إغلاق القائمة
الأحد، 15 فبراير

قائمة التحقق النهائية لتدقيق PCI DSS: تأكد من الامتثال الآن!

ابق متقدمًا في اللعبة باستخدام دليل قائمة التحقق من تدقيق PCI DSS الخاص بنا!
By الأمن السيبراني التكنولوجيا

للتجار ، قوائم مراجعة PCI DSS أصبحت هذه الأمور أكثر أهمية مع استمرار نمو قائمة المتطلبات والتهديدات.

لقد شهد فريق شركة Very Good Security العديد من الشركات تكافح من خلال تدقيق PCI DSS بمفردهم.

قائمة تدقيق PCI DSS

بينما خروقات البيانات آخذة في الارتفاع، الشركات تكافح من أجل تلبية معايير الامتثال. 51.9٪ من الأنشطة التجارية في استطلاع أجرته شركة Verizon مؤخرًا، كشفوا أنهم قاموا باختبار نظامهم وعملياتهم الأمنية دون جدوى.

علاوة على ذلك، يقوم أقل من نصف المؤسسات بتغيير كلمات المرور الافتراضية من موردين خارجيين - وهو أحد المتطلبات الأسهل للتنفيذ.

بطاقة أمان صناعة بيانات الأمان القياسية

معظم العناصر التي تفتقدها الشركات فيما يتعلق بـ الامتثال PCI DSS يمكن التعرف عليها أثناء تدقيق PCI.

إذا كنت تخطط لتكون متوافقًا مع PCI أو كنت ترغب في الحفاظ على شهادتك، فستتم مطالبتك بتقديم تدقيق سنويًا.

الامتثال PCI باختصار

يُطلب من التجار ومقدمي الخدمات الذين يقومون بمعالجة معاملات بطاقات الخصم أو الائتمان تحقيق مستوى معين من الامتثال لـ PCI. هناك أربعة مستويات للتجار واثنان لمقدمي الخدمات، والفرق الأساسي بين المستويات هو عدد المعاملات التي تقوم بمعالجتها سنويًا.

اختصارًا لمعيار أمان بيانات صناعة بطاقات الدفع، يهدف الامتثال لـ PCI DSS إلى مساعدتك على منع الاحتيال وانتهاكات البيانات. هناك ستة أهداف رئيسية، والتي تم تقسيمها إلى 12 متطلبات. وتنقسم هذه المتطلبات مرة أخرى إلى مئات المتطلبات الصغيرة.

إنها واسعة جدًا. وهذا هو أحد الأسباب التي تجعلها تشعر بالإرهاق في كثير من الأحيان.

ما هو تدقيق PCI ولماذا تحتاجه؟

للحصول على شهادة الامتثال الخاصة بك، ستحتاج إلى إكمال تدقيق PCI. ستختلف تكلفة التدقيق المحدد الخاص بك بناءً على بيئة البيانات الخاصة بك، ومستوى PCI الخاص بك، وحجم مؤسستك، ورسوم المدقق الفردي. يعتمد الجدول الزمني أيضًا على نفس العوامل، ويمكن أن يستغرق من 4 إلى 6 أشهر حتى يكتمل.

اقرأ أيضا: هل أجهزة استشعار كسر الزجاج فعالة؟ هل أجهزة استشعار كسر الزجاج فعالة؟

ومع ذلك، يعد هذا التدقيق ضروريًا لضمان أمان أنظمتك. سيتمكن المدقق ذو الخبرة والشامل من فهم مجال عملك وكيف يتناسب جمع البيانات وتخزينها ونقلها مع أهدافك. سيكونون أيضًا قادرين على تحديد نقاط الضعف المحتملة.

وإيجاد نقاط الضعف هذه في أنظمتك أمر بالغ الأهمية. لا أحد من الشركات في تحقيقات خرق البيانات التي أجرتها شركة Verizon، كانت متوافقة مع PCI بنسبة 100%. يمكن أن تساعدك عملية التدقيق في أن تصبح ممتثلًا وتظل كذلك - مما يقلل من المخاطر التي تتعرض لها.

يقوم تدقيق PCI بالتعمق في أنظمتك لمراقبة مدى امتثالك للأهداف التالية.

