تحقيق متطلبات التوافق مع PCI والمحافظة عليها

إذا كان عملك Magento 1 يتعامل مع معلومات بطاقة الائتمان ، فقد تكون على دراية بالفعل بمتطلبات الأمان 300+ في PCI DSS. إذا لم تكن مألوفًا ، فستغطي هذه المقالة بعض الأساسيات وتوفر موارد للمصادقة على الامتثال.

تأسست في عام 2006 بواسطة American Express و Discover و JCB International و Mastercard و Visa ، تحدد معايير أمان بيانات صناعة بطاقات الدفع (PCI DSS) الحد الأدنى لمعايير أمان البيانات حول معالجة معاملات بطاقات الائتمان. يساعد في تقليل الاحتيال وانتهاكات البيانات عبر نظام الدفع البيئي وينطبق على أي مؤسسة تقبل المدفوعات عبر بطاقات الائتمان أو تعالجها.

الامتثال PCI DSS

يتضمن امتثال PCI DSS ثلاث قواعد رئيسية:

1. يجب جمع بيانات بطاقات الائتمان الحساسة من المستهلكين ونقلها بشكل آمن
2. يجب تخزين هذه البيانات بشكل آمن من خلال استخدام التشفير والمراقبة المستمرة والاختبار الأمني ​​للوصول إلى بيانات البطاقة
3. على أساس سنوي ، التحقق من وجود الضوابط الأمنية المطلوبة

بيانات حساسة من المستهلكين

قد يُطلب من الشركات التي تتعامل مع بيانات البطاقة تلبية كل عنصر من عناصر التحكم الأمنية 300+ في PCI DSS. حتى إذا كانت بيانات البطاقة تنتقل فقط إلى البنية التحتية للأعمال للحظة ، فستحتاج الشركة إلى شراء برامج وأجهزة أمنية وتنفيذها وصيانتها.

إذا لم تكن الشركة بحاجة إلى التعامل مع بيانات بطاقة الائتمان الحساسة ، فلا ينبغي لها ذلك. تقبل حلول الجهات الخارجية (مثل Stripe) بيانات بطاقة الائتمان وتخزنها بشكل آمن ، وتزيل التعقيد الكبير والتكلفة والمخاطر. إذا لم تلمس بيانات البطاقة خوادم عملك ، فستحتاج فقط إلى تأكيد 22 عنصر تحكم أمني مباشر نسبيًا ، مثل استخدام كلمات مرور قوية.

تخزين البيانات بشكل آمن

إذا كانت المؤسسة تتعامل مع بيانات بطاقة الائتمان أو تخزنها ، فإنها تحتاج إلى تحديد نطاق بيئة بيانات حامل البطاقة (CDE). يعرّف PCI DSS CDE على أنه الأشخاص والعمليات والتقنيات التي تخزن أو تعالج أو تنقل بيانات بطاقة الائتمان - أو أي نظام متصل بها.

نظرًا لأن جميع متطلبات الأمان 300+ في PCI DSS تنطبق على CDE ، فمن المهم تقسيم بيئة الدفع بشكل صحيح عن بقية الأعمال للحد من نطاق التحقق من صحة PCI. إذا كانت المؤسسة غير قادرة على احتواء نطاق CDE ، فسيتم تطبيق ضوابط أمان PCI على كل نظام ، وجهاز كمبيوتر محمول ، وجهاز على شبكة الشركة الخاصة بها. لا أحد لديه وقت لذلك.

مراجعة سنوية للضوابط الأمنية المطلوبة

بغض النظر عن كيفية قبول بيانات البطاقة ، يتعين على المؤسسات التي تتعامل مع مدفوعات بطاقات الائتمان إكمال نموذج التحقق من صحة PCI سنويًا للحفاظ على الامتثال.

12 المتطلبات الرئيسية لـ PCI DSS

تتضمن أحدث معايير الأمان ، PCI DSS الإصدار 3.2.1 ، 12 متطلبًا رئيسيًا مع أكثر من 300 من المتطلبات الفرعية التي تعكس أفضل ممارسات الأمان.

هذه المتطلبات الـ 12 الرئيسية هي:

1. قم بتثبيت تكوين جدار حماية والحفاظ عليه لحماية معلومات حامل البطاقة
2. لا تستخدم أبدًا الإعدادات الافتراضية التي يوفرها البائع لكلمات مرور النظام ومعلمات الأمان الأخرى
3. حماية بيانات حامل البطاقة المخزنة
4. تشفير نقل بيانات حامل البطاقة عبر الشبكات المفتوحة أو العامة
5. حماية جميع الأنظمة من البرامج الضارة وتحديث برامج مكافحة الفيروسات بانتظام
6. تطوير وصيانة أنظمة وتطبيقات آمنة
7. تقييد الوصول إلى بيانات حامل البطاقة
8. تحديد ومصادقة الوصول إلى مكونات النظام
9. تقييد الوصول المادي إلى بيانات حامل البطاقة
10. تتبع ومراقبة كل الوصول إلى موارد الشبكة وبيانات حامل البطاقة
11. اختبر أنظمة وعمليات الأمان بانتظام
12. الحفاظ على سياسة تتناول أمن المعلومات لجميع الموظفين

