وبلاگ
استاندارد pci چیست و چه کاربردی در پوز دارد؟
پیروی از استاندارد pci امنیت دادههای صنعت کارت اعتباری یا The Payment Card Industry Data Security Standard (PCI DSS) یک امر مهم به منظور اطمینان از آن است که تمام دستگاههای پوز اطلاعات کارت اعتباری را در محیطی امن پردازش، ذخیره یا انتقال میدهند.
این استاندارد در تاریخ ۷ سپتامبر ۲۰۰۶ معرفی شد تا موارد امنیتی را مدیریت کند و امنیت حساب کاربری را در طول فرآیند معاملات بهبود بخشد. شورای استانداردهای امنیت PCI (PCI SSC)، یک نهاد مستقل به شمار میرود که توسط شرکتهای ویزا، مسترکارت، امریکن اکسپرس، دیسکاور و جیسیبی ایجاد شده است.
دوازده الزام برای پایبندی به استاندارد امنیت دادههای صنعت کارتهای پرداخت (PCI DSS)
در ادامه به دوازده الزام اصلی به منظور پیروی کردن از استاندارد PCI در دستگاههای پوز اشاره خواهیم کرد که اهمیت بسیار زیادی دارند.
الزامات پیروی کردن از استاندارد PCI در دستگاههای کارتخوان (پوز)
1. استفاده و حفظ دیوارههای آتش (فایروالها) | مهمترین الزام پیروی کردن از PCI در دستگاههای کارتخوان
دیوارههای آتش به طور اساسی، دسترسی نهادهای خارجی یا ناشناختهای که در تلاش هستند به دادههای خصوصی دسترسی پیدا کنند را مسدود مینمایند. این سیستمهای پیشگیری اغلب نخستین خط دفاع در برابر هکرها تبدیل میشوند. دیوارههای آتش به عنوان یکی از الزامات پایبندی به PCI DSS شناخته میشوند آن هم به دلیل کارآییشان در جلوگیری از دسترسی غیرمجاز.
2. حفاظت مناسب از رمزها
روترها، مودمها، سیستمهای امن نقاط فروش (POS) و سایر محصولات شخص ثالث اغلب دارای رمزهای عمومی و تدابیر امنیتی عادی هستند که به راحتی توسط عموم قابل دسترسی خواهند بود. اغلب اوقات، کسبوکارها در ایمنسازی این آسیبپذیریهای امنیتی ناتوان هستند.
اطمینان از پایبندی به استاندارد PCI در این زمینه شامل نگهداشتن لیستی از تمام دستگاهها و نرمافزارهایی است که به رمز عبور نیاز دارند.
3. حفاظت از اطلاعات دارنده کارت
سومین الزام استاندارد PCI در دستگاههای کارتخوان PCI DSS یا همان محافظت دوگانه از اطلاعات دارنده کارت است. اطلاعات کارت باید با الگوریتمهای خاص رمزنگاری شوند. این رمزنگاریها با استفاده از کلیدهای رمزنگاری اعمال میشوند. نگهداری منظم و اسکن شمارههای حساب اصلی (PAN) برای اطمینان از عدم وجود دادههای بدون رمزنگاری ضروری است.
4. رمزنگاری دادههای ارسالی
اطلاعات دارنده کارت از طریق کانالهای معمولی مختلف ارسال میشود (به عنوان مثال، پردازندههای پرداخت، دفتر مرکزی فروشگاههای محلی و غیره). این دادهها باید در هنگام ارسال به این مکانهای شناخته شده رمزنگاری شوند. همچنین شماره حسابها نباید به مکانهای ناشناخته ارسال گردند.
5. استفاده و نگهداری از آنتیویروس
نصب نرمافزار آنتیویروس، یک شیوه خوب در رابطه با پایبندی به PCI DSS است. با این حال، نرمافزار آنتیویروس برای تمام دستگاههایی که با PAN تعامل دارند، لازم است. این نرمافزار باید بهطور منظم پچها و بهروزرسانیها را انجام دهد. ارائهدهنده POS نیز باید برای محلهایی که نمیتوان مستقیماً آنها را نصب کرد، تدابیر امنیتی ویژهای اتخاذ کند.
6. بهروزرسانی مناسب نرمافزارها
دیوارههای آتش و نرمافزار آنتیویروس به طور مکرر به بهروزرسانیهای مشخصی نیاز دارند. اغلب محصولات نرمافزاری، تدابیر امنیتی مانند پچها (برای برطرف کردن آسیبپذیریهای تازه کشفشده) را در بهروزرسانیهای خود قرار میدهند. این بهروزرسانیها (بهویژه برای تمام نرمافزارهای دستگاههایی که با اطلاعات دارنده کارت تعامل دارند یا آنها را ذخیره میکنند)، الزامی هستند.
