آشنايي با استاندارد امنيت اطلاعات در صنعت كارت پرداخت (PCI DSS)

آشنايي با استاندارد امنيت اطلاعات در صنعت كارت پرداخت (PCI DSS)
  • 1391/4/31
  • ITTeach
  • 1

امروزه نیاز دارندگان کارت های اعتباری به امنیت اطلاعاتشان به طور غیر قابل باوری افزایش یافته كه بازتاب این نیاز، در استاندارد های امنیتی داده های مربوط به حساب هاي پرداخت کارتی متبلور است. مشاهده اطلاعات حساس سرقت شده و در معرض خطر حدود 3 ميليون از كارت هاي اعتباري مردم كشورمان در روزهاي اخير در اينترنت، آشكارا نشان داد كه به كارگيري استانداردي مربوط به امنيت اطلاعات صنعت كارت هاي پرداخت، مانند PCI DSS (Payment Card Industry Data Security Standard) جهت حفاظت از داده هاي مشتريان، جداً ضروری بلکه چه بسا ناکافی هم بوده و ایمنی اطلاعات کارت های اعتباری باید خیلی بیشتر از آنچه كه در حال حاضر است، رعايت شود.

 

PCI DSS چیست؟

PCI DSS مجموعه جامعي از قوانين است كه برای ارتقاء سیستم امنیتی داده های مربوط به صنعت كارت هاي پرداخت وضع گرديده و هدف آن، كمك جهت تسهيل روند اتخاذ تمهيدات امنيتي مربوط به داده هاي پايدار در يك جامعه جهاني است. اين استاندارد، توسط مؤسسین سیستم پرداخت مارک های تجاری شورای استانداردهای امنیتی PCI  ایجاد شده است که از میان آن ها می توان به سازمان های بزرگ پرداخت الكترونيك همچون  American Express ، Discover Financial Cervices ، JCB International و MasterCard Worldwide Inc اشاره نمود.

PCI DSS یک استاندارد امنیت اطلاعات است که هر کسب و کاری با هر حد و اندازه، برای استفاده از کارت های پرداخت و همچنین ذخیره سازی، پردازش و یا ارسال اطلاعات صاحب کارت باید آن را دريافت نماید. بنابراين، اخذ استاندارد امنيت اطلاعات صنعت كارت هاي پرداخت، براي فروشندگاني كه از فناوري كارت پرداخت در سيستم فروش خود استفاده مي كنند و شركت هايي كه اطلاعات شخصي دارندگان اين نوع كارت را پردازش مي نمايند، يك موضوع مهم و ضروري مي باشد.

اين استاندارد جامع، در واقع نوعی استاندارد امنیتی چند وجهی است که شامل نیازمندی هایی برای مدیریت امنیت، سیاست ها، رویه ها، معماری شبکه، طراحی نرم افزار و دیگر تمهیدات حفاظتی حساس بوده و کمک به بانك ها و مؤسسات مالي، جهت حفاظت از داده های مربوط به حساب های مشتریانشان را به عنوان هدف خود در نظر می گیرد.

شورای استانداردهای امنیتی PCI، علاوه بر تشويق سازمان ها براي پيروي از اين استاندارد، سیستم PCI DSS را در صورت نیاز، ارتقاء خوهد داد تا اطمینان حاصل شود که این استاندارد، همه نیازهای نوین، برای کاهش ریسک های مربوط به پرداخت را در بر گیرد.

استاندارد PCI DSS با زمینه کاری استاندارد (ISO 17799) ISO 27002 مطابقت داشته و سازمان هایی که در زمينه كارت هاي پرداخت فعاليت دارند و استاندارد ISO 17799  سيستم مديريت امنيت اطلاعات (ISMS) را قبلاً اجرا نموده اند با کمترین اقدامات اضافی قادر خواهند بود تا استاندارد PCI DSS را نیز در سازمان خود، به منظور مديريت بهتر حفاظت اطلاعات پياده سازي نمايند.

الزامات استاندارد PCI DSS:

اين استاندارد در 6 اصل مشخص، 12 الزام را براي هر كسب و كاري، اعم از فروشندگان، شركت هاي ارايه دهنده خدمات كارت و بانك ها كه اطلاعات دارندگان كارت هاي پرداخت را ذخيره، پردازش و يا منتقل مي كنند، در نظر گرفته است كه اين ملزومات، يك چارچوب كاري براي محيط امن پرداخت كارتي را تعريف مي كند. اين الزامات، عبارتند از:

  1. ایجاد و حفظ يك شبکه امن

الزام 1: نصب سيستم هاي Firewall جهت حفاظت از اطلاعات مربوط به دارندگان کارت هاي پرداخت الكترونيك

الزام 2: عدم استفاده از تنظیمات پیش فرض انجام شده توسط فروشندگان و سازندگان تجهيزات، مانند رمز عبور و دیگر پارامترهای امنیتی

  1. حفاظت از اطلاعات دارنده کارت

الزام 3: محافظت از داده های ذخیره شده مربوط به دارندگان کارت ها

الزام 4: رمزنگاري نقل و انتقال اطلاعات دارندگان کارت ها در شبكه هاي باز و عمومي

  1. استفاده از برنامه هاي مدیریت آسیب پذیری

الزام 5: نصب نرم افزار Antivirus و به روز رساني مداوم آن

الزام 6: توسعه و نگهداري سيستم هاي ايمن و برنامه هاي كاربردي امن

  1. اعمال تمهیدات قوی در کنترل دسترسی ها

الزام 7: محدود كردن دسترسی به اطلاعات دارندگان کارت ها در حداقل احتياج هر كسب و كار

