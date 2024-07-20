معيار أمن بيانات صناعة بطاقات الدفع 4.0.1 (PCI DSS 4.0.1) هو مجموعة من متطلبات الأمن لحماية بيانات حامل البطاقة -أرقام الحساب الرئيسية (PAN) والأسماء وتواريخ الانتهاء ورموز الخدمة- وجميع المعلومات الحساسة الأخرى المتعلقة بحامل البطاقة طوال دورة حياتها.
ينطبق معيار PCI DSS الإصدار 4.0.1 على أي تاجر أو مزوِّد خدمة أو أي مؤسسة أخرى تقوم بتخزين أو معالجة أو نقل بيانات حامل البطاقة، وكذلك على أي مؤسسة مرتبطة بالأنظمة التي تخزِّن هذه البيانات أو تعالجها أو تنقلها. (يُشار إلى هذه الأنظمة باسم بيئة بيانات حامل البطاقات، أو CDE). يحدِّد PCI DSS الضوابط الأمنية المفصلة والعمليات والاختبارات التي يجب على المؤسسات تنفيذها لحماية بيانات حامل البطاقة. تغطي هذه الإجراءات الأمنية مجموعة واسعة من المجالات الوظيفية داخل بيئة بيانات حامل البطاقة، بما في ذلك معاملات التجارة الإلكترونية وأنظمة نقاط البيع ونقاط الاتصال اللاسلكية والأجهزة المحمولة والحوسبة السحابية وأنظمة التخزين الورقية.
يتطلب الامتثال لمعايير PCI DSS من التجار ومقدِّمي الخدمات تقديم تقارير سنوية، إضافةً إلى تقارير أخرى بعد أي تغييرات جوهرية في بيئة بيانات حامل البطاقة (CDE). يشمل التحقق من الامتثال أيضًا التقييم المستمر للوضع الأمني للمؤسسة، والمعالجة المستمرة لسد أي فجوات في السياسات أو التقنيات أو الإجراءات الأمنية.
قد يتم تقييم المؤسسات ومقدِّمي الخدمات من قِبل مقيِّم أمني معتمد QSA يُصدر شهادة الامتثال AOC بعد إتمام التقييم بنجاح.
تم إصدار النسخة الأولى من معيار PCI DSS في عام 2004 من قِبل العلامات التجارية للبطاقات الائتمانية American Express وDiscover وJCB International وMasterCard وVisa، والتي شكّلت معًا مجلس معايير أمن صناعة بطاقات الدفع (PCI SSC) لتولي إدارة المتطلبات التقنية للمعيار. في عام 2020، أضاف مجلس PCI SSC رابطة بطاقات الدفع UnionPay إلى عضويته. يتم تحديث PCI DSS بشكل دوري للتصدي لأحدث التهديدات الإلكترونية التي تستهدف بيانات بطاقات الدفع، مثل سرقة الهوية والاحتيال واختراقات أمن البيانات.
تُعَد IBM مزوِّد خدمة من المستوى الأول وفق PCI DSS، ويمكن للعملاء بناء بيئات وتطبيقات متوافقة مع PCI DSS باستخدام IBM Cloud.
العديد من خدمات منصة IBM Cloud يحمل شهادة امتثال PCI DSS (AOC) صادرة عن مقيِّم أمني مؤهل (QSA).
تم إصدار أحدث إصدار من PCI DSS (الإصدار 4.0.1) في يونيو 2024. يجب على المؤسسات تنفيذ هذه المتطلبات الاثني عشر بحلول 31 مارس 2025 لتحقيق الامتثال.
تقدِّم IBM Cloud المجموعة التالية من الخدمات التي تساعدك على تلبية متطلبات PCI DSS المحددة وتسريع رحلة الامتثال الخاصة بك.
IBM Cloud Internet Services (CIS)
توفر خدمات IBM Cloud Internet Services الأمان والأداء الرائدين في السوق لمحتوى الويب الخارجي وتطبيقات الإنترنت قبل وصولها إلى السحابة.
IBM Cloud Direct Link
تساعد سرعة وموثوقية IBM Cloud Direct Link على توسيع شبكة مركز بيانات مؤسستك دون حاجة إلى استخدام الإنترنت العام.
أجهزة IBM Cloud Gateway
أجهزة البوابة هي أجهزة تمنحك تحكمًا محسَّنًا في حركة مرور الشبكة، وتمكِّنك من تسريع أداء الشبكة، وتعزز أمن الشبكة.
