4 سطح انطباق PCI توضیح داده شد

کلیه ارائه دهندگان خدمات و بازرگانانی که اطلاعات کارت اعتباری را ذخیره ، انتقال یا پردازش می کنند ، باید به PCI DSS پایبند باشند. با این حال ، همه آنها مجبور نیستند یک مسیر یکسان برای انطباق PCI را دنبال کنند.

میزان ریسک یک سازمان با توجه به چندین عامل متفاوت است. با توجه به این ، شورای استانداردهای امنیتی PCI دو سطح انطباق PCI ایجاد کرد که برای ارائه دهندگان خدمات و چهار مورد برای بازرگانان اعمال می شود. سطح یک سازمان با توجه به: متفاوت است:

• تعداد معاملات کارت اعتباری هر ساله پردازش می شود ، و
• اگر سازمان حمله سایبری یا نقض شده منجر به به خطر انداختن دارنده کارت یا اطلاعات کارت اعتباری شده است

اطلاعات مورد بحث در این مقاله و در این صفحه فقط برای بحث آموزشی در نظر گرفته شده است و اطلاعات کاملاً کلی در مورد موضوعات تجاری ، حقوقی و سایر موارد را نشان می دهد. این راهنمایی قانونی نیست و نباید به این ترتیب در نظر گرفته شود. اطلاعات موجود در این مقاله "همانطور که هست" عاری از هرگونه ضمانت نامه یا بازنمایی ، ضمنی یا بیان است. ما هیچ تضمینی یا نمایندگی در رابطه با محتوای این مقاله ارائه نمی دهیم و کلیه مسئولیت های مربوط به اقدامات انجام شده یا در رابطه با محتوای این مقاله انجام نشده است.

شما نباید اطلاعات موجود در این مقاله را به عنوان جایگزینی برای مشاوره حقوقی از ارائه دهنده خدمات حقوقی یا وکیل در نظر بگیرید. اگر در مورد هر مسئله حقوقی سؤال خاصی دارید ، باید با وکیل خود یا یک ارائه دهنده خدمات حرفه ای حقوقی دیگر تماس بگیرید.

این مقاله ممکن است شامل پیوندهایی به سایت های مختلف شخص ثالث باشد. این پیوندها صرفاً برای راحتی کاربر ، مرورگر یا خواننده است. ما اطلاعات را از هر وب سایت شخص ثالث تأیید یا توصیه نمی کنیم.

مفاهیم و منابع انطباق PCI

شورای استانداردهای امنیتی PCI (SSC) با هدف افزایش امنیت داده ها برای اطلاعات کارت پرداخت تنظیم شد. این سازمانی است که چارچوب ها ، ابزارها ، اندازه گیری ها و منابع پشتیبانی را برای کمک به سازمانها در تضمین امنیت اطلاعات مربوط به کارت ارائه می دهد.

PCI DSS استانداردی است که توسط SSC ایجاد شده است و چارچوبی را برای یک فرآیند امنیتی داده های کارت پرداخت ، از جمله پیشگیری از حادثه امنیتی ، تشخیص و پاسخ مناسب فراهم می کند.

ابزارها و منابع ارائه شده توسط PCI SSC عبارتند از:

• منابع کتبی از جمله لیست ارزیابی کنندگان امنیتی واجد شرایط (QSA) ، ارزیابی امنیتی معتبر برنامه (PA-QSA) و فروشندگان اسکن تأیید شده (ASV)
• پرسشنامه های ارزیابی خود (SAQ) می توانند برای ارزیابی آمادگی پیروی از آنها و گزارش به سازمان PCI SSC استفاده کنند
• الزامات امنیتی دستگاه های معامله PIN ، با دستورالعمل های امنیتی خاص برای هر نوع دستگاه
• برنامه های پرداخت PA-DSS و تأیید شده

محتوای مرتبط: الزامات PCI DSS

4 سطح انطباق PCI چقدر است؟

سطح انطباق PCI بر اساس میزان معاملات است. معامله بدون در نظر گرفتن منطقه جغرافیایی به عنوان هر یک از موارد زیر تعریف می شود:

• معامله مبتنی بر کارت اعتباری
• بدون معامله کارت
• معامله تجارت الکترونیک

سطح انطباق PCI DSS 1

اعمال می شود: بازرگانانی که سالانه بیش از 6 میلیون معاملات کارت را پردازش می کنند - برای مثال ، خرده فروشان بزرگی که در چندین کشور فعالیت می کنند.

