ما هو التوافق مع PCI وهل يجب أن أكون متوافقًا مع PCI؟

امتثال PCI: ما هو؟

يجب أن تلتزم شركات بطاقات الائتمان بامتثال PCI للمساعدة في حماية سلامة معاملات بطاقات الائتمان في النظام المالي. يشير الامتثال في صناعة بطاقات الدفع إلى المتطلبات الفنية والتشغيلية للشركات لحماية بيانات حامل البطاقة المقدمة أثناء عمليات معالجة البطاقة والحفاظ عليها. يقوم مجلس معايير أمان PCI بتطوير وإدارة معايير الامتثال لـ PCI.

فهم التوافق مع PCI

تخضع معالجة بطاقات الائتمان للتنظيم من قبل لجنة التجارة الفيدرالية (FTC) نظرًا لأنها تخضع لحماية المستهلك وتنظيمه. على الرغم من عدم وجود إلزام تشريعي للامتثال PCI ، إلا أنه يُنظر إليه على أنه مطلوب بموجب سابقة المحكمة.

يعد الامتثال لـ PCI ، بشكل عام ، مكونًا مهمًا في عملية أمان كل شركة بطاقة ائتمان. غالبًا ما تطلبها شركات بطاقات الائتمان ، وهي مذكورة في اتفاقيات شبكة بطاقات الائتمان.

يعتبر مجلس متطلبات PCI مسؤولاً عن تطوير معايير الامتثال لـ PCI. تنطبق هذه المعايير على معالجة التاجر وقد تم تحسينها لتشمل متطلبات معاملات الإنترنت المشفرة. المؤسسات الهامة الأخرى المشاركة في عملية وضع المعايير في صناعة بطاقات الائتمان هي شبكة اتحاد البطاقات و National Automated Clearing House (NACHA).

ماذا لو لم أكن متوافقًا مع PCI؟

في حين أن الامتثال PCI إلزامي ، يتساءل بعض مالكي الشركات عما إذا كان يمكنهم تجنب المعايير - هذه فكرة غير أخلاقية وربما كارثية. إذا لم تكن متوافقًا مع PCI ، فأنت تخاطر بأمن المستهلكين والشركة. بدون الضمانات التي يوفرها الامتثال PCI ، قد تتعرض شركتك لاعتداءات مكلفة وخروقات للبيانات.

إذا حدث خرق للبيانات ولم تكن مؤسستك متوافقة مع PCI ، فقد تتعرض لعقوبات وغرامات تتراوح من 5000 دولار إلى 500000 دولار. ومع ذلك ، فإن العقوبات هي مجرد بداية للضرر الذي يلحقه عدم الامتثال. إذا لم تكن متوافقًا مع PCI ، فإنك تخاطر بفقدان حساب التاجر الخاص بك ، مما قد يمنعك من قبول مدفوعات بطاقات الائتمان تمامًا. بالإضافة إلى ذلك ، قد يتم تضمين شركتك في قائمة تنبيه الأعضاء للتحكم في التجار ذوي المخاطر العالية (MATCH) ، مما يجعلك غير مؤهل لسنوات عديدة لإنشاء حساب تاجر جديد.

بالإضافة إلى ذلك ، قد يؤدي خرق البيانات إلى تعويضات بآلاف الدولارات ، وفقدان احترام المستهلك وثقته ، وفقدان علامتك التجارية. نظرًا لمجموعة العقوبات المرتبطة بعدم الامتثال لـ PCI ، فمن الحكمة دائمًا أن تكون متوافقًا تمامًا قدر الإمكان لتجنب الغرامات الباهظة والأضرار الأخرى.

ما هي متطلبات 12 للامتثال PCI DSS؟

تثبيت وصيانة جدران الحماية

تمنع جدران الحماية بشكل فعال الوصول إلى البيانات الخاصة لمنظمات خارجية أو غير معروفة. غالبًا ما تكون هذه الاحتياطات هي خط الحماية الأول ضد المتسللين (المؤذيين أو غيرهم). نظرًا لقدرتها على منع الوصول غير المصرح به ، فإن جدران الحماية ضرورية لتوافق PCI DSS.

