سیستم استانداردهای PCI DSS
سیستم استانداردهای PCI DSS:
سوالی که همواره مطرح می شود این است که اصولا چرا نیاز به سیستم امنیتی داریم؟شاید همین سه دلیل ساده که در ذیل بیان می شوند، برای تبیین این قضیه کافی باشند:
1)الزامات قانونی
در صورتی که تحت حمله های اطلاعاتی قرار گیریم،طرحهای از پیش برنامه ریزی شده یا احتمالی ما باید تحت نظارت دقیق قرار گیرند.سلامت و مقررات امنیت کاری مسئولیت مراقبت از کارکنان و مراجعان را بر عهده مالکان تشکیلات قرار می دهد.گرچه مالکان می توانند از راهنماییهای پلیس و یا دیگر متخصصان نیز بهره گیرند،مسئولیت نتایج حاصل شده از اجرای طرحهای پیشنهادی آنها کماکان بر عهده مالکان است.در صورت هر گونه رسیدگیهای بعدی یا اقدامات قضایی ، لازم است نشان دهید که همه مسائل قانونی را در نظر گرفته اید.
2)ادامه کسب و کار
باید بتوانیم اطمینان حاصل کنیم که کسب و کار ما قادر است در برابر حملات دوام آورده،مجددا به حالت عادی بازگردد.این امر بویژه برای کسب و کارهای کوچکترکه قادر نیستند حتی چند روز بدون کار کردن دوام آورند،بسیار مهم است.
3)کاهش شهرت:
در صورتی که پس از یک حمله کسب و کار یا سازمان شما نتواند مسئولیتهی قانونی خود را پیوسته به انجام برساند،ممکن است به شهرت شما لطمه وارد شود.
PCI DSS چیست؟(Payment Card Industry Data Security Standard)
PCI DSS مجموعه است جامع از آنچه برای ارتقای سیستم امنیتی داده های مربوط به حسابهای پرداختی نیاز داریم و توسط موسسین سیستم پرداختهای مارکهای تجاری شورای استانداردهای امنیتی PCI ایجاد شده است که از میان آنها می توان به سازمانهایی مانند American Express ، Discover Financial Cervices ، JCB International و MasterCard Worldwide Inc. اشاره نمود.هدف PCI DSS کمک جهت تسهیل روند اتخاذ تمهیدات امنیتی مربوط به داده های پایدار در یک جامعه جهانی است.
PCI DSS نوعی استاندارد امنیتی چندوجهی است که شامل نیازمندیهایی برای مدیریت امنیت،سیاستها،رویه ها،معماری شبکه،طراحی نرم افزار و دیگر تمهیدات حفاظتی حساس می شود.این استاندارد جامع،کمک به سازمانها را جهت حفاظت داده های مربوط به حسابهای مشتریان آنها را به عنوان هدف خود در نظر می گیرد.
شورای استانداردهای امنیتی PCI ، سیستم PCI DSS را در صورت نیاز ارتقا خوهد داد تا اطمینان حاصل شود که این استاندارد همه نیازهای نوین برای کاهش ریسکهای مربوط به پرداخت را در بر گیرد ضمن این که تشویق سازمانها را برای پیروی از این استانداردها را نیز فراموش نخواهد کرد.
توسعه مداوم استانداردها باعث به دست آوردن بازخورد از فعالیتهای رقبا یا سازمانهای دیگری می شود که در زمینه کاری ما فعالیت می کنند.این مساله باعث می شود سرمایه گذاران کلیدی تشویق شوند تا هنگام ایجاد ویا مرور ضمایم پیشنهادی ویا بهینه سازی PCI DSS داده های لازم را تامین نمایند.
بدنه اصلی PCI DSS شامل گروهی از اصول و نیازهای مربوطی است که عناصر اصلی DSS حول آنها سازماندهی می شوند:
اصل 1:ایجاد و حفظ شبکه ای ایمن
نیازمندی 1: جهت محافظت از داده های مربوط به دارندگان کارتها یک ترکیب Fire wall نصب کنید.
نیازمندی 2: تنظیمات از پیش تعیین شده فروشندگان را به عنوان رمز عبور سیستم و دیگر پارامترهای امنیتی استفاده نکنید.
اصل 2:حفاظت داده های مربوط به دارندکان کارتها
نیازمندی 3: ازداده های ذخیره شده مربوط به دارندگان کارتها محافظت کنید.
نیازمندی 4: نقل و انتقال داده های مربوط به دارندگان کارتها را در محیط عمومی به رمز در آورید.
اصل 3:برقراری یک برنامه مدیریت آسیب پذیری
نیازمندی 5: برنامه های ضد ویروس به کار برده پیوسته آنها را به روز کنید.
