قائمة التحقق من الامتثال لـ PCI: ما يحتاج كل عمل تجاري إلكتروني إلى معرفته

نشرت: 2022-10-03

يبدو أننا نسمع كل يوم عن خرق جديد للبيانات. في عام 2020 وحده ، تعرضت شركات كبرى مثل J.Crew و Estee Lauder و T-Mobile و GE و Marriott و Avon و Staples لخروقات للبيانات ، مما تسبب في خسارة مبالغ كبيرة من المال وإلحاق الضرر بثقة العملاء.

من السهل التفكير ، "يحدث هذا فقط للأشخاص الكبار" ، ولكن الحقيقة هي أن 90٪ من الانتهاكات تؤثر على الشركات الصغيرة. لهذا السبب ، تجار التجزئة في التجارة الإلكترونية الذين يعالجون مدفوعات بطاقات الائتمان أو الخصم عبر الإنترنت - لذلك ، كلهم ​​تقريبًا! - يجب أن يكون متوافقًا مع PCI. إذن ما هو التوافق مع PCI ، وكيف يمكن أن يساعد عملك؟ دعنا نتعمق!

ما هو التوافق مع PCI؟

PCI هي اختصار لعبارة "صناعة بطاقات الدفع". قد تراه أيضًا على أنه PCI DSS ، والذي يرمز إلى "معيار أمان بيانات صناعة بطاقات الدفع". في كلتا الحالتين ، فإن تعريف التوافق مع PCI هو "مجموعة من المتطلبات تهدف إلى ضمان أن جميع الشركات التي تعالج أو تخزن أو تنقل معلومات بطاقة الائتمان تحافظ على بيئة آمنة."

تم تطوير امتثال PCI في عام 2006 من قبل مجلس معايير أمان PCI (PCI SSC) ، وهو هيئة مستقلة مكونة من رواد صناعة بطاقات الدفع من Visa و MasterCard و American Express و Discover و JCB (ولهذا السبب يشار إليه أحيانًا باسم "الائتمان" بطاقة الامتثال "). هدفهم هو حماية جميع الأطراف المشاركة في معاملات الدفع ، بما في ذلك شبكات الدفع والمعالجات والمؤسسات المالية والعملاء والشركات.

ما سبب أهمية التوافق مع PCI؟

الامتثال PCI ليس شرطًا قانونيًا. ومع ذلك ، قد يؤدي الفشل في اتباع بروتوكولات PCI إلى تعرض تجار التجزئة في التجارة الإلكترونية لمشكلات قانونية. كيف؟ إذا كان عملك يعاني من خرق للبيانات ، وكشفت التحقيقات الناتجة أن عملياتك لم تكن متوافقة مع PCI ، فقد تتعرض لآلاف الدولارات من الغرامات والرسوم الحكومية ومُصدر بطاقة الدفع ، وقد يتم رفع الدعاوى القضائية ومطالبات التأمين ضدك بسبب الفشل لتتوافق مع معايير PCI. بالإضافة إلى ذلك ، قد تفقد ثقة العملاء والموظفين ذوي القيمة والقدرة على قبول بطاقات الدفع (ناقوس الموت لتجار التجزئة عبر الإنترنت) وتخضع لتكاليف أعلى للامتثال.

لذلك ، في حين أنه لا يمكن معاقبتك لمجرد كونك غير متوافق مع PCI ، يمكنك أن تتحمل المسؤولية عن أي خرق يحدث إذا لم تكن ملتزمًا. وكما ذكرنا سابقًا ، فإن 90٪ من الانتهاكات تؤثر على الشركات الصغيرة ، لذلك من الأفضل أن تكون آمنًا بدلاً من آسف.

قد تتساءل عن سبب رغبة مجرمي الإنترنت في ملاحقة الشركات الصغيرة ؛ بعد كل شيء ، هناك سمكة أكبر بكثير للقلي! حسنًا ، يرى مجرمو الإنترنت الأعمال الصغيرة فريسة سهلة. إنهم يعلمون أن معظم بائعي التجزئة الكبار سيكونون متوافقين مع PCI وبالتالي سيكونون أقل عرضة للخطر. ومع ذلك ، فإنهم يراهنون على أن العديد من الشركات الصغيرة لم تتخذ الخطوات اللازمة لتصبح متوافقة مع PCI ، مما يجعلها علامة سهلة.

6 أنواع من الخروقات الأمنية التي يحميها التوافق مع PCI

في حين أن مجرمي الإنترنت سيبحثون دائمًا عن طريقة على الرغم من الحماية (هذا فقط ما يفعلونه) ، يمكن أن يفعل امتثال PCI الكثير للحماية من الأنواع الستة التالية من الكوارث الأمنية .

