اکنون بهترین زمان برای سازمان‌هاست تا الزامات آینده‌نگر نسخه 4.x استاندارد PCI DSS را بپذیرند.

کسب و کار در سراسر جهان از استاندارد امنیت داده‌های صنعت کارت پرداخت (PCI DSS) برای حفاظت از داده‌های کارت‌های پرداخت در مراحل قبل، حین و پس از خرید استفاده می‌کنند. این استاندارد برای تمامی نهادهای درگیر در پردازش کارت پرداخت از جمله کسب و کار، پردازش‌گران، پذیرندگان، صادرکنندگان و ارائه‌دهندگان خدمات طراحی شده است. از تاریخ ۳۱ مارس ۲۰۲۴، شورای استانداردهای امنیتی PCI (PCI SSC) به طور رسمی نسخه PCI DSS v3.2.1 را بازنشسته کرده است. نسخه‌های فعال فعلی استاندارد، PCI DSS v4.0 و v4.0.1 هستند که از این پس به عنوان PCI DSS v4.x شناخته می‌شوند.
در این مصاحبه، جرمی کینگ، معاون منطقه‌ای شورای استانداردهای امنیتی PCI برای اروپا، با مایکل آمینزاده، معاون خدمات تطابق و ریسک شرکت VikingCloud که یک شرکت ارزیاب امنیتی واجد شرایط (QSA) است، گفتگو می‌کند. QSA یک سازمان امنیتی مستقل است که توسط شورای استانداردهای امنیتی PCI تأیید شده تا تطابق یک نهاد با PCI DSS را تأیید کند.
جرمی کینگ: سلام مایکل. به عنوان یک شرکت QSA، VikingCloud به طور نزدیک با کسب و کار در تمامی اندازه‌ها و پیچیدگی‌ها همکاری می‌کند. بیایید بحث را با این موضوع شروع کنیم که چرا اکنون زمان مناسبی برای سازمان‌ها است تا الزامات آینده‌نگر PCI DSS v4.x را درک کرده و برای آن برنامه‌ریزی کنند، به جای اینکه منتظر سال آینده بمانند.
مایکل آمینزاده: در چشم‌انداز متغیر تهدیدات امروزی که کسب‌وکارها با آن مواجه هستند، اهمیت امنیت داده‌ها غیرقابل انکار است، به ویژه برای کسب‌وکارهایی که داده‌های دارنده کارت را مدیریت می‌کنند.
نسخه PCI DSS v4.0 اولین به‌روزرسانی بزرگ این استاندارد در بیش از یک دهه گذشته است و اکنون به طور کامل اجرا شده است. این نسخه شامل بسیاری از به‌روزرسانی‌ها و الزامات جدید است. از میان ۶۴ الزام جدید، ۵۱ الزام آینده‌نگر هستند و از تاریخ ۳۱ مارس ۲۰۲۵ لازم‌الاجرا خواهند شد. همچنین، PCI DSS v4.0.1 در ژوئن ۲۰۲۴ با اصلاحات محدود منتشر شد که شامل به‌روزرسانی‌های جزئی و ارائه راهنمایی‌های بیشتر برای الزامات است.

جرمی کینگ: بله، شورا به سازمان‌ها دو سال فرصت داده است تا تأثیر الزامات جدید و تغییرات در PCI DSS v4.x را درک کنند و اطمینان حاصل کنند که برای زمان لازم‌الاجرا شدن آماده هستند. اما اگر هنوز چند ماه تا اجرای الزامات آینده فرصت باقی است، چرا باید زودتر به این سمت حرکت کنند؟

مایکل آمینزاده: دیگر زود نیست. تنها هشت ماه برای کسب و کار باقی مانده تا برای تغییرات در PCI DSS v4.x برنامه‌ریزی و آماده‌سازی کنند. ما به طور فعال مشتریان VikingCloud را تشویق کرده‌ایم تا ارزیابی‌های شکاف در برابر الزامات آینده را برای آماده‌سازی برای سال آینده انجام دهند. سازمان‌هایی که PCI DSS v4.x را زودتر پذیرفته‌اند، پیامی روشن درباره اهمیت امنیت پرداخت و حفاظت از داده‌های مشتریان خود ارسال کرده‌اند. و در دنیای امروزی که مصرف‌کنندگان آگاه از مسائل سایبری هستند، این مسئله تقاضا می‌شود.

این اهمیت همچنان در چشم‌انداز جهانی صنعت ما افزایش می‌یابد. ما همچنان می‌بینیم که کسب و کار به زنجیره تأمین دیجیتالی خود وابسته‌اند و این امر برای توانایی آنها در انجام عملیات حیاتی است. ارائه‌دهندگان خدمات شخص ثالث (TPSP) آنها باید اطمینان حاصل کنند که در تطابق مشتریانشان با PCI DSS v4.x حمایت می‌کنند.

