بازدید :

تاریخ : پنج شنبه 1391/05/05

استاندارد امنیت اطلاعات در کارت‌های اعتباری

امروزه نیاز دارندگان کارت های اعتباری به امنیت اطلاعاتشان به طور غیر قابل باوری افزایش یافته که بازتاب این نیاز، در استاندارد های امنیتی داده های مربوط به حساب های پرداخت کارتی متبلور است.

مشاهده اطلاعات حساس سرقت شده و در معرض خطر حدود 3 میلیون از کارت های اعتباری مردم کشورمان در روزهای اخیر در اینترنت، آشکارا نشان داد که به کارگیری استانداردی مربوط به امنیت اطلاعات صنعت کارت های پرداخت، مانند PCI DSS (Payment Card Industry Data Security Standard) جهت حفاظت از داده های مشتریان، جداً ضروری بلکه چه بسا ناکافی هم بوده و ایمنی اطلاعات کارت های اعتباری باید خیلی بیشتر از آنچه که در حال حاضر است، رعایت شود.

PCI DSS چیست؟

PCI DSS مجموعه جامعی از قوانین است که برای ارتقاء سیستم امنیتی داده های مربوط به صنعت کارت های پرداخت وضع گردیده و هدف آن، کمک جهت تسهیل روند اتخاذ تمهیدات امنیتی مربوط به داده های پایدار در یک جامعه جهانی است. این استاندارد، توسط مۆسسین سیستم پرداخت مارک های تجاری شورای استانداردهای امنیتی PCI ایجاد شده است که از میان آن ها می توان به سازمان های بزرگ پرداخت الکترونیک همچون American Express ، Discover Financial Cervices ،JCB International و MasterCard Worldwide Inc اشاره نمود.

PCI DSS یک استاندارد امنیت اطلاعات است که هر کسب و کاری با هر حد و اندازه، برای استفاده از کارت های پرداخت و همچنین ذخیره سازی، پردازش و یا ارسال اطلاعات صاحب کارت باید آن را دریافت نماید. بنابراین، اخذ استاندارد امنیت اطلاعات صنعت کارت های پرداخت، برای فروشندگانی که از فناوری کارت پرداخت در سیستم فروش خود استفاده می کنند و شرکت هایی که اطلاعات شخصی دارندگان این نوع کارت را پردازش می نمایند، یک موضوع مهم و ضروری می باشد.

این استاندارد جامع، در واقع نوعی استاندارد امنیتی چند وجهی است که شامل نیازمندی هایی برای مدیریت امنیت، سیاست ها، رویه ها، معماری شبکه، طراحی نرم افزار و دیگر تمهیدات حفاظتی حساس بوده و کمک به بانک ها و مۆسسات مالی، جهت حفاظت از داده های مربوط به حساب های مشتریانشان را به عنوان هدف خود در نظر می گیرد.

شورای استانداردهای امنیتی PCI، علاوه بر تشویق سازمان ها برای پیروی از این استاندارد، سیستم PCI DSS را در صورت نیاز، ارتقاء خوهد داد تا اطمینان حاصل شود که این استاندارد، همه نیازهای نوین، برای کاهش ریسک های مربوط به پرداخت را در بر گیرد.

استاندارد PCI DSS با زمینه کاری استاندارد (ISO 17799) ISO 27002 مطابقت داشته و سازمان هایی که در زمینه کارت های پرداخت فعالیت دارند و استاندارد ISO 17799 سیستم مدیریت امنیت اطلاعات (ISMS) را قبلاً اجرا نموده اند با کمترین اقدامات اضافی قادر خواهند بود تا استاندارد PCI DSS را نیز در سازمان خود، به منظور مدیریت بهتر حفاظت اطلاعات پیاده سازی نمایند.