حماية فعالة بكلمة مرور

غالبًا ما تتضمن أجهزة التوجيه وأجهزة المودم وأنظمة نقاط البيع (POS) وسلع الطرف الثالث الأخرى كلمات مرور عامة وآليات أمان يمكن الوصول إليها بسهولة لعامة الناس. غالبًا ما تفشل الشركات في حماية نقاط الضعف هذه. يتضمن الحفاظ على الامتثال في هذا المجال الاحتفاظ بقائمة بجميع الأجهزة والتطبيقات المحمية بكلمة مرور (أو غيرها من وسائل الأمان للوصول). باستخدام جرد الجهاز / كلمة المرور ، يجب تنفيذ الحماية الأساسية والإعدادات (على سبيل المثال ، تغيير كلمة المرور).

حماية بيانات حامل البطاقة

يتمثل التزام الامتثال لـ PCI DSS الثالث في تأمين بيانات حامل البطاقة بطريقتين. يجب تشفير بيانات حامل البطاقة باستخدام خوارزمية معينة. يتم تنفيذ عمليات التشفير هذه باستخدام مفاتيح التشفير - والتي يجب أيضًا تشفيرها لأغراض الامتثال. من الضروري الحفاظ على أرقام الحسابات الأساسية (PAN) وفحصها بانتظام للتحقق من عدم وجود بيانات غير مشفرة.

تشفير البيانات المنقولة

يتم إرسال بيانات حامل البطاقة من خلال طرق تقليدية مختلفة (على سبيل المثال ، معالجات الدفع ، والمكاتب المنزلية من المتاجر المحلية ، وما إلى ذلك). عند نقل هذه البيانات إلى هذه الوجهات المعروفة ، يجب تشفيرها. بالإضافة إلى ذلك ، يجب عدم إعطاء أرقام الحسابات مطلقًا لمواقع غير معروفة.

استخدام والحفاظ على مكافحة الفيروسات

خارج امتثال PCI DSS ، يعد استخدام برامج مكافحة الفيروسات ممارسة ذكية. ومع ذلك ، يجب تثبيت برنامج مكافحة فيروسات على جميع الأجهزة التي تتفاعل مع PAN وتخزنه. يجب تصحيح هذا البرنامج وتحديثه بانتظام. بالإضافة إلى ذلك ، يجب على مورد نقطة البيع استخدام الحماية من الفيروسات في المناطق التي لا يمكن نشرها فيها بشكل مباشر.

البرامج المحدثة

ستحتاج جدران الحماية وبرامج مكافحة الفيروسات إلى التحديث بانتظام. بالإضافة إلى ذلك ، من الحكمة الحفاظ على تحديث جميع البرامج في الشركة. تتضمن غالبية البرامج تدابير أمنية ، مثل التصحيحات لمعالجة الثغرات الأمنية التي تم تحديدها حديثًا ، كجزء من تحديثاتها ، مما يوفر طبقة إضافية من الحماية. تعتبر هذه الترقيات مهمة لأي برنامج يعمل على الأجهزة التي تتفاعل مع بيانات حامل البطاقة أو تخزنها.

تقييد الوصول إلى البيانات

يجب أن تكون معلومات حامل البطاقة "بحاجة إلى معرفة" بدقة. يجب رفض وصول جميع الموظفين والمديرين التنفيذيين والجهات الخارجية الذين لا يحتاجون إلى هذه المعلومات. يجب توثيق المسؤوليات التي تحتاج إلى بيانات حساسة بشكل جيد وتحديثها بانتظام ، كما يتطلب PCI DSS.

رموز الوصول الفريدة

يجب تحديد الموظفين الذين لديهم حق الوصول إلى بيانات حامل البطاقة ولكل منهم بيانات اعتماد منفصلة. على سبيل المثال ، لا ينبغي الوصول إلى البيانات المشفرة من خلال تسجيل دخول واحد ، حيث يعرف العديد من العمال اسم المستخدم وكلمة المرور. تقلل المعرفات الفريدة من القابلية للتأثر وتوفر وقت رد فعل أسرع في حالة تعرض البيانات للخطر.

تقييد الوصول على المستوى المادي

يجب تخزين أي بيانات عن حاملي البطاقات فعليًا في منطقة آمنة. يجب تأمين البيانات والبيانات المكتوبة أو المكتوبة ماديًا والمخزنة رقميًا (على سبيل المثال ، على القرص الصلب) في غرفة آمنة أو درج أو خزانة. لا يجب تقييد الوصول فقط ، ولكن عند الوصول إلى بيانات حساسة ، يجب الاحتفاظ بسجل لضمان الامتثال.

