PCI DSS - الزامات و سطح انطباق

ساخت وبلاگ

آخرین مطالب

امکانات وب

PCI DSS - الزامات و سطح انطباق

PCI DSS - Requirements and Levels of Compliance

امنیت و حفظ حریم خصوصی پرداخت ها در تصاویر مختلفی که هر روز در هنگام بازدید از وب سایت ها و برنامه های متعدد با آن روبرو می شویم ، تأکید می شود. آیا مشاغل و مشتریان می توانند از این امر بهره مند شوند؟هر شرکتی که داده های دارنده کارت ، خواه یک راه اندازی و یا یک شرکت ، باید از استاندارد امنیت داده های صنعت کارت پرداخت (PCI DSS) پیروی کند.

شما باید سالانه انطباق خود را تأیید کنید تا سازگار باشید. شرکت هایی که کارت های اعتباری ارائه می دهند ، عموماً آن را به عنوان بخشی از توافق نامه های خود و کنترل با شبکه های کارت اعتباری ، موظف می کنند.

کاربران آنلاین ما قادر به ایجاد پروفایل های شخصی و حساب های کاربری هستند تا پرداخت های آنلاین را تا حد امکان راحت و به موقع انجام دهند. راحتی در ایجاد پرداخت های آنلاین باعث شده است که زندگی ما قابل کنترل تر باشد.

این که آیا ما به صورت ماهانه خریدهای روتین انجام می دهیم یا خریدهای یک بار را انجام می دهیم. در صورت سرقت اطلاعات حساس در طی این معاملات ، مانند جزئیات کارت ، مشاغل و مشتریان می توانند متحمل ضرر و زیان پولی قابل توجهی شوند.

چه کاری می توانید برای تضمین امنیت سایبری و حریم خصوصی اطلاعات کارت اعتباری مشتری خود به عنوان صاحب مشاغل آنلاین انجام دهید؟شرکتی که اطلاعات کارت را پذیرش ، ذخیره ، پردازش یا انتقال می دهد باید PCI DSS را دنبال و چک کنید.

فهرست مطالب

  1. PCI DSS چیست؟
  2. سطح انطباق PCI DSS
  3. مزایای انطباق PCI DSS
  4. مورد نیاز PCI DSS
  5. انطباق PCI چگونه کار می کند؟

PCI DSS چیست؟

استانداردهای مربوط به انطباق اصلی PCI توسط شورای استانداردهای امنیتی (SSC) تهیه شده است. در اصل ، این سیستم یا مؤلفه ها کل سیستم کارت پرداخت را محافظت و ایمن می کند.

برای پیروی از این استانداردها ، یک بازرگان یا ارائه دهنده خدمات پردازش اعتباری/بدهی برای پیروی از این استانداردها لازم است. گروهی از آژانس های پرداخت کارت اعتباری در سال 2006 شورای تشکیل دهنده شورای استاندارد امنیت صنعت کارت پرداخت (PCI SSC) را تشکیل دادند.

Payment Card Industry Data Security Standards

استانداردهای امنیتی داده های صنعت کارت پرداخت

این شورا مجموعه ای از استانداردهای پرداخت را طراحی کرده است که بازرگانانی که به مشاغل صدور کارت وابسته هستند و هر شرکتی دیگر که رویه ها را حفظ می کند ، و جزئیات مربوط به دارنده کارت را انتقال می دهد ، باید انطباق کنترل PCI را در نظر بگیرند.

به عنوان یک نتیجه از این استانداردها ، استاندارد امنیت داده های صنعت کارت پرداخت (PCI DSS) ایجاد شد. شرکت های پردازش کارت اعتباری با رمزگذاری استاندارد امنیت داده های صنعت کارت پرداخت ، شرکت ها را ملزم به تصمیم گیری در مورد اینکه آیا آنها قابل تصور هستند در برابر ضررهای مالی فاش شده اند.

با ایجاد دامنه های استاندارد امنیت داده های صنعت کارت پرداخت ، معاملات کارت پرداخت و پرداخت های آنلاین را می توان با خیال راحت پردازش کرد و از کلاهبرداری هویت جلوگیری می شود.

برای اطمینان از حمایت از معاملات کارت اعتباری در حوزه های پرداخت ، شرکت های کارت اعتباری موظفند قوانین مربوط به انطباق صنعت کارت پرداخت را رعایت کنند.

برای تأمین و محافظت از داده های ارائه شده توسط دارندگان کارت و همچنین از طریق معاملات کارت پرداخت ، مشاغل از استانداردهای فنی و عملیاتی صنعت کارت پرداخت پیروی می کنند.

سطح انطباق PCI DSS

به عنوان یک اقدام برای جلوگیری از نقض داده های حساس به پرداخت و کلاهبرداری ، PCI DSS (استاندارد امنیت صنعت صنعت پرداخت) توسط شرکت امنیت داده های صنعت کارت به همراه سطح PCI تهیه شده است.