  1. البرمجيات الخبيثة. يستخدم المجرمون برامج ضارة لاختراق نظام الكمبيوتر وسرقة بيانات الدفع. تعد Ransomware ، التي يحتجز فيها المتسلل البيانات "رهينة" مقابل المال في Bitcoin ، أحد أسرع أشكال البرامج الضارة نموًا.
  2. التصيد. تبدو وسيلة التوصيل الشائعة للبرامج الضارة ورسائل التصيد الاحتيالي (مثل فاتورة أو طلب معلومات من C-suite) شرعية لإقناع الناس بفتحها. ومع ذلك ، فهي تحتوي على روابط أو مرفقات ضارة يمكن أن تصيب الكمبيوتر والنظام بأكمله.
  3. الوصول عن بعد. تسمح أدوات التحكم في الوصول عن بُعد الضعيفة ، على سبيل المثال ، تلك التي يستخدمها بائعو محطات الدفع الخاصة بك ، لمجرمي الإنترنت بالوصول إلى أنظمتك التي تخزن بيانات الدفع أو تعالجها أو تنقلها.
  4. كلمات مرور ضعيفة . هناك سبب يجعل كلمات المرور اليوم تطلب أحرفًا وأرقامًا ورموزًا خاصة مختلفة: تتضمن أكثر من 80٪ من خروقات البيانات كلمات مرور مسروقة / أو ضعيفة.
  5. برامج قديمة. غالبًا ما تكون العيوب في البرامج القديمة "غير مسبوقة" ، مما يسهل على مجرمي الإنترنت التسلل إليها.
  6. قراءة سريعه. في حين أن هذا ينطبق فقط على مواقع المتاجر الفعلية ، فإن القشط يحدث عندما يقوم المجرمون بإرفاق أجهزة صغيرة "أجهزة كشط" بقارئات البطاقات التي تسرق بيانات مدفوعات العملاء عند استخدامهم لبطاقات الدفع. بعد ذلك ، يمكن إنشاء بطاقات مزيفة لإجراء عمليات شراء غير قانونية.

4 مستويات الامتثال PCI

هل تعتقد أنه ليس من العدل أن يخضع عملك الصغير لنفس معايير PCI مثل شركة بمليارات الدولارات مثل Amazon؟ النبأ السار هو أنه ليس كذلك! هناك أربعة مستويات للامتثال لـ PCI ، والتي يتم تحديدها من خلال عدد المعاملات التي تتعامل معها الشركة كل عام.

  • المستوى 1: التجار الذين يعالجون أكثر من 6 ملايين معاملة بالبطاقة سنويًا.
  • المستوى 2: التجار الذين يعالجون من 1 إلى 6 ملايين معاملة سنويًا.
  • المستوى 3: التجار الذين يعالجون 20،000 إلى 1 مليون معاملة سنويًا.
  • المستوى 4: التجار الذين يعالجون أقل من 20000 معاملة سنويًا.

يوفر PCI SSC أيضًا استبيانًا بسيطًا للتقييم الذاتي على موقع الويب الخاص بهم والذي سيساعدك على تحديد متطلبات معيار أمان بيانات PCI التي تنطبق على عملك.

كيف يمكن للشركات الناشئة والشركات الصغيرة في مجال التجارة الإلكترونية التحضير لاستخدام قائمة التحقق من توافق PCI

فيما يلي الطرق التي يمكنك من خلالها رفع مستويات الامتثال لـ PCI من أجل حماية عملك وعملائك. فكر في هذا على أنه "قائمة مراجعة الامتثال لـ PCI". جميع متطلبات الامتثال الـ 12 PCI تتعلق بمبدأ ، وهذه المبادئ هي:

  • بناء وصيانة شبكة آمنة
  • حماية بيانات حامل البطاقة
  • الحفاظ على برنامج إدارة الثغرات الأمنية
  • تنفيذ تدابير قوية للتحكم في الوصول
  • مراقبة الشبكات واختبارها بانتظام
  • الحفاظ على سياسة أمن المعلومات

1. استخدام وصيانة جدران الحماية

عندما يحاول مجرم إلكتروني أو جهة فاعلة أخرى غير معروفة ، خبيثة أو غير ذلك ، الوصول إلى البيانات الخاصة في نظامك ، فإن جدار الحماية يمنعهم بشكل أساسي من الدخول. بالطبع ، لا يمكن اختراق جدران الحماية ، ويمكن العثور على نقاط الضعف (وهذا هو سبب أهمية الحفاظ عليها من خلال التحديثات) ، لكنها خط دفاع أول جيد.