الزام 8: اختصاص يك شناسه كاربري (ID) يكتا به هر يك از كاربران

الزام 9: محدود كردن دسترسی فیزیکی به اطلاعات دارندگان کارت ها

  1. پایش و ارزيابي مداوم شبکه

الزام 10: پايش و رديابي مداوم هرگونه دسترسی به منابع اطلاعاتی، تجهيزات شبکه و همچنين اطلاعات مربوط به دارندگان کارت ها

الزام 11: ارزيابي منظم و قاعده مند امنيت سیستم ها و فرآيندهاي امنيتي لحاظ شده

  1. اتخاذ یک سیاست امنیت اطلاعات

الزام 12: سیاستی اتخاذ شود که خط مشي هاي امنيت اطلاعات در آن مشخص گردد.

 

اين استاندارد، همچنين سه اقدام اصلي زير را نيز الزام مي كند:

1-    ارزيابي (Assess): فرآيندي است كه در آن يك فهرست از دارايي هاي اطلاعاتي و پروسه تجاري مرتبط با فرآيند كارت هاي اعتباري تهيه شده و از نظر آسيب پذيري هايي كه ممكن است اطلاعات شخص دارنده كارت را تحت الشعاع قرار دهد، بررسي مي گردد.

هدف اولیه اين ارزیابی، شناخت آسیب پذیری های تکنولوژی و فرآیندها است که ممكن است امنیت اطلاعات صاحب کارت را هنگام انتقال، پردازش یا ذخیره سازی، در معرض خطر قرار دهد.

2-    رفع آسيب پذيري ها (Remediate): فرآيند پوشش دهي و رفع آسيب پذيري هاي امنيتي شناسايي شده در مرحله قبل است كه این آسیب پذیری ها ممکن است شامل نقاط ضعف فنی در کد نرم افزار (Bug) یا اقدامات و رویه های غیر امن پردازش اطلاعات دارنده کارت پرداخت، در سازمان باشد.

3-    گزارش (Report): شامل جمع بندي سابقه هاي ثبت شده توسط PCI DSS براي كنترل پروسه بازيابي، رفع آسيب پذيري ها و تحويل گزارش هاي رعايت استاندارد به بانك و شركت تأمين كننده خدمات كارت پرداخت مورد نظر است كه كارهاي تجاري با آن انجام مي گيرد.

اين 12 الزام و 3 اقدام اصلي، يك روند مستمر براي انطباق با استاندارد PCI DSS است كه در نهايت، همه آن ها، تضمين كننده امنيت اطلاعات دارنده كارت بوده و به كارگيري اين استاندارد، مي تواند به منزله گام ابتدايي و مهمي باشد كه در جهت حفاظت از اطلاعات مشتريان توسط بانك ها، مؤسسات مالي – اعتباري و سازمان ها برداشته مي شود.

نویسنده: محمد مهدی واعظی نژاد

متخصص امنیت شبکه

دیدگاه خود را وارد کنید
1 دیدگاه
  1. به نظر من (که فعلا صفرم تو بحث امنیت) اولین قضیه تو بحث امنیت اطلاعات بالا بردن سطح اطلاعات مردم که باید آگاه بشند به مسائل مبتدی امنیت مخصوصا تو این زمینه که روز به روز استفاده اش بیشتر و بیشتر میشود استفاده از کارت های بانکی هست و باید با استفاده از تجهیزات سخت افزاری و نرم افزارهای امنیتی سطح بالا تا حد زیادی امنیت این انتقالات دیتا که بیشتر اطلاعات شخصی بانکی هست حفظ شود.
    استاندارد PCI DSS که 12 تا الزام دارد به نظر من مهمترین الزاماتش اینه که بیشتر تو بحث کنترل دسترسی ها تمرکز بشه که میشه کمک زیادی به امنیت اطلاعات داد . اکثر الزاماتی که این استاندارد دارد تقریبا تا حدی رعایت میشوند اما فکر کنم این استاندارد میتونه رو بعضی الزاماتش مانور بیشتری بده و تمرکز بیشتری کنه مثل اتخاذ سیاست امنیتی درست و قابل اطمینان یا استفاده از فایروال های سخت افزاری و کنترل و مونیتورینگ کامل ورودی و خروجی اطلاعات و دسترسی ها.اما در حالت کلی این استاندارد در صورت رعایت کامل میتونه تا حد خیلی زیادی به امنیت اطلاعات استفاده کنندگان از خدمات بانکی که اکثرا مردم عادی هستند کمک زیادی کند.و اما در مورد حمله هکرها با استفاده از کدهای نفوذ باگی جلبریک فقط فعلا اطلاعات کافی ندارم که بتونم نظری بدم چون تا الان موفق نشدم هیچ کدوم از این گدجت هارو استفاده کنم جتی برای چند روز. امیدوارم تو کشور ما هم با استفاده از تجهیزات سخت افزاری و نرم افزاری خودمون بتوانند در ایجاد امنیت لازم بهترین کار رو انجام بدهند.

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *