أصبح التسوق عبر الإنترنت الآن طبيعة ثانية لمعظم الناس. نحن ننقر، ونشتري، وتتم معالجة معلوماتنا بسلاسة — كل ذلك مع الشعور بالثقة بأن بياناتنا المالية آمنة. لكن هل توقفت يومًا عن التساؤل عما يحدث خلف الكواليس لضمان هذه الثقة؟
تكمن الإجابة في مجموعة من معايير الأمان تسمى PCI DSS. أدناه، ستتعرف على المتطلبات الكامنة وراء هذا الاختصار، وما يعنيه لكل من البائعين والعملاء عبر الإنترنت.
ما هو PCI DSS (معيار أمان بيانات صناعة بطاقات الدفع)؟
يرمز PCI DSS إلى معيار أمان بيانات صناعة بطاقات الدفع. إنها مجموعة من متطلبات الأمان التي تفرضها العلامات التجارية الكبرى لبطاقات الائتمان (Visa وMastercard وAmerican Express وDiscover وJCB) للتأكد من أن الشركات التي تتعامل مع بيانات حامل البطاقة تفعل ذلك بشكل آمن. فكر في الأمر كدليل قواعد لحماية معلومات الدفع الحساسة للعملاء.
يتم الإشراف على PCI DSS من قبل مجموعة مستقلة من الخبراء، مجلس معايير أمان PCI (PCI SSC)، الذي تم تأسيسه في عام 2006. تنطبق هذه المعايير على أي منظمة تقبل أو تنقل أو تخزن معلومات بطاقة الائتمان، بغض النظر عن حجمها أو حجم المعاملات.
ويشمل ذلك الأنشطة التجارية مثل المتاجر ومقدمي الخدمات، ولكنه يمتد أيضًا إلى المؤسسات غير الربحية وغيرها من الجهات التي قد تتعامل مع مدفوعات البطاقات. من المهم ملاحظة أنه حتى إذا قمت بالاستعانة بمصادر خارجية لمعالجة الدفع، فأنت لا تزال مسؤولاً عن الامتثال لمعايير PCI DSS لضمان حماية بيانات بطاقة ائتمان العميل.
ما هو الغرض من PCI DSS؟
الهدف الرئيسي من PCI DSS هو الحفاظ على معلومات حامل البطاقة الحساسة آمنة، بما في ذلك أرقام بطاقات الخصم والائتمان وتواريخ انتهاء الصلاحية ورموز الأمان. من خلال المطالبة بإجراءات أمنية قوية للدفع، يساعد PCI DSS الشركات على تقليل انتهاكات البيانات وتحديد السرقة والاحتيال على بطاقات الائتمان. كما أنه يحدد توقعات واضحة لكيفية تعامل المؤسسات مع المعلومات الحساسة، مما يخلق بيئة أكثر أمانًا لجميع المعنيين.
6 مبادئ PCI DSS
يغطي PCI DSS 12 متطلبًا رئيسيًا، والتي يتم تنظيمها في ست مجموعات، تُعرف باسم أهداف التحكم. أهداف الرقابة هي:
- بناء وصيانة شبكة وأنظمة آمنة
- حماية بيانات حامل البطاقة
- الحفاظ على برنامج إدارة الثغرات الأمنية
- تنفيذ تدابير قوية للتحكم في الوصول
- مراقبة واختبار الشبكات بانتظام
- الحفاظ على سياسة أمن المعلومات
12 متطلبات PCI DSS
أحدث إصدار من المعيار هو PCI DSS 4.0 (تم إصداره في مارس 2022)، والذي يتضمن متطلبات الامتثال الرئيسية الـ 12 التالية:
- تثبيت وصيانة تكوين جدار الحماية لحماية بيانات حامل البطاقة.
- لا تستخدم الإعدادات الافتراضية التي يوفرها البائع لكلمات مرور النظام ومعلمات الأمان الأخرى.
- حماية بيانات حامل البطاقة المخزنة.
- تشفير نقل بيانات حامل البطاقة عبر الشبكات العامة المفتوحة.
- حماية جميع الأنظمة من البرامج الضارة وتحديث برامج أو برامج مكافحة الفيروسات بانتظام.
- تطوير وصيانة الأنظمة والتطبيقات الآمنة.
- تقييد الوصول إلى بيانات حامل البطاقة حسب حاجة الشركة إلى معرفتها.
- تحديد ومصادقة الوصول إلى مكونات النظام.
- تقييد الوصول الفعلي إلى بيانات حامل البطاقة.
- تتبع ومراقبة كل عمليات الوصول إلى موارد الشبكة وبيانات حامل البطاقة.
- اختبار الأنظمة والعمليات الأمنية بانتظام.
- الحفاظ على سياسة تتناول أمن المعلومات لجميع الموظفين.
