تعريف بالـ PCI Compliance Standards القواعد والقوانين الدولية المختصة في أمن المعلومات، لمساعدة المنظمات والشركات التي تقوم بمعالجة عمليات الدفع بواسطة البطاقات المصرفية ومنع حصول عمليات الإحتيال عليها.
السلام عليكم ورحمة الله وبركاته
ما هو الـ PCI Compliance؟
هي عبارة عن مجموعة من القواعد والقوانين الدولية المختصة في أمن المعلومات، أنشأتها Payment Card Industry Security Standards Council أو بإختصار PCI SSC. هذه القوانين تم عملها لمساعدة المنظمات/الشركات التي تقوم بمعالجة عمليات الدفع بواسطة البطاقات المصرفية ومنع حصول عمليات الإحتيال عليها من خلال زيادة السيطرة على البيانات ومنعها من التعرض للمساومة … هذه القوانين تنطبق على جميع المنظمات/الشركات التي تحمل، تعالج، أو تمرر بيانات صاحب البطاقة التي عليها علامة Visa أو MasterCard أو American Express أو Discover وأخيراً JCB والذين هم حسب ما فهمت الشركات التي قامت بتأسيس هذه المنظمة …
(تم وضع هذا التعريف من خلال ترجمة ما هو موجود في الويكيبيديا) …
هذه القوانين تتضمن التالي:
Build and Maintain a Secure Network
Requirement 1: Install and maintain a firewall configuration to protect cardholder data
Requirement 2: Do not use vendor-supplied defaults for system passwords and other security parameters
Requirement 1: Install and maintain a firewall configuration to protect cardholder data
Requirement 2: Do not use vendor-supplied defaults for system passwords and other security parameters
Protect Cardholder Data
Requirement 3: Protect stored cardholder data
Requirement 4: Encrypt transmission of cardholder data across open, public networks
Requirement 3: Protect stored cardholder data
Requirement 4: Encrypt transmission of cardholder data across open, public networks
Maintain a Vulnerability Management Program
Requirement 5: Use and regularly update anti-virus software
Requirement 6: Develop and maintain secure systems and applications
Requirement 5: Use and regularly update anti-virus software
Requirement 6: Develop and maintain secure systems and applications
Implement Strong Access Control Measures
Requirement 7: Restrict access to cardholder data by business need-to-know
Requirement 8: Assign a unique ID to each person with computer access
Requirement 9: Restrict physical access to cardholder data
Requirement 7: Restrict access to cardholder data by business need-to-know
Requirement 8: Assign a unique ID to each person with computer access
Requirement 9: Restrict physical access to cardholder data
Regularly Monitor and Test Networks
Requirement 10: Track and monitor all access to network resources and cardholder data
Requirement 11: Regularly test security systems and processes
Requirement 10: Track and monitor all access to network resources and cardholder data
Requirement 11: Regularly test security systems and processes
Maintain an Information Security Policy
Requirement 12: Maintain a policy that addresses information security
Requirement 12: Maintain a policy that addresses information security
لتحقيق هذه القوانين المطلوبة صدقوني ليس بالعمل البسيط ولا الهيين … صحيح هناك بعض الامور التي ربما تراها بسيطة وما الى ذلك، ولكنها أصعب على أرض الواقع عند تطبيقها … يعني لأعطيكم مثال بسيط جداً عن مشكلة أكيد ستحدث في عالمنا العربي (حدثت معي بالطبع) … حين تقوم بوضع Policy على كلمات السر ويجب ان يكون طولها 12 رمز، وتكون كلمة السر مخلوطة بالحروف والإشارات والأرقام وفوق كل هذا يجب تغيير كلمة السر كل شهر، ويجب أن لا تكون الكلمة السرية الجديدة ذات علاقة بالكلمة السرية القديمة … هنا صدقوني ستحصل مشاكل مع الموظفين الذي أعتاد على admin123 أو ربما root123 أو ربما إسمه كما هو، أو غيرها من الكلمات السرية البسيطة … مثال آخر، حين تقوم بمراقبة الشبكة وكل ما يدخل ويخرج، وتراقب البرمجيات وما هي البرمجيات المنصبة على جهاز X أو Y أو Z … كل هذه ستجلب لك مشاكل مع الموظفين … وسيبدأ البعض يظن بإن وجودك هنا هو لمراقبته فقط :) هذه أمثلة عن واقع حال ولم أجلبها من خيالي … مثل هذه المشاكل صدقوني أصعب من تنصيب وتشغيل مثلا نظام حماية ما وإستعماله بشكل دوري !!!
ولهذا تطبيق هذه القوانين ليس بتلك السهولة التي يتوقعها البعض …
روابط مفيدة:
Payment Card Industry Data Security Standard
About the PCI Data Security Standard (PCI DSS)
Approved Scanning Vendors
إرسال تعليق