إدارة سجل PCI DSS

تحتاج أي شركة يتضمن خط خدمتها جمع المدفوعات إلى أن يكون لديها أنظمة لحماية معلومات العملاء ، سواء في مجال الرعاية الصحية أو الغذاء أو البيع بالتجزئة أو الضيافة أو أي صناعة أخرى. هذا لأن نقل بيانات الدفع حساس للغاية.

بالإضافة إلى وضع معايير الصناعة لبيانات حامل البطاقة (CD) ، فإن معيار أمان بيانات صناعة بطاقات الدفع أو PCI-DSS يفرض أيضًا هذه المعايير بعقوبات ضد الانتهاك.

ما الذي يستتبعه PCI-DSS بالضبط؟

في أوائل العقد الأول من القرن الحادي والعشرين ، اجتمع خمسة رواد عالميين في معاملات بطاقات الدفع: American Express و MasterCard و Discover Financial Services و Visa Inc. و JCB International لإطلاق مجلس معايير أمان صناعة بطاقات الدفع أو PCI-SSC. توصل المجلس إلى معايير أمن المعلومات لمعالجة المدفوعات مع وضع هدفين في الاعتبار:

• حماية العملاء من سرقة الهوية غير المصرح بها ، و
• مساعدة صناعة البطاقات على تجنب الدفع مقابل انتهاكات البيانات التي يمكن تجنبها.

من مداولات PCI-SSC ، ما نعرفه اليوم باسم "أفضل الممارسات" في صناعة البطاقات لحماية بيانات ومعلومات مدفوعات العملاء تم توحيدها قريبًا في PCI-DSS.

عقوبات عدم امتثال PCI-DSS

على الرغم من تصنيف PCI-DSS على أنه "معيار صناعي" فقط وليس تنظيمًا ، إلا أن الامتثال له بعيد كل البعد عن كونه اختياريًا. يمكن أن يكون عدم الامتثال بمثابة تراجع كبير في عملك كتاجر. يجوز لشركات البطاقات والبنوك المستحوذة غرامة تتراوح بين 5000 و 100000 دولار شهريًا لعدم الامتثال. يمكن أن تكون هذه الغرامات بمثابة حكم بالإعدام على الشركات الصغيرة والمتوسطة.

هل الامتثال PCI-DSS ، إذن ، إلزامي ؟

نعم إنه كذلك! بغض النظر عن حجم شركتك أو الصناعة التي تعمل فيها ، إذا كنت تقبل بيانات حامل البطاقة أو ترسلها أو تخزنها ، فإن امتثال PCI-DSS أمر لا بد منه.

متطلب PCI-DSS 10: ما هو؟

يتعلق هذا المطلب بمراقبة الوصول إلى كل من الشبكات والبيانات. تنص على: تتبع ومراقبة كل الوصول إلى موارد الشبكة وبيانات حامل البطاقة.

بصرف النظر عن آليات التسجيل ، تعد القدرة على تتبع إجراءات المستخدم ومراقبتها أمرًا بالغ الأهمية في الكشف عن انتهاكات البيانات أو الحد من تأثيرها أو منعها تمامًا. باستخدام سجلات نشاط النظام ، يكون من السهل تتبع مصدر الخرق وتحليله وتحديده لتنبيه السلطات المعنية لاتخاذ إجراء.

مع 39 جزءًا فرعيًا توضح متطلباتها ، يشدد المتطلب 10 على أنك تراقب باستمرار وصول المستخدم إلى بيئتك وأنشطته. تمكّنك عناصر التحكم في وصول المستخدم من ضمان بيئة بيانات حامل البطاقة الآمنة (CDE). علاوة على ذلك ، مع كون PCI-DSS مجموعة معايير إلزامية للغاية ، فإنه يضع قائمة تفصيلية بالخطوات والعمليات والمستندات اللازمة لتلبية متطلباتها.

المتطلب 10 الامتثال: ما هي السجلات المطلوبة؟

لمساعدتك على ضمان امتثالك لمتطلباته بالكامل ، يحتوي PCI-DSS على العديد من الآليات المضمنة. بصرف النظر عن إدراج الأقسام والأقسام الفرعية وأجزاء الأقسام الفرعية ، يشتمل المعيار أيضًا على قسم إرشادات لمساعدة المستخدمين على تقدير مراجعة الرقابة الفعالة. يوجد أدناه مجموعة من الخطوات التي يمكن أن تساعدك في تسجيل البيانات الضرورية للتأكد مما إذا كنت متوافقًا أم لا:

