاعات حساس مشتریان خود را تضمین کرده اید ، آنها را رها نکنید. با داشتن یک تجارت سازگار با PCI ، شما از مشتریان خود محافظت می کنید و از وفاداری آنها اطمینان می دهید. عدم رعایت PCI می تواند منجر به:

• مصرف کنندگان ، بازرگانان و موسسات مالی هنگام به خطر انداختن داده ها تحت تأثیر منفی قرار می گیرند.
• شهرت و توانایی کسب و کار آینده شما به شدت آسیب دیده است
• نقض داده های حساب می تواند منجر به از بین رفتن فاجعه بار فروش ، روابط و ایستادن جامعه شود. و شرکت های دولتی غالباً به دلیل نقض داده ها با کاهش قیمت سهام روبرو می شوند.
• صدمات ، مطالبات بیمه ، حساب های لغو شده ، جریمه های صادرکنندگان کارت پرداخت و جریمه های دولت.

اگر سازمان شما آمادگی مقابله با محافظت از اطلاعات مهم را نداشته باشد ، انطباق PCI ، مانند سایر الزامات نظارتی ، ممکن است چالش هایی را ایجاد کند.

برنامه انطباق PCI با اطمینان از فروشندگان پایدار و ایمن ، از صنعت کارت پرداخت قابل اطمینان تر و ایمن تر طراحی شده است. PCI DSS به کلیه طرفین درگیر در پردازش کارت اعتباری نیاز دارد تا به یک استاندارد امنیتی سختگیرانه پایبند باشند.

جریمه های عدم رعایت PCI چقدر است؟

حوادث امنیتی داده های PCI (مانند نقض داده های انبوه) می تواند منجر به جریمه 500000 دلار برای عدم رعایت شود. در صورت بروز نقض ، جریمه ها بسته به کنترل PCI ممکن است متفاوت باشد و اینکه آیا این نقض ناشی از خرابی کنترل PCI بوده است یا خیر.

علاوه بر این ، بازرگانان ممکن است مجبور به پرداخت مجازات های اضافی به بانک های خود شوند. یک بانک یا پردازنده پرداخت می تواند رابطه خود را با یک بازرگان به پایان برساند یا هزینه های پردازش هرگونه حرکت خود را افزایش دهد و به بازرگان نیاز داشته باشد که جایگزینی کارتهای پرداخت در معرض نقض داده را بپردازد.

هنگامی که بانک یا پردازنده نقض را کشف می کند ، ممکن است بازرگان ملزم به پیشرفت در انطباق باشد ، این بدان معنی است که پیروی از الزامات حتی چالش برانگیز تر می شود.

یک حادثه نقض مستلزم آن است که کلیه افرادی که ممکن است داده های آنها در معرض کتبی قرار بگیرند - بنابراین می توانند فرصتی برای ارزیابی هرگونه فعالیت کلاهبرداری در حساب کارت پرداخت خود داشته باشند.

از آنجا که این هزینه ها افزایش می یابد ، یک نشت داده واحد می تواند هزینه های بسیار بیشتری از جریمه اصلی 500000 دلار داشته باشد. در نتیجه ، مشاغل در هر اندازه می توانند با یک نقض داده واحد از نظر مالی ویران شوند.

در صورت نقض سؤالاتی در مورد یکپارچگی صورتهای مالی خود (مانند پرونده های 10K) ، شرکت های ذکر شده عمومی با خطرات قانونی و نظارتی دیگری روبرو هستند. علاوه بر این ، از دست دادن اعتماد به نفس سرمایه گذار می تواند مستقیماً بر قیمت سهام تأثیر بگذارد.

مسیر انطباق DIY PCI: خودتان این کار را انجام دهید یا این کار را با یک شریک انجام دهید

راه DIY

احتمال اینکه یک تجارت به خودی خود سازگار با PCI باشد ، بدون کمک شخص ثالث ، می تواند تا یک سال طول بکشد. انتظار می رود که برای تأمین 12 الزامات انطباق تعریف شده در PCI DSS (علاوه بر آموزش اعضای تیم موجود) ، اعضای جدیدی را با امنیت داده های کارت و تجربه انطباق به تیم داخلی خود اضافه کنید.

سفر DIY شما برای سازگاری با PCI احتمالاً به ترتیب زیر رخ خواهد داد:

• ارزیابی کننده های امنیتی واجد شرایط (QSA) ارزیابی های شکاف را انجام می دهند
• پنج مهندس (یا بیشتر) که باید آموزش ببینند یا استخدام شوند تا مسائل شکاف کشف شده در طول ارزیابی شکاف را برطرف کنند
• برنامه ها و فناوری جدید را خریداری کنید
• برای ساختن زیرساخت ها انتخاب کنید
• کنترل و اجرای کنترل های تجاری جدید
• اسناد را جمع آوری کنید
• حسابرس حسابرس را انجام دهید
• تعمیر و نگهداری مداوم و اعتبارسنجی را انجام دهید

بازرگانان و ارائه دهندگان خدمات در سطح 1 باید QSA را ارزیابی کنند که آیا آنها به منظور اعتبار سنجی PCI خود سازگار هستند یا خیر. پرسشنامه خود ارزیابی (SAQ) ابزاری اختیاری برای مشاغل است که باید سایر سطوح انطباق را رعایت کنند.

حتی اگر نمی توانید پیروی از SAQ را نشان دهید ، هنوز هم باید داده های کارت اعتباری خود را تضمین کرده و تمام نیازهای PCI را برآورده کنید.

راه حل نرم افزاری انطباق PCI که هزینه ها را کاهش می دهد

هنگامی که شرکت شما با ترکیبی از فناوری امنیت داده های مالی نهایی با یک استراتژی جامع انطباق PCI ، سفر به طور کامل به طور چشمگیری کاهش می یابد.

هنگامی که مشاغل امنیت داده های پرداخت را برای لاغر کردن برون سپاری می کنند ، خطر نقض داده های حساس را از بین می برند ، و همچنین به انواع مختلفی از سازگاری ها ، از جمله PCI DSS ، به طور قابل توجهی سریعتر و به طور قابل توجهی ارزان تر از آنچه در غیر این صورت انجام می شود ، دست می یابند.

با صدور گواهینامه PCI DSS Innountry و امکان اطمینان به موسسات مالی مبنی بر اینکه می توان از داده های مشتری آنها در بازارهای اصلی مانند چین ، روسیه و ترکیه محافظت کرد ، موسسات مالی نیازی به نگرانی در مورد خطرات پولی و شهرت مرتبط با انطباق ندارند.

برای کسب اطلاعات بیشتر در مورد موارد استفاده مشتری ، با فروش تماس بگیرید.