2. استخدام الحماية المناسبة بكلمة مرور

غالبًا ما تأتي برامج وأجهزة الطرف الثالث مع كلمات مرور عامة وإجراءات أمان افتراضية يمكن لمجرمي الإنترنت الوصول إليها بسهولة. لكي تكون متوافقًا مع PCI ، يلزمك تغيير كلمات المرور هذه وضبط التكوينات الأساسية ، بالإضافة إلى الاحتفاظ بقائمة بكل جهاز يتطلب كلمة مرور أو وسائل وصول أخرى.

3. حماية بيانات حامل البطاقة المخزنة

يجب عدم تخزين بيانات حامل البطاقة مطلقًا بعد الوقت الذي يستغرقه إنهاء المعاملة ما لم يكن ذلك مطلوبًا للاحتياجات القانونية أو التنظيمية أو التجارية. إذا كان التخزين ضروريًا ، يجب على الشركات تحديد وقت التخزين والاحتفاظ إلى الحد الأدنى ، وتطهير البيانات كل ثلاثة أشهر على الأقل. يتناول توافق PCI أيضًا كيفية عرض أرقام الحسابات الأساسية (PAN) ، على سبيل المثال فقط الكشف عن أول ستة وأربعة أرقام فقط.

4. تشفير البيانات المرسلة

عندما يتم نقل بيانات حامل البطاقة عبر الشبكات العامة ، فهذه فرصة رئيسية لمجرمي الإنترنت لاعتراضها. ينص مطلب PCI هذا على أنه يجب تشفير بيانات حامل البطاقة متى تم إرسالها إلى هذه المواقع المعروفة وأنه لا يجب إرسالها إلى مواقع غير معروفة.

5. استخدام وصيانة برامج مكافحة الفيروسات

يلزم وجود برامج مكافحة فيروسات مثل McAfee أو Norton لأي جهاز يتفاعل مع PAN أو يخزنه. تمامًا مثل جدار الحماية الخاص بك ، يجب تحديث هذا البرنامج بانتظام حتى يمكن تصحيح الثغرات الأمنية. تحقق من قائمة أفضل برامج مكافحة الفيروسات على أجهزة الكمبيوتر لعام 2021.

6. الحفاظ على أنظمة وتطبيقات آمنة

يجب أن تحافظ شركات التجارة الإلكترونية على أمان البرامج ، وأن تعمل مع بائعي البرامج لديها لضمان تحديث تصحيحات الأمان وإمكانية الوصول إليها وتنفيذها بسهولة. بالإضافة إلى نشر التصحيحات الحرجة في الوقت المناسب ، تحتاج الشركات إلى إنشاء عملية لاكتشاف نقاط الضعف الجديدة وترتيبها. هذه التحديثات مهمة بشكل خاص لجميع البرامج على الأجهزة التي تتفاعل مع بيانات حامل البطاقة أو تخزنها.

7. تقييد الوصول إلى بيانات حامل البطاقة

تعد بيانات حامل البطاقة معلومات حساسة للغاية ولا ينبغي عرضها إلا من قبل الوكلاء الذين يحتاجون تمامًا إلى معرفتها. لن يحتاج غالبية موظفيك والجهات الخارجية إلى الوصول إلى هذه المعلومات ، لذا يجب تقييدها. يجب أن تكون تلك الأدوار التي تحتاج إلى الوصول إلى هذه البيانات موثقة للغاية ويتم تحديثها بانتظام.

8. تعيين معرفات فريدة للوصول

بدلاً من امتلاك اسم مستخدم وكلمة مرور واحدة لتسجيل الدخول لبيانات حامل البطاقة ، يجب أن يكون لدى الأفراد الذين يحتاجون إلى الوصول بيانات اعتماد فردية وهوية. وهذا يضمن أنه عندما يصل شخص ما إلى بيانات حامل البطاقة ، يمكن تتبع هذا النشاط إلى مستخدم معروف أو على الأقل التعرف عليه فورًا على أنه وصول غير مصرح به. للوصول عن بُعد ، يلزم وجود مصادقة ثنائية توفر طبقة إضافية من الأمان.

9. تقييد الوصول المادي إلى البيانات

يجب حفظ جميع بيانات حامل البطاقة الموجودة في الموقع فعليًا في مكان آمن ومراقبتها وطلب سجلات. يجب وضع إجراءات لتحديد الأشخاص الذين لا ينتمون بسرعة إلى مكانها الصحيح. يجب أيضًا الاحتفاظ بالنسخ الاحتياطية في موقع ثانوي آمن. أخيرًا ، عندما لا تحتاج الشركة إلى البيانات ، يجب تدميرها.

