تجزئة الشبكة والامتثال لـ PCI

تبدأ نقطة البداية عند صياغة نطاق رحلة الامتثال لمعايير أمان بيانات صناعة بطاقات الدفع (PCI DSS) بتجزئة الشبكة. يستلزم هذا مجرد إنشاء عناصر تحكم تركز على احتياجات أمان البيانات الخاصة بك.

لكي تفي بمعايير تجزئة شبكة PCI ، يجب عليك أولاً فهم أهداف المعيار والغرض منه.

ما هي بيئة بيانات حامل البطاقة (CDE)؟

يحدد PCI DSS بيانات حامل البطاقة (CHD) على أنها أي بيانات شخصية ، والتي ترتبط ببطاقة الخصم أو الائتمان الخاصة بالفرد. يشمل هذا التعريف أيضًا أرقام الحسابات الأساسية (PAN's) بالإضافة إلى رمز الخدمة واسم حامل البطاقة وتاريخ انتهاء الصلاحية وأي بيانات مصادقة حساسة أخرى للبطاقة. ببساطة ، تشتمل CDH على أي معلومات يمكن استخدامها لتوجيه رسوم احتيالية إلى بطاقة الفرد أو سرقة الهوية.

تتكون بيئة بيانات حامل البطاقة من أجهزة الكمبيوتر أو أنظمة الشبكات التي تشارك في معالجة هذه المعلومات أو تخزينها أو نقلها. يتضمن CDH مكونات النظام ذات الصلة مثل الخوادم وأجهزة الشبكة وأجهزة الحوسبة والتطبيقات. قد تكون هذه المكونات الافتراضية ، وخدمات الأمان ، ومكونات الشبكة ، والتطبيقات ، وأنواع الخوادم ، وأي شيء آخر متصل بـ CDE. إذا كان بإمكان الأنظمة أو الموظفين الوصول إلى CHD ، فيجب فصل ذلك عن الجوانب الأخرى لشركتك.

PCI DSS وتجزئة الشبكة

يستلزم تجزئة الشبكة النظر في طريقة نقل المعلومات عبر أنظمتك. يجب أن ترى CDE الخاص بك كنهر ، وبيانات حامل البطاقة كزورق يتنقل في المنحدرات. تحتوي الأنهار عادةً على نقاط وصول متعددة للقوارب. وبالمثل ، تحتوي شبكتك على العديد من نقاط الوصول إلى البيانات. إنها مثل الأنهار التي لها روافد متصلة بها. طالما أن أمراض القلب التاجية الخاصة بك يمكن أن تطفو على مسار داخل شبكتك ، فهناك حاجة إما لبناء سد أو حماية هذا الرافد.

على سبيل المثال ، يتم تعريف الاتصال بواسطة PCI DSS على أنه اتصال لاسلكي وافتراضي ومادي. في أي نقطة أسفل هذا النهر ، يمكن لـ CHD الدخول. يمكن أن يشمل الاتصال اللاسلكي اتصالات Bluetooth والشبكات المحلية. يمكن أن يكون الاتصال المادي محركات أقراص USB. يتضمن الاتصال الافتراضي عادةً موارد مشتركة بما في ذلك الأجهزة الافتراضية وجدران الحماية الافتراضية. يوصى بتأمين نقطة وصول البيانات هذه حتى لا يتم اختراق CHD.

كيف نظم نطاق الشركات

يجب أن يستلزم تحديد نطاق PCI DSS التقييم النقدي لجميع نقاط الوصول إلى البيانات والروافد الموجودة في نهر CDE الخاص بك. يبدأ تقييم PCI DSS بتصنيف كيفية ومكان تلقي أمراض القلب التاجية. أثناء السير صعودًا وهبوطًا على ضفة نهر CDE ، يجب عليك تحديد جميع قنوات الدفع بالإضافة إلى طرق قبول بيانات حامل البطاقة. بعد ذلك ، اتبع رحلة المعلومات بدءًا من التجميع مروراً بالتدمير والتخلص والنقل.

يجب عليك أيضًا تحديد أماكننا وتحديدها على CDE الخاص بك حيث يتم تخزين البيانات أو معالجتها أو نقلها. قد يشمل هذا التعريف فهم ليس فقط من يتعامل مع البيانات ، ولكن أيضًا كيفية معالجة المعلومات. يجب عليك أيضًا توثيق العمليات والتقنيات التي وضعتها لتأمين بيئة البيانات الخاصة بك.

