آشنایی با پرسشنامه های انطباق PCI, بیا سایت ایران

آشنایی با پرسشنامه های انطباق PCI

توسط شورای استاندارد امنیتی ، استاندارد امنیت داده های صنعت کارت پرداخت ( PCI DSS) مجموعه ای از دستورالعمل ها است که مشاغل را ملزم می کند تا پرداخت های کارت اعتباری و داده های دارندگان کارت را ذخیره ، پردازش و یا انتقال دهند تا از بهترین شیوه های فنی و عملیاتی پیروی کنند.

به زبان ساده ، در صورت قبول یا پردازش پرداخت های کارت اعتباری – صرف نظر از مبلغ دلار جمع آوری شده یا استفاده از Visa ، Mastercard ، American Express ، Discover ، کارت پیش پرداخت یا کارت نقدی – PCI DSS در مورد شما صدق می کند.


سازگار با PCI نه تنها به مشتریان خود می گوید که شما از آنها در برابر نقض داده ها محافظت می کند ، اما از شرکت شما در برابر حملات امنیت سایبری نیز محافظت می کند.

اما چگونه می دانید که تجارت شما از PCI سازگار است؟

پرسشنامه های خود ارزیابی PCI (SAQs) را وارد کنید ، که در غیر این صورت به عنوان پرسشنامه های انطباق PCI شناخته می شود.

اگر با SAQ های PCI و نحوه استفاده از آنها برای ارزیابی میزان انطباق خود آشنا هستید ، این راهنما در اینجا به شما کمک می کند.

در زیر ، ما تجزیه می کنیم:

  • SAQ های PCI چیست.
  • نحوه ارتباط آنها با سطوح مختلف انطباق تجاری.
  • اهمیت حفظ تطابق PCI برای محافظت از کسب و کار و مشتریان شما.

SAQ های PCI چیست؟

SAQ های PCI ابزارهای خودآزمایی جامع هستند که شما را ارزیابی می کنند امنیت داده های دارنده کارت و همچنین آرامش خاطر برای شما و مشتریان شما. این پرسشنامه های انطباق PCI شامل مجموعه ای از س yesالات بله یا خیر برای الزامات کاربردی PCI DSS است.

توجه به این نکته ضروری است که SAQ های متفاوتی برای مطابقت با استانداردهای تعیین شده در محیط های تجاری مختلف وجود دارد.

SAQ های PCI و سطوح انطباق تجاری

  • تاجر سطح 1 : بیش از 6 میلیون معامله در سال
  • سطح 3 تاجر : 20،000 تا 1 میلیون معامله در سال سال تقویم.

الزامات سطح 1 تاجر

اگر در دسته سطح 1 قرار می گیرید ، یک تاجر یا ارائه دهنده خدمات اصلی هستید که اطلاعات کارت اعتباری را جمع آوری کرده و سالانه بیش از 6 میلیون تراکنش را پردازش می کند-که به این معنی است شما تابع بالاترین استانداردهای انطباق PCI هستید.

برای تجار سطح 1 ، باید موارد زیر را تکمیل کنید:

  • ارزیابی ریسک سالانه با استفاده از SAQ مناسب.
    • گواهی رعایت (AOC) ، که نشان می دهد واجد شرایط انجام SAQ هستید.
  • حسابرسی سالانه که توسط یک حسابرس واجد شرایط PCI تکمیل می شود.
  • اسکن های سه ماهه در شبکه و زیرساخت های شما توسط یک فروشنده شخص ثالث تأیید شده.

همچنین اگر بیش از 2.5 میلیون تراکنش American Express را پردازش کنید ، ممکن است به عنوان یک تاجر سطح 1 واجد شرایط باشید. ، یا اگر شما یک حمله سایبری داشته اید k یا نقض داده که منجر به خرابی داده های کارت اعتباری می شود. توجه به این نکته ضروری است که برای واجد شرایط بودن در این گروه ، فقط به یک مورد نقض داده و یک قطعه داده کارت اعتباری سرقت شده نیاز دارید.

مورد نیاز سطح 2 تاجر

شما یک بازرگان یا ارائه دهنده خدمات در مقیاس بزرگ هستید که اطلاعات کارت اعتباری و پردازش بین 1 را جمع آوری می کنید. میلیون تا 6 میلیون تراکنش هر سال. اگر بین 50،000 تا 2.5 میلیون تراکنش American Express را پردازش کنید ، می توانید به عنوان یک تاجر سطح 2 واجد شرایط شوید.