IBM Cloud Transit Gateway
يساعدك IBM Cloud Transit Gateway على ربط وإدارة شبكات IBM Cloud Virtual Private Cloud (VPC).
جدار حماية الأجهزة
طبقة أمان أساسية يتم تقديمها عند الطلب دون أي انقطاع في الخدمة.
IBM Security and Compliance Center - Workload Protection
يمكنك اكتشاف الثغرات الأمنية البرمجية وتحديد أولوياتها، والتعرُّف على التهديدات والاستجابة لها، وإدارة التكوينات والأذونات والامتثال من المصدر وحتى التشغيل.
IBM QRadar Suite
يُعدّ IBM QRadar Suite حلًا محدثًا للكشف عن التهديدات والاستجابة لها، حيث تم تصميمه لتوحيد تجربة المحلل الأمني وزيادة سرعته في كل خطوات الحادث بكامله.
IBM Key Protect for IBM Cloud
تساعدك خدمة IBM Key Protect for IBM Cloud على توفير وتخزين المفاتيح المشفرة للتطبيقات عبر خدمات IBM Cloud، ما يتيح لك رؤية وإدارة تشفير البيانات ودورة حياة المفاتيح بالكامل من موقع مركزي واحد.
IBM Security and Compliance Center - Data Security Broker - Manager
حل أمني ضمن مجموعة Security and Compliance Center يوفر سياسات تشفير مركزية وتدقيق للبيانات عبر مصادر البيانات المختلفة.
IBM Cloud Hyper Protect Virtual Servers
وقت تشغيل لحاويات الحوسبة السرية المدارة بالكامل يتيح نشر أعباء العمل الحساسة المعبأة في حاويات في بيئة معزولة للغاية مع ضمان فني.
IBM Cloud Hardware Security Module
حماية البنية التحتية للتشفير من خلال إدارة ومعالجة وتخزين مفاتيح التشفير بشكل أكثر أمانًا داخل جهاز مقاوم للتلاعب.
IBM Security Guardium
برنامج لأمن البيانات ضمن محفظة IBM Security يساعد على الكشف عن الثغرات الأمنية وتأمين البيانات الحساسة في البيئات المحلية والسحابية.
IBM Cloud Storage Services
بيئة قابلة للتوسع وغنية بالأمان وفعَّالة من حيث التكلفة لبياناتك، مع دعم أعباء العمل التقليدية والسحابية الأصلية. توفير ونشر خدمات مثل الوصول إلى الكائنات وتخزين الكتل وتخزين الملفات.
خدمات IBM Cloud Database
تحرير المطورين وفِرق تكنولوجيا المعلومات من المهام المعقدة والمستهلكة للوقت، بما في ذلك نشر وتحديث برامج البنية التحتية وقواعد البيانات وإدارة العمليات والنسخ الاحتياطي.
IBM Cloud Transit Gateway
يساعدك IBM Cloud Transit Gateway على ربط وإدارة شبكات IBM Cloud Virtual Private Cloud (VPC).
IBM Security and Compliance Center - Workload Protection
يمكنك اكتشاف الثغرات الأمنية البرمجية وتحديد أولوياتها، والتعرُّف على التهديدات والاستجابة لها، وإدارة التكوينات والأذونات والامتثال من المصدر وحتى التشغيل.
IBM Cloud Container Registry
يُمكنك تخزين صور الحاوية وتوزيعها في سجل خاص مُدار بالكامل. يُمكنك إرسال الصور الخاصة لتشغيلها بطريقة ملائمة في IBM Cloud Kubernetes Service وبيئات التشغيل الأخرى.
IBM Cloud Continuous Delivery
تبني استخدام العمليات والتطوير -DevOps الجاهزة للمؤسسات. يُمكنك إنشاء سلاسل أدوات آمنة تدعم مهام تسليم تطبيقك. ويُمكنك أتمتة عمليات البناء، والاختبارات، والنشر، وغير ذلك.
IBM Cloud Kubernetes Service
نشر مجموعات آمنة ومتوفرة بشكل كبير عبر تجربة Kubernetes أصلية.
IBM Cloud App ID
إضافة المصادقة بسهولة إلى تطبيقات الويب والأجهزة المحمولة. تعزيز تطبيقاتك بقدرات أمنية متقدمة مثل المصادقة متعددة العوامل وتسجيل الدخول الموحَّد.