بعد تتبع تدفق المعلومات عبر شبكتك ، تأكد من دمج جميع العمليات والأشخاص ومكونات النظام التي تؤثر على CDE. هذه خطوة حاسمة تختلف عن الخطوة السابقة لأنها تتطلب منك النظر إلى ما هو أبعد من أولئك الذين يتفاعلون مع أمراض الشرايين التاجية. بدلاً من ذلك ، يجب أن تركز على الأشخاص ومكونات النظام التي تحرك بيئة البيانات الخاصة بك.

بمجرد مراجعة نهر البيانات الخاص بك ، يجب عليك بعد ذلك إنشاء عناصر تحكم لحماية المعلومات. هذه هي الطريقة نفسها التي تعرض بها معظم الأنهار عمليات الإنزال ، والتي تهدف إلى منع طواقي القوارب من الدخول في نقاط معينة. لوضع هذا في المنظور ، الضوابط ضرورية. وبالمثل ، يجب أن تجد طريقة لتحديد الأماكن التي يمكن أن تذهب إليها المعلومات المهمة ، ومن يمكنه الوصول إليها.

للقيام بذلك ، هناك حاجة لإعداد إصدار أمان البيانات للسدود. قد يشمل ذلك إعداد طرق التشفير وجدران الحماية. بعد أن تثبت التحكم ، هناك حاجة لتطبيقه في تأمين العمليات ومكونات النظام والموظفين. الأهم من ذلك ، يجب عليك مراقبة عناصر التحكم للتأكد من أن أي تغييرات تجريها تتطور جنبًا إلى جنب مع CDE الخاص بك.

هل هناك أي أنظمة خارج النطاق؟

يتم تعريف الأنظمة خارج النطاق من قبل مجلس معايير أمان صناعة بطاقات الدفع (PCI SSC) على أنها تلك التي ليس لها حق الوصول إلى أنظمة CDE. والجدير بالذكر أن الأنظمة خارج النطاق أصبحت نادرة. ينص PCI SSC على أن مكون النظام يجب ألا يخزن أو يعالج أو حتى يرسل CHD. وبالمثل ، لا ينبغي توصيله بأي من قطاعات الشبكة التي تمس قناة القلب التاجية.

الأطراف الثالثة ومقدمو الخدمات يقعون في نطاق الامتثال لمعايير أمان PCI. هم أقرب إلى حراس غابات النهر الخاص بك. من خلال كونهم شركاء عملك ، فإنهم يقدمون لك خدمات عن بُعد. نظرًا لأنهم يتعاملون باستمرار مع بيئة البيانات الخاصة بك ، يمكنهم تقديم مخاطر قد تعرض CHD للخطر. هذا يسلط الضوء على أهمية المشاركة في مراقبة الطرف الثالث وكذلك إدارة النظام البيئي للبائع الخاص بك.

ملاحظة المحرر: كين لينش هو أحد المخضرمين في بدء تشغيل برمجيات المؤسسات ، وكان دائمًا مفتونًا بما يدفع العمال إلى العمل وكيفية جعل العمل أكثر جاذبية. أسس كين مبدأ المعاملة بالمثل لمتابعة ذلك بالضبط. لقد دفع نجاح Reciprocity من خلال هذا الهدف القائم على المهمة المتمثل في إشراك الموظفين في أهداف الحوكمة والمخاطر والامتثال لشركتهم من أجل خلق المزيد من مواطني الشركات ذوي التفكير الاجتماعي. حصل كين على درجة البكالوريوس في علوم الكمبيوتر والهندسة الكهربائية من معهد ماساتشوستس للتكنولوجيا. تعرف على المزيد على ReciprocityLabs.com.

هل لديك أي أفكار حول هذا؟ أخبرنا أدناه في التعليقات أو انقل المناقشة إلى Twitter أو Facebook.

توصيات المحررين:

• إدارة سجل PCI DSS
• تحديد نطاق تدقيق SOC2
• متطلبات التدقيق - الشركات الأمريكية الخاصة
• خطة إدارة المخاطر - ما الغرض منها؟
• استراتيجية تحليل بيانات فعالية التدقيق الداخلي