اگر در دسته سطح 2 قرار دارید ، باید موارد زیر را تکمیل کنید:

  • ارزیابی ریسک سالانه با استفاده از SAQ مناسب.
  • اسکن های سه ماهه شبکه شما توسط یک فروشنده شخص ثالث ، اگرچه در برخی موارد همیشه لازم نیست.

ملزومات سطح 3 تاجر

شما یک تاجر یا ارائه دهنده خدمات متوسط ​​تا بزرگ هستید که اطلاعات کارت اعتباری و هر سال بین 20000 تا 1 میلیون معامله تجارت الکترونیکی VISA و Mastercard را پردازش می کند. اگر کمتر از 50،000 معامله American Express را سالانه پردازش می کنید ، می توانید به عنوان تاجر سطح 3 واجد شرایط شوید.

اگر در دسته سطح 3 قرار می گیرید ، باید موارد زیر را تکمیل کنید:

  • ارزیابی ریسک سالانه با استفاده از SAQ مناسب.
  • اسکن های سه ماهه شبکه شما توسط یک فروشنده شخص ثالث ، اگرچه در برخی موارد همیشه لازم نیست.

مورد نیاز سطح 4 تاجر

شما یک بازرگان یا ارائه دهنده خدمات در مقیاس کوچک هستید که اطلاعات و فرآیندهای کارت اعتباری را جمع آوری می کند. کمتر از 20000 تراکنش تجارت الکترونیک در سال و کمتر از 1 میلیون کل معاملات ویزا و مسترکارت . معاملات American Express برای تجار سطح 4 قابل اجرا نمی باشد. class = “Paragraph__SParagraph-sc-1p2ggqg-0″> اگر در دسته سطح 4 قرار دارید ، باید موارد زیر را تکمیل کنید:

  • ارزیابی خطر سالانه با استفاده از SAQ مناسب.
  • اسکن های سه ماهه شبکه شما توسط یک فروشنده شخص ثالث ، اگرچه همیشه در برخی موارد مورد نیاز نیست.

    نمودار سفر معامله پرداخت کارت از مشتری به حساب بانکی تجار را نشان می دهد.

    12 استاندارد امنیتی در چارچوب PCI DSS وجود دارد که همه سطوح تجار باید در سراسر آن داشته باشند شبکه های داخلی و خارجی آنها ، از جمله: = “list-decimal list-خارج”>

  • نصب و نگهداری پیکربندی فایروال برای محافظت از داده های دارنده کارت.
  • عدم استفاده از پیش فرض های ارائه شده توسط فروشنده برای گذرواژه های سیستم و پارامتر امنیتی دیگر rs.
  • حفاظت از داده های دارنده کارت ذخیره شده.
  • رمزگذاری انتقال داده های دارنده کارت در شبکه های باز و عمومی.
  • استفاده و به روز رسانی منظم نرم افزار آنتی ویروس خود.
  • توسعه و نگهداری سیستم ها و برنامه های ایمن.
  • محدود کردن دسترسی به داده های دارنده کارت بر اساس نیاز به کسب و کار.
  • اختصاص یک شناسه منحصر به فرد برای هر فرد با دسترسی به رایانه .
  • محدود کردن دسترسی فیزیکی به داده های کارت اعتباری.
  • ردیابی و نظارت بر کلیه دسترسی به منابع شبکه و داده های دارنده کارت.
  • آزمایش منظم سیستم ها و فرآیندهای امنیتی.
  • حفظ خط مشی امنیتی که به امنیت اطلاعات کارفرمایان و پیمانکاران می پردازد.

یکی دیگر از استانداردهای امنیتی که می توانید دنبال کنید ، یافتن پردازنده یا ga است teway که اطلاعات کارت اعتباری شما را به صورت توکن ذخیره می کند.

نشانه گذاری با جایگزینی شماره حساب اصلی مشتری (PAN) با یک رشته از اعداد تصادفی (معروف به توکن ) در برابر حملات سایبری کمک می کند. سپس می توان توکن ها را از طریق اینترنت یا شبکه های بی سیم مورد نیاز برای پردازش پرداخت بدون افشای PAN منتقل کرد.

هنگام جستجو برای یک پردازنده توکن ، مطمئن شوید که یک سازمان سازگار با PCI را انتخاب کنید.

مروری بر انواع SAQ

هشت نوع مختلف SAQ وجود دارد که باید بر اساس آنها یکی را انتخاب کنید سطح انطباق PCI و شبکه تجاری شما.

