استاندارد امنیت داده های برنامه های پرداخت PCI PA –DSS
عصر بانک؛PA-DSS مخفف Payment Application –Data Security Standard و استاندارد امنیت داده های برنامه های کاربردی پرداخت بوده و در راستای حفظ امنیت داده ها در نرم افزارهای کاربردی لازم است که این برنامه ها عملیات ذخیره سازی و پردازش و انتقال دو گونه داده شامل داده های دارنده کارت (مانند نام دارنده کارت و PAN) و داده های احراز هویت (ماند اطلاعات شیار2و CVV2)کارت پرداخت را با پشتیبانی از استاندارد PA-DSS انجام دهند.
استاندارد امنیت داده های برنامه های پرداخت PCI PA –DSS
رعایت این استاندارد ها در محدوده زیر تعریف می شود:
Ø توابع و اجزای پرداخت (End-to-End)
Ø ورودی و خروجی
Ø شرایط خطا
Ø رابطه کاربر و ارتباط با سایر سیستم ها ،فایل ها ،برنامه های پرداختی
Ø جریان داده های دارنده کارت
Ø مکانیزم های رمز نگاری
Ø مکانیزم های احراز هویت
اطلاعات کاربردی از PCI DSS:
PCI DSS توسط همه نهادهای درگیر در پردازش کارت پرداخت از جمله پذیرندگان ،پردازنده ها،بانک های پذیرنده ،صادرکنندگان ،و ارائه دهندگان خدمات و سایر نهادهای درگیر در ذخیره ،پردازش، و یا انتقال اطلاعات دارنده کارت و / یا داده های حساس احراز هویت کاربرد دارد.
اطلاعات دارنده کارت احراز هویت به صورت زیر تعریف می شود:
|
اطلاعات حساب |
|
|
اطلاعات دارنده کارت |
اطلاعات حساس احراز هویت |
|
Ø Primary Account Number (PAN) Ø نام دانده کارت Ø تاریخ انقضاء Ø کد سرویس |
Ø اطلاعات کامل مسیر (اطلاعات نوار مغناطیسی یا معادل آن بر روی یک تراشه) Ø CID /CVV2/CNC2/CAV2 Ø PIN/PIN Block |
|
|
نوع اطلاعات |
مجوز ذخیره |
ذخیره اطلاعات به صورت ناخوانا طبق الزام PA-DSS 3-2 |
||
|
اطلاعات حساب |
اطلاعات دارنده کارت |
Primary account number(PAN) |
دارد |
دارد |
|
|
نام دارنده کارت |
دارد |
ندارد |
|||
|
Service Code |
دارد |
ندارد |
|||
|
تاریخ انقضاء |
دارد |
ندارد |
|||
|
اطلاعات حساس احراز هویت |
اطلاعات کامل مسیر |
ندارد |
طبق الزام 1-1 PA DSSنمی تواند ذخیره شود |
||
|
CAV2/CVC2/CVV2/CID |
ندارد |
طبق الزام 1-1 PA –DSS نمی تواند ذخیره شود. |
|||
|
PIN/PIN Block |
ندارد |
طبق الزام 1-1 PA DSS نمی تواند ذخیره شود. |
|||
الزامات استاندارد PA-DSS
این استاندارد 14 الزام برنامه های کاربردی پرداخت برای هرکسب و کاری ،اعم از فروشندگان نرم افزار ،شرکت های ارائه دهنده خدمات پرداخت ،بانک ها و مشتریان در نظر گرفته است که این الزامات ،یک چارچوب کاری برای محیط امن برنامه کاربردی پرداخت را تعریف می کند.این الزامات ،عبارتند از:
|
الزامات PA – DSS
|
|
الزام 1:اطلاعات کامل،از جمله کد یا مقدار امنیتی کارت (CAV2,CID,CVC2,CVV2) و یا اطلاعات PIN Block نگهداری نشود.
|
|
الزام 2:از اطلاعات ذخیره شده دارنده کارت محافظت گردد.
|
|
الزام 3:ویژگی احراز هویت امن ارائه شود.
|
|
الزام 4:فعالیت های برنامه کاربردی پرداخت ثبت گردد.
|
|
الزام 5 :برنامه های کاربردی پرداخت امن ایجاد شود.
|
|
الزام 6:از انتقال بی سیم محافظت شود.
|
|
الزام 7:برنامه های کاربردی پرداخت جهت شناسایی آسیب پذیری ها تست و آپدیت شود.
|
|
الزام 8:پیاده سازی شبکه امن تسهیل شود.
|
|
الزام 9:اطلاعات دارنده کارت نباید هرگز در سرور متصل به اینترنت ذخیره شود.
|
|
الزام 10:دسترسی امن از راه دور به برنامه کاربردی پرداخت تسهیل شود.
|
|
الزام 11:ترافیک حساس بر روی شبکه های عمومی رمزگذاری گردد.
|
|
الزام 12:تمام دسترسی های مدیریتی غیر کنسول و رمزگذاری شود.
|
|
الزام 13:الزامات پیاده سازی PA-DSS برای مشتریان ،فروشندگان و یکپارچه سازان ارائه شود.
|
|
الزام 14:مسئولیت PA-DSS برای پرسنل اختصاص یافته،و برنامه های آموزشی برای پرسنل ،مشتریان ،نمایندگان فروش و یکپارچه سازان ارائه گردد. |