IBM Cloud Identity and Access Management (IAM)
تعمل خدمة IBM Cloud Identity and Access Management على مصادقة المستخدمين بأمان والتحكم في الوصول إلى جميع الموارد بشكل موحَّد على منصة IBM Cloud.
IBM Cloud Secrets Manager
إنشاء الأسرار ديناميكيًا ومنح التطبيقات الإذن بالوصول إليها لفترة محددة، مع الحفاظ على التحكم الكامل في الوصول إليها من مكان واحد. تم تصميمه وبناؤه على HashiCorp Vault مفتوح المصدر.
تعتمد IBM Cloud عدة إجراءات لتعزيز الأمان المادي:
IBM Cloud Flow Logs for VPC
تمكين جمع وتخزين وعرض المعلومات حول حركة مرور Internet Protocol (IP) المتجهة إلى والقادمة من واجهات الشبكة داخل السحابة الخاصة الافتراضية (VPC) الخاصة بك.
IBM Cloud Logs
الحصول على قابلية ملاحظة السجلات باستخدام IBM Cloud Logs للمساعدة على تحسين أداء البنية التحتية والتطبيقات.
IBM Cloud Monitoring
مراقبة السحابة واستكشاف الأخطاء وإصلاحها للبنية التحتية والخدمات السحابية والتطبيقات.
IBM Security and Compliance Center - Workload Protection
يمكنك اكتشاف الثغرات الأمنية البرمجية وتحديد أولوياتها، والتعرُّف على التهديدات والاستجابة لها، وإدارة التكوينات والأذونات والامتثال من المصدر وحتى التشغيل.
تم إصدار أحدث نسخة من PCI DSS 4.0.1 في مارس 2022. وتتضمن هذه المتطلبات الاثني عشر لحماية بيانات حامل البطاقة. يجب على المؤسسات تنفيذ هذه المتطلبات بحلول 31 مارس 2025 لتحقيق الامتثال.
تثبيت وصيانة ضوابط أمن الشبكة
قد تشمل ضوابط أمن الشبكة (NSCs) مثل جدران الحماية والأجهزة الافتراضية وأنظمة الحاويات وأنظمة أمن السحابة، وغيرها من التقنيات التي تتحكم في الوصول إلى الأنظمة والبيانات.
تطبيق التكوينات الآمنة على جميع عناصر النظام
لا يجب استخدام كلمات المرور الافتراضية وإعدادات النظام الافتراضية الأخرى المقدَّمة من البائعين، لأنها عرضة للهجمات الإلكترونية.
حماية بيانات حامل البطاقة المخزَّنة
يجب على المؤسسات عدم تخزين بيانات حامل البطاقة إلا إذا كان ذلك مطلوبًا لأغراض العمل. وإذا تم تخزينها، يجب تحويلها إلى صيغة غير قابلة للقراءة عبر التشفير أو الإخفاء أو وسائل أخرى.
حماية بيانات حامل البطاقة باستخدام تشفير قوي في أثناء نقلها عبر الشبكات العامة والمفتوحة
لمنع القراصنة من الوصول إلى المعلومات الحساسة مثل أرقام البطاقات ومعلومات التعريف الشخصية (PII)، يجب تشفير البيانات قبل نقلها عبر الشبكات العامة وفي أثناء النقل.
حماية جميع الأنظمة والشبكات من البرامج الضارة
الحفاظ على برامج مكافحة الفيروسات وغيرها من وسائل الدفاع ضد البرامج الضارة مثل برامج التجسس وأدوات تسجيل المفاتيح، وبرامج الفدية والبرامج النصية وغيرها من الفيروسات.
تطوير وصيانة الأنظمة والبرامج الآمنة
من خلال تطبيق أحدث تصحيحات الأمان واتباع ممارسات آمنة عند تطوير التطبيقات، يمكن للمؤسسات المساعدة على تقليل خطر اختراقات أمن البيانات.
7. تقييد الوصول إلى مكونات الأنظمة وبيانات حامل البطاقة حسب حاجة العمل إلى المعرفة
يجب أن تضمن تدابير التحكم في الوصول القوية أن يرى المستخدمون المصرَّح لهم فقط المعلومات الخاصة بحامل البطاقة اللازمة لأداء وظائفهم.
تحديد هوية المستخدمين والمصادقة على الوصول إلى عناصر النظام
يجب تخصيص معرِّف فريد يحتوي على بيانات مصادقة قابلة للتتبُّع لكل شخص لديه وصول إلى الأنظمة والبيانات الحساسة.