سطح 1 به بازرگانان نیاز دارد تا از حسابرس شخص ثالث استفاده کنند. ممیزی های خارجی توسط ارزیابی کننده های امنیتی واجد شرایط (QSA) انجام می شود. این نوع حسابرس باید توسط PCI SSC تأیید شود تا یک بررسی کامل در سایت از شیوه های سازمان برای اطمینان از انطباق انجام دهد.

QSA دامنه حسابرسی را تعریف می کند ، سوابق کتبی سازمان و ذخیره داده ها را بررسی می کند و انطباق PCI را تعیین می کند. سپس حسابرس یافته های موجود در گزارش مربوط به انطباق (ROC) را شرح می دهد.

الزامات اضافی برای بازرگانان سطح 1 شامل موارد زیر است:

• اسکن شبکه سه ماهه - این اسکن ها نوعی ممیزی جزئی هستند و توسط فروشندگان اسکن تأیید شده (ASV) انجام می شود. اسکن شبکه می تواند از راه دور انجام شود و به اندازه ارزیابی های سالانه کامل تفصیل نیست.
• تأیید فرم انطباق - این فرصتی برای توضیح تلاش های انطباق سازمان به سازمان PCI SSC است. بر خلاف ممیزی های خارجی ، تأیید انطباق توسط کارمندان داخلی نوشته و ارسال می شود.

سطح انطباق PCI DSS 2

اعمال می شود: سازمان هایی که بین 1 تا 6 میلیون معاملات در سال انجام می شوند. به عنوان مثال ، یک شرکت کوچک و متوسط (SME) که در مناطق تجاری فعال یا خطوط ایالتی یا استانی فعالیت می کند.

بازرگانان PCI DSS سطح 2 باید گزارشی از انطباق (ROC) را ارائه دهند ، اما با ارزیابی داخلی انجام می شود ، نه یک حسابرسی خارجی. ارزیابی داخلی توسط پرسشنامه خود ارزیابی (SAQ) ارائه شده توسط PCI SSC هدایت می شود.

در حالی که یک بازرگان سطح 2 نیازی به درگیر کردن QSA ندارد ، آنها هنوز هم باید نشان دهند که تمام دستورالعمل های مربوط به انطباق PCI را پیاده سازی کرده اند. مانند بازرگانان سطح 1 ، آنها باید:

• اسکن شبکه های سه ماهه انجام شده توسط ASVS را انجام دهید
• تأیید تصدیق پیروی کنید.

سطح انطباق PCI DSS 3

اعمال می شود: بازرگانانی که هر سال بین 20،000 تا 1 میلیون معاملات انجام می دهند. به عنوان مثال ، مشاغل کوچک به متوسط که در یک منطقه محلی فعالیت می کنند.

بازرگانان PCI DSS سطح 3 دیگر نیازی به انجام حسابرسی خارجی ندارند و نیازی به ارسال گزارشی از انطباق (ROC) ندارند. با این حال ، آنها ممکن است این کار را داوطلبانه انجام دهند تا جایگاه خود را با مشتریان بهبود بخشند یا اطمینان حاصل کنند که داده های دارنده کارت آنها امن است.

جدا از آن ، آنها با همان نیازهای بازرگانان سطح 2 روبرو هستند:

• پرسشنامه سالانه ارزیابی خود
• اسکن سه ماهه شبکه انجام شده از طریق ASV
• تأیید انطباق (AOC)

سطح انطباق PCI DSS 4

اعمال می شود: هرگونه پردازش بازرگان کمتر از 20،000 معاملات تجارت الکترونیکی در سال ، و سایر بازرگانان-صرف نظر از کانال پذیرش-پردازش حداکثر 1 میلیون ویزا در سال. به عنوان مثال ، یک تجارت محلی کوچک.

بر خلاف سطوح بالاتر انطباق PCI ، بازرگانان PCI DSS سطح 4 نیازی به ممیزی ندارند ، ROC را ارسال نمی کنند و ممکن است نیازی به فرم های AOC نداشته باشد.