نیزمندی 6: یک سیستم و برنامه های کاربردی ایمن ایجاد کنید.
اصل 4:تمهیداتی قوی برای کنترل دسترسیها
نیازمندی7: دسترسی به اطلاعات مربوط دارندگان کارتها را به همان حدی که برای ادامه کسب و کار لازم است محدود کنید.
نیازمندی 8: یک ID منحصر به فرد به هر شخص که به کامپیوترها دسترسی دارد اختصاص دهید.
نیازمندی 9: دسترسی فیزیکی به اطلاعات مربوط دارندگان کارتها را محدود کنید.
اصل 5:پایش و آزمایش مداوم شبکه ها
نیازمندی 10: هرگونه دسترسی به منابع اطلاعاتی شبکه و اطلاعات مربوط دارندگان کارتها را مورد تعقیب و پایش قرار دهید.
نیازمندی 11: سیستمها و روند های امنیتی را به طور مداوم مورد آزمایش قرار دهید.
اصل 6:اتخاذ یک سیاست امنیت اطلاعات
نیازمندی 12: سیاستی اتخاذ کنید که امنیت اطلاعات در آن لحاظ شود.
چه لزومی در به کارگیری PCI DSS وجود دارد؟
احتمالا بر هر کسی که این مقاله را می خواند آشکار است که امروزه نیاز دارندگان کارتهای اعتباری به امنیت اطلاعاتشان به طرز غیر قابل باوری افزایش یافته است.بازتاب این نیازها در استاندارد های امنیتی داده های مربوط به صنعت پرداختهای کارتی(PCI DSS) متبلور است.همان گونه که انتظار می رود بازرگانان از همه بیشتر در این باره شکایت دارند.چراکه از همه بیشتر تحت تاثیر استانداردهای جدید قرار دارند که البته این مساله دور از انتظار هم نیست. هیچ کس تمایلی ندارد پولی صرف سیستم امنیت اطلاعاتی کند که نیازی به آن ندارد.پس پرسش اصلی این است:"آیا واقعا نیازی به PCI DSS هست یا نه"؟ به نظر می رسد که یک نگاه ساده به بازار برای مشاهده اطلاعات مسروقه حساس و یا در معرض خطر به وضوح نشان می دهد که PCI DSS جدا ضروری است بلکه چه بسا کافی هم نباشد!
یکی از بهترین مطالعات انجام شده در زمینه اطلاعات مسروقه حساس و یا در معرض خطر
توسط Jason Franklin ،Vern Paxson،Adrian Perrig و Stefan Savage انجام شده است.عنوان مقاله آنها که دربرگیرنده تحقیقات و آموزه های آنهاست عبارت است از "مروری بر طبیعت و علل دستیابی به ثروت از طریق جرائم اینترنتی".یکی از گرافهای این مقاله معمولترین انواع اطلاعاتی که از سوی مجرمین اینترنتی برای فروش آنها تبلیغ شده بود نشان می دهد.
گرافی بدین شکل:
همان گونه که روی این گراف هم می بینیم اطلاعات کارتهای اعتباری به طور گسترده ای در دسترس هستند.خیلی بیشتر از شماره های امنیت اجتماعی یا PIN کد های ATM و آن هم با نسبت بیست به یک! این امر بیانگر آن است که ایمنی اطلاعات کارتهای اعتباری باید خیلی بیش از آنچه در حال حاضر است باشد.
در این راستا به کارگیری PCI DSS می تواند گام ابتدایی مناسبی باشد گرچه حتی پیروی از آخرین نسخه های PCI DSS تضمینی بر این نیست که اطلاعات کارتها مفقود نشده یا به سرقت نخواهند رفت.مانند همان اتفاقی که سیستم پرداختهای هانافورد روی داد.هانافورد به دقت از PCI DSS پیروی نمود ولی باز هم هکرها توانستند به سیستم این شرکت نفوذ نموده اطلاعات میلیونها کارت اعتباری را سرقت کنند.
سلسله مراتب دسترسی بازرگانان به PCI DSS و سطوح PCI :
الزامات اتخاذ این استاندارد بستگی به میزان فعالیتهای بازرگانان دارد.در این رابطه چهار سطح بر اساس میزان تراکنشهای سالانه کارتها تعریف می شود.مارکهای تجاری میزان مورد نیاز خود از این سیستم را به ارائه دهندگان این خدمات اعلام می کنند.حال آن که خدمت دهندگان نیز موظفند نیازمندیهای لازم برای هر سطح را به درخواست کنندگان اعلام دارند.میزان دستیابی به این استاندارد بر اساس سلسله مراتب زیر بر اساس میزان فعالیتهای کارتهای هر شرکت به شکل زیر تعریف می شود و این امر بستگی به این ندارد که تراکنشها صرفا مربوط به تجارت الکترونیکی باشند یا در کانالهای دیگر انجام گرفته باشند.چرا که درباره این امر جداگانه از سوی خود سیستم پرداختی مارکهای تجاری تصمیم گیری می شود.گرچه در کل همه انواع تراکنشها در نظر گرفته خواهند شد.