سطح انطباق PCI DSS

اما آیا می دانستید که یک استاندارد همه کاره در مورد همه الزامات اعمال نمی شود؟بسته به تعداد معاملات یک سازمان در سال ، چهار سطح انطباق PCI وجود دارد.

سطح 1 - برای مشاغلی که سالانه بیش از شش میلیون معاملات کارت را پردازش می کنند ، تأسیس شده است. الزامات حسابرسی PCI باید سالانه توسط یک حسابرس مجاز انجام شود. علاوه بر این ، آنها باید یک بار در یک چهارم توسط یک فروشنده اسکن تأیید شده (ASV) اسکن PCI انجام دهند.

سطح 2 - مشاغلی که سالانه بین یک میلیون تا شش میلیون معاملات پردازش می کنند. ارزیابی یک بار در سال با استفاده از پرسشنامه خود ارزیابی (SAQ) مورد نیاز است. اسکن PCI نیز ممکن است به صورت سه ماهه مورد نیاز باشد.

سطح 3 - بازرگانی که سالانه 20،000 تا یک میلیون معاملات را پردازش می کند ، باید این گزینه را در نظر بگیرد. ارزیابی های سالانه باید با استفاده از SAQ قابل اجرا انجام شود. همچنین ممکن است شما نیاز به انجام اسکن PCI به صورت سه ماهه داشته باشید.

سطح 4 - بازرگانی که در یک سال کمتر از 20،000 معاملات را انجام می دهد ، واجد شرایط این سطح است. ممکن است نیاز به انجام یک اسکن سه ماهه PCI و انجام ارزیابی سالانه بر اساس SAQ مناسب باشد.

مزایای انطباق PCI DSS

  • استفاده از کارتهای اعتباری باید با معاملات کارت اعتباری ایمن همراه باشد.
  • از کلاهبرداری کارت اعتباری و استفاده غیرمجاز باید جلوگیری شود تا از سود بازرگان محافظت شود.
  • با پردازنده PCI ، بازرگانان و ارائه دهندگان خدمات را قابل اعتماد تر و بهبود تصویر برند خود کنید.
  • اطمینان حاصل کنید که از دست دادن داده ها به طور منظم جلوگیری و کاهش می یابد و هزینه های ترمیم کاهش می یابد.

مورد نیاز برای PCI DSS

داده های مالی باید به عنوان بخشی از استانداردهای انطباق PCI ، ایمن انجام شود ، که باعث کاهش خطر از دست دادن داده های مالی می شود. در صورت عدم رعایت این استانداردها ، ممکن است اطلاعات مربوط به کارتهای شما هک شود و ممکن است مرتکب کلاهبرداری شوید ، مانند سرقت هویت.

مطابق با PCI DSS ، 12 مورد و اهداف زیر باید برآورده شوند:

  1. با نصب و نگهداری فایروال ، از داده های تأیید اعتبار حساس PCI محافظت کنید.
  2. هیچ رمز عبور از فروشنده در سیستم وجود ندارد.
  3. اطمینان حاصل کنید که از داده های دارنده کارت محافظت می شود.
  4. انتقال داده های دارنده کارت از طریق شبکه های عمومی باید رمزگذاری شود.
  5. به روز نگه داشتن نرم افزار آنتی ویروس ضروری است.
  6. توسعه و نگهداری سیستم ها و برنامه های ایمن ضروری است.
  7. با محدود کردن دسترسی به نیازهای تجاری ، از داده های دارنده کارت محافظت کنید.
  8. دسترسی به داده ها به افراد دارای شناسه منحصر به فرد اعطا می شود.
  9. داده های نگهدارنده کارت را با محدود کردن دسترسی فیزیکی ایمن کنید.
  10. ردیابی و نظارت بر دسترسی به منابع شبکه و داده های دارنده کارت به طور مرتب.
  11. فرآیندها و سیستم ها باید به طور مرتب برای امنیت آزمایش شوند.
  12. حفظ سیاست های امنیتی اطلاعات و مستند سازی آنها.

الزامات امنیتی PCI همچنین شامل بیش از 400 روش آزمایش و 78 مورد نیاز پایه است. PCI DSS نسخه 3. 2. 1 در سال 2018 به روزرسانی ترین نسخه منتشر شد.

انطباق PCI چگونه کار می کند؟

یک شرکت دستگیر کردن داده های دارنده کارت باید از رویه ها و شیوه های انطباق PCI DSS پیروی کند. بیش از یک گواهینامه ، انطباق کنترل PCI بیشتر است. این شامل یک فرآیند مداوم است که شامل موارد زیر است:

  • آسیب پذیری در امنیت داده ها باید اصلاح و تعمیر شود
  • ارزیابی ها و اصلاحات برای رفع آسیب پذیری باید مستند و گزارش شود
  • تجزیه و تحلیل آسیب پذیری های مربوط به داده های دارنده کارت با شناسایی دارایی ها و فرایندها

ممکن است در فرآیندهای انطباق و مراحل بین شرکتها تفاوت هایی وجود داشته باشد ، اما اصول اصلی مهم نیست که چگونه آنها اجرا شوند.

