استاندارد امنیت اطلاعات صنعت کارتهای پرداخت (PCI DSS)[i] برای فروشندگانی که از «فن آوری کارت پرداخت» در سیستم فروش خود استفاده می کنند و شرکت هایی که اطلاعات شخصی دارندگان این نوع کارت را پردازش می کنند، یک موضوع جانبی و البته مهم است.
این استاندارد 12 الزام را برای هر کسب و کاری (اعم از فروشندگان، شرکت های ارایه دهنده خدمات کارت و بانکها) که اطلاعات دارندگان کارت های پرداخت را ذخیره، پردازش و یا منتقل می کنند، در نظر گرفته است. این ملزومات یک چارچوب کاری برای محیط امن پرداختی تعریف می کند. این استاندارد، سه اقدام اصلی را الزام می کند:
1- ارزیابی [ii]
2- رفع آسیب پذیری ها[iii]
3- گزارش[iv]
- ارزیابی: فرایندی است که در آن یک فهرست از دارایی های اطلاعاتی و پروسه تجاری مرتبط با فرایندهای کارت های اعتباری تهیه شده و از نظر آسیب پذیری هایی که ممکن است اطلاعات شخص دارنده کارت را تحت الشعاع قرار بدهد، بررسی می گردد.
- رفع آسیب پذیری ها: فرایند پوشش دهی ورفع این آسیب پذیری های شناسایی شده است.
- گزارش: شامل جمع بندی سوابق ثبت شده توسط PCI DSS برای کنترل پروسه بازیابی و رفع آسیب پذیری ها و تحویل گزارش های رعایت استاندارد به بانک و شرکت تامین کننده خدمات کارت پرداخت مورد نظر شماست که کارهای تجاری خود را با آن انجام می دهید. این سه گام، یک روند مستمر برای انطباق بااستاندارد PCI DSS است. همچنین این اقدام ها، تضمین کننده امنیت اطلاعات دارنده کارت خواهد بود.
|
جدول1- الزامات استاندارد امنیت داده های صنعت کارت پرداخت |
|
نسخه PCI DSS 1.2 یک استاندارد امنیت اطلاعات عمومی است که هر کسب و کاری با هر حد و اندازه، برای استفاده از کارتهای پرداخت و همچنین ذخیره سازی، پردازش و یا ارسال اطلاعات صاحب کارت باید از آن استفاده نماید. |
|
اهداف |
الزامات PCI DSS |
|
ایجاد و نگهداری یک شبکه امن |
1- نصب و نگهداری تنظیمات فایروال برای حفاظت از اطلاعات دارنده کارت |
|
2- استفاده نکردن از تنظیمات پیش فرض انجام شده توسط سازنده تجهیزات مانند رمز عبور و دیگر پارامترهای امنیتی |
|
|
محافظت از اطلاعات دارنده کارت |
3- حفاظت از اطلاعات ذخیره شده |
|
4- نقل و انتقال رمز نگاری شده اطلاعات دارنده کارت بر روی شبکه های باز و عمومی |
|
|
ایجاد برنامه های مدیریت آسیب پذیر یهای امنیتی |
5- استفاده از به روز رسانی های آنتی ویروس |
|
6- توسعه و نگهداری سیستم ها و برنامه های کاربردی امن |
|
|
اعمال روش های قوی درکنترل دسترسی ها |
7- محدود کردن دسترسی ها به اطلاعات دارندگان کارت در حداقل الزام هر کسب و کار |
|
8- تخصیص یک شناسه کاربری یکتا به هر فرد دارای دسترسی کامپیوتری |
|
|
9- محدود کردن دسترسی فیزیکی به اطلاعات دارتده کارت |
|
|
پایش و ارزیابی منظم شبکه ها |
10- ردیابی و پایش همه دسترسی ها به منابع و تجهیزات شبکه و اطلاعات دارنده کارت |
|
11- ارزیابی قاعده مند امنیت سیستم ها و فرایندها |
|
|
ایجاد و نگهداشت یک سیاست امنیت اطلاعات |
12- ایجاد یک یلست که خط مشی های امنیت اطلاعات را مشخص نماید |
|
گام اول- ارزیابی
هدف اولیه از ارزیابی ها، شناخت آسیب پذیری های تکنولوژی و فرایندها است که امنیت اطلاعات صاحبان کارت را هنگام انتقال، پردازش یا ذخیره سازی، در کسب وکار ، در معرض خطر قرار می دهد. در این مرحله باید با مطالعه منابع فنی و مرتبط بستر فن آوری اطلاعات و فرایندهایی که به زیر ساخت کارت پرداخت دسترسی دارند را تشریح کرد. سپس باید نحوه و مسیر انتقال اطلاعات دارنده کارت، از ابتدا تا انتها، در پروسه انجام کار (شامل کامپیوترهای شخصی یا لپ تاپ که به سیستم های حساس دسترسی دارند ، مکانیزم های ذخیره سازی رسیدهای کاغذی و غیره) تعیین شود. نسخه های ترمینال ورد کد شناسایی فردی (PIN)[i] و نرم افزارهای کاربردی که برای انتقال اطلاعات کارت های اعتباری استفاده می شوند، باید کنترل شوند که از نظر انطباق با الزامات استاندارد تایید شده باشند. یادآوری: تعهد به این استاندارد شامل افراد دیگری (اشخاص ثالث) که در جریان اطلاعات و پردازش های هر کسب و کاری هستند نیزمی شود. ارزیابی های مشروح و وسیع ، که برای درک این که چه قسمت هایی از سیستم و فرایندها کارکردهای امنیتی را آسیب پذیر می کنند و کدام قسمت ها نیاز به بازسازی دارند یک اصل حیاتی است.