تقييد الوصول الفعلي إلى بيانات حامل البطاقة
لمنع الأشخاص غير المصرَّح لهم من إزالة الأجهزة أو النسخ الورقية التي تحتوي على بيانات حامل البطاقة، يجب تقييد الوصول الفعلي إلى الأنظمة.
تسجيل ومراقبة جميع عمليات الوصول إلى عناصر النظام وبيانات حامل البطاقة
القدرة على أتمتة تسجيل ومراقبة الأنظمة والبيانات الحساسة تساعد على اكتشاف الأنشطة المشبوهة ودعم التحليل الجنائي بعد حدوث اختراق أمني.
اختبار أمن الأنظمة والشبكات بانتظام
نظرًا لأن المجرمين الإلكترونيين يسعون باستمرار إلى اكتشاف ثغرات أمنية جديدة في بيئات تكنولوجيا المعلومات المتغيرة، يجب إجراء اختبارات الاختراق وعمليات فحص الثغرات الأمنية بشكل دوري.
دعم أمن المعلومات بالسياسات والبرامج التنظيمية
يجب على المؤسسات وضع سياسة شاملة لأمن المعلومات تحدِّد الإجراءات الخاصة بتحديد المخاطر وإدارتها، وبرامج التوعية الأمنية المستمرة، والامتثال لمعيار PCI DSS 4.0.1.
يجب على المؤسسات الخاضعة لمعيار PCI DSS 4.0.1 توثيق الامتثال كل عام. يجب على المؤسسات الكبيرة تقديم تقرير تفصيلي عن الامتثال (ROC) وشهادة الامتثال (AOC). يجب أن يتم استكمال كلٍّ من تقرير الامتثال (ROC) وشهادة الامتثال (AOC) والتوقيع عليهما من قِبَل مقيِّم أمني مؤهل (QSA) معتمد من مجلس معايير أمن صناعة بطاقات الدفع (PCI SSC). يمكن للمؤسسات الصغيرة والمتوسطة إكمال استبيان التقييم الذاتي (SAQ) للتحقق من الامتثال.
إذا كانت المؤسسة تنقل بيانات حامل البطاقة عبر الإنترنت، فقد يُطلب منها أيضًا تنفيذ إدارة الثغرات الأمنية للحفاظ على أمن الشبكة. لتحقيق الامتثال، يجب على بائع الفحص المعتمد (ASV) المعتمد من PCI SSC إجراء مسح دوري للثغرات الأمنية كل ثلاثة أشهر لاختبار أمن الشبكة.
تختلف متطلبات إعداد التقارير وفقًا لعدد المعاملات التي تعالجها المؤسسة سنويًا وفق PCI DSS 4.0.1. وهناك أربعة مستويات للامتثال.
المستوى 1
أكثر من 6 ملايين معاملة بطاقة دفع سنويًا. يجب إرسال تقرير عن الامتثال يتم إعداده بواسطة مقيِّم أمني مؤهل. يجب أن يُجري بائع الفحص المعتمد (ASV) فحصًا ربع سنوي للثغرات الأمنية في الشبكة.
المستوى 2
من مليون إلى 6 ملايين معاملة بطاقة دفع سنويًا. يجب إكمال استبيان التقييم الذاتي (SAQ) وقد يُطلب إجراء فحص ربع سنوي للثغرات الأمنية في الشبكة.
المستوى 3
من 20,000 إلى مليون عملية بطاقة دفع سنويًا. يجب إكمال استبيان التقييم الذاتي (SAQ) وقد يُطلب إجراء فحص ربع سنوي للثغرات الأمنية في الشبكة.
المستوى 4
أقل من 20 ألف معاملة بطاقة سنوية. يجب إكمال استبيان التقييم الذاتي (SAQ) وقد يُطلب إجراء فحص ربع سنوي للثغرات الأمنية في الشبكة.
على الرغم من أن التجار ومقدِّمي خدمات الدفع ملزمون باتباع PCI DSS 4.0.1، فإن الامتثال له غير مفروض قانونيًا من قِبل الحكومات أو حتى من قِبل مجلس معايير أمن صناعة بطاقات الدفع (PCI SSC). بدلًا من ذلك، تتم إدارة الامتثال من قِبل شركات بطاقات الائتمان مثل Visa وMasterCard، وكذلك من قِبل البنوك أو المؤسسات المالية التي تعالج مدفوعات البطاقات.