سازمانها در این سطح عمدتاً با برآورده کردن الزامات PCI بانک خود روبرو هستند. نیازهای آنها به طور معمول شامل موارد زیر است:

• فقط با استفاده از یکپارچه سازان و فروشندگان واجد شرایط (QIRS) برای نصب ، ادغام و خدمات و برنامه های فروش (POS) خدمات و برنامه های کاربردی

• یک پرسشنامه ارزیابی سالانه (SAQ) انجام دهید
• اسکن شبکه سه ماهه را با ASV انجام دهید

سطح PCI DSS برای ارائه دهندگان خدمات

اگر شناسه بازرگان ندارید ، و اگر به پردازنده پرداخت تأیید شده PCI DSS اعتماد ندارید ، گزینه های شما چیست؟

در اینجا چگونه PCI SSC ارائه دهنده خدمات را تعریف می کند:

نهاد تجاری که به عنوان یک برند پرداخت طبقه بندی نشده است ، در انتقال ، ذخیره سازی یا پردازش اطلاعات مربوط به دارنده کارت درگیر است. این همچنین به معنای شرکت هایی است که خدماتی را ارائه می دهند که می توانند امنیت اطلاعات مربوط به دارنده کارت را تحت تأثیر قرار دهند یا کنترل کنند.

در اینجا دو سطح برای ارائه دهندگان خدمات آورده شده است. آنها با توجه به میزان معاملاتی که پردازش می کنند طبقه بندی می شوند:

• سطح 1 - سالانه بیش از 300 هزار معامله
• سطح 2 - سالانه کمتر از 300 هزار معامله

اگر سازمان شما به عنوان ارائه دهنده خدمات (صرف نظر از سطح شما) عمل می کند ، ممکن است بخواهید در مورد شایستگی تحقق حسابرسی PCI سطح 1 فکر کنید ، همچنین به نام PCI ROC نامیده می شود. این امر باید از طریق QSA تکمیل شود ، که به وضعیت انطباق PCI سازمان شما اجازه می دهد ، و اگر تمام مراحل لازم برای سازگاری با PCI را انجام داده اید.

اگر تمام الزامات را برآورده کنید ، AOC به شما صادر می شود که می توانید به هر کسی که مایل به تأیید موقعیت انطباق PCI است ، نشان دهید.

برای ارائه دهندگان خدمات که 300 هزار معاملات را پردازش نمی کنند ، می توانید SAQ-D را تکمیل کنید (این همان SAQ است که ارائه دهندگان خدمات می توانند مطابق PCI SSC انجام دهند).

چگونه می توان حسابرسی PCI DSS خود را منتقل کرد

برای بازرگانان سطح 1 ، تهیه گزارشی از انطباق (ROC) نیاز به ممیزی در محل از یک ارزیابی کننده امنیتی واجد شرایط خارجی (QSA) دارد.

برای بازرگانان سطح 2 ، ROC توسط یک ارزیابی کننده امنیت داخلی تهیه می شود. برای تکمیل حسابرسی می تواند تا دو سال طول بکشد ، زیرا استاندارد PCI DSS شامل 12 هدف و 281 دستورالعمل است. خود ارزیابی سریعتر است ، اما بسته به منابع و توانایی جمع آوری گزارش ها و وضعیت خطر برای شبکه و برنامه های شما هنوز می تواند تا یک سال طول بکشد.

ممیزی شامل تعداد زیادی از ارزیابی ها و آزمایش ها از جمله:

• آزمایش کنترل سازمان بر محیط داده های دارنده کارت (CDE) و تجهیزات POS
• ارزیابی کنترل های دسترسی ، از جمله دسترسی فیزیکی
• ارزیابی سطح امنیت تأمین کنندگان فناوری اطلاعات
• بررسی اثربخشی تقسیم شبکه
• شناسایی برنامه هایی که اطلاعات پرداخت را پردازش می کنند
• ارزیابی اگر ، کجا و چگونه اطلاعات کارت ذخیره می شود
• اطمینان از رمزگذاری داده ها

این یک لیست جزئی از رایج ترین ارزیابی ها است. خوشبختانه ، PCI DSS بسیار استاندارد است و به وضوح نشان می دهد که برای پیروی از هر دستورالعمل باید چه کاری انجام شود. هنگام آماده سازی برای حسابرسی یا ارزیابی خود ، می توانید با رعایت این مراحل ، روند کار را سرعت بخشیده و هزینه ها را کاهش دهید:

1. دامنه را تعریف کنید - مشخص کنید که کدام دستورالعمل ها برای سازمان شما مرتبط هستند و ارزیابی ها برای هر بخش یا سیستم در سازمان مرتبط است.
2. به حداقل رساندن دامنه - یک راه آسان برای کاهش دامنه شما ، تنظیم فایروال در اطراف CDE است که آن را جدا می کند و تحقیقات PCI را به سیستم های پشت فایروال محدود می کند.
3. تعیین کنید که چگونه نیاز به PCI DSS برآورده می شود-یک سند ارزیابی ریسک تهیه کنید ، خطرات عدم رعایت را شناسایی کنید و اقدامات کنترل لازم را برای اصلاح آنها اعمال کنید.
4. کنترل های خود را آزمایش کنید - این کار را قبل و بعد از حسابرسی یا ارزیابی سالانه خود انجام دهید. انطباق PCI DSS یک فرایند در حال انجام است و در همه زمان ها به هوشیاری نیاز دارد.
5. جمع آوری شواهد - کلیه ممیزی ها نیاز به مستندات کامل فرآیندها ، کنترل ها و اقدامات امنیتی شما دارند. آنها را از قبل آماده کنید تا در وقت خود صرفه جویی کنید.

