- تله سرمایه گذار: از خفه کردن و سوزاندن مراقب باشید
- 7 راه برای استفاده از هوش مصنوعی اکنون برای تأثیرگذاری بر مدیریت ریسک و جلوگیری از غرق شدن در داده ها
- مبادلات ، سوپر های الکترونیکی و بازپرداخت
- الگوریتم های معاملاتی هوشمند
- گزینه های سرمایه گذاری
- ثروتمندترین معامله گران فارکس
- 4 دلیل شما باید Dogecoin را بفروشید و چرا ممکن است آن را حفظ کنید
- سرمایه گذاری در مایع هوایی
- بحران ارز
- سهام جویدنی به عنوان درآمد نشان می دهد که تعداد مشتری را کاهش می دهد ، پیش بینی رشد سود
آخرین مطالب
امکانات وب
نکات کلی برای انطباق PCI DSS
هدف از استانداردهای امنیتی داده های صنعت کارت پرداخت (PCI DSS) ارائه سازمان هایی است که اطلاعات کارت اعتباری را با یک چارچوب امنیتی دقیق و بهترین شیوه ها انتقال ، ذخیره یا پردازش می کنند.
PCI DSS شامل مجموعه ای از الزامات فنی و عملیاتی است که حاکم بر معاملات پرداخت است. سازمان های صنعت پرداخت باید انطباق PCI DSS را تضمین و حفظ کنند. آنها ممکن است در غیر این صورت با عواقب افزایش خطر نقض داده ها ، آسیب شهرت برند ، جریمه های سنگین و سایر مجازات ها روبرو شوند.
حفظ یک محیط شبکه سازگار PCI DSS ، مانند اطمینان از انطباق PCI DSS ، می تواند چالش برانگیز باشد. انطباق PCI DSS به صورت سالانه ارزیابی و تصویب می شود. همچنین اقدامات روزانه ، هفتگی ، ماهانه و سه ماهه وجود دارد که باید برای پاسخگویی به الزامات خاص PCI DSS انجام شود.
در زیر ، ما برخی از نکات و استراتژی های کلی برای شروع و حفظ انطباق PCI DSS را گردآوری کرده ایم. نکات ذکر شده به شما کمک می کند تا ذخیره سازی داده های غیر ضروری کارت را از بین ببرید و داده های مورد نیاز خود را ایمن کنید. به این ترتیب ، هدف این است که شما را ترغیب به محدود کردن دامنه خود در فرآیند انطباق PCI DSS کند.
به عنوان مثال ، می توانید با از بین بردن داده های دارنده کارت مورد نیاز خود یا جدا کردن داده های حساس ، دامنه PCI DSS خود را محدود کنید. از بین بردن داده های دارنده کارت ، تعداد مورد نیاز شما برای سازگاری را به میزان قابل توجهی کاهش می دهد.
نکات و استراتژی هایی برای کمک به بازرگانان و ارائه دهندگان خدمات ایجاد شده است که بیشترین مشکل را در 12 الزامات DSS PCI و فرآیندهای انطباق PCI DSS ایجاد می کنند.
در زیر نکاتی وجود دارد که می تواند به روشی جامع تر برای حفظ رویکردهای سازگاری در کنار هم استفاده شود. این نکات و استراتژی ها در واقع نقاط اصلی استانداردهای امنیتی داده PCI هستند.
در نهایت ، هدف اصلی PCI DSS کنترل کمک به شما در محافظت بهتر از داده های خود در برابر حملات اجتناب ناپذیر آینده است.
1. دامنه PCI DSS محیط خود را درک کنید.
تعیین دامنه PCI DSS سازمان شما به معنای شناسایی افراد ، فرآیندها و فناوری هایی است که بر امنیت داده های نگهدارنده تأثیر می گذارد یا ممکن است تأثیر بگذارد.
تمام این موارد در محدوده PCI DSS منوط به الزامات PCI DSS است. نمونه هایی از مؤلفه های سیستم که ممکن است برای محیط های شما در محدوده باشد ، دستگاه های شبکه ، سرورها ، برنامه ها و ایستگاه های کاری هستند.