پرسش نامه های خود ارزیابی(SAQ) [ii] : این پرسش نامه ها یک ابزار قابل استفاده برای ارایه کنندگان خدمات و فروشندگانی است که نیازی به ارزیابی در محل برای بررسی انطباق با استاندارد PCI ندارند. به ازای موقعیتهای مختلف چهار SAQ مشخص شده اند، برای جزییات بیشتر به جدول زیر و یا وب سایت رسمی استاندارد مراجعه نمایید. ارزیاب های واجد شرایط شورای تدوین این استاندارد(PCI SSC)[iii] برنامه هایی برای دو دسته متخصصان مستقل در نظر گرفته که به فروشندگان برای ارزیابی انطباقشان کمک برسانند. ارزیاب های امنیتی واجدشرایط (QSA )[iv] و پویشگران مورد تایید (ASV)[v]. QSA ها متخصصان آموزش دیده و رویه های مخصوص برای ارزیابی و اثبات انطباق با استاندارد PCI DSS دراختیار دارند. ASV ها ، نیز تامین کننده ابزارهای نرم افزاری را برای پویش آسیب پذیری های امنیتی سیستم های فروش هستند.
گام دوم-رفع آسیب پذیری های امنیتی: گام دوم مرحله ای است که در آن آسیب پذیری های امنیتی رفع می شوند. این آسیب پذیری ها ممکن است شامل نقاط ضعف فنی در کد نرم افزار باشد یا اقدامات و رویه های غیر امن پردازش اطلاعات دارنده کارت پرداخت در کل سازمان. این کار مراحل زیر را در بر می گیرد:
گام سوم-گزارش ارایه منظم گزارش ها برای انطباق با این استاندارد الزامی است . این گزارش ها به بانک ها یا برندهای پرداخت الکترونیک که قرار است به سیستم فروش خدمات بدهند ارایه می شوند. PCI SSC[i]مسوول و پاسخگوی انطباق با این استاندارد نیست. تمام سیستم های فروش و پردازشگران اطلاعات دارندگان کارت پرداخت باید گزارش های فصلی پویش امنیتی خود را به بانک یا برند مورد نظر ارایه دهند. این پویش باید توسط یک ASV مورد تایید انجام شده باشد. کسب و کارهایی که گردش بالایی دارند باید به صورت سالانه یک ارزیابی در محل سیستم های فروش خود انجام دهند. این ارزیابی نیز باید توسط یک QSA مورد تایید تکمیل شده و نتایج آن به مراجع مورد نظر ارایه گردد. کسب و کارهایی که گردش و تراکنش های کمتری دارند نیز ممکن است ملزم به انجام خود اظهاری بر اساس پرسشنامه خود ارزیابی و ارایه آن به مراجه مرتبط باشند.
[i] - Point-of-Sale [i] -Personal Identification Number [ii] - Self-Assessment Questionnaire [iii] - Payment Card Industry Security Standard Council [iv] - Qualified Security Assessors [v] - Approved Scanning Vendors |
|||||||||||||||||||||
[i] -Payment Card Industry Data Security Standard
[ii] - Assess
[iii] - Remediate
[iv] - Report