معيار أمان بيانات صناعة بطاقات الدفع
إن معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS) هو معيار لأمن معلومات المؤسسات التي تتعامل مع البطاقات الائتمانية/الخصم المباشر/الدفع المسبق من شركات البطاقات الرئيسة وهي: (فيزا، ماستركارد، جي سي بي، ديسكفر وأمريكان إكسبريس). تتم إدارة معيار PCI من قبل مجلس معايير تأمين صناعة بطاقات الدفع في دولة الإمارات، وهو ما تم تكليفه أيضاً من قبل البنك المركزي.
يحدد معيار أمان بيانات صناعة بطاقات الدفع (PCI DSS) ست غايات أساسية ويشرحها:
1. يجب التأكد من الحفاظ على أمان الشبكة التي تتم من خلالها المعاملات، ولذلك يجب استخدام جدران حماية قوية بشكل كافي لتقوم بدورها بفعّالية بدون أن تتسبّب بمتاعب إضافية لحاملي البطاقات أو البائعين. تتوفر جدران الحماية المتخصّصة للشبكات المحلية اللاسلكية، التي تكون معرضة بشكل كبير للتنصت والهجمات من قبل “الهاكرز”. بالإضافة إلى ذلك، يجب ألا تتضمن بيانات المصادقة مثل أرقام التعريف الشخصية (PIN) وكلمات المرور الإعدادات الافتراضية التي يوفرها البائعون، ويجب أن يتمكّن العملاء من تغيير هذه البيانات بشكل متكرر وبسهولة.
2. يجب حماية معلومات حامل البطاقة أينما يتم حفظها، كما يجب أن تكون أماكن الحفظ التي تحتوي على بيانات حيوية مثل تواريخ الميلاد والاسم الثاني للأمهات قبل الزواج وأرقام الضمان الاجتماعي وأرقام الهواتف وعناوين البريد الإلكتروني آمنة ضد القرصنة. عندما يتم نقل بيانات حامل البطاقة عبر الشبكات العامة، يجب تشفير تلك البيانات بطريقة فعّالة، ويعد التشفير الرقمي مهماً في مختلف معاملات البطاقات الائتمانية، وخاصة في التجارة الإلكترونية والمشتريات التي تتم عبر الإنترنت.
3. يجب حماية الأنظمة من أنشطة “الهاكرز” باستخدام برامج مكافحة الفيروسات التي يتم تحديثها بشكل متكرر وبرامج مكافحة التجسس وغيرها من حلول مكافحة البرامج المؤذية. يجب أن تكون جميع التطبيقات خالية من الأخطاء ونقاط الضعف التي قد تفتح الباب للاستغلال الذي قد يتم فيه سرقة بيانات حامل البطاقة أو تغييرها. يجب تثبيت التحديثات التي يقدمها مقدمو البرامج وأنظمة التشغيل باستمرار لضمان إدارة الثغرات الأمنية على أعلى مستوى.
4. يجب تقييد إمكانية الحصول على معلومات وعمليات النظام والتحكّم فيه، وألا يضطر حاملو البطاقات إلى تقديم معلومات للشركات إلا إذا كانت معرفة تلك المعلومات تصب في مصلحة الحماية وتنفيذ المعاملات بفعالية. يجب تعيين اسم أو رقم تعريف مميز وسري لكل شخص يستخدم جهاز كمبيوتر في النظام، ويجب حماية بيانات حامل البطاقة مادياً وإلكترونياً. تشمل أمثلة الحماية المادية الحذر في استخدام آلات تمزيق المستندات وتجنّب نسخ المستندات الورقية غير الضروري ووجود الأقفال والسلاسل في حاويات القمامة لمنع المحتالين الذين قد يفتشون في سلة المهملات.
5. يجب مراقبة الشبكات واختبار كفاءتها باستمرار للتأكد من أن جميع الإجراءات والعمليات الأمنية فعّالة وتقوم بدورها بطريقة صحيحة ويتم تحديثها دائماً. على سبيل المثال، يجب تزويد برامج مكافحة الفيروسات وبرامج التجسس بأحدث التعريفات والتوقيعات. يجب أن تقوم هذه البرامج بفحص جميع البيانات المتبادلة وجميع التطبيقات وجميع بيانات ذاكرة الوصول العشوائي (RAM) وجميع وسائط التخزين بشكل متكرّر والأفضل بشكل مستمر.
6. يجب تحديد سياسة أمن المعلومات الرسمية والحفاظ عليها واتباعها في جميع الأوقات ومن قبل جميع الجهات المشاركة.