دانستن اینکه داده های کارت اعتباری وارد سیستم شما می شود و از اینجا می رود ، اطمینان از امنیت این داده ها بسیار مهم است. یک نمودار جریان داده را برای همه شبکه های درون محور بسازید.
2. درک کنید که از چه داده هایی باید محافظت شود.
اولین قدم درک این است که چه چیزی به عنوان داده های حساس که باید در مورد انطباق PCI محافظت شوند ، واجد شرایط است. به یاد داشته باشید که نوع اطلاعاتی که باید با احتیاط مورد استفاده قرار گیرد ، نه تنها داده هایی مانند شماره کارت اعتباری ، بلکه اطلاعات شخصی را نیز شناسایی می کند که می تواند با یک فرد مرتبط باشد.
سپس تعیین کنید که چنین داده های حساس در محیط شما نگهداری می شود. درک کنید که با تجزیه و تحلیل دقیقاً در مورد اطلاعات مشتری در محیط شما و نحوه انجام این کار چه اتفاقی می افتد.
شما باید نحوه انتقال اطلاعات از سیستم به سیستم را شناسایی و مستند کنید. بنابراین می توانید برای محافظت از داده های حساس در هر مرحله از راه اقدام کنید. به خاطر داشته باشید که محافظت از داده های حساس نه تنها شامل سیستم های آنلاین بلکه آنچه در یک محیط اداری ، محل مشتری یا مکان های دیگر اتفاق می افتد.
3. داده های حساس را ذخیره نکنید.
عدم ذخیره داده های حساس یکی از بهترین کارهایی است که می توانید برای کمک به کسب و کار خود در دستیابی به انطباق PCI انجام دهید. با نگاهی به سیستمهایی که شما به عنوان بخشی از PCI تجزیه و تحلیل می کنید ، در نظر بگیرید که آیا اطلاعات باید در هر نقطه از چرخه ذخیره و ذخیره شوند.
در صورت امکان ، از سیستمی استفاده کنید که پس از شارژ مشتریان در زمان واقعی ، مجبور نیستید داده ها را ذخیره کنید.
داده های احراز هویت حساس شامل نوار کامل مغناطیسی ، محتوای ردیابی داده های تراشه معادل ، کدهای تأیید کارت و مقادیر ، پین ها و بلوک های پین است. پس از مجوز ، اطمینان حاصل کنید که هرگز داده های احراز هویت حساس را ذخیره نکرده اید.
در حالی که انتظار می رود مشاغل اطلاعات لازم از کارت های کارت مانند نام مشتری و شماره حساب را ذخیره و محافظت کنند ، داده های CVV ، معمولاً سه یا چهار رقم در پشت کارت ، مجاز به ذخیره نیست.
شرکت ها غالباً از مشتریان خود کدهای CVV می خواهند تا به کاهش کلاهبرداری کمک کنند. پردازش این اطلاعات در طی معامله مشکلی نیست. با این حال ، PCI به شرکت ها اجازه نمی دهد که این داده ها را در هر نقطه از سیستم شما ذخیره کنند ، حتی اگر به صورت رمزگذاری شده ذخیره شوند.
هنگامی که یک نیاز مطلق برای ذخیره داده های حساس وجود دارد ، دسترسی به آن بانک اطلاعاتی فقط باید به افراد نیازمند اعطا شود. به هر یک از این اعضای تیم باید اعتبار منحصر به فرد خود را برای استفاده در هنگام ورود به سیستم داده شود.
کلیه کارمندان شرکت همچنین باید از اهمیت محافظت از داده های دارنده کارت و پیامدهای احتمالی تجارت با آن مطلع شوند.
اگر داده های مناسب و حساس را حفظ می کنید ، باید با استفاده از دستورالعمل های فنی که در نیاز 3 PCI DSS بیان شده است ، الزامات رمزگذاری را برآورده کنید. حداقل ، PCI DSS نیاز دارد که PAN ، از جمله رسانه های دیجیتالی قابل حمل ، رسانه های پشتیبان و سیاهههای مربوط ، در هر کجا که ذخیره شود قابل خواندن نیست.
4- از تقسیم بندی شبکه استفاده کنید.
