آشنایی با استاندارد امنیت اطلاعات در صنعت کارت پرداخت (PCI DSS)
امروزه نیاز دارندگان کارت های اعتباری به امنیت اطلاعاتشان به طور غیر قابل باوری افزایش یافته که بازتاب این نیاز، در استاندارد های امنیتی داده های مربوط به حساب های پرداخت کارتی متبلور است. مشاهده اطلاعات حساس سرقت شده و در معرض خطر حدود ۳ میلیون از کارت های اعتباری مردم کشورمان در روزهای اخیر در اینترنت، آشکارا نشان داد که به کارگیری استانداردی مربوط به امنیت اطلاعات صنعت کارت های پرداخت، مانند PCI DSS (Payment Card Industry Data Security Standard) جهت حفاظت از داده های مشتریان، جداً ضروری بلکه چه بسا ناکافی هم بوده و ایمنی اطلاعات کارت های اعتباری باید خیلی بیشتر از آنچه که در حال حاضر است، رعایت شود.
PCI DSS چیست؟
PCI DSS مجموعه جامعی از قوانین است که برای ارتقاء سیستم امنیتی داده های مربوط به صنعت کارت های پرداخت وضع گردیده و هدف آن، کمک جهت تسهیل روند اتخاذ تمهیدات امنیتی مربوط به داده های پایدار در یک جامعه جهانی است. این استاندارد، توسط مؤسسین سیستم پرداخت مارک های تجاری شورای استانداردهای امنیتی PCI ایجاد شده است که از میان آن ها می توان به سازمان های بزرگ پرداخت الکترونیک همچون American Express ، Discover Financial Cervices ، JCB International و MasterCard Worldwide Inc اشاره نمود.
PCI DSS یک استاندارد امنیت اطلاعات است که هر کسب و کاری با هر حد و اندازه، برای استفاده از کارت های پرداخت و همچنین ذخیره سازی، پردازش و یا ارسال اطلاعات صاحب کارت باید آن را دریافت نماید. بنابراین، اخذ استاندارد امنیت اطلاعات صنعت کارت های پرداخت، برای فروشندگانی که از فناوری کارت پرداخت در سیستم فروش خود استفاده می کنند و شرکت هایی که اطلاعات شخصی دارندگان این نوع کارت را پردازش می نمایند، یک موضوع مهم و ضروری می باشد.
این استاندارد جامع، در واقع نوعی استاندارد امنیتی چند وجهی است که شامل نیازمندی هایی برای مدیریت امنیت، سیاست ها، رویه ها، معماری شبکه، طراحی نرم افزار و دیگر تمهیدات حفاظتی حساس بوده و کمک به بانک ها و مؤسسات مالی، جهت حفاظت از داده های مربوط به حساب های مشتریانشان را به عنوان هدف خود در نظر می گیرد.
شورای استانداردهای امنیتی PCI، علاوه بر تشویق سازمان ها برای پیروی از این استاندارد، سیستم PCI DSS را در صورت نیاز، ارتقاء خوهد داد تا اطمینان حاصل شود که این استاندارد، همه نیازهای نوین، برای کاهش ریسک های مربوط به پرداخت را در بر گیرد.
استاندارد PCI DSS با زمینه کاری استاندارد (ISO 17799) ISO 27002 مطابقت داشته و سازمان هایی که در زمینه کارت های پرداخت فعالیت دارند و استاندارد ISO 17799 سیستم مدیریت امنیت اطلاعات (ISMS) را قبلاً اجرا نموده اند با کمترین اقدامات اضافی قادر خواهند بود تا استاندارد PCI DSS را نیز در سازمان خود، به منظور مدیریت بهتر حفاظت اطلاعات پیاده سازی نمایند.
الزامات استاندارد PCI DSS:
این استاندارد در ۶ اصل مشخص، ۱۲ الزام را برای هر کسب و کاری، اعم از فروشندگان، شرکت های ارایه دهنده خدمات کارت و بانک ها که اطلاعات دارندگان کارت های پرداخت را ذخیره، پردازش و یا منتقل می کنند، در نظر گرفته است که این ملزومات، یک چارچوب کاری برای محیط امن پرداخت کارتی را تعریف می کند. این الزامات، عبارتند از:
- ایجاد و حفظ یک شبکه امن
الزام ۱: نصب سیستم های Firewall جهت حفاظت از اطلاعات مربوط به دارندگان کارت های پرداخت الکترونیک
الزام ۲: عدم استفاده از تنظیمات پیش فرض انجام شده توسط فروشندگان و سازندگان تجهیزات، مانند رمز عبور و دیگر پارامترهای امنیتی
- حفاظت از اطلاعات دارنده کارت
الزام ۳: محافظت از داده های ذخیره شده مربوط به دارندگان کارت ها
الزام ۴: رمزنگاری نقل و انتقال اطلاعات دارندگان کارت ها در شبکه های باز و عمومی
- استفاده از برنامه های مدیریت آسیب پذیری
الزام ۵: نصب نرم افزار Antivirus و به روز رسانی مداوم آن
الزام ۶: توسعه و نگهداری سیستم های ایمن و برنامه های کاربردی امن
- اعمال تمهیدات قوی در کنترل دسترسی ها
الزام ۷: محدود کردن دسترسی به اطلاعات دارندگان کارت ها در حداقل احتیاج هر کسب و کار
الزام ۸: اختصاص یک شناسه کاربری (ID) یکتا به هر یک از کاربران
الزام ۹: محدود کردن دسترسی فیزیکی به اطلاعات دارندگان کارت ها
- پایش و ارزیابی مداوم شبکه
الزام ۱۰: پایش و ردیابی مداوم هرگونه دسترسی به منابع اطلاعاتی، تجهیزات شبکه و همچنین اطلاعات مربوط به دارندگان کارت ها
الزام ۱۱: ارزیابی منظم و قاعده مند امنیت سیستم ها و فرآیندهای امنیتی لحاظ شده
- اتخاذ یک سیاست امنیت اطلاعات
الزام ۱۲: سیاستی اتخاذ شود که خط مشی های امنیت اطلاعات در آن مشخص گردد.