مستويات الامتثال PCI DSS
باعتبارك تاجرًا، فأنت بحاجة إلى الامتثال لـ PCI DSS – وتعتمد كيفية إثبات حصولك على ذلك على حجم معاملاتك وطرق المعالجة. هناك أربعة مستويات رئيسية للامتثال لـ PCI DSS للشركات أو المؤسسات.
المستوى 1
تقوم شركات المستوى الأول بمعالجة أكثر من ستة ملايين معاملة بطاقة سنويًا وتواجه المتطلبات الأكثر صرامة. يجب على التجار الكبار في هذا المستوى:
- أكمل تقريرًا سنويًا عن الامتثال (ROC) من خلال العمل مع مُقيِّم أمني مؤهل من طرف ثالث (QSA)
- الخضوع لعمليات فحص ربع سنوية لثغرات الشبكة واختبار الاختراق السنوي
- أكمل شهادة الامتثال (AOC)، والتي تم التوقيع عليها أيضًا من قبل QSA
المستوي 2
يندرج التجار الذين يقومون بإجراء ما بين مليون وستة ملايين معاملة بطاقة سنويًا ضمن المستوى 2. وفي هذا المستوى، تحتاج إلى:
- أكمل استبيان التقييم الذاتي السنوي (SAQ)
- إجراء عمليات فحص ربع سنوية لثغرات الشبكة
- أكمل AOC
قد يُطلب منك أن تشهد شركة QSA تابعة لجهة خارجية على SAQ الخاص بك على مستوى PCI 2. وقد يتعين عليك أيضًا إرسال فحص ربع سنوي لثغرات الشبكة.
مستوى 3
ينطبق هذا المستوى على جميع الشركات والمؤسسات التي تقوم بمعالجة ما بين 20.000 إلى مليون معاملة بطاقة سنويًا، وجميع تجار التجارة الإلكترونية. المستوى 3 يتطلب منك:
- أكمل SAQ السنوي
- إجراء عمليات فحص ربع سنوية للشبكة
- أكمل AOC
قد يتعين عليك أيضًا إرسال فحص ربع سنوي لثغرات الشبكة.
مستوى 4
ينطبق المستوى 4 على الشركات الصغيرة التي لديها أقل من 20000 معاملة سنويًا. في المستوى 4 تحتاج إلى:
- أكمل SAQ السنوي
- إجراء عمليات فحص ربع سنوية للشبكة (لا يلزم إعداد التقارير)
- أكمل AOC
قد يتعين عليك أيضًا إرسال فحص ربع سنوي لثغرات الشبكة.
مزايا وعيوب الامتثال PCI DSS
على الرغم من وجود بعض التكاليف لإعداد وصيانة PCI DSS، إلا أنها أصغر بكثير من المشكلات التي يمكن أن يسببها خرق البيانات. ويعمل الامتثال لـ PCI DSS على بناء الثقة مع عملائك، مما يجعل الاستثمار يستحق العناء. إليك ما يمكنك توقعه:
مزايا PCI DSS
- مشاكل أمنية أقل: إن تعزيز أمان البيانات يجعل من الصعب على المتسللين سرقة معلومات العملاء، مما يعني ضغطًا أقل وتعطيلًا أقل لأعمالك.
- علاقات أقوى مع العملاء: يُظهر الالتزام بمعايير PCI DSS للعملاء أنك ملتزم بحماية معلوماتهم المالية، مما يبني الثقة والولاء.
- خفض التكاليف على طول الخط: تجنب الغرامات الباهظة والدعاوى القضائية المكلفة وأضرار السمعة المرتبطة بانتهاكات البيانات من خلال حماية البيانات الحساسة بشكل استباقي.
عيوب PCI DSS
- إعداد التكاليف: يتضمن الامتثال لـ PCI DSS تكاليف أولية لأدوات الأمان وتدريب الموظفين.
- الإدارة المستمرة: يتطلب الحفاظ على امتثال PCI فحص أنظمتك بانتظام، وتحديث وسائل الحماية الأمنية، والتأكد من بقاء الموظفين على اطلاع دائم.
- تغيير المشهد: إن التهديدات المتطورة والتقدم التكنولوجي يعني أن الصناعة تتغير دائمًا، ويجب على الشركات التكيف لمواكبة ذلك.
- تعقيد: يمكن أن تصبح تفاصيل PCI DSS معقدة. اعتمادًا على حجم ونوع عملك، قد تحتاج إلى مساعدة من أحد المتخصصين لإعداده بشكل صحيح.
أفضل ممارسات الامتثال لـ PCI DSS
فيما يلي بعض أفضل الممارسات الأساسية لمساعدتك في الحفاظ على امتثالك والتعامل مع معلومات الدفع الخاصة بالعميل بشكل آمن:
- الحد من الوصول: يجب أن تظل بيانات العملاء الخاصة على أساس الحاجة إلى المعرفة. يجب أن يتمتع فقط الموظفون الذين يحتاجون إليها لأداء واجباتهم الوظيفية بإمكانية الوصول إلى بيانات حامل البطاقة.