میزان تلاش شما برای اطمینان از انطباق PCI DSS به دامنه PCI DSS شما بستگی دارد. PCI فقط در مورد سرورها ، دستگاه های شبکه و برنامه های کاربردی در شرکت شما اعمال می شود که داده های دارنده کارت را پردازش ، ذخیره یا انتقال می دهد. این مؤلفه ها در محدوده PCI DSS در نظر گرفته می شوند.
با جدا کردن اجزای تحت پوشش PCI DSS از بقیه شرکت خود ، خطر رهگیری داده های کارت اعتباری مشتریان را کاهش می دهید. همچنین ، با این برنامه ، شما دامنه روشهای PCI خود را کاهش می دهید. این بدان معناست که شما برای دستیابی به انطباق PCI با تقسیم بندی شبکه ، وقت و هزینه کمتری را صرف خواهید کرد.
تقسیم شبکه با جدا کردن ، پردازش یا انتقال داده های کارت از سیستم های داده غیر کارت ، از نظر جسمی یا واقعی انجام می شود. تقسیم شبکه مهمترین وسیله برای کاهش هزینه ها ، زمان و تلاش برای اطمینان از انطباق PCI DSS است. تقسیم بندی شبکه را می توان از طریق فایروال ها یا شکاف های فیزیکی انجام داد.
تقسیم بندی شبکه اساساً روند تقسیم شبکه به زیربخشهای کوچکتر و محدود کردن نحوه برقراری ارتباط با یکدیگر است. برای اینکه یک سیستم خارج از محدوده در نظر گرفته شود ، محیط داده های دارنده کارت باید جدا شود و تحت تأثیر نقض قرار نگیرد.
5- اثربخشی کنترل های امنیتی شما
برای اطمینان از انطباق PCI DSS ، باید سه آزمایش امنیتی مختلف را در محیط خود انجام دهید. تست هایی که باید انجام دهید ، اسکن آسیب پذیری شبکه داخلی ، آزمایش نفوذ و اسکن ASV است.
شما می توانید با استفاده از منابع محلی خود ، آسیب پذیری و نفوذ شبکه داخلی را انجام دهید. با این حال ، شما باید تست های ASV را بر روی ASV دارای مجوز PCI انجام دهید. اگر از منابع محلی استفاده می کنید ، این فرد باید از روشهای آزمایش امنیتی آگاه باشد و مستقیماً در ارزیابی کلی PCI DSS شرکت نکند.
سازمان هایی که اطلاعات کارت پرداخت را پردازش می کنند باید به طور مرتب سیستم های خود را اسکن و آزمایش کنند. متأسفانه ، بسیاری از سازمان ها این تصور را می گیرند که غربالگری و آزمایش دو عبارت هستند که به معنای یکسان است. اسکن و آزمایش یکسان نیستند ؛آنها با نیازها و اهداف خود فعالیتهای مختلفی هستند.
شما باید اسکن ASV را در اسرع وقت انجام دهید. توجه داشته باشید که سازمان شما نیاز به ارسال اسکن "تمیز" دارد. اسکن های ASV تمیز بدان معنی است که هیچ آسیب پذیری در آزمایشات وجود ندارد و اسکن ها توسط شما و ASV شما تأیید می شوند.
غالباً ، سازمان ها ترجیح می دهند چند اسکن اول خود را کمی زودتر از پایان سه ماهه اجرا کنند تا آسیب پذیری ها یا مشکلات موجود در زمان برطرف شود و از بین برود.
تست های نفوذ با جزئیات بسیار بیشتری نسبت به اسکن آسیب پذیری انجام می شود. این نه تنها برای شناسایی نقاط ضعف در معماری سیستم سازمان بلکه برای بهره برداری از آنها نیز طراحی شده است.
آزمایش های نفوذ دقیقاً نشان می دهد که چگونه یک مجرمان سایبری می تواند به سیستم ها نفوذ کند و به چه اطلاعاتی می تواند دسترسی پیدا کند. سازمانهایی که دارای این دانش هستند می توانند تعیین کنند که کنترل امنیتی کافی است و کدام زمینه ها را بهبود می بخشد.