در PCI DSS v4.x، کسب و کار تجارت الکترونیک که پرسشنامه خودارزیابی (SAQ) نوع A را تکمیل می‌کنند، اکنون موظف‌اند حداقل هر سه ماه یک بار توسط یک فروشنده اسکن تأیید شده (ASV) اسکن آسیب‌پذیری انجام دهند. هنگامی که TPSPها برای ارائه و مدیریت راه‌حل تجارت الکترونیک یک کسب و کار استفاده می‌شوند، این الزام تطابقی باید گنجانده شود و کسب و کار باید نشان دهد که این کار به نمایندگی از آنها انجام می‌شود، به ویژه هنگامی که چندین TPSP خدمات مختلف را در یک راه‌حل تجارت الکترونیک ارائه می‌دهند.

مجرمان از نقاط ضعف موجود در زنجیره تأمین برای دسترسی به سیستم‌ها و وارد کردن بدافزار سوءاستفاده می‌کنند. بنابراین، استفاده از TPSPهای سازگار با PCI در زنجیره تأمین شما خطر نقض داده‌ها را کاهش می‌دهد.

جرمی کینگ: بله، در واقع شورا اخیراً یک راهنمای منابع جدید منتشر کرده است: اسکن‌های آسیب‌پذیری و فروشندگان تأیید شده اسکن برای کسانی که سؤالاتی درباره اسکن‌های ASV دارند، با تمرکز بر کسب و کار SAQ نوع A که برای اولین بار الزامات PCI DSS بند 11.3.2 را تکمیل می‌کنند. چه تغییرات دیگری در PCI DSS v4.x به کسب و کار کمک می‌کند که فرآیندهای امنیتی مناسبی پیاده‌سازی کنند؟

مایکل آمینزاده: یکی از عواملی که به چشم ما آمد این بود که بسیاری از الزامات جدید بر نقش‌ها و مسئولیت‌ها تمرکز دارند. این به سادگی به این معناست که کارکنان بدانند و آموزش دیده‌اند که در چه نقش‌ها و فعالیت‌هایی مشارکت دارند. بسیاری فکر می‌کنند این مسئله واضح است، اما زمانی که کارکنان نقش خود را تغییر می‌دهند یا بیمار هستند یا در تعطیلات هستند، ممکن است مشخص نباشد چه کسی در چه زمینه‌ای آموزش دیده است. در حالی که این ممکن است یک قدم ساده برای بهبود امنیت به نظر برسد، پیچیدگی سازمانی و تغییرات مداوم این امر ساده را پیچیده می‌کند. مسئله فقط مستندسازی نیست (برای مثال یک ماتریس اختصاص مسئولیت‌ها)، بلکه داشتن یک فرآیند ثابت و اثبات شده است که اطمینان حاصل کند مستندات به‌روزرسانی شده و به صورت مستمر به اشتراک گذاشته می‌شود. در دنیای امنیت سایبری، “یک بار و تمام شد” کافی نیست.

یکی دیگر از الزامات جدید PCI DSS v4.x، الزام 12.5.2 است که سازمان را ملزم می‌کند تا یک تمرین تأیید دامنه سالانه انجام دهد.

جرمی کینگ: بله، من واقعاً خوشحال شدم که تأیید دامنه به یک الزام واقعی تبدیل شد. سازمان‌ها باید هر سال تمام بخش‌های دامنه PCI DSS خود را تأیید کنند. زیرا در این دنیای متغیر پرداخت‌ها، همه چیز دائماً در حال تغییر است. و این مستقیماً به مستندسازی نقش‌ها و مسئولیت‌ها منجر می‌شود. دانستن اینکه داده‌های دارنده کارت را چگونه و در کجا مدیریت می‌کنید و اینکه کارکنان شما به درستی آموزش دیده‌اند، واقعاً مسئله‌ای واضح و مهم است، نه؟

مایکل آمینزاده: قطعاً، و همین موضوعات بخش بزرگی از PCI DSS v4.x را تشکیل می‌دهد. پذیرش الزامات PCI DSS v4.x به بهبود امنیت پرداخت سازمان شما کمک می‌کند، فرآیندها و آموزش‌های اضافی به شما و کارکنانتان سود خواهد رساند و شما را برای پاسخگویی به الزامات جدید که از ۳۱ مارس ۲۰۲۵ اجرا می‌شوند، آماده می‌کند.

جرمی کینگ: مایکل، این اطلاعات بسیار مفید و ارزشمندی برای جامعه ما بود. با پذیرش الزامات آینده‌نگر PCI DSS v4.x، کسب‌وکار شما می‌تواند نشان دهد که امنیت را جدی می‌گیرد و برای آینده‌ای که چشم‌انداز امنیت داده‌ها همواره در حال تغییر است، آماده است.

کسب‌وکارها می‌توانند لیستی از شرکت‌های QSA تأیید شده توسط PCI SSC و شرکت‌های ASV را در وب‌سایت ما پیدا کنند. شرکت‌های QSA محصولات و خدمات متنوعی را برای کمک به بهبود امنیت سازمان‌ها ارائه می‌دهند و شرکت‌های ASV اسکن‌های آسیب‌پذیری خارجی را ارائه می‌کنند.

به اشتراک گذاری بر روی whatsapp
به اشتراک گذاری بر روی email
به اشتراک گذاری بر روی linkedin
به اشتراک گذاری بر روی telegram

دوره های مرتبط:

برای دانلود لطفا ایمیل خود را وارد نمایید .