علاوه بر این ، اگر از یک شرکت پردازش پرداخت استفاده می کنید ، بنابراین با PCI DSS مانند PayPal سازگار هستید ، از لیست الزامات PCI بهانه نمی شوید (اگرچه دامنه انطباق را محدود می کند).

شرکت های پردازش پرداخت (یا شرکت هایی که با خدمات خود برای مدیریت داده های دارنده کارت ادغام می شوند) باید این الزام رمزگذاری را رعایت کنند.

شات پایانی

انواع برنامه هایی که به فرآیندهای بازرگانی کمک می کنند ، مانند سیستم های ثبت پول در فروشگاه های خرده فروشی مانند میسی ، از استانداردهای PCI DSS استفاده می کنند و حتی فناوری تجارت الکترونیکی نیز طبق این استانداردها ارائه می شود.

هنگامی که توسعه دهندگان با PCI سازگار هستند ، آنها به عنوان کدگذاری ، راهنمایی های امنیتی را دریافت می کنند و به آنها آموزش داده می شود که چگونه به طور مداوم امنیت را در برنامه های خود ادغام کنند.

به منظور به حداقل رساندن خطر از دست دادن اطلاعات مربوط به دارنده کارت ، مهم است که به طور منظم هرگونه آسیب پذیری و شکاف در امنیت داده ها را ارزیابی و حفظ کنید.

حفظ امنیت داده برای مشاغل آنلاین نیاز به ممیزی منظم و نظارت بر مطابق با PCI DSS دارد. با رمزگذاری و محافظت از داده های مالی حساس ، PCI SSC به اطمینان از امنیت داده ها کمک می کند.

امنیت داده های کارت اعتباری با استانداردهای مختلفی از جمله استاندارد امنیت داده PCI ، که کلیه جنبه های امنیت داده ها را شامل می شود ، از پیشگیری تا پاسخ در صورت بروز یک حادثه پوشش می دهد.

زیرساخت های ابری خود را با Atatus کنترل کنید

با نظارت بر عملکرد برنامه در زمان واقعی ، می توانید نحوه عملکرد برنامه شما و همچنین نمایش داده های آهسته در پایگاه داده ، عملکرد ضعیف شبکه و موارد دیگر را مشاهده کنید. با استفاده از Atatus ، می توانید به سرعت علل ریشه را شناسایی کرده و مشکلات را حل کنید.

با دریافت یک تصویر کامل از درخواست های خود ، کمترین لایه ها را با تأثیر بر مشتریان خود پیدا کنید. با تجزیه و تحلیل هیستوگرام و صدک ها و با تجزیه و تحلیل نرخ خطا ، می توانید مشکلات عملکرد درخواست را با نظارت بر معامله عیب یابی کنید. در اسرع وقت اقدام کنید تا تأخیرهای پاسخ API را برطرف کنید.

داشبورد APM

با استفاده از نظارت بر پایگاه داده ، می توانید ردیابی اصلی را برای آن پرس و جو SQL آهسته و همچنین یک نمای کلی از تمام عملکرد پایگاه داده خود و نمایش داده های پایگاه داده آهسته فیلتر و مشاهده کنید. هرگونه تخریب را در زمان پاسخ به پایگاه داده با مشاهده تجزیه و تحلیل و توان پایگاه داده های فردی شناسایی کنید.

عملکرد تماس های شبکه به خدمات خارجی ، مانند برنامه های شخص ثالث و خدمات خرد را تجسم کنید. ببینید کدام درخواست ها بیشترین تأثیر را با بیشترین تماس های شبکه تأثیر می گذارند.

با مشاهده سریع بالاترین خرابی HTTP و هر اطلاعات درخواست ، علت اصلی خرابی HTTP را مشخص کنید. نظارت بر عدم موفقیت HTTP می تواند به شما در شناسایی کاربران نهایی که بیشترین تأثیر را در مورد خرابی API بر اساس کدهای وضعیت HTTP دارند ، کمک کند.

به دنبال بینش های عملی هستید؟آزمایش رایگان 14 روزه Atatus اکنون در دسترس است!

کتاب آموزش بورس...
ما را در سایت کتاب آموزش بورس دنبال می کنید

برچسب : نویسنده : محسن زنجانچی بازدید : 37 تاريخ : سه شنبه 30 خرداد 1402 ساعت: 12:07

آرشیو مطالب

پيوندهای روزانه

لینک دوستان

خبرنامه