مقدمه
استاندارد امنیت اطلاعات در پرداختهای الکترونیکی (E-payment) به عنوان یک استاندارد شناخته شده در افزایش امنیت اطلاعات در فرآیندها و تراکنشهای مالی میباشد که کلیه سازمانهای ارائه دهنده خدمات کارت میبایست در جهت افزایش امنیت اطلاعات دارندگان کارت (Cardholder) در جهت پیاده سازی این استاندارد قدم بردارند.
استاندارد PCI DSS) Payment Card Industry Data Security Standard) مجموعه الزامات امنیتی میباشد که توسط انجمن PCI SSC) PCI Security Standards Council) برای افزایش امنیت اطلاعات در پرداختهای الکترونیکی کارتهای اعتباری تدوین گردیده است. این سازمان در سال 2006 و توسط 5 شرکت فعال و شناخته شده این صنعت که عبارتند از American Express, Discover, JCB International, MasterCard and Visa تأسیس گردیده است.
این استاندارد با هدف تأمین امنیت اطلاعات در مبادلات پولی و بانکی، این اطمینان را ایجاد میکند که از اطلاعات دارندگان کارت محافظت نماید. رعایت مجموعه قوانین و مقررات این استاندارد مورد نیاز انواع بانکها، مؤسسات مالی و اعتباری، شرکتهای سرویس دهنده خدمات پرداخت PSP) payment services provider) و سایر شرکتها و سازمانهای فعال در حوزه پرداخت الکترونیک میباشد.
مخاطبین PCI/DSS
هر سازمانی که وظیفه انتقال (transmitting)، پردازش (processing) و ذخیره سازی (storing) اطلاعات دارندگان کارت را بر عهده دارد، مخاطب این استاندارد می باشد. برخی از این سازمانها میتوانند شامل :
- بانکهای پذیرنده (Acquirer bank) کارتهای اعتباری؛
- بانکهای صادر کننده (Issuing Bank) کارتهای اعتباری؛
- شرکت های ارائه دهنده خدمات پرداخت (Payment service Provider (PSP
و سایر سازمانهای مالی و اعتباری مرتبط باشند.
این استاندارد منطبق بر سایر استانداردهای بینالمللی در حوزه امنیت اطلاعات مانند ISO 27001 میباشد که می تواند به عنوان یک راهکار تخصصی در حوزه محافظت از اطلاعات دارندگان کارت (Card holders) استفاده گردد.
مزایای استفاده از استاندارد PCI/DSS
- شناسایی و امن سازی کلیه تجهیزات و داراییهای مرتبط با ذخیرهسازی، پردازش و انتقال اطلاعات دارندگان کارت؛
- استفاده از آخرین متدهای رمزنگاری در انتقال و ذخیره سازی اطلاعات دارندگان کارت؛
- محافظت از کلیه اطلاعات در برابر حملات بدافزاری و جلوگیری از نشت اطلاعات؛
- ایجاد یک محیط فیزیکی امن برای کلیه تراکنش های مالی؛
- پایش لحظه ای و مستمر شبکه های اطلاعاتی و جریان های گذرا از شبکه؛
- شناسایی ریسکهای بالقوه در مواجهه با آخرین تهدیدات؛
رویکرد آشنا ایمن در استقرار PCI/DSS
آشنا ایمن در این حوزه تلاش کرده است تا با توجه به الزامات شرکت شاپرک مبتنی بر استقرار سیستم مدیریت امنیت اطلاعات و PCI/DSS رویکردی سریع و ترکیبی برای این دو استاندارد ارائه نماید. در این رویکرد سعی شده است با توجه به حوزه های کنترلی 12 گانه PCI/DSS و تلفیق آن با حوزه های کنترلی 14 گانه استاندارد ISO 27001، اقدامات اجرایی مناسب را تعریف نماید. این اقدامات در قالب مجموعه های از روش های اجرایی و طرح های ایمن سازی فنی ارائه می گردد.
یکی از مشکلات عمده در اکثر شرکتهای فعال در صنعت پرداخت کشور، دیدگاه صد در صد فنی است که در رویکرد آشنا ایمن با تلفیق دیدگاه سیستمی با دیدگاه فنی این موضوع مرتفع می گردد. استقرار PCI/DSS مطابق با رویکرد آشنا ایمن در 8 گام صورت می پذیرد:
گام اول: تحلیل کاستی ها؛
گام دوم: تدوین سند خط مشی امنیت اطلاعات؛
گام سوم: تشکیل ساختار و کمیته های مورد نیاز؛
گام چهارم: تدوین ساختار روش های اجرایی؛
گام پنجم: تدوین روش های اجرایی متناسب با الزامات PCI/DSS در حوزه های کنترل دسترسی، ارزیابی ریسک، مدیریت کلمه عبور، مدیریت لاگ، پایش و …؛
گام ششم: اجرای تست نفوذپذیری و ارزیابی ریسک؛
گام هفتم: ایمن سازی های فنی؛
گام هشتم: طراحی فنی برای کاستی ها.