7. محدود کردن دسترسی به دادهها
اطلاعات دارنده کارت باید تنها قابلیت خوانده شدن داشته باشد. تمام کارکنان، مدیران و افراد شخص ثالث که به این دادهها نیاز ندارند، نباید بتوانند آنها را کنترل کنند.
8. شناسههای منحصر به فرد برای دسترسی
بر اساس استاندارد pci اشخاصی که به اطلاعات دارنده کارت دسترسی خواهند داشت باید اعتبارها و شناسههای منحصر به فردی برای دسترسی داشته باشند. به عنوان مثال، نباید ورود به دادههای رمزنگاری شده برای چندین کارمند امکانپذیر گردد. شناسههای منحصر به فرد آسیبپذیریهای کمتری را ایجاد میکند و زمان پاسخ به نیازهای کاربران را افزایش خواهد داد.
9. محدود کردن دسترسی فیزیکی
هر گونه اطلاعات دارنده کارت باید به طور فیزیکی در مکانی امن نگهداری شود. هم اطلاعاتی که به طور فیزیکی نوشته یا تایپ میشود و هم اطلاعاتی که به صورت دیجیتالی نگهداری خواهد شد (بر روی یک هارد درایو). نه تنها باید دسترسی محدود شود، بلکه با هر بار دسترسی به اطلاعات، همه موارد تغییر یافته ثبت میگردند.
10. ایجاد و نگهداری از گزارشات دسترسی
تمام فعالیتهای مرتبط با اطلاعات دارنده کارت و شمارههای حساب اصلی (PAN) باید به طور کامل گزارش شوند. شاید متداولترین مشکل عدم پایبندی به استاندارد، عدم نگهداری مناسب از سوابق و مستندسازی در مورد دسترسی به اطلاعات حساس باشد.
پایبندی نیازمند مستندکردن جریان دادهها و تعداد دفعاتی است که دسترسی ارائه شد. همچنین نیاز به محصولات نرمافزاری پیشرفتهای برای ثبت دسترسی جهت تضمین دقت وجود دارد.
11. اسکن و آزمون آسیبپذیری
تمام ده استاندارد پیشین پایبندی شامل چندین محصول نرمافزاری، مکانهای فیزیکی و احتمالاً چندین کارمند هستند. ممکن است بسیاری از این موارد عملکرد نادرستی داشته باشند، منسوخ شوند یا از خطای انسانی رنج ببرند. این تهدیدات میتوانند با انجام اسکنهای دورهای آسیبپذیری و آزمونهای آسیبپذیری برای پایبندی به PCI DSS محدود شوند.
12. تدوین سیاستها
بر طبق استاندارد pci موجودی تجهیزات، نرمافزارها و کارمندانی که به آنها دسترسی دارند، باید مستند شوند. گزارشات دسترسی به اطلاعات دارنده کارت نیز نیاز به مستندسازی دارد. نحوه جریان اطلاعات ورودی به شرکت شما، مکان ذخیرهسازی و نحوه استفاده از آن پس از فروش نیز باید طبق یک سری سیاست خاص مشخص گردد.
مزایای پایبندی به استانداردهای امنیتی PCI در کارتخوان
پایبندی به استانداردهای امنیتی PCI شاید در نگاه اول پیچیده به نظر برسد. این مورد شبکه خاصی از استانداردها است که حتی برخی سازمانهای بزرگ نیز به سراغ آن نمیروند. اما پایبندی به استانداردها اهمیت بسیاری دارد و به اندازهای که فکر میکنید دشوار نیست، به ویژه اگر ابزارهای مناسبی در اختیار داشته باشید.
بر اساس اطلاعات شورای استانداردهای امنیتی PCI، مزایای مختلفی در این زمینه وجود دارد. به عنوان مثال:
• پایبندی به استانداردهای PCI بدین معناست که سیستمهای شما ایمن هستند و مشتریان میتوانند به شما در مورد اطلاعات حساس کارت پرداختی خود اعتماد کنند.
• پایبندی به استانداردهای PCI امکان تراکنش با سازمانهای گوناگون را بهبود میبخشد.
• پایبندی به استانداردهای PCI یک فرآیند پیوسته است که به پیشگیری از نقضهای امنیتی و سرقت دادههای کارت پرداختی در حال حاضر و در آینده کمک میکند.
• پایبندی به استانداردهای PCI به معنای کمک به ایجاد یک راهحل جهانی برای امنیت دادههای کارت اعتباری است.
• پایبندی به استاندارد pci به استراتژیهای امنیتی شرکت کمک میکند (حتی اگر تنها یک نقطه شروع باشد).
• پایبندی به استانداردهای PCI منجر به بهبود کارایی زیرساخت IT میشود.