• پذیرش و پردازش کارت برون سپاری شده.
• وب سایت تجاری یک iFrame یا URL ارائه می دهد که مصرف کننده را به پردازنده پرداخت شخص ثالث هدایت می کند.
• تاجر نمی تواند امنیت تراکنش پرداخت را تحت تأثیر قرار دهد.

SAQ # سوالات توضیحات اسکن آسیب پذیری؟ اسکن نفوذ ؟
A 22 N N
A-EP 191 وب سایت تجارت الکترونیک (پست مستقیم):
• وب سایت تجاری پرداخت با استفاده از پست مستقیم یا خدمات هدایت شفاف را می پذیرد.
Y
41 پردازش کارت ها از طریق:
• تلفن آنالوگ ، فکس یا پایانه مستقل.
• تلفن همراه (صدا) ، یا ترمینال مستقل.
• دستگاه ضربه گیر/چاپ انگشت.
N N
B-IP 82 پردازش کارت ها از طریق:
• پایانه مستقل مبتنی بر اینترنت جدا شده از سایر دستگاه های موجود در شبکه.
Y N
C-VT 79 پردازش کارت ها: • یکی یکی از طریق صفحه کلید به پایانه مجازی.
• در شبکه ای جدا در یک مکان.
• بدون کشیدن دستگاه.
N
C 160 سیستم های کاربردی پرداخت متصل به اینترنت:
• پایانه مجازی (واجد شرایط C-VT نیست).
• پایانه IP (واجد شرایط B-IP نیست).
• دستگاه تلفن همراه (تلفن هوشمند/رایانه لوحی) با برنامه پردازش کارت یا دستگاه کش رفتن.
• مشاهده یا مدیریت داده های دارنده کارت از طریق اینترنت.
• POS با توکن.
Y N
D 329 وب سایت تجارت الکترونیک:
• تاجر وب سایت پرداخت را می پذیرد و از پست مستقیم یا سرویس هدایت شفاف استفاده نمی کند.

ذخیره الکترونیکی داده های کارت:
• سیستم POS از توکن یا P2PE استفاده نمی کند.
• تاجر اطلاعات کارت را به صورت الکترونیکی ذخیره می کند (ایمیل ، فکس الکترونیکی ، تماس های ضبط شده و غیره).

Y Y
P2PE 33 رمزگذاری نقطه به نقطه
• فقط راه حل پایانه پرداخت سخت افزاری PCI P2PE معتبر.
• تاجر مشخص می کند که واجد شرایط برای پرسشنامه P2PE هستند.
N N

اهمیت حفظ انطباق PCI

حفظ تطابق PCI برای تجار در تمام سطوح مهم است ، زیرا به شما در محافظت از مشاغل خود در برابر حملات سایبری ، محافظت از داده های حساس مشتریان و اجتناب از جریمه هایی که می تواند بین 5 تا 100 هزار دلار در ماه باشد. برای اطمینان از رعایت استانداردهای انطباق ، می توانید بر اساس نوع SAQ که انجام می دهید ، اسکن آسیب پذیری و نفوذ را انجام دهید.

اسکن آسیب پذیری

A اسکن آسیب پذیری به شما این امکان را می دهد که شبکه سیستم و برنامه های خود را اسکن کنید تا نقاط ضعف را در سیستم عامل ، خدمات و دستگاه هایی که ممکن است توسط هکرها مورد هدف قرار گیرند ، جستجو کنید. انجام اسکن های آسیب پذیری یک بار در سه ماه مفید است و باید برای هر نوع کارتی که قبول می کنید یک اسکن گذرا به پردازنده خود ارسال کنید.

اسکن نفوذ

اسکن های نفوذ سالانه در بالای اسکن های آسیب پذیری سه ماهه شما انجام می شود. این اسکن ها برای سوء استفاده از هرگونه آسیب پذیری در کد یا شبکه شما استفاده می شود که ممکن است راه را برای دسترسی هکرها به اطلاعات حساس هموار کند. اسکن های نفوذ از کاربران واقعی استفاده می کنند که سعی می کنند در سیستم شما به دنبال نقاط ضعف باشند. در حالی که این آزمایشات می توانند گران باشند ، اما برای اطمینان از ایمن ماندن شبکه شما بسیار مهم هستند.

توجه: می توانید اسکن های نفوذ را به صورت داخلی انجام دهید ، اما این آزمایش ها باید توسط کاربر واجد شرایط و مستقل از سیستمی که در حال بررسی آن است ، انجام شود.

تیم امنیتی Liquid Web این آزمایشات نفوذ را برای Liquid انجام می دهد مشتریان وب.

وب مایع می تواند در اسکن سازگاری PCI و اسکن آسیب پذیری

کمک کند