سطح اول:
بازرگانانی که سالانه بیش از 6 میلیون تراکنش در سال دارند یا بازرگانانی که اطلاعات آنها در معرض خطر است.
نیازمندیهای تایید سطح اول:
اطلاعات ممیزی امنیتی روی سایت سازمان موجود باشند(در صورتی که تحت امضای نماینده بازرگانی شرکت باشد لازم است از سوی مراجع ارزیابی ذی صلاح(QSA ها) و یا ممیزان داخلی نیز مورد تایید قرار گیرند) و هر سه ماه یک بار نیز شبکه امنیتی مورد پیمایش قرار گیرد.
سطح دوم:
بازرگانانی که میان 1 میلیون تا 6 میلیون تراکنش در سال انجام می دهند.
نیازمندیهای تایید سطح دوم:
اجرای طرح خود ارزیابی سالانه
پیمایش سیستم هر سه ماه یک بار توسط متخصصان ذی صلاح پایش عملکرد فروش(ASV ها).
سطح سوم:
بازرگانانی که در سال میان 20 هزار تا 1 میلیون تراکنش در سال انجام میدهند.
نیازمندیهای سطح سوم:
پیمایش سیستم هر سه ماه یک بار توسط متخصصان ذی صلاح پایش عملکرد فروش(ASV ها).
اجرای طرح خود ارزیابی سالانه
سطح چهارم:
بازرگانانی که در سال کمتر از 20 هزار تراکنش در سال انجام می دهند.
نیازمندیهای سطح چهارم:
اجرای طرح خود ارزیابی سالانه
پیمایش سیستم هر سه ماه یک بار توسط متخصصان ذی صلاح پایش عملکرد فروش(این امر ممکن است لازم باشد یا از سوی متخصصان پیشنهاد شود که بستگی به توصیه خدمت دهنده دارد).
سلسله مراتب ارائه PCI DSS از سوی سرویس دهندگان
یک سرویس دهنده(Service Provider) سازمانی است که به امور پردازش،ذخیره،انتقال و جابجایی داده های مربوط به تراکنشها یا دارندگان کارتها اشتغال دارد ولی خود یک بازرگان یا عضو مارکهای تجاری کارتها نیست.
نیازمندیهای اولیه برای اجازه استفاده از خدمات سرویس دهندگان توسط شرکت ارائه دهنده خدمات پرداختی تعیین می شود.ارائه دهندگان Visa Card و Master Card
سرویس دهندگان را بر اساس حجم تراکنشها و یا نوع سرویس دهنده طبقه بندی می کنند.
سطح اول:
ویزا-همه انواع پردازشگرهای ویزانت و دروازه های پرداختی(payment gateways)
مسترکارت- همه پردازشگرهای برونسپاری شده(TPP ها)،همه انواع ذخیره سازهای اطلاعاتی(DSE ها( که سالانه مجموعا بیش از 1 میلیون تراکنش ترکیبی Master Card و Maestro انجام میدهند.
نیازمندیهای لازم برای به کارگیری سطح اول:
ویزا و مسترکارت- بررسی سالانه سازمان توسط QSA ها و پایش آن هر سه ماه یک بار از سوی ASV ها.
سطح دوم:
ویزا- سرویس دهندگانی(نمایندگان) که شامل سطح اول نشده اند و سالانه بیش از 1 میلیون حساب یا تراکنش را ذخیره می کنند
مسترکارت- همه DSE هایی سالانه در مجموع کمتر از 1 میلیون تراکنش ترکیبی Master Card و Maestro را منتقل و یا پردازش میکنند
نیازمندیهای لازم برای به کارگیری سطح دوم:
ویزا- بررسی سالانه سازمان توسط QSA ها و پایش آن هر سه ماه یک بار از سوی ASV ها.
مسترکارت- اجرای طرح خود ارزیابی سالانه و پایش آن هر سه ماه یک بار از سوی ASV ها.
