همه چیز درباره استاندارد امنیت داده PCI DSS) Data Security Standards)

در 2 آبان , 1395

این استاندارد در 6 اصل مشخص ،12 الزام را برای هر کسب و کاری ،اعم از فروشندگان،شرکت های ارائه دهنده خدمات کارت و بانک ها که اطلاعات دارندگان کارت های پرداخت را ذخیره ،پردازش و یا منتقل می کنند ،در نظر گرفته است.

عصر بانک؛ PCI DSS مجموعه جامعی از قوانین است که برای ارتقاء سیستم امنیتی داده های مربوط به صنعت کارت های پرداخت وضع گردیده و هدف آن، کمک جهت تسهیل روند اتخاذ تمهیدات امنیتی مربوط به داده های پایدار در یک جامعه جهانی است.این استاندارد توسط موسسین سیستم پرداخت برندهای تجاری شورای استانداردهای امنیتی PCI ایجاد شده است که از میان آنها می توان به سازمان های بزرگ پرداخت الکترونیکی همچون American Express،Discover Financial Cervices،JCB international وMasterCard Worldwide Inc اشاره نمود.

همه چیز درباره استاندارد امنیت داده

PCI DSS یک استاندارد امنیت اطلاعات است که هر کسب و کاری با هر حد و اندازه ،برای استفاده از کارت های پرداخت و همچنین ذخیره سازی،پردازش ویا ارسال اطلاعات صاحب کارت باید آن را دریافت نماید. بنابراین ،اخذ استاندارد امنیت اطلاعات صنعت کارت های پرداخت،برای فروشندگانی که از فناوری کارت پرداخت در سیستم فروش خود استفاده می کنند و شرکت هایی که اطلاعات شخصی دارندگان این نوع کارت را پردازش می نمایند،یک موضوع مهم و ضروری می باشد.

این استاندارد جامع ،در واقع نوعی استاندارد امنیتی چندوجهی است که شامل نیازمندی هایی برای مدیریت امنیت ،سیاست ها ،رویه ها،معماری شبکه ،طراحی نرم افزار و دیگر تمهیدات حفاظتی حساس بوده و کمک به بانک ها و موسسات مالی ،جهت حفاظت از داده های مربوط به حساب های مشتریانشان را به عنوان هدف خود در نظر می گیرد.

استاندارد PCI DSS با زمینه کاری استاندارد ISO 17799 و ISO 27002 مطابقت داشته و سازمان هایی که در زمینه کارت های پرداخت فعالیت دارند و استاندارد ISO 17799 سیستم مدیریت امنیت اطلاعات (ISMS) را قبلا اجرا نموده اند با کمترین اقدامات اضافی قادر خواهند بود تا استاندارد PCI DSS را نیز در سازمان خود به منظور مدیریت بهتر حفاظت اطلاعات پیاده سازی نمایند.

الزامات و اهداف استاندارد PCI DSS

به گزارش عصربانک ؛ این استاندارد در 6 اصل مشخص ،12 الزام را برای هر کسب و کاری ،اعم از فروشندگان،شرکت های ارائه دهنده خدمات کارت و بانک ها که اطلاعات دارندگان کارت های پرداخت را ذخیره ،پردازش و یا منتقل می کنند ،در نظر گرفته است که این ملزومات یک چهارچوب کاری برای محیط امن پرداخت کارتی را تعریف می کند.این الزامات،عبارتند از:

اهداف	الزامات PCI DSS
هدف 1:ایجاد و حفظ یک شبکه و سیستم امن	الزام 1:نصب سیتم های Firewall جهت حفاظت ازاطلاعات مربوط به دارندگان کارت های پرداخت الکترونیک الزام 2:عدم استفاده از تنظیمات پیش فرض انجام شده توسط فروشندگان و سازندگان تجهیزات مانند رمز عبور و دیگر پارامترهای امنیتی
هدف2:حفاظت از اطلاعات دارنده کارت	الزام 3:محافظت از داده های ذخیره شده مربوط به دارندگان کارت ها الزام 4:رمزنگاری نقل و انتقال اطلاعات دارندگان کارت ها در شبکه های باز و عمومی
هدف 3 : استفاده از برنامه های مدیریت آسیب پذیری	الزام 5:حفاظت از کل سیستم دربرابر بدافزارها و نصب نرم افزار Antivirus و به روز رسانی مداوم آن الزام 6:توسعه و نگهداری سیستم های ایمن و برنامه های کاربردی امن
هدف 4:اعمال تمهیدات قوی در کنترل دسترسی ها	الزام7: محدود کردن دسترسی به اطلاعات دارندگان کارت ها در حداقل احتیاج هر کسب و کار الزام 8:شناسایی و احراز هویت دسترسی به اجزای سیستم الزام 9:محدودکردن دسترسی فیزیکی به اطلاعات دارندگان کارت
هدف5:پایش و ارزیابی مداوم شبکه	الزام 10: پایش و ردیابی مداوم هرگونه دسترسی به منابع اطلاعاتی،تجهیزات شبکه و همچنین اطلاعات مربوط به دارندگان کارت ها الزام11:ارزیابی منظم و قاعده مند امنیت سیستم ها و فرآیندهای امنیتی لحاظ شده
هدف 6 :اتخاذ یک سیاست امنیت اطلاعات	الزام 12 :سیاستی اتخاذ شود که خط مشی های امنیت اطلاعات در آن برای تمام پرسنل مشخص گردد

/کتاب مجموعه استادندارهای امنیتی پرداخت الکترونیک PCI

امنیت داده