تست های نفوذ می توانند بر سیستم های در حال اجرا شما تأثیر بگذارند. به همین دلیل ، ممکن است شما نیاز به انجام آزمایش خارج از ساعات کاری داشته باشید یا افراد مربوطه را از قبل در مورد آزمون مطلع کنید. شما باید با یک حرفه ای واجد شرایط کار کنید ، زیرا باید آزمون نفوذ توسط شخصی انجام شود که مهارت های واجد شرایط داشته باشد و به استانداردهای اخلاقی پایبند باشد.
6. مستندات الزامی برای انطباق PCI است.
دستورالعمل های مستند برای کارمندان موجود و جدید بسیار مهم است. آنها یک مرجع برای بازگشت و حل مشکلات بارها و بارها هستند. فعال بودن و پیروی از دستورالعمل های کتبی بسیار آسان تر و مؤثرتر از ردیابی تخلفات یا رفع آسیب پذیری است.
مستندات نقش اساسی در برنامه انطباق برای PCI DSS دارد. این باید دستورالعمل های عملیاتی عملی را برای هر کسی که با داده های کارت پرداخت کار می کند ارائه دهد و از کلیه الزامات PCI قابل اجرا پشتیبانی کند.
مستند سازی سیاست ها و رویه های شما ضروری است زیرا به کارکنان کمک می کند تا آنچه را که انجام شده و چه کاری باید انجام شود درک کنند. این مستندات همچنین فرایند PCI را ساده می کند و پایه ای برای مواد آموزش ایمنی فراهم می کند. با ایجاد خط مشی های خود ، ایمنی و قصد آموزش کارمندان را تقویت می کنید.
الزام اسناد مربوط به تمام فرآیندهای PCI شما اعمال می شود. همچنین مستنداتی برای نظارت بر یکپارچگی پرونده ، پچ ، سیستم های پیشگیری از نفوذ بی سیم و اسکن های داخلی یا خارجی وجود دارد.
بیشتر مشاغل اغلب کنترل تغییر و استانداردهای مقاوم سازی مستند را به عنوان کار سخت مشاهده می کنند. در نتیجه ، بسیاری از مشاغل به ندرت مستند می شوند ، حتی اگر از چک های امنیتی پیروی کنند.
یکی از راه های ساده سازی مستندات انطباق PCI DSS ، ایجاد یک کاربر ایمیل PCI یا حساب کاربری Active PCI و اضافه کردن یادآوری به تقویم است تا اطمینان حاصل شود که اقدامات امنیتی لازم فراموش نشده است.
شواهد مربوط به اتمام وظایف انطباق PCI می تواند در این حساب ذخیره شود. یادآوری های اتوماتیک یک راه حل آسان و رایگان برای کمک به کارکنان شما در مراقبت از PCI در طول سال است و تمام شواهدی را که برای ارزیابی نیاز دارید به شما ارائه می دهد.
7. به طور مرتب کارمندان خود را آموزش دهید.
شما می توانید در آخرین ابزارها و سیستم های امنیتی اطلاعاتی سرمایه گذاری کنید ، اما اگر کارمندان شما نمی دانند چگونه از اطلاعات کارت اعتباری خود محافظت کنند ، پول خود را هدر می دهید.
اغلب ، کارمندان شما اولین خط دفاع شما در برابر کلاهبرداری هستند. به همین دلیل است که آموزش کامل کارمندان خود در مورد چگونگی محافظت از داده های دارنده کارت برای محافظت از مشاغل خود در برابر کلاهبرداری و نقض داده ها ضروری است. از آنجا که اگر کارمندان آنچه را که از آنها انتظار می رود نمی دانند یا نمی فهمند ، احتمالاً بدون در نظر گرفتن سایر اقدامات امنیتی اعمال شده ، داده های دارنده کارت را در معرض خطر قرار می دهند.
کلیه کارمندان یک شرکت باید مسئولیت داده های پردازش شده را بر عهده بگیرند. وقتی هرکسی که داده های دارنده کارت را لمس می کند ، نحوه مدیریت آن را می فهمد ، سازمان شما محیطی امن تر خواهد داشت.