بناء وصيانة شبكة وأنظمة آمنة

يجب عليك استخدام جدران الحماية وأجهزة التوجيه، بالإضافة إلى تغيير كلمات المرور الافتراضية التي يوفرها البائع والبيانات الأخرى. تحتاج كل من المسارات الواردة والصادرة إلى شبكتك إلى ضوابط أمنية مناسبة.

حماية بيانات حامل البطاقة

كيف تحمي بيانات حامل بطاقتك عندما تقوم بجمعها أو نقلها أو تخزينها؟ ماذا عن عندما يكون لديك الإصدارات المادية؟

ترتبط حماية بيانات حامل البطاقة إلى حد كبير بـ التكنلوجيا، مثل استخدام الترميز، أو الاسم المستعار للبيانات، أو التشفير. ولكن من المهم أيضًا التأكد من أن موظفيك يفهمون كيفية التعامل مع البيانات بشكل آمن.

الحفاظ على برنامج إدارة نقاط الضعف

يجب عليك التأكد من أن برنامج مكافحة الفيروسات الخاص بك محدث وأن لديك عناصر تحكم أخرى محددة للفيروسات والبرامج الضارة والتهديدات الإلكترونية الأخرى.

تنفيذ إجراءات صارمة للتحكم في الوصول

34٪ من خروقات البيانات

يشارك فيها الموظفون أو الموظفون الداخليون الآخرون 34٪ من خروقات البيانات. يجب أن يكون لديك نظام مصادقة ووصول المستخدم للتأكد من أن بياناتك آمنة. يجب أن تكون قائمة الأشخاص الذين لديهم حق الوصول إلى البيانات الحساسة قصيرة.

اقرأ أيضا: لماذا تختار أداة Apache Spark لمعالجة البيانات؟ لماذا تختار أداة Apache Spark لمعالجة البيانات؟

مراقبة شبكات الاختبار بانتظام

يجب أن تكون قادرًا على مراقبة أنظمتك بانتظام واختبار أنظمتك للتأكد من أن عناصر التحكم لديك تعمل بشكل صحيح. في حين أن تدقيق PCI، إلى حد ما، هو مراجعة لعناصر التحكم الخاصة بك، فمن الأفضل عدم الانتظار حتى تحتاج إلى واحدة لبدء اختبار أنظمتك.

الحفاظ على سياسة أمن المعلومات

أخيرًا، ستحتاج إلى تدريب موظفيك على سياسات حماية البيانات الخاصة بك والتأكد من فهمهم لكيفية وسبب التركيز على الامتثال.

قائمة مراجعة تدقيق PCI الخاصة بك

يغطي تدقيق PCI الخاص بك مجموعة واسعة من الأنشطة الأمنية. للتحضير لتدقيق PCI الخاص بك، يمكنك القيام بذلك خطوة بخطوة.

قم بتخطيط أنظمتك

أولاً، ستحتاج إلى رسم أنظمتك وتفصيل كيفية تفاعلك مع بيانات حامل البطاقة. يتضمن ذلك كل شيء بدءًا من جمع البيانات وحتى تخزينها ونقلها. ستحتاج أيضًا إلى تضمين أي بائعين خارجيين يمكنهم الوصول إلى بياناتك.

النظر في هذه الأسئلة.

  • كم عدد المعاملات التي تقوم بها على أساس سنوي؟
  • كيف تقوم بمعالجة معاملات بطاقة الدفع؟
  • ما نوع البيانات التي تجمعها؟
  • كيف يمكنك جمعها؟
  • أين يتم تخزينها؟
  • هل يمكن تخزين البيانات في أي مكان آخر غير المنطقة المخصصة؟
  • كيف يتم نقل البيانات؟
  • هل لديك عمليات تطهير منتظمة؟
  • من لديه حق الوصول إلى هذه البيانات؟
  • هل تستخدم التشفير أو الترميز أو طريقة أخرى لحماية تلك البيانات؟
  • هل لديك سياسات معمول بها في حالة حدوث خرق؟
  • هل يعرف موظفوك كيفية التعامل بشكل آمن مع بيانات حامل البطاقة بجميع أشكالها؟

بمجرد أن تفهم نطاقك وحدودك بشكل أفضل، ستتمكن من البدء في التحضير للتدقيق.

اقرأ أيضا: يتم تطوير iWatch من Apple بواسطة Jony Ive يتم تطوير iWatch من Apple بواسطة Jony Ive

تحديد مستوى PCI الخاص بك

ستختلف متطلبات PCI المحددة الخاصة بك وفقًا لمستوى PCI الخاص بك. هناك أربعة مستويات للتجار واثنان لمقدمي الخدمات.

  • المستوى 1: التجار الذين يقومون بمعالجة أكثر من 6 ملايين معاملة بطاقة سنويًا أو مقدمي الخدمات الذين يقومون بمعالجة 300,000 معاملة.
  • المستوى الثاني: التجار الذين يقومون بمعالجة ما بين 2 إلى 1 ملايين معاملة سنوياً، أو مقدمي الخدمات الذين يعالجون أقل من 6 ألف معاملة سنوياً.
  • المستوى 3: التجار الذين يقومون بمعالجة 20,000 إلى 1 مليون معاملة سنويًا.
  • المستوى الرابع: التجار الذين يقومون بمعالجة أقل من 4 معاملة سنوياً.

فهم وثائق SAQ الخاصة بك

الخطوة التالية هي فهم متطلبات تدقيق PCI الخاصة بك. في حين أن المستويات من 2 إلى 4 ليست مطلوبة لإعداد تدقيق خارجي، إلا أنه يتعين على جميع التجار ومقدمي الخدمات تقديم تقرير استبيان التقييم الذاتي (ساق).

هذا الاستبيان عبارة عن سلسلة من الأسئلة بنعم-لا. هناك العديد من إصدارات SAQ اعتمادًا على مستوى PCI الخاص بك وكيفية معالجة المدفوعات.

  • ساق أ - للتجار الذين يستعينون بمصادر خارجية لعملية الدفع بأكملها بغض النظر عن القناة.
  • ساك A-EP – هذا النموذج مخصص لتجار ومقدمي خدمات التجارة الإلكترونية الذين يستعينون بمصادر خارجية لمعالجة الدفع ولكن ليس موقع الويب، إذا كان موقع الويب يمكن أن يؤثر على أمان قناة الدفع.
  • ساك ب – التجار الذين يستخدمون آلات بصمة لا تحتوي على تخزين كهربائي للبيانات أو محطات مستقلة لا تحتوي على تخزين للبيانات. وهذا لا يشمل تجار التجارة الإلكترونية.
  • ساك بي-IP – التجار الذين يستخدمون محطات الدفع المعتمدة من PTS مع اتصال IP ولا يوجد تخزين كهربائي للبيانات للمدفوعات. وهذا لا يشمل تجار التجارة الإلكترونية.
  • ساك سي-في تي – التجار الذين ليس لديهم مخزن إلكتروني لبيانات حامل البطاقة والذين يقومون بمعالجة المدفوعات واحدة تلو الأخرى عن طريق كتابتها بشكل فردي على كلمة رئيسية في بوابة الدفع. هذا لا ينطبق على تجار التجارة الإلكترونية.
  • ساك ج – التجار الذين يقومون بمعالجة المدفوعات عبر الإنترنت ولكن لا يطلبون جمع أو تخزين بيانات حامل البطاقة. لا ينطبق هذا النموذج على قنوات التجارة الإلكترونية.
  • ساك P2PE-HW – التجار الذين يستخدمون محطات دفع الأجهزة المُدارة بواسطة P2PE والمدرجة في قائمة PCI-SSC. وهذا لا ينطبق على قنوات التجارة الإلكترونية.
  • ساك د – يشمل هذا النموذج كل تاجر لم يتم ذكره في النماذج السابقة وجميع مقدمي الخدمات.

معالجة أي مشاكل متبقية

إذا قمت بوضع علامة "لا" على أي سؤال في SAQ الخاص بك، فمن المحتمل أنك ستحتاج إلى إصلاح جزء من نظامك. تأكد من القيام بذلك قبل إحضار مدقق الحسابات.