سطح سوم:
ویزا- سرویس دهندگانی(نمایندگان) که شامل سطح اول نشده اند و سالانه کمتر از 1 میلیون حساب یا تراکنش را ذخیره می کنند
نیازمندیهای لازم برای به کارگیری سطح سوم:
ویزا- اجرای طرح خود ارزیابی سالانه و پایش آن هر سه ماه یک بار
گستره PCI DSS
PCI DSS را می توان برای هر انباره اطلاعاتی که کارت استفاده می کند،به کار برد که می توان از میان آنها به مواردی مانند دیسک گردان،فلاپی دیسک،نوارهای مغناطیسی ومنابع ذخیره فایلهای پشتیبان اشاره نمود.همچنین رسیدهای چاپی کارتهای اعتباری و خرید را نیز می توان در این مجموعه قرار داد که شماره کامل کارت روی آن چاپ شده است.بازرگانان این رسیدها را گاهی به عنوان یک شرح مکتوب از تراکنشها ویا صدور اسناد المثنی به کار می برند.همچنین اگر درخواست اطلاع رسانی انجام گیرد می توان آنها را به عنوان سندی برای اثبات صحت تراکنشها به کار برد.شماره کارتها باید به طور کامل ثبت شوند از این رو از این رسیدها باید بخوبی محافظت شود.
PCI DSS و ISO/IEC 27001
با آن که استاندارد PCI DSS برای همخوانی با ISO27001 ، ISO17799، CobiT یا هر زمینه موجود کاری نوشته نشده است،با این همه به وضوح با زمینه کاریISO 17799(ISO27002 کنونی) مطابقت دارد و سازمانهایی که ISO17799 ISMS را اجرا نموده اند با کمترین اقدامات اضافی قادر خواهند بود استاندارد PCI DSS را نیز دنبال نمایند.برای اطلاع بیشتر می توانید به لینک Nine Steps to Success در سایتhttp://www.itgovernance.co.uk مراجعه کنید.در این لینک توصیح داده می شود که چگونه می توان ISO27001 را به اجرا گذاشت تا زمینه مدریت حفاظت اطلاعات بهتری حاصل شود که نیازمندیهای لازم برای اجرای PCI DSS را نیز در بر گیرد.
سوالات رایج(از وب سایت PCI DSS)
@پرسش: اگر من PCI DSS را اجرا نکنم چه تاثیری بر کسب و کار من خواهد داشت؟
*پاسخ:"شورای استانداردهای امنیتی PCI DSS کلیه کسب و کارهایی را که اطلاعات حسابهای پرداختی را ذخیره می کنند تشویق می نماید از PCI DSS پیروی کنند.چرا که این امر خطرات اقتصادی و تجاری آنه را که حسابهای پرداختی می شود کاهش می دهد.شورای استانداردهای PCI DSS هیچ سازمانی را ملزم به پیروی از PCI DSS ننموده،هیچ نتیجه ای را نیز در صورت عدم پیروی از آن به سازمانها تحمیل نمی کند.با این همه سازمانهایی که از این استانداردها پیروی می کنند نسبت به آنها که پیروی نمی کنند ممکن است نتایج متفاوتی تجربه نمایند".
@پرسش:یک بازرگان تا چه مدت باید از نسخه 2ر1 PCI DSS پیروی کند؟
*پاسخ:"مارکهای تجاری پرداخت نیازمندیها و دوره های زمانی ویژه خود را برای شخصیتهای حقیقی و حقوقی خود در نظر می گیرند.مانند آنچه به بازرگانان جهت پیروی از این استاندارد امر می کنند".
@پرسش:آیا ممکن است یک شخصیت حقیقی یا حقوقی که از پیرو PCI DSS اولیه است ولی از نسخه 2ر1 آن پیروی نمی کند جریمه شود؟
*پاسخ:"همه برنامه هایی که شامل جرمه ها هستند ولی محدود به آنها نمی باشندشخصا و صرفا از سوی خود برندها مدیریت می شوند".
@آیا طرحی برای تسهیل همکاری بازرگانانی که فعالیت آنها کم یا محدود است وجود دارد؟
پاسخ:"برای اینکه همه بازرگانان پیروان نسخه 2ر1 PCI DSS شناخته شوند لازم است همگی از یک استاندارد پیروی کنند.اقدام برای پیروی بسته به حجم کاری بازرگانان متفاوت است و بر اساس سطحی که خود مارک پرداخت شخصا در نظر می گیرد تعیین می شود.شورای استانداردهای امنیتی PCI DSS از تلاشهای آتی سازمانها که به هدف هدایت تکنیکی و خود ارزیابی صورت گیرد پشتیبانی می کند".
منابع:
( http://www.cpni.gov.uk/SecurityPlanning/whysecurityplanning.aspx )
( https://www.pcisecuritystandards.org/security_standards/pci_dss.shtml )
( http://superconductor.voltage.com/2009/01/why-pci-dss.html )
(http://www.itgovernance.co.uk/pci_dss.aspx )
(http://www.visaeurope.com/personal/onlineshopping/verifiedbyvisa/main.jsp)
(http://www.mastercard.com/us/merchant/security/what_can_do/SecureCode/index.html)