این استاندارد، همچنین سه اقدام اصلی زیر را نیز الزام می کند:
۱- ارزیابی (Assess): فرآیندی است که در آن یک فهرست از دارایی های اطلاعاتی و پروسه تجاری مرتبط با فرآیند کارت های اعتباری تهیه شده و از نظر آسیب پذیری هایی که ممکن است اطلاعات شخص دارنده کارت را تحت الشعاع قرار دهد، بررسی می گردد.
هدف اولیه این ارزیابی، شناخت آسیب پذیری های تکنولوژی و فرآیندها است که ممکن است امنیت اطلاعات صاحب کارت را هنگام انتقال، پردازش یا ذخیره سازی، در معرض خطر قرار دهد.
۲- رفع آسیب پذیری ها (Remediate): فرآیند پوشش دهی و رفع آسیب پذیری های امنیتی شناسایی شده در مرحله قبل است که این آسیب پذیری ها ممکن است شامل نقاط ضعف فنی در کد نرم افزار (Bug) یا اقدامات و رویه های غیر امن پردازش اطلاعات دارنده کارت پرداخت، در سازمان باشد.
۳- گزارش (Report): شامل جمع بندی سابقه های ثبت شده توسط PCI DSS برای کنترل پروسه بازیابی، رفع آسیب پذیری ها و تحویل گزارش های رعایت استاندارد به بانک و شرکت تأمین کننده خدمات کارت پرداخت مورد نظر است که کارهای تجاری با آن انجام می گیرد.
این ۱۲ الزام و ۳ اقدام اصلی، یک روند مستمر برای انطباق با استاندارد PCI DSS است که در نهایت، همه آن ها، تضمین کننده امنیت اطلاعات دارنده کارت بوده و به کارگیری این استاندارد، می تواند به منزله گام ابتدایی و مهمی باشد که در جهت حفاظت از اطلاعات مشتریان توسط بانک ها، مؤسسات مالی – اعتباری و سازمان ها برداشته می شود.
نویسنده: محمد مهدی واعظی نژاد
متخصص امنیت شبکه
به نظر من (که فعلا صفرم تو بحث امنیت) اولین قضیه تو بحث امنیت اطلاعات بالا بردن سطح اطلاعات مردم که باید آگاه بشند به مسائل مبتدی امنیت مخصوصا تو این زمینه که روز به روز استفاده اش بیشتر و بیشتر میشود استفاده از کارت های بانکی هست و باید با استفاده از تجهیزات سخت افزاری و نرم افزارهای امنیتی سطح بالا تا حد زیادی امنیت این انتقالات دیتا که بیشتر اطلاعات شخصی بانکی هست حفظ شود.
استاندارد PCI DSS که ۱۲ تا الزام دارد به نظر من مهمترین الزاماتش اینه که بیشتر تو بحث کنترل دسترسی ها تمرکز بشه که میشه کمک زیادی به امنیت اطلاعات داد . اکثر الزاماتی که این استاندارد دارد تقریبا تا حدی رعایت میشوند اما فکر کنم این استاندارد میتونه رو بعضی الزاماتش مانور بیشتری بده و تمرکز بیشتری کنه مثل اتخاذ سیاست امنیتی درست و قابل اطمینان یا استفاده از فایروال های سخت افزاری و کنترل و مونیتورینگ کامل ورودی و خروجی اطلاعات و دسترسی ها.اما در حالت کلی این استاندارد در صورت رعایت کامل میتونه تا حد خیلی زیادی به امنیت اطلاعات استفاده کنندگان از خدمات بانکی که اکثرا مردم عادی هستند کمک زیادی کند.و اما در مورد حمله هکرها با استفاده از کدهای نفوذ باگی جلبریک فقط فعلا اطلاعات کافی ندارم که بتونم نظری بدم چون تا الان موفق نشدم هیچ کدوم از این گدجت هارو استفاده کنم جتی برای چند روز. امیدوارم تو کشور ما هم با استفاده از تجهیزات سخت افزاری و نرم افزاری خودمون بتوانند در ایجاد امنیت لازم بهترین کار رو انجام بدهند.