اقرأ أيضا: تنفيذ أتمتة الاختبار في إطار عمل DevOps تنفيذ أتمتة الاختبار في إطار عمل DevOps

ابحث عن مدقق حسابات

إذا كنت تحتاج إلى الامتثال للمستوى الأول من PCI، فسوف تحتاج إلى العثور على مدقق مؤهل لإجراء التدقيق الخارجي الخاص بك. سيتمكن مدقق PCI الخبير، الذي يُطلق عليه اسم مقيّم الأمان المؤهل (QSA)، من إجراء مراجعة شاملة لأنظمتك واكتشاف أي مشكلات متبقية.

بالنسبة للتجار ومقدمي الخدمات من المستوى الأول، سيكون بمقدورهم أيضًا تقديم تقرير حول الامتثال (ROC)، والذي تحتاجه للحصول على شهادة PCI.

عند تقييم مدقق حسابات محتمل، ستحتاج إلى إلقاء نظرة على المعايير التالية.

  • هل لديهم خبرة في مجال عملك المحدد؟
  • منذ متى كانوا QSA؟
  • كم عدد الشركات التي قاموا بمراجعتها؟
  • ما هي منهجيتهم؟
  • هل لديهم أي مراجع أو مراجعات العملاء؟
  • ما مدى توفرها؟
  • إذا كانوا منفصلين عن شركة، ما هو معدل دوران QSA لتلك الشركة؟

لا تذهب إلى تدقيق PCI الخاص بك وحدك

ليس هناك شك في ذلك، فإن عمليات تدقيق PCI DSS تتطلب عمالة كثيفة. لا يتعين عليك فقط مراجعة نظام وسياسات معالجة الدفع بالكامل، ولكنك تحتاج أيضًا إلى معالجة أي نقاط ضعف، وإكمال اختبار SAQ، وربما تعيين مدقق خارجي إذا كنت بحاجة إلى الامتثال للمستوى الأول.

لكن الأمور تتغير.

في السابق، كان بإمكانك الاستعانة بمصادر خارجية فقط لأجزاء وأجزاء من امتثال PCI الخاص بك مع تحمل كامل المسؤولية في حالة حدوث خرق. يمكنك الآن تحويل كل المسؤولية والأعباء إلى شريك خبير في البيانات.

لا تتحمل VGS عبء اختراق البيانات وتؤمن بشكل كامل عمليات جمع البيانات وتخزينها ونقلها فحسب، بل يمكنها أيضًا مساعدتك خطوة بخطوة خلال عملية التدقيق. يتضمن ذلك العثور على خبير QSA لك لإجراء التدقيق الخارجي النهائي.

اقرأ أيضا: الأسئلة الشائعة التي تواجهها الشركات القائمة على السحابة حول DSPM الأسئلة الشائعة التي تواجهها الشركات القائمة على السحابة حول DSPM

أفضل جزء؟ بدلاً من قضاء أشهر أو حتى سنة في الامتثال لـ PCI DSS، يمكنك الحصول على الشهادة في غضون أسابيع.

أمان البيانات مهم جدًا بحيث لا يمكن تخطيه. مع VGS، يمكنك الحصول على الأمان على مستوى المؤسسة والمساعدة في تدقيق PCI الخاص بك دون أي ضغوط. وبهذه الطريقة، يمكنكما الاستمتاع براحة البال بفضل أمان أفضل للبيانات، مع التركيز بشكل أكبر على عملك.

بطاقات
باي بال
سهم.

باميلا أورانج كاتبة محتوى موهوبة وذات خبرة، تُضفي حيويةً على الكلمات في طيف واسع من المواضيع. بفضل دقتها في رصد التفاصيل ومهاراتها في سرد ​​القصص، تُبدع باميلا محتوىً شيقًا وعميقًا وسهل الفهم. من الأعمال والتكنولوجيا إلى الصحة والسفر وغيرها، تُجيد الكتابة بثقة ووضوح. كتاباتها لا تقتصر على تقديم المعلومات فحسب، بل تُثري القارئ وتُلهمه وتجعله يعود للمزيد. إذا كنت تبحث عن محتوى جديد وجذاب ومُصمم خصيصًا لجمهورك، فإن باميلا أورانج هي الكاتبة التي تُلبي جميع احتياجاتك في كل مرة!

مقالات ذات صلة المنشورات

اترك رد