انطباق PCI با Exabeam

Exabeam Fusion Siem ، یک راه حل تحویل ابری ، مدیریت ورود به سیستم SIEM معمولی را با یک رویکرد مبتنی بر نتیجه از طریق گردش کار تجویز شده و محتوای از قبل بسته بندی شده ، تهدید خاص برای حل سریع تشخیص ، بررسی و پاسخ (TDIR) ترکیب می کند. ادغام های از پیش ساخته شده با صدها ابزار امنیتی حزب 3 ، سیگنال های ضعیف سایر محصولات را با سابقه الگوی رفتار عادی ترکیب می کند تا تهدیدهایی را که توسط سایر ابزارها از دست رفته است ، پیدا کند. اتوماسیون تریاژ ، تحقیقات و فعالیتهای پاسخ از یک هواپیمای کنترل متمرکز کنترل شده توربوشارژ تحلیلی و زمان پاسخ را کاهش می دهد.

Exabeam Fusion Siem: ورود به سیستم جامع انطباق برای انطباق PCI DSS

Fusion Siem حاوی گزارش های سازگاری PCI DSS از پیش تعریف شده مانند "ورود به سیستم VPN شکست خورده" و "زمان های جلسه از راه دور" است که نشان دادن انطباق با حسابرسان را آسان می کند. بایگانی Exabeam Cloud می تواند حداکثر ده سال از داده های قابل جستجو آنلاین را حفظ کند ، الزامات مربوط به نگهداری برای ذینفعان انطباق داخلی و حسابرسان خارجی را حفظ کند.

تشخیص خودکار و سریع تهدید

تشخیص سریع تهدید یک نیاز مهم PCI DSS است. Exabeam به طور مداوم رفتار عادی همه کاربران و نهادهای موجود در شبکه را پایه گذاری می کند و ورودی از ابزارهای تشخیص نقطه پایانی و پاسخ (EDR) ، ابزارهای تشخیص شبکه و پاسخ (NDR) ، ابزارهای امنیتی ابری ، راه حل های مدیریت هویت و دسترسی و موارد دیگر را ترکیب می کند. انحراف از رفتار عادی - چه از طریق حساب های کاربر نهایی یا خدمات - و پرونده یا سرور مشکوک و دسترسی به ابر پرچم گذاری شده و نمره خطر را به خود اختصاص می دهد. تمام حوادث و هشدارها در سراسر شبکه به طور خودکار در جدول زمانی سازماندهی می شوند که زمینه ای برای تیم های امنیتی برای تحقیق و اقدامات تعیین کننده فراهم می کند. در نتیجه ، تحلیلگران می توانند به سرعت تهدیدهای خودی ، حساب های به خطر افتاده ، از دست دادن داده ها و موارد دیگر را تشخیص دهند.

PCI DSS بر نظارت مداوم حساب-به ویژه برای کاربران ممتاز و فروشندگان شخص ثالث با دسترسی ویژه-تأکید می کند و Exabeam از این مأموریت پشتیبانی می کند. Fusion Siem به تحلیلگران SOC کمک می کند تا فعالیت های خطرناک مربوط به گزارشگری مالی را به سرعت و دقیق شناسایی کنند ، مهم نیست که در آن اتفاق می افتد. Exabeam داده های ورود به سیستم را در حوزه های مختلف (به عنوان مثال ، ابر ، بانک اطلاعاتی ، ایمیل ، برنامه) وارد کرده و آن را در یک زنجیره فعالیت منسجم جمع می کند تا دید تحلیلگر را بهبود بخشد. با توجه به تشخیص دستکاری داده ها به طور خاص ، Exabeam دارای مدلهای نظارت بر فایل داخلی است که هر عمل مرتبط با پرونده را ردیابی می کند-از جمله دسترسی اولیه ، اتصال داده ها به یک ایمیل ، بارگیری یا حتی نوشتن در یک درایو USB.