إدارة سجلات الوصول

يجب تسجيل جميع المعاملات التي تتضمن بيانات حامل البطاقة وأرقام الحساب الأساسية (PANs). ربما يكون أكثر مخاوف عدم الامتثال شيوعًا هو الافتقار إلى حفظ السجلات والتوثيق الكافي للوصول إلى البيانات الحساسة. يتطلب الامتثال تتبع تدفق البيانات التي تدخل شركتك وتكرار الوصول المطلوب. بالإضافة إلى ذلك ، تعد أدوات البرامج التي تتعقب الوصول ضرورية لضمان الدقة.

فحص واختبار نقاط الضعف

يتطلب كل معيار من معايير الامتثال العشرة السابقة استخدام العديد من منتجات البرامج والمواقع المادية والموظفين. قد يفشل العديد من العناصر في العمل بشكل صحيح ، أو تصبح قديمة ، أو تتعرض لأخطاء بشرية. يمكننا التخفيف من هذه المخاطر من خلال الالتزام بمعايير PCI DSS لعمليات الفحص المنتظمة واختبار الثغرات الأمنية.

السياسات المتعلقة بالوثائق

سيحتاج الامتثال إلى توثيق المعدات والبرامج والعاملين الذين يمكنهم الوصول. بالإضافة إلى ذلك ، سوف تتطلب سجلات الوصول إلى بيانات حامل البطاقة وثائق. سيكون من الضروري أيضًا تسجيل كيفية دخول المعلومات إلى عملك ، ومكان الاحتفاظ بها واستخدامها خارج نقطة البيع.

مزايا التوافق مع PCI

تشمل مزايا الامتثال تقليل مخاطر انتهاكات البيانات وحماية بيانات حامل البطاقة وتجنب سرقة الهوية. الامتثال هو أفضل ممارسة للشركات لأنه يقلل العقوبات المرتبطة بانتهاكات البيانات ، ويفيد سمعة العلامة التجارية للشركة ، ويضمن رضا المستهلكين وثقتهم بأنهم يتعاملون مع شركة مسؤولة ، مما يؤدي إلى ولاء العلامة التجارية.

تلتزم جميع الشركات التي تقبل معلومات بطاقة الائتمان بموجب اتفاقيات معالجة البطاقات الخاصة بها بالحفاظ على امتثال PCI. يعد الامتثال لـ PCI هو معيار الصناعة ، والشركات التي لا تلتزم به تخاطر بتكبد عقوبات كبيرة لخرق العقود والإهمال. الشركات غير المتوافقة مع PCI معرضة بشدة للسرقة والاحتيال وانتهاكات البيانات.

في Fixed.net نوصي بشدة بعدم لمس بيانات البطاقة مطلقًا . هذا يعني ، استخدام مزود مثل Stripe أو Braintree حيث يتم ترميز بيانات البطاقة. لا يتم تخزين بيانات البطاقة بواسطتك ، ولا يمكنك حتى رؤيتها . يقوم العميل بإدخال التفاصيل باستخدام عنصر واجهة مستخدم مضمّن من موقع موفر الدفع.

التوافق مع PCI و WordPress

WordPress هو برنامج مفتوح المصدر ولا يحتوي على نظام دفع مدمج. بدلاً من ذلك ، يتم تجميع أنظمة الدفع مع مكونات إضافية مثل WooCommerce. عادة ما يكون لهذه المكونات الإضافية القدرة على ربط بوابات الطرف الثالث مثل Stripe. إذا اخترت بوابة لا تلمس فيها بيانات البطاقة ، فلن تحتاج إلى أن تكون متوافقًا مع PCI.

التوافق مع PCI و WooCommerce

تأتي WooCommerce مع عدد من خيارات الدفع المجمعة ويمكنك تمديدها باستخدام مكونات إضافية تابعة لجهات خارجية. ندخل في خيارات الدفع في أدلة أخرى متنوعة على هذه المدونة. ومع ذلك ، فإن الغالبية العظمى من المشتركين في الخدمة الثابتة يميلون إلى استخدام مزيج من Stripe و PayPal.