• صمم نظامًا / عملية تربط وصول المستخدم إلى أقسام النظام التي تم الوصول إليها وكن واثقًا من أنه يمكنك تتبع أي نشاط مشبوه لمصدره.
• أنشئ مسارات تدقيق توضح كيف يمكن إخطار مسؤول النظام بأي نشاط مشبوه والرد وفقًا لذلك.
• سجّل جميع إدخالات الوصول الفردية إلى CDE لإثبات عدم وصول أي مستخدم غير مصرح له إلى الأنظمة والشبكات والبيانات.
• تأكد من تسجيل جميع الأنشطة التي تجريها حسابات "المسؤول / الجذر" والتي تُظهر بوضوح أي إساءة استخدام محتملة للامتيازات وتتبع الانتهاك إلى مصدره المحدد.
• دعم سلامة ملف سجلات التدقيق من خلال تنفيذ طريقة لتحديد أي تغييرات أو إضافات أو عمليات حذف لها.
• سجل محاولات تسجيل الدخول غير الصالحة / غير القانونية لتتبع تخمينات كلمات المرور وهجمات القرصنة العنيفة.
• وثيقة تمكنك من تتبع أي معالجة لأنشطة المصادقة التي تحاول تجاوز عناصر التحكم.
• قم بتسجيل أي توقف مؤقت / إعادة تشغيل لعمليات تسجيل تدقيق النظام الخاص بك.
• احتفظ بالسجلات لإثبات أن الكائنات على مستوى النظام مثل قواعد البيانات أو الإجراءات المخزنة لم يتم إنشاؤها / حذفها عبر حسابات مستخدمين غير مصرح بها.
• قم بإنشاء سجل أحداث لتسجيل معرفات المستخدم وأنواع الأحداث والطوابع الزمنية ومؤشرات النجاح / الفشل وإنشاء الحدث والبيانات المتأثرة ومكون النظام المتأثر وهوية / اسم المورد.
• مزامنة الساعات عبر مكونات النظام للاحتفاظ بعلامات تبويب لتسلسل الأحداث الدقيق لفرق الطب الشرعي.
• استخدم "مبدأ الامتياز الأقل" في الوصول إلى سجل التدقيق لضمان سلامة وأمن المعلومات.
• سجلات النسخ الاحتياطي إلى خادم / وسائط مركزية تضمن سلامة البيانات.
• كتابة السجلات مباشرة أو إلغاء التحميل / النسخ من مصادر خارجية إلى نظام داخلي آمن.
• دمج مراقبة سلامة الملفات وآليات الكشف عن التغيير لاكتشاف تغييرات سجل التدقيق في حالة التأخير في التاريخ.
• قم بمراجعة السجلات بانتظام ، إما يدويًا أو عبر أدوات جمع السجلات والتحليل والتنبيه.
• راجع عناصر التحكم في الأمان يوميًا للحصول على تنبيهات حول سجلات مكونات النظام الهامة ، مثل أي نشاط مشبوه.
• قم بجدولة المراجعات المنتظمة لجميع مكونات النظام التي تكشف عن المشكلات المحتملة أو محاولات الوصول غير المصرح بها للأنظمة الحساسة عبر أنظمة أقل حساسية.
• احتفظ بعلامات تبويب للتحقيقات في الاستثناءات / الحالات الشاذة.
• الاحتفاظ بجميع السجلات لمدة سنة واحدة على الأقل.
• تأكد من أن الموظفين على دراية بسياسات الأمان ومراقبتها.

متطلبات إضافية لمقدمي الخدمة

• تنفيذ إجراءات رسمية لاكتشاف / تنبيه حالات فشل التحكم الأمني ​​الحرجة ، على سبيل المثال ، حذف قواعد جدار الحماية أو عدم الاتصال بالإنترنت.
• احتفظ بالأدلة على الاستجابة للإخفاقات الأمنية ، بما في ذلك الإجراء المتضمن والمسؤول.

ملاحظة المحرر: كين لينش هو أحد المخضرمين في بدء تشغيل برمجيات المؤسسات ، وكان دائمًا مفتونًا بما يدفع العمال إلى العمل وكيفية جعل العمل أكثر جاذبية. أسس كين مبدأ المعاملة بالمثل لمتابعة ذلك بالضبط. لقد دفع نجاح Reciprocity من خلال هذا الهدف القائم على المهمة المتمثل في إشراك الموظفين في أهداف الحوكمة والمخاطر والامتثال لشركتهم من أجل خلق المزيد من مواطني الشركات ذوي التفكير الاجتماعي. حصل كين على درجة البكالوريوس في علوم الكمبيوتر والهندسة الكهربائية من معهد ماساتشوستس للتكنولوجيا. تعرف على المزيد على ReciprocityLabs.com.

هل لديك أي أفكار حول هذا؟ أخبرنا أدناه في التعليقات أو انقل المناقشة إلى Twitter أو Facebook.

توصيات المحررين:

• تحديد نطاق تدقيق SOC2
• متطلبات التدقيق - الشركات الأمريكية الخاصة
• خطة إدارة المخاطر - ما الغرض منها؟
• استراتيجية تحليل بيانات فعالية التدقيق الداخلي
• تحديد أولويات المخاطر في إدارة المشروع