آموزش را برای کارمندان خود در مورد نحوه محافظت از اطلاعات مشتری و داده های کارت اعتباری سازماندهی کنید. اطمینان حاصل کنید که آنها خط مشی های شما در مورد امنیت داده ها و موقعیت هایی را که در هنگام عدم رعایت استانداردهای PCI با آنها روبرو خواهید شد ، می دانند.
آموزش آگاهی از امنیت یک امر ضروری است ، به خصوص برای کارمندان شما که با داده های کارت پرداخت تعامل دارند ، اما سازماندهی آموزش آگاهی از ایمنی برای همه سطوح باعث افزایش سطح بلوغ امنیتی شما می شود. برنامه شما باید رسمی ، مداوم و جامع باشد تا همه پرسنل سیاست های امنیتی شرکت و اصول امنیت داده ها و بهترین شیوه های خود را درک کنند.
8- اطمینان حاصل کنید که مشتریان و ارائه دهندگان خدمات شما نیز سازگار هستند یا با انطباق PCI کار می کنند.
انطباق با PCI DSS همچنین پایه و اساس کاملی برای یک استراتژی امنیتی سازمانی فراهم می کند و به شما کمک می کند تا راه هایی را برای افزایش کارایی کلی زیرساخت های IT مشتریان خود شناسایی کنید.
برای اطمینان از اینکه به طور مناسب به انطباق PCI پرداخته شده است و داده های شما و مشتریان شما در برابر نقض احتمالی محافظت می شود ، ارائه دهنده ای را انتخاب کنید که مطابق با استانداردهای انطباق PCI باشد.
اگر مشتریان شما سازگار نباشند ، می تواند منجر به عواقب مضر ناخواسته برای آنها و شما شود. اگر مشتری نقض داده را تجربه کند ، این امکان را دارد که با وارد کردن جریمه ، درآمد از دست رفته یا از دست دادن اعتماد مشتری ، به تجارت خود آسیب برساند.
هر سناریوی بد می تواند باعث شود مشتری شما به عنوان ارائه دهنده خدمات به شما ایمان خود را از دست بدهد. پیامدهای منفی دیگر شامل دادخواستها ، مطالبات بیمه ، حساب های لغو شده و مجازات های صادرکننده کارت پرداخت است.
9. برای اطمینان از انطباق PCI یک تیم اختصاصی تشکیل دهید.
به خاطر داشته باشید که انطباق PCI یک رویداد یک بار نیست. با افزایش جریان داده ها و نقاط لمسی مشتری ، این یک روند مداوم برای سازگاری با تجارت شما است.
برخی از مارک های کارت اعتباری ممکن است شما را ملزم به ارسال گزارش های سه ماهه یا سالانه یا انجام ارزیابی سالانه در سایت برای اطمینان از انطباق مداوم ، به طور عمده در صورت پردازش بیش از 6 میلیون معاملات در هر سال.
مدیریت انطباق PCI در طول سال اغلب به پشتیبانی و همکاری متقابل دپارتمان نیاز دارد. اگر این در حال حاضر وجود ندارد ، ممکن است ایجاد یک تیم اختصاصی در داخل برای حفظ صحیح انطباق مفید باشد.
10. چرخش QSA را اعمال کنید.
PCI SSC به طور مداوم به دنبال بالا بردن استاندارد اساسی کیفیت در جامعه ارزیاب است. به تازگی ، چرخش ارزیابی کننده امنیتی واجد شرایط (QSA) به عنوان بهترین روش برای بهبود کیفیت ارزیابی ها مطرح شده است.
برای کمک به اطمینان از بالاترین کیفیت ارزیابی ها ، PCI SSC سازمانها را به بررسی ، پیاده سازی و کشف آن ترغیب می کند.
به این ترتیب ، می توانید با انجام حسابرسی سالانه خود توسط QSA های مختلف ، دیدگاه های مختلفی در مورد امنیت و انطباق خود کسب کنید.
برای اطلاعات دقیق ، می توانید مکمل اطلاعات PCI SSC را مرور کنید: بهترین روشها برای حفظ انطباق PCI DSS.
- برچسب ها
- بهترین روشها
- انطباق PCI DSS
ما را در سایت نرم افزار مفید تریدر دنبال می کنید
برچسب :
نویسنده : احمد شاملو
بازدید : 64
