ستعمل قواعد أمن بطاقات الدفع الجديدة PCI DSS 4.0 على تشديد الأمن وتوفير المزيد من المرونة للمؤسسات. علماً أنها لن تدخل حيز التنفيذ الكامل حتى عام 2025 . مع ذلك، فهذه التغييرات كبيرة ومن المهم أن يبدأ المعنيين بها في الاستعداد للامتثال منذ الأن.
يشارك معكم روبودين هذا المقال لـ Neal Weinberg الذي يرى أنه بالنسبة للمؤسسات التي تتعامل مع بيانات بطاقات الائتمان فإن معالجة الدفع هو نظام مهم للغاية يتطلب أعلى مستويات الأمان.
كذلك، بلغ حجم المعاملات التي تم إجراؤها باستخدام بطاقات الائتمان للأغراض العامة 581 مليار دولار في عام 2021. أي بزيادة قدرها 24.5٪ على أساس سنوي . ومع ذلك ، خسر مصدرو بطاقات الائتمان والتجار والبنوك ومعالجات المعاملات الخارجية 28.58 مليار دولار بسبب الاحتيال على بطاقات الائتمان في عام 2020. وصلت نسبة الخسارة إلى ما يقرب من 7 سنتات لكل 100 دولار من حجم الشراء. ومن المتوقع أن تتجاوز خسائر بطاقات الائتمان 400 مليار دولار على مدى السنوات العشر القادمة.
في محاولة لتقليل تلك الخسائر ومواكبة مشهد التهديدات سريع التطور ، أصدر مجلس معايير أمان بيانات صناعة بطاقات الدفع (PCIDSSC) ترقية كبيرة لقواعدها التي تحكم كيفية تخزين بيانات بطاقة الائتمان ومعالجتها و حمايتها.
أمن بطاقات الدفع PCI DSS 4.0 – موعدنا آذار-2025
تم الكشف عن اللائحة الجديدة – PCI DSS 4.0 – في آذار 2022. سيظل المعيار الحالي ، PCI DSS 3.2.1 ، ساري المفعول حتى آذار- 2024 . ستكون هناك فترة انتقالية ، ثم ستحتاج المؤسسات إلى الامتثال الكامل لـ 4.0 بحلول آذار- 2025. قد يبدو هذا وكأنه مهلة طويلة ، لكن الخبراء يقولون إنه لا ينبغي للمؤسسات أن تؤجل جهود الامتثال لـ PCI DSS 4.0 حتى اللحظة الأخيرة. اللوائح الجديدة تمثل تغييراً كبيراً. الدليل الخاص بـ PCI DSS 4.0 يصل إلى 360 صفحة ويغطي كل شيء بدءاً من عناصر محددة للغاية ، مثل طلب زيادة الحد الأدنى لطول كلمات المرور من سبعة إلى 12 حرفاً، إلى الإرشادات العامة حول الإجراءات والسياسات.
تبدو هذه التغييرات بمثابة صفقة كبيرة. سيساعد ذلك الشركات على أتمتة جهود الامتثال الخاصة بها و إجراء تغييرات كبيرة في المتطلبات مع التركيز على الحفاظ على الأمان. تتناول اللوائح الجديدة كل جانب من جوانب الأمان ، بما في ذلك جدران الحماية ، وبرامج مكافحة الفيروسات ، وتجزئة الشبكة ، والمصادقة متعددة العوامل ، والتشفير ، والتحكم في الوصول ، والمراقبة النشطة ، واكتشاف التسلل ، والاستجابة للحوادث.
الامتثال لـ PCI DSS 4.0 – بثلاث خطوات
إن الامتثال للمعايير الجديدة هو عملية من ثلاث خطوات. أولاً ، تحتاج الشركات إلى إجراء تقييم مسبق شامل لتحديد الثغرات في أنظمتها الحالية. ثم يحتاجون إلى تنفيذ أنشطة الإصلاح المطلوبة التي تهدف إلى جعل المنظمة متوافقة مع القواعد الجديدة. و أخيراً، يتعين عليهم إحضار مدقق معتمد أو مقيِّم أمني مؤهل لمراجعة الامتثال.
بالنسبة للمؤسسات ، يمكن أن يمثل امتثال PCI DSS تحدياً لأن الشركات تحتاج إلى التوفيق بين هذه الجهود وجميع المبادرات التقنية الأخرى التي تستهلك موارد موظفي تكنولوجيا المعلومات ، مثل الانتقال إلى السحابة أو التحول الرقمي.
أكبر التغييرات في أمن بطاقات الدفع -PCI DSS 4.0
هناك ما مجموعه 53 لائحة جديدة في PCI DSS 4.0 تنطبق على التجار والشركات التي تخزن بيانات بطاقة الائتمان أو تعالجها. بالإضافة إلى 11 أخرى تنطبق فقط على مزودي خدمة معالجة المعاملات. فيما يلي بعض التغييرات الرئيسية:
التخصيص Customization:
أكبر تغيير على مستوى المفاهيم هو أن PCI DSS 4.0 يسمح لأول مرة للمؤسسات باتخاذ نهج مخصص للامتثال بدلاً من الاضطرار إلى اتباع المتطلبات المحددة للمعيار. على سبيل المثال ، يتحدث المعيار عن كلمات المرور. ولكن قد ترغب المؤسسة في الانتقال إلى نظام بدون كلمة مرور بالكامل. يمكن أن ذلك يتضمن رموزاً أو بطاقات ذكية أو مقاييس حيوية biometric authentication أو مفاتيح تشفير أو شهادات.
