همه چیز درباره استاندارد بین المللی PCI SSC که باید شرکتهای PSP ها بدانند
عصر بانک؛استاندارد (PCI (Payment card industry security standard council استاندارد بین المللی است که با هدف حفظ امنیت اطلاعات پرداخت ،تعریف شده و مورد استفاده قرار می گیرد.این استاندارد شامل مجموعه ای از الزامات امنیتی برای حفظ و نگهداری اطلاعات کارت است . اعضای پذیرندگان و PSSها بایستی قوانین آن را رعایت نمایند. از سال 2006 کمیته ای برای پیاده سازی ، نگهداری و مدیریت استاندارد های امنیتی PCI شروع به فعالیت نموده است.
استاندارد بین المللی PCI SSC
اعضای موسس این استاندارد شرکت های American express, JCB,Master Card,Visa Inc , Discover Financial Services می باشند. این فعالیت ها در چهار بخش اصلی به شرح ذیل انجام می گیرد:
1)( PCI DSS,(PCI Data Security Standard
2) PCI PTS(PIN Transaction Security ) requirements
3) (PCI PA- DSS (Payment Application Data Security Standard
4)PCI P2PE ( Point –to – Point Encryption ) Standard
1)استاندار امنیت داده (PCI DSS(PCI Data security standard
استاندارد ایمنی صنعت کارت پرداخت و استاندارد امنیت اطلاعات می باشد که برای سازمان هایی که با اطلاعات دارندگان کارت های دستگاه پایانه فروش ،خودپرداز،کیف پول الکترونیک (e-purse) ، پیش پرداخت شده (prepaid) ،اعتباری و نقدی سروکار دارند طراحی شده است.
2)استاندارد امنیت داده های برنامه های کاربردی (PA-DSS(Payment Application –Data Security Standard
PA-DSS مخفف Payment Application – Data Security Standard و استاندارد امنیت داده های برنامه های کاربردی پرداخت بوده و در راستای حفظ امنیت داده ها در نرم افزارهای کاربردی لازم است که این برنامه ها هملیات ذخیره سازی و پردازش و انتقال دو گونه داده شامل داده های دارنده کارت (مانند نام دارنده کات و PAN) و داده های احراز هویت (مانند اطلاعات شیار 2 و CVV2) کارت پرداخت را با پشتیبانی از استاندارد PA-DSS انجام دهند.
3)امنیت تراکنش احراز هویت (PTS(PIN Transaction security
این بخش از استاندارد از اولویت های استراتژیک PCI محسوب می شود و هدف اصلی آن حفاظت از PIN می باشد.
در این خصوص سه نوع دستگاه مورد نظر می باشد:
- ( PED(PIN Entry device ،شامل انواع ترمینال هایی که توسط پذیرنده ها جهت تراکنش های کارت استفاده می گردد.
- ( EPP(Encrypting PIN PAD ، بخشی از پایانه ها از نوع غیرحضوری مانندATM (Automated teller machine ) که جهت ورود از رمز استفاده می گردد.
- اجزاء امن پایانه های فروش مانند کارت خوان های امن و دستگاه های مربوط به ورود رمز دارنده کارت می باشد.
4)استاندارد رمزگذاری نقطه به نقطه point to point Encryption) PCI P2PE Standard)
استاندارد رمزگذاری نقطه به نقطه (P2PE)مجموعه ای جامع از نیازمندی های امنیتی را برای ارائه دهندگان راهکار P2PE جهت اعتبار بخشی به راهکار P2PE خود و کاهش دامنه PCI DSS فراهم میکند. P2PE یک برنامه عملکرد متقابل در استاندارد PTS,PA-DSS,PCI DSS و استاندارد امنیت PCI PIN است.
منبع: کتاب مجموعه استانداردهای امنیتی پرداخت الکترونیک PCI