يمكن للشركات الجديدة التحقق من امتثال PCI عبر تسعة استبيانات للتقييم الذاتي تشكل كل منها مجموعة فرعية من متطلبات PCI DSS بالكامل. تأتي الصعوبة من محاولة معرفة المتطلبات الضرورية لعملك . ستقوم بعض الشركات بتوظيف مدقق معتمد من مجلس PCI لضمان تلبية كل متطلبات PCI DSS. وكما لو أن هذا ليس معقدًا بما يكفي - يراجع مجلس PCI القواعد كل ثلاث سنوات ويصدر تحديثات طوال كل عام. كيف يمكن للشركات تأمين بيانات بطاقات الائتمان الخاصة بهم والحفاظ على الامتثال PCI مع مراعاة هذه العوامل؟

طرق للتأمين

هناك عدد من الطرق المقبولة لتأمين موقع الويب الخاص بك مع متطلبات PCI DSS ، من الاستعانة بشركة مقيِّم أمان مؤهل (QSA) ، إلى استخدام عملية PCI المكونة من 3 خطوات ، وعبر Nexcess Safe Harbour بالشراكة مع Stripe.

1. مقيم أمن مؤهل

مقيم الأمان المؤهل هو شركة لأمن البيانات مؤهلة من قبل مجلس PCI لإجراء تقييمات معيار أمان بيانات PCI في الموقع. سيتحقق المقيّم من جميع المعلومات الفنية التي يقدمها التاجر أو مزود الخدمة ويستخدم حكمًا مستقلًا لتأكيد استيفاء المعيار. يمكن العثور على قائمة بشركات مقيم الأمان المؤهل (QSA) هنا.

2. عملية PCI المكونة من 3 خطوات

1. تقييم تحديد بيانات حامل البطاقة ، وجرد أصول تكنولوجيا المعلومات والعمليات التجارية لمعالجة بطاقات الدفع ، وتحليلها بحثًا عن نقاط الضعف.
2. إصلاح إصلاح نقاط الضعف والقضاء على تخزين بيانات حامل البطاقة ما لم يكن ذلك ضروريًا للغاية.
3. تقرير تجميع وتقديم التقارير المطلوبة إلى العلامات التجارية للبنوك والبطاقات المقتناة المناسبة.

3. الملاذ الآمن

وصل Magento 1 إلى نهاية العمر الافتراضي في يونيو 2020 ، مما وضع الآلاف من مواقع التجارة الإلكترونية في منطقة رمادية للامتثال عندما توقفت Adobe عن إصدار تحديثات الأمان الرسمية.

في حين أن تطبيق التجارة الإلكترونية نفسه لا يمثل سوى جزء صغير مما يستلزمه امتثال PCI حقًا ، فبالنسبة للتجار الذين ما زالوا يديرون مواقع التجارة الإلكترونية الخاصة بهم على Magento 1 ، فإن الشيء المهم الذي يجب ملاحظته هو أنه لن يكون هناك بعد الآن تصحيحات أمنية وتحديثات للنظام الأساسي. إنهم بمفردهم ما لم يستثمروا في حل مثل Nexcess Safe Harbour. نقترح عليك بشدة التحقق من Stripe ، الذي لديه التزام بالحفاظ على وحدة Magento 1 الخاصة بهم مستمرة لعملائهم.

شريط

يظل Stripe ملتزمًا بتمكين المستخدمين من استخدام منتجات Stripe بأمان داخل Magento 1. ولتحقيق هذه الغاية ، تشجعك Nexcess على تثبيت وحدة Magento 1 الرسمية من Stripe ، والتي تستخدم Stripe.js و Elements لتبسيط امتثال PCI لموقعك. سيستمر Stripe في إصدار إصلاحات الأخطاء والتحديثات الأمنية لوحدة Stripe Magento 1 لضمان أن هذا الحل يتبع معايير أمان بيانات صناعة بطاقات الدفع (PCI DSS).

استنتاج

كما ترى ، فإن تحقيق التوافق مع PCI والحفاظ عليه ليس بالأمر الهين. ولكن مع المعلومات الصحيحة ، والمساعدة من متخصص الامتثال ، و Nexcess Safe Harbour ، يمكن للشركات التي لا تزال تعمل على Magento 1 الحفاظ على بيانات بطاقة الائتمان الخاصة بعملائها آمنة ومأمونة.