مع ملاحظة أن خيار التخصيص لا يستهدف الشركات الأصغر والأقل نضجاً من الناحية التقنية التي تجهد لتلبية المعيار وتحتاج إلى حل بديل. إنه عكس ذلك تماماً، مناسب للمؤسسات التي لديها بالفعل ضوابط مطبقة لتلبية أحد المتطلبات ومرتاحة للطرق الحالية للتحقق من صحة تلك الضوابط.
يوفر النهج المخصص قدراً أكبر من المرونة ويستهدف المؤسسات التي ترغب في استخدام ضوابط أمان بديلة أو تقنيات جديدة. وهي تدرك أنه قد يكون هناك أكثر من مسار لتحقيق كل هدف أمني. لدى المؤسسات مساحة للابتكار ، طالما أنها تستطيع أن تثبت للمدقق أن نهجها يلبي أهداف الأمان.
إن المؤسسات الأكبر والأكثر نضجاً من الناحية التكنولوجية هي فقط التي ستأخذ طريق التخصيص. لأنه من المحتمل أن يكون أكثر تكلفة ، وسيستغرق وقتاً أطول وسيكون التحقق من صحته أصعب. فاللوائح في هذه الحالة هي مجرد خط أساس بوجود شركات ترغب في نشر تدابير أمنية متقدمة أو مبتكرة.
التصيد الاحتيالي Phishing:
يدرك PCI DSS 4.0 أن العديد من الهجمات الإلكترونية تبدأ بالتصيد الاحتيالي. وهو مشكلة تتعلق بالأشخاص , و بالتقنية في نفس الوقت. تتطلب اللوائح أن تقوم الشركات باستخدام برنامج أمان آلي للبريد الإلكتروني يهدف إلى تحديد رسائل البريد الإلكتروني المخادعة وحظرها.
يقوم PCI DSS 4.0 أيضاً بتحويل التدريب على الأمان والتوعية من أفضل الممارسات إلى شرط قيام المؤسسات بمراجعة برامج التوعية الأمنية وتحديثها مرة واحدة على الأقل كل 12 شهراً. كما يحدد أن التدريب الأمني يشمل الوعي بالتهديدات ونقاط الضعف التي يمكن أن تؤثر على أمان بيئة بيانات البطاقة.بالإضافة إلى الوعي بالاستخدام المقبول لتقنيات المستخدم النهائي.
التجارة الإلكترونية
أدى الانتشار المتزايد لتقنية الرقائقchip في بطاقات الائتمان ، إلى منع المحتالين من استخدام أداة التزييف skimmer لسرقة بيانات حامل البطاقة من أجهزة الصراف الآلي.
لذلك ، غير المتسللون تكتيكاتهم ويسرقون الأأن بيانات بطاقة الائتمان أثناء المعاملة نفسها عن طريق حقن رمز ضار في منصة التجارة الإلكترونية. استجابةً لذلك ، يتطلب PCI DSS 4.0 أن تقوم الشركات بإجراء فحوصات أسبوعية للتأكد من أن السكريبت scripts التابعة لجهات خارجية والتي تعد جزءاً من معاملة التجارة الإلكترونية ليست مصابة بشفرات ضارة.
التكنولوجيا في أمن بطاقات الدفع:
يشدد PCI DSS 4.0 الأمان في عدد من مجالات التكنولوجيا مثل طلب المصادقة متعددة العوامل للوصول إلى بيانات بطاقة الائتمان. بينما في المعيار السابق كان ينطبق فقط على الوصول عن بعد. يتطلب المعيار الجديد تشفير بيانات المصادقة المخزنة. في المعيار 3.2.1 كانت تلك مجرد توصية. كما يتطلب أيضاً ضوابط تحد الوصول إلى أقل عدد أشخاص يكفي لعملية تجارية محددة. وكذلك آليات الكشف التي يمكن أن تحدد بسرعة التعديلات غير المصرح بها لأنظمة معالجة الدفع.
العملية Process
يحاول المعيار الجديد ترسيخ مفهوم أن الأمن هو عملية مستمرة ، وليس نشاطاً لمرة واحدة. وهو يدعو إلى تحليل مخاطر محدد وتقييمات الضعف والمراقبة المستمرة لأنظمة معالجة المدفوعات. تحتاج الشركات إلى عمليات دقيقة لتحديد نقاط الضعف عالية الخطورة ومعالجة تلك المشكلات. كما يدعو إلى إدخال تحسينات على الاستجابة للحوادث وجهود معالجتها. يوفر PCI DSS 4.0 أيضاً إرشادات مفصلة حول إجراءات التحقق من الصحة والاختبار.
الخلاصة: لا داعي للذعر ، ولكن لا تماطل أيضاً
فيما يتعلق بالجدول الزمني للامتثال ، يجب على المؤسسات أن تبدأ في إجراء مراجعات الآن لمعرفة الخطوات التي ستحتاجها للاستعداد لتنفيذ الإصدار 4.0.
من المهم أن تبدأ الشركات في إجراء التقييمات المسبقة في عام 2023. يوفر الجدول الزمني لـ PCI DSS أرضية مناسبة لعملية الانتقال. من المؤكد أن PCI DSS 4.0 هو تحول نوعي ، ولكن في الوقت نفسه ، لا تحتاج الشركات إلى الذعر. تمثل اللوائح الجديدة خطوة تغيير. لكن نظام الامتثال الأساسي لـ PCI DSS لم يتغير بشكل أساسي. وستكون اللغة في اللوائح الجديدة مألوفة لأي شخص يتعامل مع الامتثال التنظيمي.