الزامات استاندارد PCI DSS

این استاندارد در 6 اصل مشخص، 12 الزام را برای هر کسب و کاری، اعم از فروشندگان، شرکت های ارایه دهنده خدمات کارت و بانک ها که اطلاعات دارندگان کارت های پرداخت را ذخیره، پردازش و یا منتقل می کنند، در نظر گرفته است که این ملزومات، یک چارچوب کاری برای محیط امن پرداخت کارتی را تعریف می کند. این الزامات، عبارتند از:

ایجاد و حفظ یک شبکه امن

الزام 1: نصب سیستم های Firewall جهت حفاظت از اطلاعات مربوط به دارندگان کارت های پرداخت الکترونیک

الزام 2: عدم استفاده از تنظیمات پیش فرض انجام شده توسط فروشندگان و سازندگان تجهیزات، مانند رمز عبور و دیگر پارامترهای امنیتی

حفاظت از اطلاعات دارنده کارت

الزام 3: محافظت از داده های ذخیره شده مربوط به دارندگان کارت ها

الزام 4: رمزنگاری نقل و انتقال اطلاعات دارندگان کارت ها در شبکه های باز و عمومی

استفاده از برنامه های مدیریت آسیب پذیری

الزام 5: نصب نرم افزار Antivirus و به روز رسانی مداوم آن

الزام 6: توسعه و نگهداری سیستم های ایمن و برنامه های کاربردی امن

اعمال تمهیدات قوی در کنترل دسترسی ها

الزام 7: محدود کردن دسترسی به اطلاعات دارندگان کارت ها در حداقل احتیاج هر کسب و کار

الزام 8: اختصاص یک شناسه کاربری (ID) یکتا به هر یک از کاربران

الزام 9: محدود کردن دسترسی فیزیکی به اطلاعات دارندگان کارت ها

پایش و ارزیابی مداوم شبکه

الزام 10: پایش و ردیابی مداوم هرگونه دسترسی به منابع اطلاعاتی، تجهیزات شبکه و همچنین اطلاعات مربوط به دارندگان کارت ها

الزام 11: ارزیابی منظم و قاعده مند امنیت سیستم ها و فرآیندهای امنیتی لحاظ شده

اتخاذ یک سیاست امنیت اطلاعات

الزام 12: سیاستی اتخاذ شود که خط مشی های امنیت اطلاعات در آن مشخص گردد.

این استاندارد، همچنین سه اقدام اصلی زیر را نیز الزام می کند:

ارزیابی (Assess): فرآیندی است که در آن یک فهرست از دارایی های اطلاعاتی و پروسه تجاری مرتبط با فرآیند کارت های اعتباری تهیه شده و از نظر آسیب پذیری هایی که ممکن است اطلاعات شخص دارنده کارت را تحت الشعاع قرار دهد، بررسی می گردد.

هدف اولیه این ارزیابی، شناخت آسیب پذیری های تکنولوژی و فرآیندها است که ممکن است امنیت اطلاعات صاحب کارت را هنگام انتقال، پردازش یا ذخیره سازی، در معرض خطر قرار دهد.

رفع آسیب پذیری ها (Remediate): فرآیند پوشش دهی و رفع آسیب پذیری های امنیتی شناسایی شده در مرحله قبل است که این آسیب پذیری ها ممکن است شامل نقاط ضعف فنی در کد نرم افزار (Bug) یا اقدامات و رویه های غیر امن پردازش اطلاعات دارنده کارت پرداخت، در سازمان باشد.

گزارش (Report): شامل جمع بندی سابقه های ثبت شده توسط PCI DSS برای کنترل پروسه بازیابی، رفع آسیب پذیری ها و تحویل گزارش های رعایت استاندارد به بانک و شرکت تأمین کننده خدمات کارت پرداخت مورد نظر است که کارهای تجاری با آن انجام می گیرد.

این 12 الزام و 3 اقدام اصلی، یک روند مستمر برای انطباق با استاندارد PCI DSS است که در نهایت، همه آن ها، تضمین کننده امنیت اطلاعات دارنده کارت بوده و به کارگیری این استاندارد، می تواند به منزله گام ابتدایی و مهمی باشد که در جهت حفاظت از اطلاعات مشتریان توسط بانک ها، مۆسسات مالی – اعتباری و سازمان ها برداشته می شود.

بخش دانش و زندگی تبیان

منبع: گویا آی تی

اجتماعی

اینفوگرافیک

فیلم نوشت

خانواده

کمیک

موشن گرافیک

سلامت

طرح و پوستر

اینفوموشن

بین الملل

عکس نوشت

فیلم های خبری

دینی

سبک زندگی

کودک و خانواده

اقتصاد

ورزشی