مرة واحدة سنويًا، يجب على المؤسسات التي تعالج أو تخزِّن بيانات حامل البطاقة التحقق من التزامها بمعيار PCI DSS 4.0.1. إذا قامت المؤسسة بالاستعانة بجهة خارجية لمعالجة المدفوعات، يجب عليها مع ذلك التأكيد على أن معاملات بطاقات الائتمان محمية وفق متطلبات معيار PCI DSS 4.0.1.
يتم تحديد غرامات عدم الامتثال لمعيار PCI DSS 4.0.1 من قِبل شركات بطاقات الدفع، ويتم التفاوض بشأنها بين هذه الشركات والتاجر أو مزوِّد الخدمة والبنوك أو المؤسسات المالية المتأثرة. لا تنشر شركات بطاقات الدفع جداول الغرامات أو الرسوم، وعادةً لا تُتيح معلومات العقوبات للجمهور.
كقاعدة عامة، تتراوح غرامات عدم الامتثال بين 5,000 و10,000 دولار أمريكي خلال الأشهر الثلاثة الأولى من عدم الامتثال، وبين 50,000 و100,000 دولار أمريكي شهريًا بعد مرور ستة أشهر على عدم الامتثال. في حال حدوث اختراق لأمن البيانات، قد تُفرض على التجار أو مزوِّدي الخدمة غير الملتزمين غرامة إضافية تتراوح بين 50 و90 دولارًا أمريكيًا لكل عميل، بحد أقصى يصل إلى 500,000 دولار أمريكي.
يمكن لشركات بطاقات الدفع فرض غرامات أعلى بكثير وفقًا لتقديرها، وقد تصل الغرامة النهائية المتفاوض عليها لمؤسسة غير ملتزمة بعيار PCI DSS 4.0.1 -خاصةً عند عدم الامتثال الذي يؤدي إلى اختراق أمن بيانات- إلى ملايين أو مئات الملايين من الدولارات لتغطية تكاليف التحقيقات والمطالبات الحكومية والدعاوى الجماعية وغير ذلك.
بالإضافة إلى فرض الغرامات، قد يتم منع المؤسسات غير الملتزمة من معالجة معاملات بطاقات الدفع.
حماية البيانات الحساسة
عواقب اختراق أمن البيانات التي تتعلق ببيانات حامل البطاقة شديدة وخطيرة. فبالإضافة إلى الغرامات والعقوبات القانونية وتضرّر السمعة، قد تتكبّد المؤسسات خسارة كلٍّ من العملاء الحاليين والمحتملين. وتساعد متطلبات PCI DSS 4.0.1 على الحماية من سرقة البيانات الحساسة.
زيادة ثقة العملاء
نظرًا لأن الاحتيال وسرقة الهوية تتصدران العناوين بشكل متكرر، قد يتردد المستهلكون في تزويد تجار التجزئة بمعلوماتهم الحساسة لبطاقات الائتمان. يساعد الامتثال لمعيار PCI DSS 4.0.1 العملاء على الثقة بأن بياناتهم محمية، ما يمنحهم مزيدًا من الاطمئنان عند إجراء عمليات الشراء.
دعم الامتثال التنظيمي الأوسع نطاقًا
على الرغم من أن PCI DSS 4.0.1 ليس إلزامًا قانونيًا، فإن ضوابط الأمان التي يفرضها يمكن أن تساعد المؤسسات على الامتثال للأنظمة الحكومية. بعض أجزاء PCI DSS 4.0.1 تكمل قوانين حماية البيانات مثل قانون إخضاع التأمين الصحي لقابلية النقل والمساءلة لعام 1996 (HIPAA)، وقانون ساربانيس-أوكسلي (SOX)، واللائحة العامة لحماية البيانات (GDPR).
استهداف تحقيق رؤية موحدة للأمن والامتثال والمخاطر عبر بيئات السحابة المتعددة الهجينة.
بناء بنية تحتية قابلة للتوسع بتكلفة أقل، ونشر التطبيقات الجديدة على الفور، وتوسيع أعباء العمل الحساسة والمهمة حسب الحاجة - كل ذلك ضمن منصة غنية بالأمان.
هل لديك أسئلة حول أحد برامج الامتثال؟ هل تريد الحصول على تقرير امتثال محمي؟ يمكننا تقديم المساعدة.