- بناء دفاعات قوية: استثمر في أدوات الأمان مثل جدران الحماية وبرامج مكافحة الفيروسات لحماية أنظمتك وتحديثها بانتظام.
- أبقِها منفصلة: تتضمن البنية التحتية الآمنة للشبكة تقسيم الشبكات لفصل بيانات حامل البطاقة عن الأجزاء الأخرى.
- احتفظ بها مشفرة: عند تخزين بيانات العميل أو نقلها، استخدم التشفير لخلط المعلومات، مما يجعلها غير قابلة للقراءة للمستخدمين غير المصرح لهم.
- إجراء فحوصات منتظمة: حافظ على تحديث الأنظمة والبرامج باستخدام تصحيحات الأمان.
- تدريب فرقك: قم بتثقيف وتدريب موظفيك على أفضل ممارسات أمن البيانات لتجنب الانتهاكات العرضية.
- فرض كلمات مرور قوية: فرض متطلبات تعقيد كلمة المرور وتغييرات كلمة المرور المنتظمة، وإعداد المصادقة المكونة من خطوتين.
- الاحتفاظ بسجلات التدقيق: الاحتفاظ بسجلات التدقيق التفصيلية لمراقبة نشاط النظام.
- لدينا خطة: وضع خطة للاستجابة للحوادث الأمنية بسرعة وفعالية.
- اجعلها رسمية: قم بوضع سياسة أمن المعلومات على مستوى الشركة والتي تغطي كيفية التعامل مع بيانات حامل البطاقة وحمايتها.
تذكر أن الامتثال لـ PCI DSS هو عملية مستمرة. ومن خلال اتباع أفضل الممارسات هذه، يمكنك تقليل مخاطر اختراق البيانات بشكل كبير وحماية عملك وعملائك.
كن متوافقًا مع Shopify Payments
أخبار جيدة لبائعي Shopify: لقد قمنا بهذا العمل من أجلك. Shopify متوافق مع PCI DSS، ويمتد ذلك افتراضيًا إلى جميع المتاجر التي تدعمها Shopify.
وهذا يعني أننا نقوم بتخزين معلومات الفوترة والشحن الخاصة بعملائك بشكل آمن على خوادم متوافقة مع PCI. نحن نتحقق من صحة الامتثال من خلال التقييمات السنوية وندير المخاطر المستمرة بشكل استباقي. يغطي امتثالنا جميع فئات معايير PCI الست وينطبق على كل متجر يستخدم منصتنا.
باختصار، عندما تختار Shopify لتشغيل متجرك، يمكنك أن تطمئن إلى معرفة أننا استثمرنا الكثير من الوقت والمال للحفاظ على شهادة PCI من المستوى الأول وحماية كل معاملة. يتم تغطية متجرك وعربة التسوق الخاصة به واستضافة الويب الخاصة به.
الأسئلة الشائعة حول PCI DSS
ماذا يعني PCI DSS؟
معيار أمان بيانات صناعة بطاقات الدفع، أو PCI DSS، هو معيار أمان المعلومات المستخدم للتعامل مع بطاقات الائتمان من العلامات التجارية الكبرى للبطاقات مثل Visa وMastercard وAmerican Express وDiscover وJCB. يساعد المعيار على منع اختراق البيانات والاحتيال وسرقة الهوية من خلال وضع أفضل الممارسات لأمن الدفع. على الرغم من أن المنظمات التي تقوم بمعالجة مدفوعات البطاقات ليست ملزمة قانونًا، إلا أنها ملزمة تعاقديًا بالوفاء بالمتطلبات.
ما هي الأشياء الأربعة التي يغطيها PCI DSS؟
يغطي PCI DSS أربعة مجالات رئيسية:
- معالجة المعاملات الرقمية والمدفوعات باستخدام البطاقات
- تخزين بيانات بطاقة الدفع
- نقل معلومات حامل البطاقة
- تأمين بيئة معالجة البطاقة، بما في ذلك أجهزة نقاط البيع ومقدمي الخدمات والمستحوذين.
ما هو PCI DSS المطلوب؟
ينطبق PCI DSS على جميع المؤسسات التي تقوم بمعالجة و/أو نقل و/أو تخزين معلومات بطاقة الدفع، بغض النظر عن حجم المعاملات أو عددها. ويحتوي أيضًا على متطلبات بيئة معالجة البطاقات نفسها، بما في ذلك أجهزة نقطة البيع (POS) والخوادم والشبكات ومقدمي الخدمات ومعالجات الدفع التابعة لجهات خارجية.
اكتشاف المزيد من موقع الربوح
اشترك للحصول على أحدث التدوينات المرسلة إلى بريدك الإلكتروني.