10. شبكات التدقيق بانتظام

يتطلب الامتثال لـ PCI أن تقوم شركات التجارة الإلكترونية بمراقبة واختبار شبكاتها على أساس منتظم لضمان عدم وجود ثغرات مادية أو لاسلكية. هناك حاجة إلى مسارات تدقيق آلية ، إلى جانب القدرة على إعادة بناء الأحداث ، في حالة حدوث خرق. يجب تأمين بيانات التدقيق والحفاظ عليها لمدة عام واحد على الأقل.

11. فحص واختبار نقاط الضعف

تحدث الثغرات بسبب نشاط المجرمين الإلكترونيين والأعطال والخطأ البشري وإدخال رمز جديد. هذا يعني أنه يجب اختبار جميع الأنظمة والعمليات الداخلية والخارجية كل ثلاثة أشهر لضمان الحفاظ على الأمن. تشمل متطلبات PCI DSS المستمرة الأخرى اختبار الاختراق وكذلك استخدام أنظمة كشف التسلل والوقاية. بالإضافة إلى ذلك ، فإن مراقبة الملفات مطلوبة للامتثال لـ PCI بحيث يتم إصدار التنبيهات في أي وقت يقوم فيه المستخدم بتعديل المحتوى أو التكوين أو ملف النظام بطريقة غير مصرح بها.

12. سياسات أمن الوثيقة

يجب توثيق جرد المعدات والبرامج والموظفين الذين لديهم إمكانية الوصول إلى البيانات من أجل الامتثال. يجب أيضًا توثيق سجلات الوصول إلى بيانات حامل البطاقة والطريقة التي تتدفق بها المعلومات إلى شركتك ، ومكان تخزينها ، وكيفية استخدامها بعد البيع. بالإضافة إلى ذلك ، يجب تعيين فرد أو فريق لإنشاء مبادرات التوعية الأمنية وفحص الموظفين المحتملين والمقاولين وما إلى ذلك كجزء من عملية التوظيف لتجنب انتهاكات البيانات الداخلية.

وضع الميزانية للامتثال PCI

إن تحقيق 12 خطوة للامتثال لـ PCI والحفاظ عليها سيكلف المال بلا شك. بالطبع ، يعتمد مقدار الأموال على مستوى الامتثال الذي يقع فيه عملك ، وحجم مؤسستك ، وثقافة أمان شركتك ، ونوع التكنولوجيا التي تستخدمها ، وما إذا كان بإمكانك تحمل تكاليف متخصص متخصص في تكنولوجيا المعلومات / PCI.

ومع ذلك ، نظرًا لأن تكلفة عدم الامتثال يمكن أن تكون كبيرة جدًا في حالة حدوث خرق للبيانات (وهي بصراحة ليست مسألة ما إذا ، ولكن متى) ، فإن الأمر يستحق البحث عن الميزانية اللازمة لذلك حتى لو كان ذلك يعني خفض النفقات في مكان آخر أو زيادة تسعير بعض المنتجات مؤقتًا من أجل جمع الأموال. في النهاية ، سيكون لديك عمل تجاري إلكتروني آمن وراحة البال لك ولعملائك.

تقليل مخاوف أمان البيانات مع Fulfillment Lab

توفر التكنولوجيا لبائعي التجزئة في التجارة الإلكترونية العديد من الفوائد ، من مراقبة المخزون إلى تتبع الشحنات ومعالجة الدفع إلى أمان بيانات العملاء. بالطبع ، يتطلب الحصول على هذه الأنظمة استثمارًا ماليًا كبيرًا - وهناك دائمًا منحنى تعليمي!

عندما تقوم بإفراغ تنفيذ الطلبات إلى The Fulfillment Lab ، الشركة الرائدة في تسويق التجارة الإلكترونية مع 14 منشأة دولية ، تحمل عبء الشحن من يديك. ستعمل أيضًا على تقليل الكثير من مخاوف امتثال PCI لأنك ستتمكن من الوصول إلى برنامج نظام الوفاء العالمي (GFS) المتطور. يتيح لك هذا النظام الآمن مراقبة المخزون وتتبع الشحنات وتخصيص التعبئة والتغليف ومعالجة المدفوعات. تأكد من مراجعة مدونتنا ، 10 أسباب لاستخدام مركز الشحن لشحن التجارة الإلكترونية ، لمزيد من المعلومات ، ولا تتردد في الاتصال بنا لمعرفة المزيد.

عبارة جديدة تحث المستخدم على اتخاذ إجراء